Crescendo

Crescendo 是一款适用于 macOS 的实时事件查看器，利用 Endpoint Security Framework（ESF）展示进程执行与分叉、文件事件、共享卷挂载事件、内核扩展加载以及 IPC 事件数据。ESF 提供了大量数据，但其设计目标是仅提取分析恶意软件或理解某个进程（或组件）工作原理时分析师真正关心的信息——恰到好处的数据量，而非向用户灌输海量事件。

功能特性

• 使用系统扩展的端点安全框架
• 实时事件查看器及事件详情查看器
• 支持按进程、PID、用户名或事件类型快速搜索以过滤事件
• 区分未签名应用与苹果签名应用的过滤功能
• 可将所有事件导出为 JSON 格式
• 执行未签名应用时进行上下文高亮

苹果新增了一些额外的安全特性，需额外配置才能启用 Crescendo 的系统扩展。请前往 README 文件中的“入门”部分开始设置。希望未来版本能解决这一不便。