Linux用户行为记录器的一种内核级实现方法

用户登录后敲击键盘的行为记录是判断用户是否有恶意行为以及安全审计的重要信息来源.基于Linux,通过使用内核函数劫持技术劫持并修改键盘输入的相关内核函数,同时利用可装载内核模块技术将修改后的内核函数作为可装载模块插入内核,实现了一个内核级的行为记录器.这种实现方法可以记录本地用户以及远程用户所有敲击键盘的行为,包括ctrl,air,shift等特殊键码,利用键盘映射码表转换成标准的ASCII码格式输出到日志文件中.