一套低侵入性的 macOS 安全防御工具分享

新人报道~这是我在 2libra 的第一个分享帖！🤭

论坛中我觉得可能开发者偏多，mac 用户群体应该也蛮多的。
我之前一直是 Windows 用户，作为一个“杀软综合症”患者，常年靠卡巴斯基防身。
在前段时间跳到了 Mac 阵营后，这让我开始考虑应该如何增强 mac 的安全性。

其实早先就知道 macOS 安全性很高，实际用下来也确实如此。相比 Windows，macOS 的权限管理更统一、更严格，稍有敏感操作就会弹窗让你输密码，更别说还有 SIP 保证系统分区只读、内置 XProtect 等机制。
但是在现在 mac 用户量与日俱增，新型的攻击手段层出不穷。例如现在很多威胁并不以非常明显的破坏、加密为目的，而是偷偷的在后台干着某些不为人知的事情。

而且因为有偶尔需要找"快乐版"软件的需求，这也让我对 macOS 安全性这件事也有些犯嘀咕。

macOS 上的安全软件，由于系统限制，大多只有基础的实时扫描功能，跟 Windows 上那些重武器比起来，简直像“益智玩具”。而且安装它们还可能拖累性能和续航，对于有“系统洁癖”的我来说，实在算不上好方案。

最后，自己查询资料、总结，摸索出了一套自己现在在用的防御体系，前来分享给大家。
这套防御的优点就在于轻量化，对于系统的影响尽量降到最低，同时减少侵入性。

核心：行为防线

这套方案放弃了传统的“文件特征扫描”，转而死守 macOS 的四个关键行为：

• 网络行为（ Little Snitch / LuLu ）：防火墙软件，监控/控制每一个连接请求。我会把快乐版软件全部禁止联网，即使有漏网之鱼的恶意软件进来了，联网权限一断，尝试回传密码或下载后续载荷的操作也全会失败。Little Snitch 的 UI 界面更美观，功能更多一些，但它是付费软件。如果要求不高，使用开源免费的 LuLu 也是可以的。

• 持久化行为（ BlockBlock ）：恶意软件通常会持久安装以确保在重启或登录时自动执行。BlockBlock 监控常见的持久化位置，并在添加新的持久化组件时发出警报。它还有一个我觉得很棒的“Paste Protection mode”，如果启用，当在终端中粘贴内容（超过 100 字节）时将阻止并警报以防范 ClickFix 攻击。

• 数据保护（ RansomWhere? ）：监控异常文件加密。RansomWhere?持续分析文件熵，以实时识别加密活动，检测可疑进程，并在勒索软件造成严重损害之前阻止它。

• 存量自检（ KnockKnock ）：怀疑系统有问题的时候，可以用 KnockKnock 扫描一遍，它可以把系统上当前已经持久化的软件全部显示出来，并且可以联动 VT 进行文件信誉检测。

前线：过个安检

• VirusTotal ：一个多引擎的在线文件扫描网站，快乐版软件安装运行前拉上去扫一遍，重点盯着卡巴和 ESET 的检出结果，目前一些恶意样本测试下来它们俩的检测率还是很可靠的。

• Intego VirusBarrier Scanner ：Intego 是一家专门做 Mac 安全软件的公司，选择它是担心 VT 上的引擎可能没有对 macOS 的文件类型做优化，所以找了一个专门做 macOS 安全的扫描器。这是单扫描器，无常驻后台，需要的时候和 VT 一样拉出来扫一扫就 OK。不过我实际测试其静态扫描检出率一般般，比如我找了一个恶意的 zsh payload 脚本，它就没有检出。

• Suspicious Package ：这是一个解包工具，主要用于分析 pkg 格式的安装包（类似于 Windows 下的 msi）。如果你不嫌麻烦的话，可以在安装 pkg 包前使用它解包看一下，重点搜 base64、eval、curl、osascript 等关键词，人脑启发永远滴神。

这套方案常驻后台的工具加起来内存占用极低，不扫磁盘，不费电，不影响续航，而且对系统也没有侵入性。只有在发生“越权动作”时才会报警，平时就像不存在一样。

但归根结底，任何工具也都是辅助，安全还是要靠我们自己的一双慧眼和人脑启发。保持好奇，保持警惕。