回归最本质的信息安全

FireEye推出了一款Mac下系统监控工具Monitor

2017年4月1日发布

13,343
1
0

导语:Monitor可以监控macOS下的常见系统事件,包括使用命令行参数处理执行、文件创建(写数据)、文件重命名、网络活动、DNS请求和回复、动态库加载、TTY事件。

作为病毒分析师或者系统程序员,拥有一套稳定的动态分析工具重要性不言而喻,这些工具让我们可以快速了解系统内运行的恶意软件功能或未记录的组件。

在Windows平台,微软收购的传奇软件套装Sysinternals里有一款工具Procmon可以做到,但Mac下并没有。在过去,大家会经常使用Mac系统内置的动态分析工具Dtrace,它非常高效和强大,只是需要编写D语言脚本才能玩转,颇有些麻烦。

FireEye旗下的创新和工程(ICE)应用研究团队在最近推出一款名为Monitor应用,专门用于监控macOS下的常见系统事件。Monitor可以监控以下事件类型:

使用命令行参数处理执行
文件创建(写数据)
文件重命名
网络活动
DNS请求和回复
动态库加载
TTY事件

Monitor使用内核扩展(kext)来监控系统活动,会重点捕获上下文相关数据。监控到的事件信息将全部输出到一个直观的滚动列表界面,并具备丰富的过滤、搜索功能。

举个例子,假设你想了解电脑上是否有与xkcd.com这个域名通信,启动监控(需ROOT权限),然后在搜索框输入xkcd就行,还可以按进程、文件、网络三种条件分别查看。

Fig1.png

Monitor现官方支持macOS 10.11、10.12,感兴趣的读者可以戳我下载

本文编译自FireEye,如若转载,请注明原文地址: http://www.4hou.com/info/news/4083.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

临时工

发私信

发表评论

    高坂穗乃果
    高坂穗乃果 2017-04-01 18:23

    fireeye可能只是把以前不公开的公开化了