- 非常简单的工具,任何人都可以使用
虽然您可能怀疑您的 MacOS 已感染了恶意软件,但可能很难确定。本文来说说这件事怎么做。
发现恶意程序的一种方法是查找可疑行为,例如 恶意程序在键盘输入时监听。
借助免费的 MacOS 工具 ReiKey 和 KnockKnock,您可以检测可疑程序,以发现潜伏在系统中的键盘监听和其他持久性恶意软件。
键盘监听或恶意软件可以通过多种方式最终出现在MacOS系统上。它可能来自受感染的文件、USB Rubber Ducky 黑客等等。
重视个人隐私的任何人都应该关注确保您的通信不会被恶意拦截。那么 MacOS 究竟有多少恶意软件?
适用于MacOS的恶意软件
创建 MacOS 安全工具的前国家安全局黑客 Patrick Wardle 研究了为 Apple 设备编写的恶意软件。Patrick 在其网站上托管了 MacOS 恶意软件的实时样本供研究人员研究,在野外发现的各种恶意软件令人震惊。
对 keyloggers 的简单搜索就可以找到五种用于 MacOS 设备的键盘监听恶意软件。
这就提出了一个挑战:既然键盘记录程序至少具有五种不同的风格,我们如何防御所有这些不同类型的恶意软件?
Wardle 的答案是搜索诸如键盘记录程序之类的恶意程序的行为,而不仅仅是搜索程序本身。
例如,一个键盘监听器从您的键盘上窃听了事件流,从而使攻击者可以截获受害者键入的每个键。这将使他们能够获知帐户密码、拦截通信等。
但是,要真正生效,这些程序必须在您登录计算机后立即运行。这意味着恶意程序通常会永久安装,不需要受害者每次都误点击恶意文件。
ReiKey 和 KnockKnock 可以检测新型恶意软件
首先,ReiKey 允许您搜索键盘监听器的最基本特征之一:深入键盘流窃听的程序。寻找键盘流访问功能将使您能够警觉到系统上安装的所有键盘监听器,而不仅是防病毒程序可识别的键盘监听器。
此外,由于键盘监听器也将永久安装,因此您可以使用另一个名为 KnockKnock 的免费工具来发现它。
运行 KnockKock 时,它将持久安装的程序分为易于理解的类别。包括恶意软件通常会用来持续运行的程序类型:浏览器扩展、启动项、内核扩展和插件。
扫描系统后,KnockKnock 将识别每个永久安装的项目并检查是否已在 VirusTotal 中进行了标记。
如果恶意程序潜伏在您的系统中,则可以通过单击 “Info” 图标来进一步研究细节。
如果您发现由 VirusTotal 标记的文件并且看起来可疑,这充分表明您的系统已受到恶意软件、广告软件或其他有害程序的破坏。
下面测试下这些程序,看看可以在 Mac 上找到什么。
您需要什么
要使用 KnockKnock 和 ReiKey,您只需要一个最新版 MacOS 系统来安装它。您还需要互联网连接和浏览器才能下载安装程序。
第一步:从 Objective-see.com 下载工具
首先,在 Objective-see.com 上导航至 ReiKey 的产品页面,然后在页面左上方的 ReiKey 图标下找到下载链接。
下载安装程序并解压缩。双击 “ReiKey Installer.app” 文件以启动安装。
第二步:安装 ReiKey
安装程序打开后,只需点击 “安装” 按钮即可在 MacOS 系统上安装 ReiKey。
安装完成后,点击 “下一步” 以关闭安装程序。现在,您的任务栏中应该有一个 ReiKey 图标。
点击任务栏中的 ReiKey 图标,然后点击 “首选项”。您可以在其中访问配置选项,允许您设置是否在登录时运行该程序,在状态栏中使用图标运行,以及在扫描时是否忽略 Apple 的程序。
当我运行 Python 键盘记录程序时,在设备上收到以下警报。
第三步:扫描键盘监听器
现在已经安装并配置了 ReiKey,可以运行扫描了。
再次点击状态栏中的 ReiKey 图标,这一次点击 “扫描” 选项。将会弹出一个窗口,显示扫描结果,显示是否有程序正窃听你的键盘。
在这里可以看到进程。如果您在此处看到某些内容,则意味着某个程序正在监听您的每次按键。
第四步:安装 KnockKnock
接下来将安装 KnockKnock 来查找持久性恶意软件。为此,请导航至 “ KnockKnock” 页面。在左上角找到该应用的下载图标。
下载 KnockKnock 后,您可以直接运行它而无需安装。
第五步:扫描您的MacOS系统
运行下载的 “KnockKnock.app” 文件,然后将打开以下窗口。
首先,单击箭头图标以启动扫描。如果您正在运行最新版本的 MacOS Catalina,则扫描过程将需要您授予它访问各种文件夹和程序的权限。
扫描系统中的文件后,将显示一个持久安装的程序列表。
可能会永久安装很多不是恶意的东西,因此请仔细检查每个结果以查看是否可以识别该程序。例如,如果您有未使用或无法识别的浏览器扩展,那么最好删除它们,不管它们是什么。
还可以识别具有可疑状态的程序。在这里,看到一个永久安装的脚本是未签名的,如解锁图标所示。
如果想仔细看一下,可以单击 “Info” 图标以显示更多详细信息。
第六步:检查可疑的东西
如果想仔细查看文件,可以通过点击 VirusTotal 分数来完成。分数将显示检出率和报告链接。如果要再次提交文件,请点击 “重新扫描” 。
重新发送将使您可以访问详细的报告。在这里,看到了发现的先前标记为未签名的 “Tor” 程序的检测报告。
看起来该文件不是恶意文件。但是如果确实是恶意文件,那说明您的工作很有效。
键盘监听程序和持久性恶意软件可能是一个严重的问题
普通的 MacOS 用户可能难以识别自己计算机上的恶意软件。借助 ReiKey 和 KnockKnock,可以在安装后立即检测行为不佳的软件。
如果您担心合作伙伴安装键盘监听程序、雇主对您的计算机进行监视、或者不必要的广告软件在周围闲逛并消耗内存,那么使用这些工具可以轻松地使 MacOS 系统免受间谍软件和持久性恶意软件的侵害。⚪️