Overvåk hvordan og når en prosess åpner filer med opensnoop

Du kan se hva en prosess gjør med filsystemet ditt ved å bruke kommandoen opensnoop. For å prøve dette ut, start terminalen og følg deretter sammen for å lære å se på applikasjoner, filbruk, prosess-ID og mer.

Det er to måter å spesifisere hvilket program du skal se på, du kan enten bruke prosessnavnet som er åpenbart lettere, eller bruk prosessene numerisk ID:

sudo opensnoop -n applicationName
For å spore Safari, bruker vi:

sudo opensnoop -n Safari

Eller du kan bruke prosess-ID:
sudo opensnoop -p PID

PID er prosess-ID, du kan få dette ved å bruke ps-kommandoen med grep for å få tak i en prosess id:
ps aux|grep iTunes

Bruk deretter den resulterende PID med opensnoop:
sudo opensnoop -p 4621

På samme måte kan du overvåke hvilke prosesser som kommer til en bestemt fil med samme kommando:

sudo opensnoop -f filename

For eksempel, se hva som åpner / etc / hosts
sudo opensnoop -f /etc/hosts

Opennoop-kommandoen er mye kraftigere enn dette, men disse er to kraftige, men likevel enkle måter å bruke kommandoen på. Vi har faktisk dekket dette før med sporing av applikasjonsbruk i Mac OS X, men vi fikk et annet spørsmål i saken, så her er vi.

OpenSnoop ligner på lsof, som vi tidligere har dekket når du sjekker spionprogrammer på din Mac, og når du ser på alle åpne Internett-tilkoblinger på din Mac.