一、AIDE AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。...20200911114556-5f5b6374111e5.jpg AIDE如何工作 AIDE通过构造指定文件的完整性样本库(快照),作为比对标准,当这些文件发生改动时,其对应的校验值也必然随之变化,AIDE...当管理员想要对系统进行一个完整性检测时,管理员会将之前构建的数据库放置一个当前系统可访问的区域,然后用AIDE将当前系统的状态和数据库进行对比,最后将检测到的当前系统的变更情况报告给管理员。...RKHunter的功能 检测易受攻击的文件; 检测隐藏文件; 检测重要文件的权限; 检测系统端口号; 安装 [root@centos7 aide]$yum install rkhunter 检测...RKHunter的功能 检测易受攻击的文件; 检测隐藏文件; 检测重要文件的权限; 检测系统端口号; 安装 [root@centos7 aide]$yum install rkhunter 检测 使用命令
我们在网络上下载文件,有时常常会看到文件的作者会附加程序的md5值。其目的是让用户对下载的文件进行md5值对比。若你下载的文件的MD5值与原作者提供的不符,则说明文件被他人修改过。...它还可以使用已知哈希列表来审核一组文件。错误将报告为标准错误。如果未指定任何文件,则从标准输入读取。...使用 hashdeep 文件名 将文件修改后,再看md5值 可以发现,由b29d0b8948ed59333490babc1f85442b,040e81279652e493b4ab629446bda08181125a61fbec94997187dc892844a239...使用指定的算法计算文件的哈希。支持 md5、sha1、sha256、tiger 和 whirlpool。 -r :启用递归模式。遍历所有子目录。请注意,递归模式不能用于检查给定文件扩展名的所有文件。...例如,调用 hashdeep -r *.txt 将检查以.txt结尾的目录中的所有文件。 -v :启用详细模式。再次使用以使程序更详细。
当软件被开发出来时,为了增加软件的安全性,防止被破解,通常情况下都会对自身内存或磁盘文件进行完整性检查,以防止解密者修改程序,我们可以将exe与dll文件同时做校验,来达到相互认证的目的,解密者想要破解则比较麻烦...实现磁盘文件检测,我们可以使用CRC32算法或者RC4算法来计算程序的散列值,以CRC32为例,其默认会生成一串4字节CRC32散列,我们只需要计算后将该值保存在文件或程序自身PE结构中的空缺位置即可。...具体实现:通过使用CRC32算法计算出程序的CRC字节,并将其写入到PE文件的空缺位置,这样当程序再次运行时,来检测这个标志,是否与计算出来的标志一致,来决定是否运行程序,一旦程序被打补丁,其crc32...实现CRC32完整性检查: 生成CRC32的代码如下,其中的CRC32就是计算过程,这个过程是一个定式,我们只需要使用CreateFile打开文件,并将文件字节数全部读入到BYTE *pFile = (...写入到文件中,即可实现磁盘文件的完整性检测,注意写入时应该是反写,且前面要补0. 在此次打开会提示程序没有被破解,当用户认为的修改指令时,就会提示已破解,无法继续运行下去。
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...内存CRC32特征检测通常用于防止软件破解或打补丁,内存特征码检查实现原理是通过定位到.text节表的首地址及该节的长度,然后计算该节的CRC32值并存入全局变量,通过在程序内部打开一个子线程用于实时监测内存...end_addr - begin_addr;计算即可获取到当前所需要保护的内存长度,最后通过CalculateMemoryCRC32实现计算内存CRC的目的,读者可以在当前进程内启动子线程用于实现专门的内存检测
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...磁盘CRC(循环冗余校验)用于检测磁盘数据的完整性,一般而言某些木马专杀工具同样会用到磁盘CRC特征校验技术,该技术的实现原理与内存验证原理完全一致,针对磁盘的验证同样很简单,但此处我们需要将计算到的CRC32...// 检查磁盘完整性BOOL CalculateDiskCRC32(){ char szFileName[MAX_PATH] = { 0 }; char *pBuffer; DWORD
前面的那一篇文章中所使用的技术只能有效抵抗解密者直接修改硬盘文件,当我们使用动态补丁的时候,那么内存中同样不存在校验效果,也就无法抵御对方动态修改机器码了,为了防止解密者直接对内存打补丁,我们需要在硬盘校验的基础上...通常程序中至少包括了代码段,数据段,而数据段中所存储的数据是经常会发生变动的,例如我们的全局变量,静态变量等都会默认存储在数据段,而代码段则不会发生变化,我们在检验时只需要注重.text内存段中的数据完整性即可...,针对内存的校验同样可以抵御调试器的CC断点,该断点原理就是在下端处写入int3指令,同样可以检测得到。...pause"); return 0; } 2.第二部就是计算校验和,然后计算该节的CRC32值,并存入全局变量,也就是程序打开后自动初始化计算一次内存crc32值并放入全局变量中,然后开一个线程,每三秒检测一次内存变化
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...磁盘CRC(循环冗余校验)用于检测磁盘数据的完整性,一般而言某些木马专杀工具同样会用到磁盘CRC特征校验技术,该技术的实现原理与内存验证原理完全一致,针对磁盘的验证同样很简单,但此处我们需要将计算到的CRC32...// 检查磁盘完整性 BOOL CalculateDiskCRC32() { char szFileName[MAX_PATH] = { 0 }; char *pBuffer;
通过获取文件的 MD5/SHA1/SHA256 等校验值对比文件的完整性、一致性,可以用来判断文件是否重复、内容是否被修改过等,比较常用的哈希算法有 MD5 与 SHA1 ---- 如何获取文件 MD5...校验值: Linux下: shell中执行下列命令即可获取: md5sum filePath sha1sum filePath ?
