文件监控 · File Monitor

它解决什么问题

谁动了 /etc/shadow？哪个进程偷偷改写了配置、删掉了日志、给可执行文件加了执行权限、悄悄挂载了可疑目录？传统日志往往事后才记录，而 inotify、fanotify 这类工具在你看到事件时，操作其实已经发生——想拦也来不及。

文件监控把探针挂进内核的安全检查点，在文件操作即将执行的那一刻就介入：既能实时呈现「谁、对哪个文件、做了什么」，也能在同一时刻直接拒绝不被允许的操作——这是真正的强制执行，而非只记一条日志。

典型场景：关键文件防篡改、入侵与勒索软件行为分析、容器逃逸排查、合规审计、运维诊断、安全教学演示。

核心能力

????️ 文件系统活动全覆盖

从日常的读写删改，到重命名、链接、权限变更、扩展属性、挂载、设备节点、内核模块加载等高级操作，全面捕获文件系统行为面：

???? 不只是看见，更能拦下

匹配规则的危险操作会在内核安全检查点被直接拒绝——而不是等事后告警。决策与操作在同一调用路径内完成，没有可被钻空子的时间窗口，这正是它区别于 inotify / fanotify 等"事后通知"工具的根本之处。

精准的规则引擎

按操作类型 + 路径 + 用户 + 进程名灵活组合匹配，每条规则可设为三种动作：

• 记录 —— 留痕观察；
• 排除 —— 在内核层直接丢弃噪声事件，零额外开销；
• 拦截 —— 当场阻止该操作。

Procmon 风格的实时界面

借鉴 Sysinternals Procmon 的经典体验：多列实时事件表格、工具栏快速过滤、右键一键建规则、关键指标（每秒事件数 / 已拦截 / 已丢弃）实时显示。明/暗主题与中英双语随手切换。

便于归档与分析

事件可一键导出为 CSV 与 JSON Lines，方便归档、二次分析或接入既有流程。

???? 省心的使用体验

• 守护进程随系统服务常驻，图形界面以普通用户身份即可启动并完整操作，无需每次提权；
• 全局暂停 / 恢复采集，无需停服重挂；
• 可按需过滤系统服务噪声，只关注真正关心的活动；
• 界面布局与偏好自动记忆，下次打开即恢复。

技术实现（简述）

工具采用内核态采集 + 守护服务 + 图形前端的分层架构：

• 内核态 —— 基于 Linux 的 eBPF LSM（安全模块） 技术，在内核的安全检查点安全地挂载钩子。这是 Linux 上唯一可靠的内核内强制执行点：能够在操作执行前返回拒绝，而常规的 tracepoint / kprobe 只能旁观、无法阻断。程序运行在内核沙箱内，经验证器校验，开销低、不改动内核、无需额外内核模块。
• 跨内核兼容 —— 基于 CO-RE（Compile Once – Run Everywhere），探针在加载时自动适配目标内核，一次构建即可在不同内核版本上运行。
• 守护服务 —— 以 C + libbpf 实现，负责加载程序、管理规则、通过高效的内核-用户态通道汇聚事件，并对外发布事件流。
• 图形前端 —— 采用 Rust + GTK4 原生开发。Rust 带来内存安全与高性能，GTK4 提供贴合 Linux 桌面的原生体验；无需 Python / Qt 等额外运行时，响应流畅、占用轻量。
• 规则匹配 —— 在内核内以高效的前缀匹配结构完成，命中即决策，事件投递与拦截均为低延迟。

上述为面向使用者的概述；更详尽的工程细节随源码一同提供。

为什么选它

系统要求

• 较新的 Linux 系统，且内核启用了 BPF LSM 安全模块
• 较新的 Linux 桌面环境（X11 或 Wayland 均可）
• 监控服务需以管理员权限运行；图形界面普通用户即可使用

⚠️ 使用须知

本工具具备内核级文件操作拦截能力，错误的拦截规则可能直接拒绝正常的系统调用、影响系统可用性。请仅在获得授权的、可信的主机上使用，并务必在正式启用拦截规则前于非生产环境充分验证。它面向安全监控与运维诊断等合法用途。

[招生]科锐逆向工程师培训(2026年7月3日实地，远程教学同时开班, 第56期)！