Я пытаюсь создать POC, который идентифицирует активность копирования файлов из расширения ядра на основе kauth, которое использует обратный вызов области файловой операции.
Однако кажется, что копирование файла включает две отдельные операции аутентификации (открытие файла src и создание нового файла).
Моя цель довольно проста: обнаружить создание нового целевого файла после того, как он был заполнен данными, не принимая во внимание характер исходного файла (так что я смогу прочитать его для дальнейшего анализа)
По моему наблюдению, этого можно добиться, отслеживая последнее действие с целевым файлом, которое KAUTH_FILEOP_CLOSE. но само по себе это действие может вызвать множество других сценариев, таких как закрытие файла после чтения, и мне важно только, есть ли в файле новые данные.
Я ожидал бы получить в дополнение флаг KAUTH_FILEOP_CLOSE_MODIFIED, и его там нет, если целевой файл не является новым файлом (не копируется в существующий файл).
Возможно, это еще одна ошибка с Kauth. Любые другие идеи, как обнаружить новый файл после его заполнения данными?
Благодарность
