从2004年开始，我每天都在使用macOS。自从OSX Panther（2003年10月发布）以来，我已经使用了该操作系统的所有版本，安全狗能防御cc吗，服务器防火墙，并且自Lion10.7（2011年7月发布）以来，我每年都对macOS的每个版本进行beta测试。虽然这听起来像是很长的一段时间，但肯定没有我的一些macOS朋友和SentinelOne的一些macOS同事那么长。即便如此，人们还是会认为，它应该足够长的时间来学习几乎所有关于苹果桌面环境的知识。唉，事实远非如此。苹果的操作系统总能带来新的惊喜。例如，带有选项键的把戏可能多年未被发现，而随着苹果每年的发布周期，谁知道还有多少把戏尚未被发掘出来呢？然而，多年来，我遇到并经常使用一些技巧，这些技巧在macOS安全任务中特别有用，无论是编写代码、搜索威胁、记录恶意软件行为还是对受感染的机器进行分类。在这篇文章中，我想分享其中的一些，希望其他人能发现它们有用。所以，不用多说了，这里有15个我最常用的macOS安全技术技巧！1查找任何应用程序的捆绑Id诡计lsappinfo列表| grep或grep-A1-i bundleidentifier"$（mdfind-name.app | head-n1）"/Contents/信息列表讨论Bundle id（bunde identifiers）是给定Mac设备上每个应用程序的唯一标识符。常规bundle id的形式是"com."，例如com.apple.finder网站在应用程序包的信息列表文件，并在包写入磁盘后立即在启动服务数据库中注册。因此，如果您知道应用程序的bundle ID，那么很容易找到它的位置，而不必像使用Finder或shell find命令那样消耗不必要的处理器资源。第一个示例使用lsappinfo查询所有正在运行的应用程序和greps，以获取输出中的bundle ID。这个实用程序的清单信息非常丰富，不仅可以告诉您bundle ID，还可以告诉您可执行路径、当前PID和许多其他细节。有关更多详细信息，请参见手册页。但是，您可能希望找到当前未运行的应用程序的捆绑标识符。为此，请使用利用mdfind实用程序的第二个版本。请注意，mdfind只显示用户有权访问的文件的结果：这就是为什么您没有得到使用常规"find"命令所做的所有权限错误的原因（除非您将stderr重定向到/dev/null）。但这没关系，因为整个Launch Services数据库都是相对于用户的：它只返回用户有权启动的应用程序的结果。电子书：macOS威胁搜索和事件响应本指南将为您提供保护组织的macOS机队所需的知识。现在读2查找缺少强化运行时的应用程序诡计对于/Applications/*.app中的i；do codesign-dv"${i}"&>>/tmp/codes；done；grep-B3'none'/tmp/codes | grep^Executable | sed's/^Executable=/No\hardented\Runtime:\/g'；rm-rf/tmp/codes讨论从MacOS10.15Catalina开始，默认情况下，所有的应用程序都必须经过公证才能启动，但是有一些退出条款意味着你的系统上可能有一些未经说明的应用程序。首先，用户可以本地覆盖公证要求，这不需要管理员权限。这是一种常见的macOS恶意软件技术，通过社交手段让用户这么做。第二，苹果公司在早期阶段对公证的要求有些摇摆不定，而在2020年2月之前经过公证和安装的应用程序，在不太严格的要求下，比如没有强化的运行时，即使在更严格的要求生效后，也能在Catalina上正常运行。如果您安装了Xcode工具，并安装了一个更短的一行程序，则可以检查应用程序是否没有装订公证"票据"：对于/Applications/*；stapler validate"${i}"| grep-b1-v工作；完成然而，这在两个方面是有问题的，除了它需要Xcode命令行工具之外。首先，应用程序可以在没有票证的情况下进行公证；事实上，许多开发人员将票证附加到DMG或安装程序上，而不是应用程序本身，因此，简单地检查票证不会产生准确的结果。第二，从安全角度来看，公证的主要好处是，在最严格的规则下，它需要强化的运行时标志。没有这样一个标志的应用程序可以被恶意进程修改，因此我们要做的是列出应用程序文件夹中的所有应用程序（当然，您可以而且应该考虑将相同的技术应用于包含应用程序的其他文件夹），然后测试每个应用程序是否缺少所需的标志。一行程序将codesign的结果输出到一个临时文件，然后为那些根本没有标志的条目对该文件进行greps处理，这表明没有强化的运行时。