KemonmacOS 内核监控框架

联合创作 · 2023-09-27 08:05

Kemon 是滴滴开源的一款用于 macOS 内核监控的前后回调框架。

什么是 Kemon ?

Kemon 框架可为任意系统内核函数扩展前、后过滤功能。简言之,在前回调接口中,第三方可为内核扩展输入参数过滤功能;在后回调接口中,第三方可为内核扩展返回数据过滤功能。

简言之,借助 Kemon 的强大功能,我们可以轻松实现 LPC 通信监控,MAC 策略过滤,内核驱动防火墙等。从攻击者的角度来看,这个框架可以帮助实现更强大的 Rootkit 。从防御的角度来看,Kemon 可以帮助构建更精细的监控功能。

开发团队还通过这个框架实现了一个内核模糊测试器,帮助找到了许多漏洞,例如:CVE-2017-7155,CVE-2017-7163,CVE-2017-13883等。

主要特性

Kemon 的功能包括:

  • 文件操作监控

  • 流程创建监控

  • 动态库和内核扩展监控

  • 网络流量监控

  • 强制访问控制(MAC)策略监控等

此外,Kemon 项目还可以为任意 macOS 内核函数扩展前后回调监控接口。

浏览 9
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

编辑 分享
举报