2 Repos
Monitoring the execution of binaries across the system to attribute behavior to specific files.
Distinct from System Binary Execution: Candidates focus on how to execute binaries or relocation, not the observability/tracking of binary executions.
Explore 2 awesome GitHub repositories matching operating systems & systems programming · Binary Execution Tracking. Refine with filters or upvote what's useful.
Tetragon ist ein auf eBPF basierendes Toolset für Laufzeitsicherheit und Observability, das für Linux- und Kubernetes-Umgebungen entwickelt wurde. Es fungiert als Security-Policy-Manager, Observability-Agent und Enforcement-Engine, die sich in Kernel-Funktionen und Tracepoints einklinkt, um Privilegieneskalationen, Container-Ausbrüche und unbefugte Systemaktivitäten zu erkennen. Das Projekt zeichnet sich durch seine Fähigkeit zur Echtzeit-Durchsetzung auf Kernel-Ebene aus, wodurch bösartige Prozesse synchron beendet oder Rückgabewerte von Funktionen noch vor Abschluss eines Systemaufrufs modifiziert werden können. Es bietet eine tiefe Kubernetes-Integration durch die Synchronisierung von Container-Identitäten und die direkte Zuordnung von Low-Level-Kernel-Ereignissen zu Pods und Namespaces. Die weiteren Funktionen umfassen eine umfassende Systemaufruf-Prüfung (Auditing), die Verfolgung von Netzwerkverbindungen und die Überwachung der Dateiintegrität. Das System unterstützt ein dynamisches Policy-Management und bietet Diagnosetools zur Überwachung der BPF-Performance und Ressourcennutzung. Das Deployment wird in Kubernetes-Clustern über Helm-Charts sowie durch eigenständige Container und native Betriebssystempakete unterstützt.
Monitors all binary executions across environments to attribute system behavior to specific binaries.
Santa ist ein binäres Autorisierungssystem für macOS, das entwickelt wurde, um zu kontrollieren und zu überwachen, welche Binärdateien basierend auf definierten Vertrauensregeln ausgeführt werden dürfen. Es fungiert als Software zur Anwendungs-Whitelisting, die die Ausführung nicht autorisierter Programme verhindert, indem sie diese gegen kryptografische Hashes und Signaturzertifikate prüft. Das System bietet Ausführungsüberwachung, indem es jedes Binärstart-Ereignis aufzeichnet, um einen sichtbaren Software-Ausführungspfad zu erstellen. Es ermöglicht zentralisiertes Audit-Logging, um erfolgreiche und abgelehnte Anwendungsstarts über mehrere Geräte hinweg zu verfolgen und die Compliance von Unternehmensgeräten durch synchronisierte Regeln und Logs sicherzustellen. Die Steuerung erfolgt über ein Regelsystem, das kryptografische Prüfsummen, digitale Signaturprüfung und Pfadabgleich mittels regulärer Ausdrücke nutzt. Das Framework beinhaltet eine Ausführungsabfangung auf Kernel-Ebene, um Binärdateien vor der Ausführung zu verifizieren, und unterhält eine lokale Datenbank zur Aufzeichnung von Aktivitäten und Audits.
Saves binary launch events and denied execution attempts into a database for security auditing and aggregation.