FortiAppMonitor：用於監控macOS上的系統活動的強大工具

新聞 01-06

作為惡意軟體分析師或安全研究人員，擁有強大的動態分析實用程序對於能夠有效地識別惡意軟體至關重要。FortiAppMonitor是Fortinet開發和發布的一款免費軟體，旨在監控macOS上程序的行為。它使用戶能夠了解惡意軟體功能並快速分析針對macOS的惡意軟體的惡意行為。

其功能包括以下功能：

1.使用命令行參數和進程退出監視進程執行；

2.監視所有常見的文件系統事件，包括文件打開，讀取，寫入，刪除和重命名操作；

3.監視IPv4和IPv6協議的網路活動，包括UDP，TCP，DNS查詢和響應以及ICMP；

4.監視.dylib載入事件；

5.監控KEXT裝載和卸載事件。

它還提供了細粒度的過濾器，以便用戶可以為他們感興趣的事件類型設置過濾器，以及強大的搜索功能，以便用戶可以根據關鍵字快速搜索記錄。用戶還可以將所有記錄保存為JSON格式文件。

此外，所有這些FortiAppMonitor功能都可通過易於導航的GUI設計進行訪問。用戶還可以使用快捷鍵「Command + C」將GUI屏幕上的一個特定記錄複製到剪貼板。

該實用程序最初由FortiGuard Labs研究員Kai Lu在Black Hat USA 2018 Arsenal上進行了演示，題為「學習如何構建自己的實用程序來監控macOS上惡意軟體的惡意行為」。在本演示中，Kai介紹了這種用於監控macOS內核中惡意軟體惡意行為的高級解決方案。他還向與會者介紹了實施該實用程序的所有關鍵技術細節。對於對快速教程感興趣的用戶，您可以在此處下載他的演示幻燈片。

歡迎用戶向fortiappmon@fortinet.com發送反饋或提交錯誤。

FortiAppMonitor截圖：

圖1. FortiAppMonitor應用程序的GUI

圖2.「網路」類別中的過濾器選項