注册
登录
软件加固
如何获得有关在OS X上读取文件的通知?
返回
如何获得有关在OS X上读取文件的通知?
作者:
只怕再见是故人
发布时间:
2024-04-17 03:00:52 (2天前)
<p>我有一个可以在Windows上运行的软件。该软件包含两个组件:在内核模式下工作的文件系统微型过滤器驱动程序和与驱动程序对话的用户模式组件。驱动程序接收有关IO中断请求的通知,例如IRP_MJ_READ。可以在github上找到执行此操作的示例应用程序。这适用于Windows支持的任何用户和大多数文件系统。</p><p>我需要为OS X开发类似的软件(仅限台式机和服务器)。我看过的东西:</p><p>FSEvent<br/>内核队列<br/>系统调用表API挂钩/劫持<br/>探针<br/>幻想<br/>我的保留意见是:FSEvents的性能可能不是很高,因为我需要监视根/文件夹和任何已挂载的设备。我对内核队列和系统调用的了解非常有限,API劫持可能使移植到不同的OS X版本非常困难,并且可能导致与AV或OS保护(例如PaX强化)冲突。</p><p>问题:如何获得通知,/说明OS X上的任何用户都正在读取根目录下(递归)文件夹中的文件?</p>
收藏
举报
2 条回复
1#
回复此人
春风助手
|
2020-08-06 15-06
通过内核扩展,内核授权提供了File Operation Scope,使您可以监视KAUTH_FILEOP_OPEN所有vnode 的操作。 KAUTH_FILEOP_OPEN在访问所有文件之前将调用该操作,从而使您可以监视文件访问。 如果您想要更精细的操作,则VNode范围提供了更大的一组操作,包括KAUTH_VNODE_READ_DATA,但请注意,该范围可能非常嘈杂,可随时触发大量的操作。 在Singh的Mac OS X Internals中可以找到这种内核扩展的示例代码。
编辑
登录
后才能参与评论
