作為病毒分析師或者系統(tǒng)程序員，擁有一套穩(wěn)定的動(dòng)態(tài)分析工具重要性不言而喻，這些工具讓我們可以快速了解系統(tǒng)內(nèi)運(yùn)行的惡意軟件功能或未記錄的組件。在 Windows 平臺(tái)，微軟收購(gòu)的傳奇軟件套裝 Sysinternals 里有一款工具 Procmon 可以做到，但 Mac 下并沒(méi)有。在過(guò)去，大家會(huì)經(jīng)常使用 Mac 系統(tǒng)內(nèi)置的動(dòng)態(tài)分析工具 Dtrace，它非常高效和強(qiáng)大，只是需要編寫(xiě) D 語(yǔ)言腳本才能玩轉(zhuǎn)，頗有些麻煩。

FireEye 旗下的創(chuàng)新和工程（ICE）應(yīng)用研究團(tuán)隊(duì)在最近推出一款名為 Monitor 應(yīng)用，專(zhuān)門(mén)用于監(jiān)控 macOS 下的常見(jiàn)系統(tǒng)事件。Monitor 可以監(jiān)控以下事件類(lèi)型：

Monitor 使用內(nèi)核擴(kuò)展（kext）來(lái)監(jiān)控系統(tǒng)活動(dòng)，會(huì)重點(diǎn)捕獲上下文相關(guān)數(shù)據(jù)。監(jiān)控到的事件信息將全部輸出到一個(gè)直觀(guān)的滾動(dòng)列表界面，并具備豐富的過(guò)濾、搜索功能。

舉個(gè)例子，假設(shè)你想了解電腦上是否有與這個(gè)域名通信，啟動(dòng)監(jiān)控（需 ROOT 權(quán)限），然后在搜索框輸入 xkcd 就行，還可以按進(jìn)程、文件、網(wǎng)絡(luò)三種條件分別查看。

Monitor 現(xiàn)支持 macOS 10.11 及以上版本。

本文轉(zhuǎn)自簡(jiǎn)書(shū)：《FireEye推出了一款Mac下系統(tǒng)監(jiān)控工具M(jìn)onitor》