KemonmacOS 內(nèi)核監(jiān)控框架

Kemon 是滴滴開(kāi)源的一款用于 macOS 內(nèi)核監(jiān)控的前后回調(diào)框架。

什么是 Kemon ？

Kemon 框架可為任意系統(tǒng)內(nèi)核函數(shù)擴(kuò)展前、后過(guò)濾功能。簡(jiǎn)言之，在前回調(diào)接口中，第三方可為內(nèi)核擴(kuò)展輸入?yún)?shù)過(guò)濾功能；在后回調(diào)接口中，第三方可為內(nèi)核擴(kuò)展返回?cái)?shù)據(jù)過(guò)濾功能。

簡(jiǎn)言之，借助 Kemon 的強(qiáng)大功能，我們可以輕松實(shí)現(xiàn) LPC 通信監(jiān)控，MAC 策略過(guò)濾，內(nèi)核驅(qū)動(dòng)防火墻等。從攻擊者的角度來(lái)看，這個(gè)框架可以幫助實(shí)現(xiàn)更強(qiáng)大的 Rootkit 。從防御的角度來(lái)看，Kemon 可以幫助構(gòu)建更精細(xì)的監(jiān)控功能。

開(kāi)發(fā)團(tuán)隊(duì)還通過(guò)這個(gè)框架實(shí)現(xiàn)了一個(gè)內(nèi)核模糊測(cè)試器，幫助找到了許多漏洞，例如：CVE-2017-7155，CVE-2017-7163，CVE-2017-13883等。

主要特性

Kemon 的功能包括：

• 文件操作監(jiān)控

• 流程創(chuàng)建監(jiān)控

• 動(dòng)態(tài)庫(kù)和內(nèi)核擴(kuò)展監(jiān)控

• 網(wǎng)絡(luò)流量監(jiān)控

• 強(qiáng)制訪問(wèn)控制（MAC）策略監(jiān)控等

此外，Kemon 項(xiàng)目還可以為任意 macOS 內(nèi)核函數(shù)擴(kuò)展前后回調(diào)監(jiān)控接口。