MacOS 如何處理惡意軟件

已發表: 2019-02-28

一直聲稱 Mac 不受病毒影響。 好吧,實際上這是不可能的! 所有的設備都容易被感染,隨著科技的進步,沒有什麼是不可能的!

MacOS 確實會被感染,然而,這也是 MacOS 帶有針對惡意軟件的內置保護的事實。 這些方法有時非常有效,但也可能無能。 在這篇文章中,我們將討論 MacOS 功能如何防止惡意軟件。

隔離

其中一項功能是隔離。 每當您通過 Internet 在 Mac 上下載應用程序時,它都會被標記為隔離區“標誌”。 每當您嘗試打開此類下載的文件時,您的 MacOS 都會運行一些檢查。

驗證應用程序後,MacOS 將顯示一條消息,警告您正在訪問從 Internet 下載的應用程序。 如果文件被屏蔽為另一種文件,您需要允許開始使用該文件。

當應用程序第一次啟動時,隔離標誌將被刪除,其他檢查也將被刪除。

隔離區中的漏洞

儘管它們是應用程序可以在不被標記隔離標誌的情況下進入硬盤驅動器的一些方式。

  • 洪流應用程序和下載器
  • 如果有人在移除隔離標誌後將應用程序複製到另一台 Mac。
  • 允許在不經過合法下載方法的情況下形成文件的漏洞允許硬盤驅動器上的無標誌應用程序

看門人

每當從 Internet 下載應用程序時,都會對其標記隔離標誌。 第一項檢查是應用程序的代碼簽名。 代碼簽名是檢測應用程序開發人員的一段加密數據,可用於檢查應用程序是否被干預。 它依賴於 Apple 的證書,該證書包含在 99 美元的開發者帳戶中。

如果簽名表明該應用程序已被篡改或蘋果提供的證書已被吊銷,MacOS 將不會運行該應用程序。

GateKeeper 中的 LoopHoles

可悲的是,Gatekeeper 並不是一個完美的工具,並且由於上述原因,Quarantine 使它變得更弱。 由於沒有對未隔離的應用程序進行 Gatekeeper 檢查。

因此,如果您在系統上下載並安裝了一個乾淨的應用程序,它就有可能在後台下載受感染的進程。 並且 Gatekeeper 將無法檢查它的代碼簽名,因為它沒有被隔離。

此外,如果安裝在您 Mac 上的應用程序被證明是惡意應用程序並且 Apple 撤銷了該應用程序的開發人員證書,則該應用程序將繼續在您的 Mac 上運行,因為該應用程序已安裝在您的 Mac 上。

此外,惡意軟件可能會影響和修改 Mac 上的應用程序,使惡意軟件很難被檢測到。

另請閱讀:惡意軟件如何影響您的汽車?

XProtect

作為一項基本的反惡意軟件功能,XProtect 也是 Mac 上保護工具的一部分。 此功能也連接到隔離區。 因此,您嘗試打開的每個被隔離的應用程序都會通過 XProtect 運行。 僅當滿足所有規則時,該應用程序才會打開。

XProtect 中的循環孔

與 Gatekeeper 類似,XProtect 也有一些漏洞。 如果沒有被隔離,其中之一無法將應用程序與規則匹配。

另一個是您無法確定它是否會針對當前威脅提供保護。

惡意軟件刪除工具

2012 年,黑客利用 Java 中的漏洞攻擊 MacOS,在這種情況下,只需訪問一個網站即可在您的 Mac 上安裝惡意軟件。 MacOS 還沒有準備好處理這個問題。 因此,Apple 包括 MRT,Malware Removal Tool。

Malware Removal Tool 是一個黑匣子,沒有人知道它是如何運行的,它靜默工作,不會提醒用戶。 該工具的目的是消除檢測到的惡意軟件。

地鐵上的環路

與 XProtect 類似,Malware Removal Tool 僅適用於設定的規則並檢測已知的惡意軟件。 沒有關於這些規則如何工作的信息,因此我們無法確定該工具的功能。 此外,我們無法確定 MRT 是否能夠檢測到新的惡意軟件。

系統完整性保護

系統完整性保護不允許修改系統文件。 該工具也被稱為“Rootless”,因為該工具不允許任何用戶更改 Mac 上的大量受限文件。

如果要更改這些文件,則需要禁用系統完整性保護,然後需要重新啟動 Mac 並以恢復模式重新啟動並訪問終端。 在終端上,輸入奧術。 但是,大多數用戶永遠不想對它們進行更改。

系統完整性保護漏洞

由於這些限制,該工具似乎是保護系統免受惡意文件侵害的有效工具。 然而,事實並非如此。 在 SIP 之前,只有一些能夠更改文件的惡意軟件,現在它們受 SIP 保護。

但是,某些惡意軟件可以在不使用 root 權限的情況下感染 Mac,這意味著 SIP 無法保護 Mac 免受惡意軟件在打開惡意應用程序時秘密感染您的 Mac 的侵害。

透明度、同意和控制

透明度、同意和控制是最近添加到 Mac Mojave 的一項功能。 它保護用戶數據免受外部訪問。 該功能的目的是防止應用程序消耗瀏覽器歷史記錄。

必讀:如何刪除 DarthMiner Mac Miner

透明度、同意和控制方面的漏洞

這些持續的請求提示可能會導致“對話疲勞”,這可能會導致應用程序越過透明度、同意和控制,從而訪問數據。

因此,這些是 MacOS 多年來引入的一些功能,以確保保護您的 Mac。 這些功能都有其自身的漏洞,Apple 正在努力克服這些漏洞並讓 Mac 更安全。 同時,您需要小心不要讓黑客利用這些漏洞感染您的 Mac。