在Mac OS X中获取进程创建通知

嗯，您的问题有点模糊。

我认为“当任何进程启动时得到通知”是指 fork 系统调用，而不是 execve。然而，我不知道是否可以通过任何官方API在 fork 时得到通知。

如果您感兴趣的是 execve，请看一下内核授权（kauth）API。

您可以在 KAUTH_SCOPE_VNODE 中注册并跟踪 KAUTH_VNODE_EXECUTE，以便在执行 execve() 之前收到通知（并且可能通过回调函数的返回值来拒绝其成功）；或者在 KAUTH_SCOPE_FILEOP 中注册并跟踪 KAUTH_FILEOP_EXEC，以便在执行 execve() 之后得到通知。

• 高效/事件驱动模型（es_new_client()）
• 细粒度事件类型订阅模型（例如，通过es_subscribe(), ES_EVENT_TYPE_NOTIFY_EXEC, ES_EVENT_TYPE_NOTIFY_FORK, ES_EVENT_TYPE_NOTIFY_EXIT）
• 丰富的事件上下文，包括pid、uid等等（例如，进程创建的事件消息（es_event_exec_t）包括一个es_process_t字段，其中包括可执行文件路径等进程详细信息）
• 可以基于源（父）进程对事件进行“静音”（掩码）（例如，es_mute_process()），以帮助处理信号与噪声和性能影响。

旧问题 - 但是 - 声称只有通过SYS_execve挂钩才能被通知的答案是不正确和危险的。首先，sysent表没有被导出（尽管可以认为它很容易被找到）。其次，您必须修补内存并确保它是可读写的。

在内核扩展中，更好的方法是使用MAC框架（即强制访问控制）。这在XNU源代码的/security分支中。MAC框架专门设计用于这种操作 - 即通过调用而非实际函数或地址覆盖来进行通知/挂钩。这也在一本名为“Mac OS X and iOS Internals”的书的第14章中详细说明。

https://www.synack.com/2015/11/17/monitoring-process-creation-via-the-kernel-part-i/

SYS_execve挂钩是唯一能在任何进程启动时通知的方式。 此外，你可以尝试使用DTrace和libdtrace来接收进程启动通知；我曾试过这种方式但没有成功。