Macos 检测从内核扩展复制文件_Macos_Kernel_Authorization_Kernel Extension_Xnu

Macos 检测从内核扩展复制文件

macos kernel

Macos 检测从内核扩展复制文件,macos,kernel,authorization,kernel-extension,xnu,Macos,Kernel,Authorization,Kernel Extension,Xnu,我正在尝试构建POC，该POC使用fileop范围回调从基于kauth的内核扩展中识别文件复制活动然而，复制文件似乎涉及两个独立的身份验证操作（从打开src文件和创建新文件）我的目标很简单，在新的目标文件充满数据后检测它的创建，而不考虑源文件的性质（因此我将能够读取它以进行进一步分析）根据我的观察，可以通过监视目标文件上的最后一个操作来实现这一点，即KAUTH\u FILEOP\u CLOSE。但是，仅此操作可能会导致很多其他情况，例如读取后关闭文件，我只关心文件是否有新数据我希望得到另

我正在尝试构建POC，该POC使用fileop范围回调从基于kauth的内核扩展中识别文件复制活动

然而，复制文件似乎涉及两个独立的身份验证操作（从打开src文件和创建新文件）

我的目标很简单，在新的目标文件充满数据后检测它的创建，而不考虑源文件的性质（因此我将能够读取它以进行进一步分析）

根据我的观察，可以通过监视目标文件上的最后一个操作来实现这一点，即

KAUTH\u FILEOP\u CLOSE

。但是，仅此操作可能会导致很多其他情况，例如读取后关闭文件，我只关心文件是否有新数据

我希望得到另外的

KAUTH_FILEOP_CLOSE_MODIFIED

标志，除非目标文件是新文件（而不是复制到现有文件），否则它不在那里

也许这是Kauth的另一个错误。在新文件充满数据后如何检测它，还有其他想法吗

谢谢