MacOS 如何处理恶意软件

已发表: 2019-02-28

一直声称 Mac 不受病毒影响。 好吧,实际上这是不可能的! 所有的设备都容易被感染,随着科技的进步,没有什么是不可能的!

MacOS 确实会被感染,然而,这也是 MacOS 带有针对恶意软件的内置保护的事实。 这些方法有时非常有效,但也可能无能。 在这篇文章中,我们将讨论 MacOS 功能如何防止恶意软件。

隔离

其中一项功能是隔离。 每当您通过 Internet 在 Mac 上下载应用程序时,它都会被标记为隔离区“标志”。 每当您尝试打开此类下载的文件时,您的 MacOS 都会运行一些检查。

验证应用程序后,MacOS 将显示一条消息,警告您正在访问从 Internet 下载的应用程序。 如果文件被屏蔽为另一种文件,您需要允许开始使用该文件。

当应用程序第一次启动时,隔离标志将被删除,其他检查也将被删除。

隔离区中的漏洞

尽管它们是应用程序可以在不被标记隔离标志的情况下进入硬盘驱动器的一些方式。

  • 洪流应用程序和下载器
  • 如果有人在移除隔离标志后将应用程序复制到另一台 Mac。
  • 允许在不经过合法下载方法的情况下形成文件的漏洞允许硬盘驱动器上的无标志应用程序

看门人

每当从 Internet 下载应用程序时,都会对其标记隔离标志。 第一项检查是应用程序的代码签名。 代码签名是检测应用程序开发人员的一段加密数据,可用于检查应用程序是否被干预。 它依赖于 Apple 的证书,该证书包含在 99 美元的开发者帐户中。

如果签名表明该应用程序被篡改或苹果提供的证书已被吊销,MacOS 将不会运行该应用程序。

GateKeeper 中的 LoopHoles

可悲的是,Gatekeeper 并不是一个完美的工具,并且由于上述原因,Quarantine 使它变得更弱。 由于没有对未隔离的应用程序进行 Gatekeeper 检查。

因此,如果您在系统上下载并安装了一个干净的应用程序,它就有可能在后台下载受感染的进程。 并且 Gatekeeper 将无法检查它的代码签名,因为它没有被隔离。

此外,如果安装在您 Mac 上的应用程序被证明是恶意应用程序并且 Apple 撤销了该应用程序的开发人员证书,则该应用程序将继续在您的 Mac 上运行,因为该应用程序已安装在您的 Mac 上。

此外,恶意软件可能会影响和修改 Mac 上的应用程序,使恶意软件很难被检测到。

另请阅读:恶意软件如何影响您的汽车?

XProtect

作为一项基本的反恶意软件功能,XProtect 也是 Mac 上保护工具的一部分。 此功能也连接到隔离区。 因此,您尝试打开的每个被隔离的应用程序都会通过 XProtect 运行。 仅当满足所有规则时,该应用程序才会打开。

XProtect 中的循环孔

与 Gatekeeper 类似,XProtect 也有一些漏洞。 如果没有被隔离,其中之一无法将应用程序与规则匹配。

另一个是您无法确定它是否会针对当前威胁提供保护。

恶意软件删除工具

2012 年,黑客利用 Java 中的漏洞攻击 MacOS,在这种情况下,只需访问一个网站即可在您的 Mac 上安装恶意软件。 MacOS 还没有准备好处理这个问题。 因此,Apple 包括 MRT,Malware Removal Tool。

Malware Removal Tool 是一个黑匣子,没有人知道它是如何运行的,它静默工作,不会提醒用户。 该工具的目的是消除检测到的恶意软件。

地铁上的环路

与 XProtect 类似,Malware Removal Tool 仅适用于设定的规则并检测已知的恶意软件。 没有关于这些规则如何工作的信息,因此我们无法确定该工具的功能。 此外,我们无法确定 MRT 是否能够检测到新的恶意软件。

系统完整性保护

系统完整性保护不允许修改系统文件。 该工具也被称为“Rootless”,因为该工具不允许任何用户更改 Mac 上的大量受限文件。

如果要更改这些文件,则需要禁用系统完整性保护,然后需要重新启动 Mac 并以恢复模式重新启动并访问终端。 在终端上,输入奥术。 但是,大多数用户永远不想对它们进行更改。

系统完整性保护漏洞

由于这些限制,该工具似乎是保护系统免受恶意文件侵害的有效工具。 然而,事实并非如此。 在 SIP 之前,只有一些能够更改文件的恶意软件,现在它们受 SIP 保护。

但是,某些恶意软件可以在不使用 root 权限的情况下感染 Mac,这意味着 SIP 无法保护 Mac 免受恶意软件在打开恶意应用程序时秘密感染您的 Mac 的侵害。

透明度、同意和控制

透明度、同意和控制是最近添加到 Mac Mojave 的一项功能。 它保护用户数据免受外部访问。 该功能的目的是防止应用程序消耗浏览器历史记录。

必读:如何删除 DarthMiner Mac Miner

透明度、同意和控制方面的漏洞

这些持续的请求提示可能会导致“对话疲劳”,这可能使应用程序能够越过透明度、同意和控制,从而访问数据。

因此,这些是 MacOS 多年来引入的一些功能,以确保保护您的 Mac。 这些功能都有其自身的漏洞,Apple 正在努力克服这些漏洞并让 Mac 更安全。 同时,您需要小心不要让黑客利用这些漏洞感染您的 Mac。