Mac用户经常被告知“MAC不会获得病毒当然,这并不是真的。mac电脑可能也确实会被感染。然而,macOS确实提供了一些针对恶意软件的基本保护。这种保护在某些方面相当有效,但不幸的是,在其他方面相当无效。让我们来看看macOS特性是如何保护你免受恶意软件攻击的,以及恶意软件是如何通过这些特性的。

隔离

MacOS具有称为隔离的功能。任何文件从Internet下载文件时,它会标记为隔离“标志”。当您尝试使用此标志集打开下载的应用程序时,MacOS将启动一系列支票。

如果所有这些检查都成功,MacOS将显示一条消息,提醒您您正在从Internet下载下载的应用程序,您必须允许您想要使用该文件。(MacOS向用户闪烁此消息以显示文件的真实性质,以防它被伪装为另一种类型,例如,应用程序伪装为文档。)

一旦应用程序第一次成功打开,删除隔离标志,不会再次重复这些检查。

macOS中的其他一些保护功能依赖于隔离,不幸的是,有一些方法可以让应用程序进入你的硬盘,而不被标记为隔离标志。一些例子:

  • 并非所有应用程序都将正确设置下载文件的隔离标志;Torrent应用程序和恶意下载者是两个好的例子。
  • 在删除隔离标志后将应用程序复制到另一个MAC将导致在第二个MAC上未被隔离的应用程序。
  • 将文件复制到非Mac文件共享或非Mac格式的USB闪存驱动器将导致隔离标志丢失。
  • 漏洞使得在不经过合法下载方法的情况下创建文件,允许硬盘驱动器上的无标志应用程序。

守门人

回到从互联网下载应用程序时,隔离区标志已经被植入。对被隔离应用程序进行的第一个检查是检查应用程序的代码签名。

代码签名是一些隐藏数据,用于标识应用程序的创建者,可用于确定应用程序是否已被篡改。这取决于从Apple获得的证书,作为$ 99开发人员帐户的一部分。

如果代码签名表明应用程序已被篡改,或用于创建签名的证书已被苹果吊销,macOS将完全不允许应用程序运行。

不幸的是,守门人并不是可爱的,其最大的弱点是检疫本身。没有隔离的应用程序不会发生网守检查,其中包括隔离的应用程序,但已经至少打开一次,因此不再隔离。

这意味着一个无辜的应用程序可以在安装后下载所有类型的恶意进程,并且这些过程不会受到网守检查。同样,如果您在计算机上运行恶意应用程序,并且opple撤消了用于其代码签名的开发人员证书,则该应用程序将继续在Mac上运行,因为代码签名检查仅用于被隔离的应用程序作为网守的一部分。。

这也意味着恶意软件可能会恶意修改Mac上的应用程序,这将使恶意软件变得难以找到和删除。

XProtect.

您永远不知道的系统的隐藏特征在于,Xprotect是一个基本的反恶意软件功能,也可以与隔离区系联系。Xprotect具有相对少量的规则,用于识别已知的恶意应用程序,以及您尝试打开的每个隔离应用程序首先运行Xprotect。如果它匹配任何规则,麦斯科座将不允许您打开它。

XProtect遭受了与网守相同的问题,因为它无法防范任何没有隔离标志的任何标志。然而,存在更大的问题:在这篇文章时,添加到Xprotect的最新规则是于2018年3月13日。所以它缺少近一年的新恶意软件的规则!XProtect的未来尚不清楚,但绝对不会保护你免受当前的威胁。

恶意软件删除工具

2012年,通过Java漏洞的一系列攻击麦斯卡斯队导致了仅通过访问网站来安装恶意软件。由于这种旁路隔离,并不是那时澳元的安全措施的东西都有能力处理。因此,Apple默默地创建了恶意软件清除工具或MRT。

MRT是一个黑匣子。没有人真的知道它是如何或何时工作的,而且它默默地运行,没有任何通知使用计算机的人。其唯一目的是删除已在计算机上的已知恶意软件。

与Xprotect一样,MRT仅通过MRT代码内的硬编码规则识别已知的恶意软件。没有人真正知道这些规则如何工作,最近苹果公司已经采取了对MRT代码中的恶意软件名称字符串进行了处理,所以我们无法讲述什么它也有探测能力。

没有名为OSX.28a9883.a的恶意软件,但这就是苹果呼唤它的内容

不幸的是,捷运最近并没有看到很多容易识别的更新。因为它是一个黑盒子,不可能知道,但它显然不像有能力检测最近的恶意软件。

系统完整性保护

缩写为SIP,该特性保护核心系统文件不被修改。也称为“无根”,该SIP的工作原理是阻止所有用户(包括全能的根用户)更改系统上的大量受限制文件。只有某些苹果软件可以修改这些文件。只有重启电脑进入恢复模式,并在终端输入一个神秘的命令,才能关闭这一功能,这不是一般人可能会做的事情。

虽然SIP在引言时对某些软件引起了问题,但它已被证明是一个出色的安全措施,确保系统文件无法篡改。

Thomas $ sudo mkdir / system / blah密码:mkdir:/ system / blah:不允许操作

因此,一些人认为SIP在防止恶意软件感染mac电脑方面发挥了作用。不幸的是,事实并非如此。即使在SIP之前,也只有一些恶意软件对现在受SIP保护的文件进行了更改。恶意软件可以很容易地感染一台Mac电脑,而不需要这样做,甚至不需要根权限。这意味着,如果你错误地打开了错误的应用程序,SIP无法防止恶意软件无形地感染你的Mac电脑。

透明、同意和控制

这口很少缩短到TCC,它是MacOS 10.14(Mojave)的新功能。TCC保护某些用户数据免受外部访问的目标,其目标是防止应用程序从偷偷摸摸地做像啜饮的东西网页浏览历史

这是一个贵族的目标,但尽管到目前为止,仍然存在短暂的生活,TCC有一些问题.这些问题的严重程度包括可能导致“对话疲劳”的权限请求对话框的激增,以及可能允许应用程序直接通过TCC访问数据的漏洞。

TCC对话框的示例。很多人只会点击确定,让它消失。

TCC不会阻止恶意软件感染本身。但是,它会在正常工作时,防止恶意软件从获取对您的某些数据的访问。但是,不要太舒服,因为恶意软件仍然吞噬了未受保护的数据,例如存储在Chrome的AutoFill中的密码和信用卡,其未被TCC覆盖。

我的脑子要爆炸了!这一切意味着什么?

好消息是苹果一直在努力让麦克斯成为更安全的地方。虽然安全专家快速指出麦斯科斯保护功能中的漏洞,但您的Mac绝对是更安全的,而不是没有它们。

然而,重要的是要记住,这些保护的每一个都有孔。恶意软件创建者确切地知道这些漏洞的位置,并且在利用它们时擅长(其中一些人)。所以不要让你的警卫失望。

在安全世界,我们喜欢谈谈保护层。具有多个图层是好的实践,因为如果恶意软件超过一两个,则它仍然可以被另一层封锁。使用当前保护功能的各种孔,为您的Mac添加另一层保护,例如防病毒软件,它是有意义的。

必威平台APPMalwareby for Mac.例如,可以通过检测Xprotect和MRT的当前威胁来帮助插孔。使用新引入的应用程序块功能,它还可以帮助插入网守中的孔。

所以知道你的Mac能够在自己身上保护什么以及它需要援助的地方可以让您更安全,无论您是从互联网下载应用程序还是只需额外的第二个对话框阅读。