在2017年之前,研究人员无法轻松监控macOS上某个进程执行的操作,而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app,可在更高级别上收集macOS上的信息; 在一个简化的数据集,与类似的Dtrace。多年来,我创建了许多Monitor.app版本,并收到了用户的积极反馈。不过最近,用户注意到它不适用于macOS Catalina(10.15)…

最初,需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是,内核扩展以特权模式运行,而特权模式几乎无法防范可能导致系统不稳定的软件错误。这意味着仅在绝对必要时才应使用内核扩展。微软和苹果已经开始为工程师提供更多的用户领域替代方案,以完成以前编写内核代码所需的工作。

在Catalina,Apple发布了Endpoint Security Framework(ESF),以提供一种健壮且(更重要的)更安全的方式来访问内部操作系统工件。作为安全人员,当应用程序必须附带内核扩展才能完成工作时,我不是一个超级拥护者,我认为这是朝着正确方向迈出的一步。在即将发布的10.15.4中,Apple现在将在加载使用一组不推荐使用的内核编程接口(KPI)的内核扩展时弹出警告。

现在似乎是尝试使用Endpoint Security Framework的好时机。另外,什么工程师不喜欢学习新语言,那么为什么不还用Swift编写全部语言呢?

渐强介绍
Crescendo是适用于macOS的实时事件查看器,它使用ESF显示进程执行和派生,文件事件,共享安装事件,内核扩展负载和IPC事件数据。ESF提供了大量数据,但目的只是挑出分析人员在分析恶意软件或试图了解流程(或组件)如何工作时可能感兴趣的内容。数据量适中,不会给用户带来麻烦。

以下是Crescendo的一些功能:

使用Endpoint Security Framework的系统扩展
实时事件查看器和事件详细信息查看器
通过进程,PID,用户名或事件类型搜索事件的轻松过滤
筛选未签名的应用程序与Apple签名的应用程序
能够将所有事件导出到JSON
执行未签名的应用程序时的上下文突出显示
苹果增加了一些额外的安全功能,这些功能需要一些额外的设置才能启用Crescendo的系统扩展。头部到的入门自述部分上手。我希望这种不便之处将在以后的版本中解决。

哦,还有一件事…
Crescendo将根据MIT许可以开源形式发布!它由一个现成的框架组成,该框架将ESF与Swift接口包装在一起,消除了一些细微差别,并为事件数据提供了简单的回调。这样,其他开发人员就不必了解Endpoint Security Framework的所有内部细节。请注意,如果您想在自己的应用程序中使用该框架,则必须从Apple获得权利。

缺少您想看到的功能吗?提交请求请求!

前往Crescendo Github了解更多信息并下载最新版本。
https://github.com/SuprHackerSteve/Crescendo

Crescendo:适用于macOS的实时事件查看器(2020)相关推荐

  1. Windows 事件查看器(收集)

    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在"控制面板→管理工具"中找到"事件查看 ...

  2. 如何在 Windows XP 的事件查看器中查看和管理事件日志

    事件查看器 在 Windows XP 中,事件是在系统或程序中发生的.要求通知用户的任何重要事情,或者是添加到日志中的项.事件日志服务在事件查看器中记录应用程序.安全和系统事件.通过 使用事件查看器中 ...

  3. 巧用事件查看器维护服务器安全

    巧用事件查看器维护服务器安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...

  4. 事件查看器ID 1041

    事件查看器ID 1041 事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1041 日期:  2010-3-14 事件:  15:48:04 用户:  NT AUTHORI ...

  5. 系统安全运维 Server 2008 R2 事件查看器实现日志分析

    <系统安全运维>  Server 2008 R2 事件查看器实现日志分析 在 windows server 2008 R2 中,可以通过点击 "开始" -> &q ...

  6. 事件查看器 无法完成应用程序上的操作,接口未知

    事件查看器 无法完成"应用程序"上的操作,接口未知 问题描述: 打开事件查看器: 点击"应用程序",报错:无法完成"应用程序"上的操作,接口 ...

  7. sql server (mssqlserver)无法启动,事件查看器提示SQL Server 无法生成 FRunCM 线程

    SQL Server服务无法启动时,时常会遇到以下提示: 本地计算机上的MSSQLSERVER服务启动后又停止了.一些服务自动停止,如果它们没有什么可做的,例如"性能日志和警报"服 ...

  8. 使用windows的事件查看器(eventvwr),查看、电脑执行过的你不知道的操作・开机・关机时间

    ■前言 今天单位电脑开机之后,Chrome浏览器突然消失了. 通过事件查看器发现,开机系统启动了一个power的程序, (在[事件查看器] ⇒[应用程序和服务日志] ⇒ [windows powers ...

  9. 服务器事件查看器根据登录id如何查找信息,Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID...

    概述 在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选.常见的日志有: 4634 - 帐户被注销 4647 - 用户发起注销 4624 - 帐户已成功登录(可以查看 ...

最新文章

  1. Java 注解 --很有趣的一篇文章
  2. 难忘昨夜,同事升职,崇文门乐盛k歌,真心有感
  3. how to execute tcode during startup
  4. iOS中下载大型文件的原理解析二
  5. python决策树的应用_机器学习-决策树实战应用
  6. 全数字实时仿真平台SkyEye和同步数据流语义与翻译正确性验证
  7. Jeecg-Boot导入附件异常解决
  8. Linux的目录结构与磁盘分区
  9. c语言运行k值不变,C语言期末复习(改完).doc
  10. Vue 组件 data为什么是函数
  11. 代码文档生成工具-Doxygen生成CHM和RTF图文教程
  12. mysql generator 命令_Mybatis使用命令生成逆向工程的方法
  13. java面试项目介绍,详细说明
  14. Linux 部署turnserver
  15. ISO文件编辑工具-UltraISO软碟通提供下载
  16. 动手安装centOS6
  17. IT自学网有视频教程
  18. EventBus Vuex?
  19. VVC/VTM:帧间预测——Combined inter and intra prediction (CIIP)
  20. css-filter属性-融合效果-1.1

热门文章

  1. 华为鸿蒙系统智能家居产品大全,华为鸿蒙系统应用于智能家居产品中,有何卖点...
  2. _Nullable等的用法和总结
  3. 约束的4种状态以及immediate、deferred
  4. 内网如何架设传奇世界私服 (包含传送,脚本教程,专用怪物,不定期更新)...
  5. 基础-03-初级日语句子的骨架——四大基本日语句型
  6. 趣文:如果老婆和女朋友她们是程序
  7. 此对象非彼对象(面向对象)1
  8. SEO发布外链的技巧
  9. Deepin 微信经常出现假死问题解决办法。
  10. OleDbDataAdapter说明