Surveiller comment et quand un processus accède aux fichiers avec opensnoop

Vous pouvez regarder ce que fait un processus avec votre système de fichiers en utilisant la commande opensnoop. Pour essayer cela, lancez le terminal, puis suivez pour apprendre à regarder par les applications, l'utilisation des fichiers, l'ID de processus, et plus encore.


Il y a deux façons de spécifier quelle application regarder, vous pouvez utiliser soit le nom du processus qui est évidemment plus facile, soit utiliser l'identifiant numérique des processus:

sudo opensnoop -n applicationName
Pour suivre Safari, nous utiliserions:

sudo opensnoop -n Safari

Ou vous pouvez utiliser l'ID du processus:
sudo opensnoop -p PID

Le PID est l'ID du processus, vous pouvez l'obtenir en utilisant la commande ps avec grep pour récupérer un identifiant de processus:
ps aux|grep iTunes

Ensuite, utilisez le PID résultant avec opensnoop:
sudo opensnoop -p 4621

De même, vous pouvez surveiller quels processus accèdent à un fichier spécifique avec la même commande:

sudo opensnoop -f filename

Par exemple, regardez ce qui accède à / etc / hosts
sudo opensnoop -f /etc/hosts

La commande opensnoop est beaucoup plus puissante que cela, mais ce sont deux façons puissantes mais faciles d'utiliser la commande. Nous avons déjà couvert ce problème avec le suivi de l'utilisation d'une application sous Mac OS X, mais nous avons une autre question à ce sujet, nous y voilà.

OpenSnoop est similaire à lsof, que nous avons déjà couvert lors de la recherche de logiciels espions sur votre Mac et lors de la visualisation de toutes les connexions Internet ouvertes sur votre Mac.