FireEye推出了一款Mac下系統監控工具Monitor

作為病毒分析師或者系統程序員，擁有一套穩定的動態分析工具重要性不言而喻，這些工具讓我們可以快速了解系統內運行的惡意軟體功能或未記錄的組件。

在Windows平台，微軟收購的傳奇軟體套裝Sysinternals里有一款工具Procmon可以做到，但Mac下並沒有。在過去，大家會經常使用Mac系統內置的動態分析工具Dtrace，它非常高效和強大，只是需要編寫D語言腳本才能玩轉，頗有些麻煩。

FireEye旗下的創新和工程（ICE）應用研究團隊在最近推出一款名為Monitor應用，專門用於監控macOS下的常見系統事件。Monitor可以監控以下事件類型：

使用命令行參數處理執行文件創建（寫數據）文件重命名網路活動DNS請求和回復動態庫載入TTY事件

Monitor使用內核擴展（kext）來監控系統活動，會重點捕獲上下文相關數據。監控到的事件信息將全部輸出到一個直觀的滾動列表界面，並具備豐富的過濾、搜索功能。

舉個例子，假設你想了解電腦上是否有與http://xkcd.com這個域名通信，啟動監控（需ROOT許可權），然後在搜索框輸入xkcd就行，還可以按進程、文件、網路三種條件分別查看。

Monitor現官方支持macOS 10.11、10.12，感興趣的讀者可以戳我下載。

本文編譯自FireEye，如若轉載，請註明原文地址： FireEye推出了一款Mac下系統監控工具Monitor 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：