我的问题有点独特。我目前正在为我的计算机取证课做一个项目。该项目旨在向调查人员隐藏磁盘数据。应该实现的方法是将“干净”文件的字节写入“坏”文件。覆盖后,“坏”文件将被删除。
这个概念听起来很简单,但我和我的伙伴观察到的东西很有趣。如果我们在 python 脚本中打开一个文件,我们可以很容易地覆盖磁盘上与该文件关联的内存(使用 dd 验证)。我们还可以从脚本内部轻松删除文件。但是,先写后删除不会导致实际发生写入,只会删除文件。
从操作系统优化的角度来看,这是有道理的。从那时起,我们认为如果将写入和删除分成两个单独的脚本,并由第三方控制,可能会奏效。然而,似乎即使我们将脚本作为另一个脚本的子进程运行,也会发生同样的事情。我们已尝试使用 bash 脚本而不是纯 python 进行删除过程,但仍然没有任何效果。
这个项目本来应该是一堆像这样的小反取证工具,但这个特别的工具因为这个问题引起了我们的全部注意。有没有人知道为什么会发生这种情况以及我们可以做些什么来推进?
我们知道这可以在 C 等语言中实现,但我们想使用 Python 来解决这个问题,因为它提供了一些有趣的限制。
---编辑--- 这是我们 Controller 的一个片段,它调用带有相关参数的“ghost.py”。
ghost.py 将编辑后的文件名/路径打印到标准输出。
相关代码如下:
proc = subprocess.Popen(['python', 'ghost.py', '-c', 'good.txt', '-d','/mnt/evil.txt'], stdout=subprocess.PIPE,)
files = proc.communicate()
for i in files:
if i != None and i != "\n":
os.system("./del.sh " + i)
最佳答案
使用子流程不会改变您设计的任何有趣方面,所以不要使用它们。您可能需要 os.fsync()。试试这个模式:
myfile.write('all of my good data')
myfile.flush()
os.fsync(myfile.fileno())
myfile.close()
os.remove(myfile)
关于python - 操作系统如何处理 python 和 python 脚本的子进程......?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29979726/