KemonmacOS 内核监控框架
Kemon 是滴滴开源的一款用于 macOS 内核监控的前后回调框架。
什么是 Kemon ?
Kemon 框架可为任意系统内核函数扩展前、后过滤功能。简言之,在前回调接口中,第三方可为内核扩展输入参数过滤功能;在后回调接口中,第三方可为内核扩展返回数据过滤功能。
简言之,借助 Kemon 的强大功能,我们可以轻松实现 LPC 通信监控,MAC 策略过滤,内核驱动防火墙等。从攻击者的角度来看,这个框架可以帮助实现更强大的 Rootkit 。从防御的角度来看,Kemon 可以帮助构建更精细的监控功能。
开发团队还通过这个框架实现了一个内核模糊测试器,帮助找到了许多漏洞,例如:CVE-2017-7155,CVE-2017-7163,CVE-2017-13883等。
主要特性
Kemon 的功能包括:
文件操作监控
流程创建监控
动态库和内核扩展监控
网络流量监控
强制访问控制(MAC)策略监控等
此外,Kemon 项目还可以为任意 macOS 内核函数扩展前后回调监控接口。
评论