KemonmacOS 内核监控框架

Kemon 是滴滴开源的一款用于 macOS 内核监控的前后回调框架。

什么是 Kemon ？

Kemon 框架可为任意系统内核函数扩展前、后过滤功能。简言之，在前回调接口中，第三方可为内核扩展输入参数过滤功能；在后回调接口中，第三方可为内核扩展返回数据过滤功能。

简言之，借助 Kemon 的强大功能，我们可以轻松实现 LPC 通信监控，MAC 策略过滤，内核驱动防火墙等。从攻击者的角度来看，这个框架可以帮助实现更强大的 Rootkit 。从防御的角度来看，Kemon 可以帮助构建更精细的监控功能。

开发团队还通过这个框架实现了一个内核模糊测试器，帮助找到了许多漏洞，例如：CVE-2017-7155，CVE-2017-7163，CVE-2017-13883等。

主要特性

Kemon 的功能包括：

• 文件操作监控

• 流程创建监控

• 动态库和内核扩展监控

• 网络流量监控

• 强制访问控制（MAC）策略监控等

此外，Kemon 项目还可以为任意 macOS 内核函数扩展前后回调监控接口。