FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

关于FSMON

FSMON是一款多平台文件系统安全监控工具，该工具可以帮助广大研究人员在 Linux、Android、iOS 和 macOS 上实现文件系统安全监控。

支持的操作系统平台

Linux

Android

iOS

macOS

工具安装

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/nowsecure/fsmon.git

代码汇编

FSMON是一款便携式工具。它适用于 iOS、OSX、Linux 和 Android (x86、arm、arm64、mips)。

Linux

$ make

OSX + iOS fatbin

$ make

iOS

$ make ios

Android

$ make android NDK_ARCH=<ARCH> ANDROID_API=<API>

要在系统范围内安装 fsmon，只需输入：

$ make install

更改安装路径：

$ make install PREFIX=/usr DESTDIR=/

工具使用

该工具从特定目录检索文件系统事件并以彩色格式或 JSON 显示它们，并支持过滤从特定程序名称或进程 ID（PID）发生的事件。

下列命令可以查看该工具的帮助信息：

$ ./fsmon -h

Usage: ./fsmon-macos [-Jjc] [-a sec] [-b dir] [-B name] [-p pid] [-P proc] [path]

 -a [sec]  N秒后停止监测[秒]（报警）

 -b [dir]  将文件备份到dir文件夹（实验）

 -B [name] 指定一个替代后端

 -c        -p PID后续子进程

 -f        仅显示文件名（无路径）

 -h       显示此帮助

 -j        JSON格式的输出

 -J        JSON流格式输出

 -n        不使用颜色

 -L        列出所有文件监视器后端

 -p [pid]  仅显示来自此pid的事件

 -P [proc] 仅显示来自目标进程名称的事件

 -v        显示版本

 [path]    仅从该路径获取事件

后端

FSMON文件系统信息根据操作系统和可用的 API 从不同的后端获取。下列给出的事后端列表（fsmon -L）：

inotify（Linux / Android）

fanotify（linux > 2.6.36 / android 带有自定义内核）

devfsev（osx /dev/fsevents - 需要 root）

kqueue（xnu - 需要 root）

kdebug（bsd？，xnu - 需要 root）

fsevapi (osx 文件系统监视 api)

工具运行演示

fsmon /data

fsmon -J / | jq -r .filename

fsmon -B fanotify /home

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

FSMON：【GitHub传送门】

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022