假设：有一个“有漏洞”的程序（test_app），它可以获取目标系统的root权限。
现在，将它发送往目标机器，并远程启动它，在这个过程中：
1、从本地将test_app发送往目标机器的过程，防火墙是否可以进行拦截？
2、对于远程启动test_app，目标机器（假设系统是linux）是否可进行拦截？

我的理解：
对于1：防火墙是无法拦截test_app的，除非发送方的ip、域名或者使用的端口在防火墙的“黑名单”中。

对于2：这个是我最困惑的地方，因为如果linux可以对test_app的执行进行拦截，则可以：
1）将 test_app 的二进制代码与“病毒库”里的已有样本进行比较
2）将 test_app 放入“沙箱”进行模拟检测
3）弹出“是否执行”的对话框让用户自行选择

但是我找了很久，都没有找到可以“监控一个新建进程”的linux函数，我的意思是：

命令行> test_app（回车）

系统调用fork创建新进程，在转向执行（exec）新进程之前，可以进行跳转去一个linux函数，该函数是可以关联另一个我自己写的检查函数（里面包含上面1）、2）、3）的操作），即：

test_app-->fork-->"某个linux函数“ --> 我写的检查函数（包含1）、2）、3））--> 检查通过后执行test_app(exec)

[培训]科锐逆向工程师培训第53期2025年7月8日开班！