现代安全检测逻辑科普【续】

赛博攻防悟道 · 公众号 · · 2024-04-03 19:17

正文

以 Falco核心的实时检测逻辑为例，它可以分解为以下关键组件和步骤：

基础 Syscalls 集合定义

首先，需要定义一组基础的 syscalls（系统调用），这些调用是检测链中监控事件所必需的。这些基础集合通过 base_syscalls 来配置，可以分为几类：

进程相关的 Syscalls ：如 clone, clone3, fork, vfork, execve, execveat, 和 close。这些调用对于捕获进程的创建、执行、复制和结束非常关键，能够帮助检测系统中的恶意进程行为。

推荐文章

笔吧评测室 · 升腾 KX-7000 平台，新款信创办公笔记本 M460 2 亮相

4 小时前

笔吧评测室 · 联想拯救者 Y7000P 新增 Ultra 7 255HX + RTX 5060 版本：88VIP 叠加国补后 7999.2 元

4 小时前

笔吧评测室 · 机械革命推出蛟龙 16Z Pro 游戏本：R9-8940HX + 32G + 1T + RTX5070 国补后 7119.2 元

昨天

爱写作的狮子 · 咨询火爆，狮子南京研学营即将截团！期末考完就出发，三天两晚打卡古都名校

2 天前

笔吧评测室 · 聊一款「看似没人买，实际不愁卖」的游戏本

2 天前

极果网 · 在家就能体验超清影院，海信75吋电视机清晰到可怕丨试用

8 年前

黄三角早报 · 男女每天做20次，不仅补肾，还有这样的效果......

8 年前

香港国际矿业协会 · Goldcorp公司将墨西哥的Cerro Rojo金银项目出售给Orla Mining公司

7 年前

腾讯自选股财经 · 那个组团筹资数十亿炒次新股的人证监会点你名啦！

7 年前

看电影杂志 · 午夜场| Bonjour，Madame

7 年前