在输出与搜索匹配的可执行文件列表后，one liner还会清理这个临时文件。三。查找连接到LAN的设备诡计当为true时；do clear；arp-alnx；c=$（arp-alnx | wc-l）；let n=$c-1；printf'\t count:\t'$n'\n'；sleep 2；done；讨论这一行程序利用arp实用程序打印出与局域网连接的设备的信息，包括本地IP地址、MAC地址（又名Linklayer地址）和过期时间等。该命令使用一个2秒延迟的无限while循环，以便它不断更新，直到您用键盘命令Ctl-C中断它。如果您还保留了网络上允许的MAC地址的清单，海外高防棋牌cdn，这可能是一种非常简单的方法来手动发现出现在您的家庭、实验室或其他小型网络上的恶意设备。对于自动化企业解决方案，请使用类似SentinelOne的Ranger。4膨胀一个文件，改变它的哈希值诡计对于{1..3000000}中的i；执行echo"0">；完成讨论在测试已知的恶意软件时，防御ddos云盘，您可能需要更改文件的大小或哈希值，以便违反安全检测规则。这个技巧在我们最近关于如何绕过Catalina上的XProtect的帖子中讨论过，但这肯定不是您想要使用它的唯一原因。任何文件大小检查都可以通过这种方式进行，也可以针对文件的哈希值进行信誉检查。在后一种情况下，不需要使用超过一个字节的任何内容来膨胀文件，所以将条件中的第二个数字从3000000调整为从2到比您试图破坏的规则中提到的大小稍大一点的数字。5查找所有日志子系统的名称诡计ls-al/System/Library/Preferences/Logging/subsystem | awk'{print$9}'| sed's/.plist//g'讨论苹果内置的日志实用程序允许您访问由os_log、os_trace和其他日志记录系统创建的系统范围的日志消息。通用日志系统是一个强大的实用程序，一旦你掌握了如何使用它。不过，这需要清除一些障碍。一是习惯使用基于谓词的过滤。另一个是知道哪些子系统可供您查询。在这个技巧中，我们从系统中提取所有可用的子系统并将它们打印到stdout。有了这个列表，我们现在可以将搜索细化到特定的区域，这对于bug搜索和漏洞评估非常理想。6查找具有完全磁盘访问权限的应用程序诡计sudo sqlite3/库/应用程序\支持/com.apple.TCC/TCC.db"选择客户端，允许从访问中访问，其中service=='kTCCServiceSystemPolicyAllFiles'"| grep"1"$讨论完整磁盘访问（FDA）是一种用户保护机制，在macOS-Mojave中引入，防御ddos公司，在macOS-Catalina中得到了相当大的扩展。它是否真的非常有效地提供现实世界的保护是有争议的，但毫无争议的是，对于开发人员和高级用户来说，这往往是令人沮丧的原因，因为许多常见的应用程序和脚本功能将无法工作，除非执行过程得到FDA的许可。此技巧允许您快速确定给定设备上的哪些应用程序已被授予该权限。在大多数情况下，输出应该与您在系统首选项的"安全和隐私"窗格中看到的一致（请参阅"隐私"选项卡下的"完全磁盘访问"）。但是，在这个方案中，如果你的设备被管理的权限是完全的，那么在这个方案中，你的设备就不会很方便了。注意sudo命令的用法：您需要管理员权限才能读取TCC SQLITE3数据库。还值得注意的是，如果您在末尾不调用grep，您将看到一个更长的条目列表，其他条目的末尾有一个0。这些应用程序已经出现在FDA的列表中，但目前还没有启用。7获取Mac的UUID，Board ID诡计ioreg-rd1-c IOPlatformExpertDevice | grep UUID | awk'{print$NF}'| sed's/"//g'或者/usr/sbin/system_探查器SPHardwareDataType | grep UUID | awk'{print$NF}'讨论这是macOS广告软件使用的一个常见技巧，有许多原因是有用的。从攻击者的角度来看，IOPlatformUUID是威胁参与者跟踪受损受害者的好方法，UUID可以作为URL的一部分从受害者的机器发送到攻击者的C2。从防御者的角度来看，有必要监视对ioreg和system\u profiler的调用，这些调用专门寻找IOPlatformExpertDevice属性或解析UUID。请注意，ioreg的同一属性列表中的"board id"键是恶意进程判断它是在裸机上运行还是在研究人员的虚拟机中运行的几种方法之一。ioreg-rd1-c IOPlatformExpertDevice | grep板id类似地，从U提供了一个完整的硬件概述