Existe uma maneira de registrar todos os arquivos que estão sendo modificados?
A situação é que eu quero investigar um programa suspeito. Então eu inicio o registro, executo o programa e depois saio do registro e passo pela lista de arquivos.
Estou usando esse snippet do dtrace, mas também inclui leituras:
dtrace -n 'syscall::open*:entry { printf("%s %s",execname,copyinstr(arg0)); }'
Seria bastante útil ter uma lista apenas dos arquivos que foram modificados.
Tags filesystems macos