Articles

Plongées dans les entrailles de XNU, le traçage des appels système et la recherche en sécurité macOS.

Détecter l'abus de syscalls avec macOS Endpoint Security en 2026

Correspondance pratique entre les syscalls macOS et les événements Endpoint Security pour la détection en EDR moderne.

29/05/2026

task_for_pid : le Mach trap le plus dangereux de macOS

Comment task_for_pid fonctionne, pourquoi Apple le verrouille, et ce que son modèle d'entitlements implique pour les outils de sécurité macOS.

28/05/2026

machtask_for_pidsecuriteinjection-code

Tracer les syscalls macOS avec dtrace sur Apple Silicon

Guide pratique pour tracer syscalls BSD et Mach traps avec DTrace sur macOS moderne — prérequis SIP, scripts qui marchent, et que faire quand les probes Apple disparaissent.

27/05/2026

dtracemacossyscallstracing

Mach traps vs syscalls BSD : deux noyaux dans un seul Mac

XNU mélange un micro-noyau Mach 3 et une personnalité BSD : à quoi sert chaque famille de syscalls et comment elles diffèrent en pratique.

26/05/2026

xnumachbsdnoyau

Comment fonctionnent les appels système macOS en 2026

Ce qui se passe vraiment quand un programme arm64 sur Mac émet une instruction SVC — du stub utilisateur jusqu'au dispatcher BSD, et retour.

25/05/2026

macosxnusyscallsarm64