Mac 中内置的隐藏防病毒工具如何工作
2022-11-30 10:08:40 作者:孙惠萍 文章来源:原创 阅读次数:22
虽然 macOS 在保护您的计算机和数据免受伤害方面享有盛誉,但它没有像 Microsoft 桌面操作系统中的 Windows 安全套件这样的可见防病毒工具。事实上,您的 Mac 上的软件中内置了防病毒和安全工具——它们只是不那么引人注目。
以 XProtect 为例。它不会出现在停靠栏或启动器中,或者如果您通过 Spotlight 搜索它,但它仍然存在。它的功能与您期望的防病毒工具的功能非常相似,通过名为YARA的工具查找通常由恶意软件制作的软件模式,并使用 Apple 工程师编码的更新。
重要的是,这些可用于发现恶意软件的模式或签名会定期更新,与主要的 macOS 软件更新分开。如果在野外发现了一种新病毒,Apple 可以非常迅速地为 macOS 打上针对它的补丁——如果随后发现该病毒,Mac 将迅速阻止它并阻止它运行。
XProtect 在三个不同的时间点采取行动:每当应用程序首次启动时,每当应用程序在文件系统中以某种方式发生更改时,以及每当 Apple 提供新的签名更新时。有了这些预防措施,一段不受欢迎的代码很难通过 Mac 的防御。
如果有什么险恶的事情要通过,那么 XProtect 也可以在这里提供帮助:Apple 还能够发布该工具的更新,以消除已知恶意软件的感染。基于一些聪明的用户分析(通过Ars Technica),看起来 XProtect 最近几个月在其恶意软件搜寻中变得越来越积极——它可以每天运行一次病毒扫描,如果系统不可用,它甚至可以更频繁地运行病毒扫描。没有忙着做别的事情。
XProtect 也不是唯一保护 macOS 的安全服务。Notarization 是Apple 用于将软件列入白名单以便在 Mac 上使用的审查系统:提交给 Apple 的软件会进行恶意软件扫描,如果通过测试,则会获得安全徽章。这有点像 iOS 的应用程序审核流程,只是速度更快且完全自动化。
如果软件开发人员愿意,也可以通过 Mac App Store 路线。商店中的所有东西都经过 Apple 的审查,并被清除为没有恶意软件——如果随后检测到恶意软件,则可以快速删除违规软件,使其不再可用。
Notarization 实际上与另一个称为 Gatekeeper 的工具结合使用,它实际上是数字保镖实用程序,用于检查 Notarization 颁发的通行证。当您在屏幕上看到警告说您将要安装 Apple 不知道的应用程序时,这就是 Gatekeeper 开始行动了。这并不是说有问题的程序肯定是恶意软件——但这意味着 macOS 不能保证它不是。
如果您想绕过 Notarization 和 Gatekeeper 安全检查,您需要自行承担风险。您仍然可以运行未获得批准安全印章的应用程序,方法是在 Finder 中找到它们,按住Ctrl键并单击它们,然后选择打开,然后在弹出的对话框中再次打开。
与 XProtect 一样,Notarization 和 Gatekeeper 工具没有任何用户界面或设置可言。如果您愿意,您可以只允许来自官方 Mac App Store 的应用程序运行:打开Apple菜单,然后是系统偏好设置和安全与隐私,在常规下您可以选择App Store或App Store 和确定开发人员设置哪些软件包是允许的。
请注意,在早期版本的 macOS 中,有第三个选项——任何地方——但现在已被删除。在同一屏幕上,如果您最近尝试启动 Gatekeeper 阻止的应用程序,您将看到一个“仍然打开”按钮(您可以使用此方法打开未知应用程序作为我们上述过程的替代方法)。如果您正在测试自行开发的应用程序,这将特别有用。
通常的 Apple 隐私保护内置于系统中:这些恶意软件扫描和安全检查是在没有参考您的 Apple ID 或其他个人详细信息的情况下执行的,Apple 不会保留您正在尝试的所有软件的日志在您的 Mac 计算机上运行。预计在未来的 macOS 更新中也会有更多改进。
这些恶意软件扫描程序和防病毒工具与 macOS 提供的其他安全功能结合使用。系统完整性保护等技术限制了第三方应用程序的功能,因此即使恶意软件确实进入了 macOS 机器,在影响关键系统文件或操作系统的完整性。
我们不会说完全没有必要在您的 Mac 上安装单独的防病毒工具——它可以帮助更多人关注您计算机的安全——但请记住,macOS 已经配备了一系列令人印象深刻的安全保护,包括您可能从未意识到的恶意软件扫描程序就在那里。