博客
对audit_context结构的注释
/* The per-task audit context. */ struct audit_context { int dummy; /* must be the first element */ int in_syscall; /* 1 if task is in a syscall 该值是:1 则表示任务在系统调用中 */ enum audit_state state, current_state; //审计级别 有AUDIT_DIABLED:
May 10, 2009
让人疯狂的”五一“三天(3)
五月三号:兄弟聚会 早上10点半了才起来,洗洗刷刷到了11点,回到学校已经快到12点了,感坐下来,打开电脑,收看了一下邮件。蟋蟀就来电话了“快来,吃饭!”,“好,马上到。”干脆利嗦,没什么好犹豫的,再说说好和小方她们去大唐遗址公园的,不过那要到下午5,6点了才去的,兄弟们的聚会还是一定要参加的。我们高中就是一个班,现在又在同一座城市里。不能回家,也得让我们有点在家的感觉阿。
May 4, 2009
让人疯狂的”五一“三天(2)
五月二号:小方回来 前几天小方说要回来了,博士终于考完了,在等成绩,需要放松一下心情,也是故地重游。这一天她是终于来了。不过前几天也是发生了一点小意外。我的手机两天了有信号,但是就是收不到什么电话和信号,以至于把给她买票的事耽误了,最后她只买到5号回去的票。不过我还是心里窃喜的,可以多留几天么。。。呵呵。
May 4, 2009
自定义ELF文件中的section
在看内核代码的时候发现,原来ELF文件的section是完全可以自己定义的。当然这只是作新的增加。 今天请教了王老师,并做了一个简单的测试。但是具体的用意还有点不是很清楚,还有待继续分析ELF文件。
April 30, 2009
内核审计系统初步分析(1)
最近一段时间在看内核关于审计的东西,今天作一点最近看的整理,内核的审计系统也算是比较新的东西了,还有内核跟踪一类的动西,也是在2。6。30中才看到有独立的目录了。 其实内核的审计还是没有跳出对进程的管理,也主要是是对每个进程的活动情况进行记录。在struct thread_info结构中的flags项中有增加了许多的内容,其中就有几个标志就是关于是否启用内核审计的。如下面的几项:
April 27, 2009