При исследовании любой программы среди прочего очень важно знать, как программа работает с файлами: какие и когда файлы создает, что пишет в файлы и так далее. Для ОС Windows в этом плане незаменимы инструменты типа procmon или API Monitor (да и функциональность их шире, чем мониторинг операций с файлами). Для мобильных ОС, таких как iOS, Android и Firefox OS, подобного инструмента долгое время не было, и нужно было писать собственные инструменты на основе Xposed, Cydia Substrate или Frida. Fsmon — это инструмент, извлекающий события, связанные с файловой системой, из определенной директории и представляющий их в консоли с цветовым оформлением или в формате JSON в файле. Программа сразу из коробки позволяет фильтровать события от определенных программ на основании имени или PID. Уникальность данного инструмента, как уже говорилось, в поддержке мобильных ОС, помимо десктопных OS X, Linux. Так, для Android поддерживаются архитектуры x86, ARM, ARM64, MIPS. Параметры команды достаточно просты: $ ./fsmon -h Usage: ./fsmon [-jc] [-a sec] [-b dir] [-p pid] [-P proc] [path] -a [sec] stop monitoring after N seconds (alarm) -b [dir] backup files to DIR folder (EXPERIMENTAL) -c follow children of -p PID -h show this help -j output in JSON format -f show only filename (no path) -p [pid] only show events from this pid -P [proc] events only from process name -v show version [path] only get events from this path Для установки потребуется предварительно скомпилировать инструмент из исходных кодов, детали смотри на странице проекта. ОС: iOS, OS X, Android, Firefox OS, Linux Ссылка: https://github.com/nowsecure/fsmon
