在2017年之前,研究人员无法轻松监控macOS上某个进程执行的操作,而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app,可在更高级别上收集macOS上的信息; 在一个简化的数据集,与类似的Dtrace。多年来,我创建了许多Monitor.app版本,并收到了用户的积极反馈。不过最近,用户注意到它不适用于macOS Catalina(10.15)…
最初,需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是,内核扩展以特权模式运行,而特权模式几乎无法防范可能导致系统不稳定的软件错误。这意味着仅在绝对必要时才应使用内核扩展。微软和苹果已经开始为工程师提供更多的用户领域替代方案,以完成以前编写内核代码所需的工作。
在Catalina,Apple发布了Endpoint Security Framework(ESF),以提供一种健壮且(更重要的)更安全的方式来访问内部操作系统工件。作为安全人员,当应用程序必须附带内核扩展才能完成工作时,我不是一个超级拥护者,我认为这是朝着正确方向迈出的一步。在即将发布的10.15.4中,Apple现在将在加载使用一组不推荐使用的内核编程接口(KPI)的内核扩展时弹出警告。
现在似乎是尝试使用Endpoint Security Framework的好时机。另外,什么工程师不喜欢学习新语言,那么为什么不还用Swift编写全部语言呢?
渐强介绍
Crescendo是适用于macOS的实时事件查看器,它使用ESF显示进程执行和派生,文件事件,共享安装事件,内核扩展负载和IPC事件数据。ESF提供了大量数据,但目的只是挑出分析人员在分析恶意软件或试图了解流程(或组件)如何工作时可能感兴趣的内容。数据量适中,不会给用户带来麻烦。
以下是Crescendo的一些功能:
使用Endpoint Security Framework的系统扩展
实时事件查看器和事件详细信息查看器
通过进程,PID,用户名或事件类型搜索事件的轻松过滤
筛选未签名的应用程序与Apple签名的应用程序
能够将所有事件导出到JSON
执行未签名的应用程序时的上下文突出显示
苹果增加了一些额外的安全功能,这些功能需要一些额外的设置才能启用Crescendo的系统扩展。头部到的入门自述部分上手。我希望这种不便之处将在以后的版本中解决。
哦,还有一件事…
Crescendo将根据MIT许可以开源形式发布!它由一个现成的框架组成,该框架将ESF与Swift接口包装在一起,消除了一些细微差别,并为事件数据提供了简单的回调。这样,其他开发人员就不必了解Endpoint Security Framework的所有内部细节。请注意,如果您想在自己的应用程序中使用该框架,则必须从Apple获得权利。
缺少您想看到的功能吗?提交请求请求!
前往Crescendo Github了解更多信息并下载最新版本。
https://github.com/SuprHackerSteve/Crescendo
465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
