macOS: Programmausführung abfangen

Question

HAFTUNGSAUSSCHLUSS: Ich habe in der MacOS-Welt überhaupt keine Ahnung, aber ich würde Ihnen eine Möglichkeit zeigen, wie ich das unter GNU/Linux machen würde … vielleicht hilft es.

Hmmm ... ich hätte genau wie @dirkt geantwortet (also einen Wrapper namens , binaryder auf verweisen würde binary.real), aber:

Wenn der Benutzer Ihren Mechanismus kennt, kann er ihn binary.realdirekt starten.
Sie müssen diesen Mechanismus für jedes Programm duplizieren, das Sie „überwachen“ möchten.

Lassen Sie uns also woanders ein wenig graben ...

Das Kernelmodul

In der GNU/Linux-Welt müsste ich ein Kernelmodul schreiben, um mich an den Exec-Systemaufruf anzuhängen und die ACL nach Wunsch zu implementieren... aber das ist ein bisschen übertrieben. Es sieht so aus, als ob es möglich wäre, Kernelmodule für Mac OS zu entwickeln... Aber ich weiß nicht, ob Apple diese Art von Hack zulässt.

Der LD_PRELOAD Hack

Mit dem bekannten LD_PRELOADMechanismus (der zu sein scheintDYLD_INSERT_LIBRARIES auf deiner Welt), können Sie jede C-Funktion jeder Bibliothek Ihres Systems umschreiben. Sie müssen also einfach nur:

Schreiben Sie eine dynamische Bibliothek, die exec*() implementiert.
Implementieren Sie Ihre ACL.
Stellen Sie sicher, dass jede Benutzersitzung (grafische Sitzungen, Terminalsitzungen) mit Ihrer vorinstallierten Bibliothek gestartet wird, dank DYLD_INSERT_LIBRARIES)

Und voilà!

Answer 1

HAFTUNGSAUSSCHLUSS: Ich habe in der MacOS-Welt überhaupt keine Ahnung, aber ich würde Ihnen eine Möglichkeit zeigen, wie ich das unter GNU/Linux machen würde … vielleicht hilft es.

Hmmm ... ich hätte genau wie @dirkt geantwortet (also einen Wrapper namens , binaryder auf verweisen würde binary.real), aber:

Wenn der Benutzer Ihren Mechanismus kennt, kann er ihn binary.realdirekt starten.
Sie müssen diesen Mechanismus für jedes Programm duplizieren, das Sie „überwachen“ möchten.

Lassen Sie uns also woanders ein wenig graben ...

Das Kernelmodul

In der GNU/Linux-Welt müsste ich ein Kernelmodul schreiben, um mich an den Exec-Systemaufruf anzuhängen und die ACL nach Wunsch zu implementieren... aber das ist ein bisschen übertrieben. Es sieht so aus, als ob es möglich wäre, Kernelmodule für Mac OS zu entwickeln... Aber ich weiß nicht, ob Apple diese Art von Hack zulässt.

Der LD_PRELOAD Hack

Mit dem bekannten LD_PRELOADMechanismus (der zu sein scheintDYLD_INSERT_LIBRARIES auf deiner Welt), können Sie jede C-Funktion jeder Bibliothek Ihres Systems umschreiben. Sie müssen also einfach nur:

Schreiben Sie eine dynamische Bibliothek, die exec*() implementiert.
Implementieren Sie Ihre ACL.
Stellen Sie sicher, dass jede Benutzersitzung (grafische Sitzungen, Terminalsitzungen) mit Ihrer vorinstallierten Bibliothek gestartet wird, dank DYLD_INSERT_LIBRARIES)

Und voilà!

macOS: Programmausführung abfangen

Antwort1

Das Kernelmodul

Der LD_PRELOAD Hack

verwandte Informationen