Crescendo é um visualizador de eventos em tempo real para macOS que usa o ESF para mostrar execuções de processo e garfos, eventos de arquivo, eventos de montagem de ações, cargas de extensão do kernel e dados de eventos IPC. O ESF fornece uma grande quantidade de dados, mas o objetivo era apenas escolher as coisas que os analistas estariam interessados em analisar um pedaço de malware ou tentar entender como um processo (ou componente) funciona. Apenas a quantidade certa de dados sem ser um fogo de eventos para o usuário. Características - Extensão do sistema usando Endpoint Security Framework - Visualizador de eventos em tempo real e espectador de detalhes de eventos - Procurar fácil filtragem de eventos por processo, PID, nome de usuário ou tipo de evento - Filtros para aplicativos não assinados vs aplicativos assinados com maçã - Capacidade de exportar todos os eventos para JSON - Destaque de contexto quando aplicativos não assinados são executados A Apple adicionou alguns recursos de segurança extra que exigem alguma configuração extra para permitir a extensão do sistema do Crescendo. Vá até a seção Começar no README para começar. Espero que este inconveniente seja corrigido em versões futuras.