在Mac上,可以使用fs_usage命令来跟踪程序对文件系统的访问操作,当系统没有提供API接口时,这种方法尤其有用。通过逆向工程分析其他应用,可以发现系统状态信息存储在路径如/Users/用户/Library/Preferences/com.apple.controlcenter.plist中。要读取这些信息,需要正确获取权限,通常默认只能访问沙盒路径。可以使用ps-ef命令查找进程ID,然后用fs_usage-ffilesys进程ID来实时监视文件系统访问记录。
Mac下如果我们想知道某个程序,对文件系统做了哪些访问,读写了哪些文件。就需要用到fs_usage命令,有些功能状态Mac中没有提供api接口去获取,但是在系统运行期间会在系统文件中写入状态,你通过读取解析这些文件的内容可以获取到你需要的状态数据,那么究竟这些内容藏在哪里呢,一条发现的渠道是使用逆向工程来剖析类似功能的应用,别人是如何去实现的功能,读写了哪些文件。
比如:/Users/用户/Library/Preferences/com.apple.controlcenter.plist 这里就藏了一些系统状态栏菜单项的显示状态和位置信息。当然读取它们是需要一些技巧的,你要正确的引导用户授权该路径的读写权限,毕竟默认你只能读写沙盒路径下的内容。
切换到Root身份
binzhu@bindeMacBook-Pro ~ % sudo su
Password:
sh-3.2#
查看进程ID
ps -ef | grep 应用名称
查询结果如下,其中17646就是进程ID
sh-3.2# ps -ef | grep Bartender
501 17646 1 0 3:24下午 ?? 0:14.13 /Applications/Bartender 4.app/Contents/MacOS/Bartender 4
0 18732 18268 0 3:53下午 ttys001 0:00.00 grep Bartender
你也可以在活动监视器内查看进程ID
实时监视进程对文件系统的访问记录
fs_usage -f filesys 17646
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
