svc · unix #501
necp_open
Ouvre un descripteur de fichier Network Extension Control Policy pour enregistrer des politiques par flux.
Prototype
int necp_open(int flags);Retour: int
Arguments
| Name | Type | Dir | Description |
|---|---|---|---|
| flags | int | - |
Historique des versions
| XNU tag | macOS | # |
|---|---|---|
| xnu-3789.1.32 | macOS 10.12 Sierra | 501 |
| xnu-4570.1.46 | macOS 10.13 High Sierra | 501 |
| xnu-4903.221.2 | macOS 10.14 Mojave | 501 |
| xnu-6153.11.26 | macOS 10.15 Catalina | 501 |
| xnu-7195.50.7.100.1 | macOS 11.0 Big Sur | 501 |
| xnu-8019.41.5 | macOS 12.0 Monterey | 501 |
| xnu-8792.41.9 | macOS 13.0 Ventura | 501 |
| xnu-10002.1.13 | macOS 14.0 Sonoma | 501 |
| xnu-11215.1.10 | macOS 15.0 Sequoia | 501 |
| xnu-11417.101.15 | macOS 15.4 Sequoia | 501 |
| xnu-12377.1.9 | macOS 26.0 Tahoe | 501 |
| xnu-10002.41.9 | — | 501 |
| xnu-10002.61.3 | — | 501 |
| xnu-10002.81.5 | — | 501 |
| xnu-10063.101.15 | — | 501 |
| xnu-10063.121.3 | — | 501 |
| xnu-10063.141.1 | — | 501 |
| xnu-11215.41.3 | — | 501 |
| xnu-11215.61.5 | — | 501 |
| xnu-11215.81.4 | — | 501 |
| xnu-11417.121.6 | — | 501 |
| xnu-11417.140.69 | — | 501 |
| xnu-12377.101.15 | — | 501 |
| xnu-12377.41.6 | — | 501 |
| xnu-12377.61.12 | — | 501 |
| xnu-12377.81.4 | — | 501 |
| xnu-3789.21.4 | — | 501 |
| xnu-3789.31.2 | — | 501 |
| xnu-3789.41.3 | — | 501 |
| xnu-3789.51.2 | — | 501 |
| xnu-3789.60.24 | — | 501 |
| xnu-3789.70.16 | — | 501 |
| xnu-4570.20.62 | — | 501 |
| xnu-4570.31.3 | — | 501 |
| xnu-4570.41.2 | — | 501 |
| xnu-4570.51.1 | — | 501 |
| xnu-4570.61.1 | — | 501 |
| xnu-4570.71.2 | — | 501 |
| xnu-4903.231.4 | — | 501 |
| xnu-4903.241.1 | — | 501 |
| xnu-4903.270.47 | — | 501 |
| xnu-6153.101.6 | — | 501 |
| xnu-6153.121.1 | — | 501 |
| xnu-6153.141.1 | — | 501 |
| xnu-6153.41.3 | — | 501 |
| xnu-6153.61.1 | — | 501 |
| xnu-6153.81.5 | — | 501 |
| xnu-7195.101.1 | — | 501 |
| xnu-7195.121.3 | — | 501 |
| xnu-7195.141.2 | — | 501 |
| xnu-7195.60.75 | — | 501 |
| xnu-7195.81.3 | — | 501 |
| xnu-8019.61.5 | — | 501 |
| xnu-8019.80.24 | — | 501 |
| xnu-8020.101.4 | — | 501 |
| xnu-8020.121.3 | — | 501 |
| xnu-8020.140.41 | — | 501 |
| xnu-8792.61.2 | — | 501 |
| xnu-8792.81.2 | — | 501 |
| xnu-8796.101.5 | — | 501 |
| xnu-8796.121.2 | — | 501 |
| xnu-8796.141.3 | — | 501 |
Notes
NECP est le sous-système du noyau qui décide, pour chaque socket ou connexion Network.framework, quelle interface, tunnel VPN, filtre de contenu ou proxy s'applique. necp_open renvoie un fd de type /dev/necp qu'un processus entitlé (typiquement nehelper ou un fournisseur NetworkExtension) utilise pour pousser des règles de politique dans le noyau via necp_session_action. Le descripteur cantonne les politiques qu'il possède, de sorte que sa fermeture les supprime atomiquement.
Détection
Restreint aux binaires entitlés ; ES n'a pas d'événement. Cherchez des ouvertures par nehelper, neagent, configd et trustd dans les journaux d'audit de processus. Des appelants inhabituels sont un fort indicateur de compromission privilégiée.