苹果的静态签名检查工具XProtect和恶意软件移除工具MRT。
XProtect,可以扫描已知恶意软件家族的可执行文件。
检查安装的 XProtect 版本
plutil -p `mdfind -name XProtect.bundle | grep -i coreservices | head -n 1`/Contents/
Info.plist | grep -i shortversion
在 XProtect 的 Resource 目录下我们可以找到他对应的 规则的数量,这个主要是158个恶意软件签名
grep ^rule XProtect.yara | wc -l
由于XProtect仅依赖于必须由Apple编写并推送到您的设备上的静态签名,因此它无法保护组织免受任何苹果尚未发现并开发出专门检测软件的恶意软件的攻击。
相反,SentinelOne这样的解决方案,使用 多引擎方法利用机器学习 、 行为规则 、 静态A 和 云声誉深度文件检查
早期利用 删除 quarantine 属性来绕过,但是后面 Apple 会对所有的 文件不管有没有 quarantine 属性的 进行一个检测。但是在 CVE-2021-30657 中,实现了利用 恶意的 shell 脚本来绕过 XProtect 检测
主要在特定的位置(在特定的文件路径)搜索已知的恶意软件,并无声地删除它匹配的任何东西
不是特别完善,需要更多的其他软件对其安全性进行一个完善
不会搜索特定的二进制文件