FireEye推出了一款Mac下系统监控工具Monitor

本文讲的是FireEye推出了一款Mac下系统监控工具Monitor作为病毒分析师或者系统程序员,拥有一套稳定的动态分析工具重要性不言而喻,这些工具让我们可以快速了解系统内运行的恶意软件功能或未记录的组件。

在Windows平台,微软收购的传奇软件套装Sysinternals里有一款工具Procmon可以做到,但Mac下并没有。在过去,大家会经常使用Mac系统内置的动态分析工具Dtrace,它非常高效和强大,只是需要编写D语言脚本才能玩转,颇有些麻烦。

FireEye旗下的创新和工程(ICE)应用研究团队在最近推出一款名为Monitor应用,专门用于监控macOS下的常见系统事件。Monitor可以监控以下事件类型:

使用命令行参数处理执行
文件创建(写数据)
文件重命名
网络活动
DNS请求和回复
动态库加载
TTY事件

Monitor使用内核扩展(kext)来监控系统活动,会重点捕获上下文相关数据。监控到的事件信息将全部输出到一个直观的滚动列表界面,并具备丰富的过滤、搜索功能。

举个例子,假设你想了解电脑上是否有与xkcd.com这个域名通信,启动监控(需ROOT权限),然后在搜索框输入xkcd就行,还可以按进程、文件、网络三种条件分别查看。

FireEye推出了一款Mac下系统监控工具Monitor




原文发布时间为:2017年4月1日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

上一篇:在Ubuntu 14.04中安装最新版Eclipse


下一篇:AlwaysOn Availability Groups]AG排查和监控指南