本文介绍几个Linux命令来检测和转换文本文件的编码格式....检测文件编码格式 enca 命令名是Extremely Naive Charset Analyser的缩写, 从它这个卖萌的名字来看, 应该可以用来检测文件的编码格式....根据 enca 的文档, 当我们运气好的时候, 就可以按照上面不添加任何额外参数的情况下, 检测出文件的编码格式. 而就我的经验来看, Linux的语言设置是一个影响运气的因素....上面的操作在默认语言为中文的Linux中, 行为就会如同上面给出的结果正确的检测出文件的中文编码格式....根据 enca 的错误提示, 我们需要给它提供-L参数来限定需要检测的文件语言.
背景 最近我需要从服务器上下载到本地windows系统中,本来想的是校验文件的md5值,就可以对比下载的文件完不完整了,其实在linux系统中,我们可以采用递归的命令来计算md5值,如下: pushd...可是轮到windows这一头,我就头大了,尽管有一些比对工具或是下载工具可以比较下载文件的大小来确认是否需要重新下载(间接确认文件是否一样),但是这批下载的文件中还有一些比较大的压缩包,我还是想通过md5...值来比较文件的完整性。...2.2 加载虚拟磁盘 这一步是让虚拟机系统加载我们下载的iso文件。 按上图步骤选中该文件,第一次加载点击选择虚拟盘,选到刚下载的iso文件。...那么至此,我们就可以比较下载源Linux系统中的md5sums.txt文件和虚拟机中计算的md5sums.txt文件的内容是否一致了,且可以根据不一致的行,补充下载 下载不完整或出错的文件。
现在对文件的完整性验证,防止文件被篡改的技术已经比较成熟,一般使用数字签名,数字水印等,最近我在一个项目中也遇到了防篡改的需求。...我刚一接触到这个需求想到的就是使用数字水印,要不然就直接使用PDF的数字签名功能,不过这些方法都感觉比较比较复杂,一大堆的英文文档也没有心思去研究,于是琢磨了半天,写了一个简化版的数字水印程序,实现了pdf文件完整性验证...验证的基本思路是: 对文件全部内容计算其MD5值,这样无论用户修改了文件的任何一个地方,那么生成的MD5的是完全不一样的,我们可以将这个MD5写到文件的一个隐藏区,一般二进制文件格式都有文件头和文件体部分...于是研究了一下pdf文件的格式,试着往其第10个字节插入了MD5值,结果文件虽然可以使用,但是每次打开的时候都会提示“文件修复”。...原来是写在头上面的内容将pdf文件的字节数和文件中对象的地址改变了,导致了文件错误,原因找到了那么解决办法也就有了,为了不改变pdf文件中对象的地址,那么我们将这个md5写在文件尾不就可以了嘛!
