搜寻恶意软件

Question

我正在我的linux .mozilla文件夹下搜索一个恶意软件。我的第一步是尝试在firefox运行期间记录所有打开的文件。你建议我为此目的做些什么？斯特拉斯？还有其他工具吗？不是lsof，因为我不知道文件在加载后是否会关闭。谢谢。

Answer 1

有多种可用的工具。

对于这样的工作，strace -f '-e%file' firefox是可以的。它不是最有效的，因为每个系统调用都需要内核和用户空间之间的多个上下文切换。

这样做更有效率的工具，而是将信息写入内核中的缓冲区，然后将其读出。perf trace可能已经安装在您的系统上。很多追踪世界正在转向使用退潮。虽然您可以编写低级代码来使用ebpf，但是有一些高级工具可以处理许多常见的情况。特蕾西是一种新的工具。bpftrace是一个比较成熟的系统。

Answer 2

如果它是Firefox扩展，请删除它。

如果这是一个真正的恶意软件，即二进制软件，请考虑您的系统已被破坏，无法修复，包括您的所有密码。从头开始重新安装，重置所有密码。

我也会通货通货EFI固件只是为了确定。