Можно ли отслеживать все права записи в файловую систему всех процессов?
При просмотре исходного кода encfs кажется, что первые 4 символа (байтов )из encodedKeyData— это хэш, используемый для проверки HMAC.
и
Существует ряд инструментов, которые можно использовать в различных сценариях в зависимости от того, какую именно информацию вы ищете. У Брендана Грегга хорошее резюме:
Для ввода-вывода на определенные устройства может подойтиblktrace, хотя может быть сложно сопоставить его вывод с конкретными файлами.
Лучшим инструментом для вашего случая может быть SystemTap ; определенно стоит потратить время на то, чтобы научиться им пользоваться. Вам нужно будет отслеживать все открытия и записи файлов, а затем опубликовать -и обработать вывод. Это по-прежнему будет пропускать ввод-вывод из памяти -отображенных файлов; вы могли бы увидеть это с помощью blktrace, но это будет post -pagecache, так что он не поймает каждую явную запись (где-то на этом сайте есть обсуждение этого, но я не могу найти его просто сейчас ). См. этот ответ для примера использования SystemTap (для отслеживания открытых файлов ).