Отслеживайте, как и когда процесс получает доступ к файлам с помощью opensnoop

Терминал в OS X

Вы можете наблюдать за тем, что процесс делает с вашей файловой системой, используя команду opensnoop. Чтобы попробовать это, запустите Терминал, а затем следуйте инструкциям, чтобы узнать, как смотреть по приложениям, использованию файлов, идентификатору процесса и т. Д.


Есть два способа указать, какое приложение смотреть, вы можете использовать либо имя процесса, что очевидно проще, либо использовать числовой идентификатор процесса:

sudo opensnoop -n applicationName
Чтобы отслеживать Safari, мы будем использовать:

sudo opensnoop -n Safari

Или вы можете использовать идентификатор процесса:
sudo opensnoop -p PID

PID — это идентификатор процесса, вы можете получить его, используя команду ps с grep, чтобы получить идентификатор процесса:
ps aux|grep iTunes

Затем используйте полученный PID с помощью opensnoop:
sudo opensnoop -p 4621

Точно так же вы можете отслеживать, какие процессы обращаются к определенному файлу с помощью той же команды:

sudo opensnoop -f filename

Например, посмотрите, что обращается к / etc / hosts
sudo opensnoop -f /etc/hosts

Команда opensnoop гораздо мощнее этой, но это два мощных, но простых способа ее использования. На самом деле мы уже рассмотрели это ранее, отслеживая использование приложений в Mac OS X, но у нас возник еще один вопрос по этому поводу, так что мы здесь.

OpenSnoop похож на lsof, который мы рассмотрели ранее при проверке шпионского ПО на вашем Mac и при просмотре всех открытых интернет-соединений на вашем Mac.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *