作为病毒分析师或者系统程序员,拥有一套稳定的动态分析工具重要性不言而喻,这些工具让我们可以快速了解系统内运行的恶意软件功能或未记录的组件。在 Windows 平台,微软收购的传奇软件套装 Sysinternals 里有一款工具 Procmon 可以做到,但 Mac 下并没有。在过去,大家会经常使用 Mac 系统内置的动态分析工具 Dtrace,它非常高效和强大,只是需要编写 D 语言脚本才能玩转,颇有些麻烦。
FireEye 旗下的创新和工程(ICE)应用研究团队在最近推出一款名为 Monitor 应用,专门用于监控 macOS 下的常见系统事件。Monitor 可以监控以下事件类型:
使用命令行参数处理执行文件创建(写数据)文件重命名网络活动DNS请求和回复动态库加载 TTY事件
Monitor 使用内核扩展(kext)来监控系统活动,会重点捕获上下文相关数据。监控到的事件信息将全部输出到一个直观的滚动列表界面,并具备丰富的过滤、搜索功能。
举个例子,假设你想了解电脑上是否有与这个域名通信,启动监控(需 ROOT 权限),然后在搜索框输入 xkcd 就行,还可以按进程、文件、网络三种条件分别查看。
Monitor 现支持 macOS 10.11 及以上版本。
本文转自简书:《FireEye推出了一款Mac下系统监控工具Monitor》
