Überwachen Sie, wie und wann ein Prozess auf Dateien mit opensnoop zugreift

Sie können beobachten, was ein Prozess mit Ihrem Dateisystem tut, indem Sie den Befehl opensnoop verwenden. Um dies auszuprobieren, starten Sie das Terminal und folgen Sie den Anweisungen, um zu sehen, wie Sie nach Anwendungen, Dateiverwendung, Prozess-ID und mehr Ausschau halten.

Es gibt zwei Möglichkeiten, anzugeben, welche Anwendung überwacht werden soll. Sie können entweder den Prozessnamen verwenden, der offensichtlich einfacher ist, oder die nummerische ID der Prozesse verwenden:

sudo opensnoop -n applicationName
Um Safari zu verfolgen, verwenden wir:

sudo opensnoop -n Safari

Oder Sie können die Prozess-ID verwenden:
sudo opensnoop -p PID

Die PID ist die Prozess-ID, die Sie erhalten können, indem Sie den Befehl ps mit grep verwenden, um eine Prozess-ID zu erhalten:
ps aux|grep iTunes

Dann benutze die resultierende PID mit opensnoop:
sudo opensnoop -p 4621

Ebenso können Sie mit demselben Befehl überwachen, welche Prozesse auf eine bestimmte Datei zugreifen:

sudo opensnoop -f filename

Schauen Sie sich zum Beispiel an, was auf / etc / hosts zugreift
sudo opensnoop -f /etc/hosts

Der Befehl opensnoop ist viel mächtiger als dieser, aber dies sind zwei mächtige und dennoch einfache Möglichkeiten, den Befehl zu verwenden. Wir haben dies bereits behandelt, indem wir die Verwendung einer Anwendung in Mac OS X verfolgt haben, aber wir haben eine andere Frage zu diesem Thema, also sind wir hier.

OpenSnoop ähnelt lsof, was wir bereits bei der Suche nach Spyware auf Ihrem Mac und bei der Anzeige aller offenen Internetverbindungen auf Ihrem Mac behandelt haben.