Ответ 1
Разработчик здесь.
Он использует kext, чтобы поймать соединения. Основная идея - установить фильтр сокетов, который вызывается всякий раз, когда есть сетевое событие. Затем kext захватит и сохранит всю необходимую информацию и передаст его через сокет управления ядра клиенту userland.
Здесь Apple замечательно рассказывает о создании расширения сетевого ядра. http://developer.apple.com/library/mac/#documentation/Darwin/Conceptual/NKEConceptual/intro/intro.html
Почти все, что относится к Private Eye.