MASTG-TECH-0027: 获取打开的文件
你可以使用带有 -p <pid> 标志的 lsof 命令来返回指定进程的已打开文件列表。 更多选项请参考 man page。
# lsof -p 6233
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
.foobar.c 6233 u0_a97 cwd DIR 0,1 0 1 /
.foobar.c 6233 u0_a97 rtd DIR 0,1 0 1 /
.foobar.c 6233 u0_a97 txt REG 259,11 23968 399 /system/bin/app_process64
.foobar.c 6233 u0_a97 mem unknown /dev/ashmem/dalvik-main space (region space) (deleted)
.foobar.c 6233 u0_a97 mem REG 253,0 2797568 1146914 /data/dalvik-cache/arm64/system@[email protected]
.foobar.c 6233 u0_a97 mem REG 253,0 1081344 1146915 /data/dalvik-cache/arm64/system@[email protected]
...
在上面的输出中,与我们最相关的字段是
NAME:文件的路径。TYPE:文件的类型,例如,文件是目录还是常规文件。
当使用混淆或其他反向工程技术监控应用程序时,这对于发现异常文件非常有用,而无需逆向代码。 例如,应用程序可能正在执行数据加密-解密并将其临时存储在文件中。