tags: monitoraggio_system_calls Malware_Analisi_Dinamica Laboratorio
Le chiamate di sistema o di sistema fungono da interfaccia tra un’applicazione e il kernel. Fornisce un’interfaccia per i processi attivati da un sistema operativo. Le chiamate di sistema vengono generate da un’applicazione o da un programma quando richiede l’accesso a risorse specifiche dal sistema operativo. Di solito vengono generati durante il passaggio del contesto dalla modalità utente al kernel o dal kernel alla modalità utente. Il monitoraggio delle chiamate di sistema aiuta a rilevare malware e a comprendere il comportamento del malware rilevato. Il monitoraggio delle chiamate di sistema può anche rivelare il tipo di danno causato al sistema dal malware.
▪ strace Source: https://strace.io
Eseguire il comando seguente per collegare lo strumento Strace al processo attivo:
strace -p <ProcessID > Eseguire il comando seguente per visualizzare solo le chiamate di sistema che accedono a un percorso specifico o dato:
strace -P <dato percorso > ls /var/emptyEseguire il comando seguente per contare tempo, chiamate ed errori per ogni chiamata di sistema:
strace -c ls > /dev/nullEseguire il seguente comando per estrarre le sistem calls e salvarle in un file:
strace -o out.txt ./<sample file>