只读文件系统

在线编辑

可能目录树结构中最终留下的是很少更改的可信文件,它们放置在其自己的文件系统上并以只读方式安装。 这样将以虚拟方式确保其内容在执行正常的系统操作期间无法被修改。 此技术通常用于收集大量可信程序的可执行文件。

如果需要修改文件,那么文件系统可以在更高级的受保护上下文中以可写方式重新安装(例如,以单用户方式或在单个或多个受保护机器上)。 建议在完成这些更新后,将程序用于扫描正确配置(例如,正确的 DAC、MIC 和 MAC 标签)的文件系统。

此外,无法在只读文件系统上更改 DAC、MIC 和 MAC 信息。 在正确地配置了文件系统后,应该避免使用安全渗透模式,这种模式会尝试更改 DAC 信息和/或 MIC 和 MAC 标签。