Monitor hoe en wanneer een proces toegang krijgt tot bestanden met opensnoop

Je kunt kijken wat een proces doet met je bestandssysteem door de opdracht opensnoop te gebruiken. Om dit uit te proberen, start u de Terminal en volgt u verder om te leren hoe u kunt bekijken op applicaties, bestandsgebruik, proces-ID en meer.

Er zijn twee manieren om aan te geven welke applicatie moet worden bekeken, u kunt de procesnaam gebruiken die duidelijk eenvoudiger is, of u kunt de numerieke id van processen gebruiken:

sudo opensnoop -n applicationName
Om Safari te volgen, gebruiken we:

sudo opensnoop -n Safari

Of u kunt de proces-ID gebruiken:
sudo opensnoop -p PID

De PID is de proces-ID, je kunt dit krijgen door de ps-opdracht met grep te gebruiken om een ​​processen-id te bemachtigen:
ps aux|grep iTunes

Gebruik dan de resulterende PID met opensnoop:
sudo opensnoop -p 4621

Op dezelfde manier kunt u controleren welke processen toegang hebben tot een specifiek bestand met dezelfde opdracht:

sudo opensnoop -f filename

Kijk bijvoorbeeld naar wat toegang tot / etc / hosts is
sudo opensnoop -f /etc/hosts

Het commando opensnoop is veel krachtiger dan dit, maar dit zijn twee krachtige maar eenvoudige manieren om het commando te gebruiken. We hebben dit eerder besproken met het bijhouden van het gebruik van applicaties in Mac OS X, maar we hebben nog een vraag over deze kwestie, dus hier zijn we.

OpenSnoop lijkt op lsof, wat we eerder hebben besproken bij het controleren op spyware op je Mac en bij het bekijken van alle open internetverbindingen op je Mac.