python - 操作系统如何处理 python 和 python 脚本的子进程......？

Question

我的问题有点独特。我目前正在为我的计算机取证课做一个项目。该项目旨在向调查人员隐藏磁盘数据。应该实现的方法是将“干净”文件的字节写入“坏”文件。覆盖后，“坏”文件将被删除。

这个概念听起来很简单，但我和我的伙伴观察到的东西很有趣。如果我们在 python 脚本中打开一个文件，我们可以很容易地覆盖磁盘上与该文件关联的内存(使用 dd 验证)。我们还可以从脚本内部轻松删除文件。但是，先写后删除不会导致实际发生写入，只会删除文件。

从操作系统优化的角度来看，这是有道理的。从那时起，我们认为如果将写入和删除分成两个单独的脚本，并由第三方控制，可能会奏效。然而，似乎即使我们将脚本作为另一个脚本的子进程运行，也会发生同样的事情。我们已尝试使用 bash 脚本而不是纯 python 进行删除过程，但仍然没有任何效果。

这个项目本来应该是一堆像这样的小反取证工具，但这个特别的工具因为这个问题引起了我们的全部注意。有没有人知道为什么会发生这种情况以及我们可以做些什么来推进？

我们知道这可以在 C 等语言中实现，但我们想使用 Python 来解决这个问题，因为它提供了一些有趣的限制。

---编辑---这是我们 Controller 的一个片段，它调用带有相关参数的“ghost.py”。

ghost.py 将编辑后的文件名/路径打印到标准输出。

相关代码如下:

proc = subprocess.Popen(['python', 'ghost.py', '-c', 'good.txt', '-d','/mnt/evil.txt'], stdout=subprocess.PIPE,)
files = proc.communicate()

for i in files:
    if i != None and i != "\n":
        os.system("./del.sh " + i)

Answer 1

使用子流程不会改变您设计的任何有趣方面，所以不要使用它们。您可能需要 os.fsync()。试试这个模式:

myfile.write('all of my good data')
myfile.flush()
os.fsync(myfile.fileno())
myfile.close()
os.remove(myfile)

引用:https://docs.python.org/2/library/os.html#os.fsync