作为恶意软件分析师或安全研究人员,拥有强大的动态分析实用程序对于能够有效地识别恶意软件至关重要。FortiAppMonitor是Fortinet开发和发布的一款免费软件,旨在监控macOS上程序的行为。它使用户能够了解恶意软件功能并快速分析针对macOS的恶意软件的恶意行为。
其功能包括以下功能:
1.使用命令行参数和进程退出监视进程执行;
2.监视所有常见的文件系统事件,包括文件打开,读取,写入,删除和重命名操作;
3.监视IPv4和IPv6协议的网络活动,包括UDP,TCP,DNS查询和响应以及ICMP;
4.监视.dylib加载事件;
5.监控KEXT装载和卸载事件。
它还提供了细粒度的过滤器,以便用户可以为他们感兴趣的事件类型设置过滤器,以及强大的搜索功能,以便用户可以根据关键字快速搜索记录。用户还可以将所有记录保存为JSON格式文件。
此外,所有这些FortiAppMonitor功能都可通过易于导航的GUI设计进行访问。用户还可以使用快捷键“Command + C”将GUI屏幕上的一个特定记录复制到剪贴板。
该实用程序最初由FortiGuard Labs研究员Kai Lu在Black Hat USA 2018 Arsenal上进行了演示,题为“ 学习如何构建自己的实用程序来监控macOS上恶意软件的恶意行为 ”。在本演示中,Kai介绍了这种用于监控macOS内核中恶意软件恶意行为的高级解决方案。他还向与会者介绍了实施该实用程序的所有关键技术细节。对于对快速教程感兴趣的用户,您可以在此处下载他的演示幻灯片。
欢迎用户向[email protected]发送反馈或提交错误。
FortiAppMonitor截图:
图1. FortiAppMonitor应用程序的GUI
图3.File类别中的过滤器选项
图4.搜索功能
图5.将所有记录保存到JSON格式文件中
支持的OS版本:
macOS 10.11(OS X El Capitan)
macOS 10.12(macOS Sierra)
macOS 10.13(macOS High Sierra)
macOS 10.14(macOS Mojave,Beta)
最新版本:FortiAppMonitor.app 1.0.0
发布日期:2018年8月15日
文件大小:52.1 MB
SHA-1:6DDA29A5B96B5AB9AC64471B94600FFD8024398C
*本文作者:倒念