Crescendo:适用于macOS的实时事件查看器(2020)
在2017年之前,研究人员无法轻松监控macOS上某个进程执行的操作,而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app,可在更高级别上收集macOS上的信息; 在一个简化的数据集,与类似的Dtrace。多年来,我创建了许多Monitor.app版本,并收到了用户的积极反馈。不过最近,用户注意到它不适用于macOS Catalina(10.15)…
最初,需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是,内核扩展以特权模式运行,而特权模式几乎无法防范可能导致系统不稳定的软件错误。这意味着仅在绝对必要时才应使用内核扩展。微软和苹果已经开始为工程师提供更多的用户领域替代方案,以完成以前编写内核代码所需的工作。
在Catalina,Apple发布了Endpoint Security Framework(ESF),以提供一种健壮且(更重要的)更安全的方式来访问内部操作系统工件。作为安全人员,当应用程序必须附带内核扩展才能完成工作时,我不是一个超级拥护者,我认为这是朝着正确方向迈出的一步。在即将发布的10.15.4中,Apple现在将在加载使用一组不推荐使用的内核编程接口(KPI)的内核扩展时弹出警告。
现在似乎是尝试使用Endpoint Security Framework的好时机。另外,什么工程师不喜欢学习新语言,那么为什么不还用Swift编写全部语言呢?
渐强介绍
Crescendo是适用于macOS的实时事件查看器,它使用ESF显示进程执行和派生,文件事件,共享安装事件,内核扩展负载和IPC事件数据。ESF提供了大量数据,但目的只是挑出分析人员在分析恶意软件或试图了解流程(或组件)如何工作时可能感兴趣的内容。数据量适中,不会给用户带来麻烦。
以下是Crescendo的一些功能:
使用Endpoint Security Framework的系统扩展
实时事件查看器和事件详细信息查看器
通过进程,PID,用户名或事件类型搜索事件的轻松过滤
筛选未签名的应用程序与Apple签名的应用程序
能够将所有事件导出到JSON
执行未签名的应用程序时的上下文突出显示
苹果增加了一些额外的安全功能,这些功能需要一些额外的设置才能启用Crescendo的系统扩展。头部到的入门自述部分上手。我希望这种不便之处将在以后的版本中解决。
哦,还有一件事…
Crescendo将根据MIT许可以开源形式发布!它由一个现成的框架组成,该框架将ESF与Swift接口包装在一起,消除了一些细微差别,并为事件数据提供了简单的回调。这样,其他开发人员就不必了解Endpoint Security Framework的所有内部细节。请注意,如果您想在自己的应用程序中使用该框架,则必须从Apple获得权利。
缺少您想看到的功能吗?提交请求请求!
前往Crescendo Github了解更多信息并下载最新版本。
https://github.com/SuprHackerSteve/Crescendo
Crescendo:适用于macOS的实时事件查看器(2020)相关推荐
- Windows 事件查看器(收集)
事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在"控制面板→管理工具"中找到"事件查看 ...
- 如何在 Windows XP 的事件查看器中查看和管理事件日志
事件查看器 在 Windows XP 中,事件是在系统或程序中发生的.要求通知用户的任何重要事情,或者是添加到日志中的项.事件日志服务在事件查看器中记录应用程序.安全和系统事件.通过 使用事件查看器中 ...
- 巧用事件查看器维护服务器安全
巧用事件查看器维护服务器安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" ...
- 事件查看器ID 1041
事件查看器ID 1041 事件类型: 错误 事件来源: Userenv 事件种类: 无 事件 ID: 1041 日期: 2010-3-14 事件: 15:48:04 用户: NT AUTHORI ...
- 系统安全运维 Server 2008 R2 事件查看器实现日志分析
<系统安全运维> Server 2008 R2 事件查看器实现日志分析 在 windows server 2008 R2 中,可以通过点击 "开始" -> &q ...
- 事件查看器 无法完成应用程序上的操作,接口未知
事件查看器 无法完成"应用程序"上的操作,接口未知 问题描述: 打开事件查看器: 点击"应用程序",报错:无法完成"应用程序"上的操作,接口 ...
- sql server (mssqlserver)无法启动,事件查看器提示SQL Server 无法生成 FRunCM 线程
SQL Server服务无法启动时,时常会遇到以下提示: 本地计算机上的MSSQLSERVER服务启动后又停止了.一些服务自动停止,如果它们没有什么可做的,例如"性能日志和警报"服 ...
- 使用windows的事件查看器(eventvwr),查看、电脑执行过的你不知道的操作・开机・关机时间
■前言 今天单位电脑开机之后,Chrome浏览器突然消失了. 通过事件查看器发现,开机系统启动了一个power的程序, (在[事件查看器] ⇒[应用程序和服务日志] ⇒ [windows powers ...
- 服务器事件查看器根据登录id如何查找信息,Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID...
概述 在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选.常见的日志有: 4634 - 帐户被注销 4647 - 用户发起注销 4624 - 帐户已成功登录(可以查看 ...
最新文章
- Java 注解 --很有趣的一篇文章
- 难忘昨夜,同事升职,崇文门乐盛k歌,真心有感
- how to execute tcode during startup
- iOS中下载大型文件的原理解析二
- python决策树的应用_机器学习-决策树实战应用
- 全数字实时仿真平台SkyEye和同步数据流语义与翻译正确性验证
- Jeecg-Boot导入附件异常解决
- Linux的目录结构与磁盘分区
- c语言运行k值不变,C语言期末复习(改完).doc
- Vue 组件 data为什么是函数
- 代码文档生成工具-Doxygen生成CHM和RTF图文教程
- mysql generator 命令_Mybatis使用命令生成逆向工程的方法
- java面试项目介绍,详细说明
- Linux 部署turnserver
- ISO文件编辑工具-UltraISO软碟通提供下载
- 动手安装centOS6
- IT自学网有视频教程
- EventBus Vuex?
- VVC/VTM:帧间预测——Combined inter and intra prediction (CIIP)
- css-filter属性-融合效果-1.1