ตรวจสอบวิธีการและเมื่อกระบวนการเข้าถึงไฟล์ด้วย opensnoop

คุณสามารถดูสิ่งที่กระบวนการทำกับระบบแฟ้มของคุณโดยใช้คำสั่ง opensnoop ในการทดลองใช้งานนี้ให้เปิดเทอร์มินัลแล้วปฏิบัติตามเพื่อเรียนรู้วิธีดูจากแอปพลิเคชันการใช้ไฟล์รหัสกระบวนการและอื่น ๆ

มีสองวิธีในการระบุแอ็พพลิเคชันที่จะดูคุณสามารถใช้ชื่อกระบวนการซึ่งเห็นได้ชัดขึ้นง่ายหรือใช้กระบวนการตัวเลข id:

sudo opensnoop -n applicationName
ในการติดตาม Safari เราจะใช้:

sudo opensnoop -n Safari

หรือคุณสามารถใช้กระบวนการ ID:
sudo opensnoop -p PID

PID คือ ID กระบวนการคุณสามารถเรียกใช้งานได้โดยใช้คำสั่ง ps กับ grep เพื่อดึง id กระบวนการ:
ps aux|grep iTunes

จากนั้นใช้ PID ที่เกิดกับ opensnoop:
sudo opensnoop -p 4621

ในทำนองเดียวกันคุณสามารถตรวจสอบสิ่งที่กระบวนการกำลังเข้าถึงไฟล์ที่ระบุโดยใช้คำสั่งเดียวกัน:

sudo opensnoop -f filename

ตัวอย่างเช่นดูสิ่งที่กำลังเข้าถึง / etc / hosts
sudo opensnoop -f /etc/hosts

คำสั่ง opensnoop มีประสิทธิภาพมากกว่านี้ แต่เป็นสองวิธีที่มีประสิทธิภาพและง่ายในการใช้คำสั่ง เราได้กล่าวถึงเรื่องนี้ก่อนหน้านี้ด้วยการติดตามการใช้แอพพลิเคชันใน Mac OS X แต่เรามีคำถามอีกเรื่องในเรื่องนี้

OpenSnoop คล้ายกับ lsof ซึ่งเราได้กล่าวมาก่อนหน้านี้เมื่อตรวจสอบสปายแวร์ในเครื่อง Mac ของคุณและเมื่อดูการเชื่อมต่ออินเทอร์เน็ตทั้งหมดบน Mac ของคุณ