Linux文件操作 Linux中,一切皆文件(网络设备除外)。 硬件设备也“是”文件,通过文件来使用设备。 目录(文件夹)也是一种文件。...boot:这里存放的是启动Linux时使用的一些核心文件,包括一些连接文件和镜像文件。...deb:deb是Device(设备)的缩写,该目录下存放的是Linux的外部设备,在Linux中访问设备的方式和访问文件的方式是相同的。...tmp:用来存放一些临时文件 media:Linux系统会自动识别一些设备,例如U盘、光驱等,当识别后,Linux会把识别的设备挂载到这个目录下。...mnt:临时挂载其他文件。 proc:包含了进程的相关信息。 ---- Linux文件的操作方式 文件描述符fd fd是一个大于等于0的整数。
Linux内核提供死锁调试模块Lockdep,跟踪每个锁的自身状态和各个锁之间的依赖关系,经过一系列的验证规则来确保锁之间依赖关系是正确的。 2....内核死锁检测Lockdep 2.1 使能Lockdep Lockdep检测的锁包括spinlock、rwlock、mutex、rwsem的死锁,锁的错误释放,原子操作中睡眠等错误行为。...下面是lockcep内核选项及其解释: CONFIG_DEBUG_RT_MUTEXES=y 检测rt mutex的死锁,并自动报告死锁现场信息。...CONFIG_DEBUG_MUTEXES=y 检测并报告mutex错误 CONFIG_DEBUG_WW_MUTEX_SLOWPATH=y 检测wait/wound类型mutex的slowpath...CONFIG_DEBUG_LOCKDEP=y 会对Lockdep的使用过程中进行更多的自我检测,会增加很多额外开销。
Linux内核提供死锁调试模块Lockdep,跟踪每个锁的自身状态和各个锁之间的依赖关系,经过一系列的验证规则来确保锁之间依赖关系是正确的。 2....内核死锁检测Lockdep 2.1 使能Lockdep Lockdep检测的锁包括spinlock、rwlock、mutex、rwsem的死锁,锁的错误释放,原子操作中睡眠等错误行为。...CONFIG_DEBUG_MUTEXES=y 检测并报告mutex错误 CONFIG_DEBUG_WW_MUTEX_SLOWPATH=y 检测wait/wound类型mutex的slowpath测试...CONFIG_DEBUG_LOCKDEP=y 会对Lockdep的使用过程中进行更多的自我检测,会增加很多额外开销。...参考文档 《Linux 死锁检测模块 Lockdep 简介》 内核帮助文档:Documentation/locking/
linux移动文件命令 mv命令 功能:为文件或目录改名或将文件由一个目录移入另一个目录中。该命令如同DOS下的ren和move的组合。...语法:mv [选项] 源文件或目录 目标文件或目录 说明: 视mv命令中第二个参数类型的不同(是目标文件还是目标目录),mv命令将文件重命名或将其移至一个新的目录中。...当第二个参数类型是文件时,mv命令完成文件重命名,此时,源文件只能有一个(也可以是源目录名),它将所给的源文件或目录重命名为给定的目标文件名。...当第二个参数是已存在的目录名称时,源文件或目录参数可以有多个,mv命令将各参数指定的源文件均移至目标目录中。在跨文件系统移动文件时,mv先拷贝,再将原有文件删除,而链至该文件的链接也将丢失。...例2:将文件wch.txt重命名为wjz.doc$ mv wch.txt wjz.doc 相关视频教程推荐:《Linux教程》 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。
ferror函数 C语言提供一些函数用来检测输入输出函数调用时可能出现的错误。 一般形式 ferror(fp) //如果ferror返回值为0(假),表示为出错;如果返回一个非零值,表示出错。...对同一个文件每一次调用输入输出函数,都会产生一个新的ferror函数值,因此应当在调用一个输入输出函数后立即检查ferror函数的值,否则信息会丢失,在执行fopen函数时,ferror函数的初始值自动置为...clearerr函数 clearerr的作用是使文件错误标志和文件结束标志置为0。 假设在调用一个输入输出函数时出现错误,ferror函数值为一个非0值。...应该立即调用clearerr(fp),使ferror(fp)的值变成0,以便再进行下一次的检测。...只要出现文件读写错误标志,它就一直保留,直到对同一文件调用clearerr函数或rewind函数,或任何其他一个输入输出函数。
GNU Privacy Guard(GPG)是一种广泛使用的加密软件,提供了数据加密、签名和身份验证等功能,以确保电子数据的安全和完整性。...签名验证与文件完整性: 接收者使用发送者的公钥来解密数字签名,获取文件的哈希值,并将其与自行计算的文件哈希值进行比较。如果两者匹配,说明文件自签名以来未被篡改。...GPG的防篡改机制 GPG使用哈希函数和公钥加密技术来确保文件在传输或存储过程中的完整性和安全性。...通过私钥加密哈希值,GPG不仅能保证文件的完整性,还能验证文件的来源,确保只有持有正确私钥的用户才能生成有效的签名。这种技术还提供了不可抵赖性,使文件发送者无法否认发送过文件。...通过深入了解和正确使用GPG,用户可以大幅提高数据安全性和验证数据完整性的能力。
例如: fwrite、fread、fopen、fclose、fseek、fflush ---- 文件系统接口 文件系统——一种把数据组织成文件和目录的存储方式,提供了基于文件的存取接口,并通过文件权限控制访问...文件系统缓存 主存(通常是DRAM)的一块区域用来缓存文件系统的内容,包含各种数据和元数据。...---- O_SYNC 缓存同步 为了保证磁盘系统与缓冲区内容一致,Linux系统提供了sync,fsync,fdatasync三个函数。...fsync——将fd对应文件的块缓冲区立即写入磁盘,并等待实际写磁盘操作结束返回。 fdatasync——类似fsync,但只影响文件的数据部分。而除数据外,fsync还会同步更新文件属性。...---- Linux文件IO流程图 内核中会有一个线程,不断地将高速页缓冲区中的数据写入到物理磁盘中。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
