Processo invisível do Unix OSX, como identifico mais informações?

3

Usando execsnoop -v, observo um erro do dtrace para dois processos. ID3 (ID 630) e ID2 (ID 360).

~ 03:59 am ∆:ps -p 260
PID TTY           TIME CMD
260 ??         0:02.36 /usr/libexec/UserEventAgent (Aqua)

~ 03:59 am ∆:ps -p 630
PID TTY           TIME CMD

~ 03:59 am ∆:sudo execsnoop -v
Password:

STRTIME                UID    PID   PPID ARGS
dtrace: error on enabled probe ID 2 (ID 260: syscall::execve:return): invalid >kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 3 (ID 630: syscall::posix_spawn:return): >invalid kernel access in action #8 at DIF offset 0
dtrace: error on enabled probe ID 2 (ID 260: syscall::execve:return): invalid >kernel access in action #8 at DIF offset 0
^C

~ 04:01 am ∆:ps -p 3
  PID TTY           TIME CMD

~ 04:01 am ∆:ps -p 2
  PID TTY           TIME CMD

Meu entendimento é que isso é gerado por um processo que mantém o dtrace ativo para esse processo.

Observo que os processos não aparecem na lista de comandos principal nem no Activity Monitor. Os dois processos se repetem com uma reinicialização completa e, portanto, são consistentes e eu presumo algum processo do OSX. Apenas confuso que eles não podem ser totalmente identificados.

Curioso para entender o que está acontecendo aqui.

    
por Cam_Aust 26.12.2016 / 17:19

0 respostas