Overvåg hvordan og hvornår en proces får adgang til filer med opensnoop

Du kan se, hvad en proces gør med dit filsystem ved at bruge kommandoen opensnoop. For at prøve dette ud skal du starte Terminal og derefter følge med for at lære at se på applikationer, filanvendelse, proces ID og meget mere.


Der er to måder at angive, hvilken applikation der skal overvåges, du kan enten bruge procesnavnet, hvilket naturligvis er lettere, eller bruge processerne numerisk id:

sudo opensnoop -n applicationName
For at spore Safari skal vi bruge:

sudo opensnoop -n Safari

Eller du kan bruge proces-id'et:
sudo opensnoop -p PID

PID'en er proces-id'et, du kan få dette ved at bruge ps-kommandoen med grep for at få fat i processer id:
ps aux|grep iTunes

Brug derefter den resulterende PID med opensnoop:
sudo opensnoop -p 4621

På samme måde kan du overvåge, hvilke processer der har adgang til en bestemt fil med samme kommando:

sudo opensnoop -f filename

Se for eksempel, hvad der åbner / etc / hosts
sudo opensnoop -f /etc/hosts

Opennoop-kommandoen er meget kraftigere end dette, men det er to kraftige, men nemme måder at bruge kommandoen på. Vi har faktisk dækket dette før med sporing af applikationsbrug i Mac OS X, men vi fik et andet spørgsmål i sagen, så her er vi.

OpenSnoop ligner lsof, som vi tidligere har dækket, når du kontrollerer spyware på din Mac, og når du ser alle åbne internetforbindelser på din Mac.