dtruss nicht auf ps auf OS X 10.11

Question

ich versuchte, was zu sehen SYSCALL ps verwendet die Befehlszeile eines Prozesses auf OS X 10.11 (El Capitan) zu bekommen, und lief in den folgenden Fehler:

# dtruss ps -p 43520 -o args 

dtrace: failed to execute ps: dtrace cannot control executables signed with restricted entitlements 

Googeln ergab den Vorschlag, dass eine Kopie von ps würde mir erlauben, dies zu umgehen, aber das hat nicht für mich funktioniert. Warum kann ich dtruss nicht mehr auf beliebigen Binärdateien ausführen, und gibt es irgendeine Möglichkeit für mich, das alte Verhalten wiederherzustellen?

Answer 1

Das Problem hat mit dem Codesignatur zu tun. Wenn Sie eine Kopie erstellen und sie dann mit Ihrer eigenen Identität (oder vermutlich einer Nicht-Apple-Identität) erneut signieren, wird dtrace an sie angeschlossen.

$ mkdir ~/temp 
$ cp /bin/ps ~/temp/ 
$ codesign -f -s `whoami` ~/temp/ps 
$ sudo dtruss ~/temp/ps -p 43520 -o args 

Answer 2

cannot control executables signed with restricted entitlements

Der Sicherheitsintegritätsschutz ('wurzellos') verhindert nun, dass Dtruss hier funktioniert.

können Sie disable it durch den Wiederherstellungsmodus starten, aber es sieht aus wie dtrace hat zwar unabhängig von dem Zustand der wurzellos blockiert worden, wie in den source code gesehen werden, wenn man für sucht „dtrace nicht kontrollieren können“.

Sie können auch aus den Kommentaren in pcreate sehen:

/* 
    * <rdar://problem/13969762>: 
    * If the process is signed with restricted entitlements, the libdtrace_dyld 
    * library will not be injected in the process. In this case we kill the 
    * process and report an error. 
    */