在本文中，我们将了解 macOS 在恶意软件防御方面为最终用户提供的内置安全功能，即检查、阻止和修复恶意软件以确保系统的安全。

主要的重点是了解当您以简单的方式逐步在 macOS 上下载和执行应用程序时幕后发生的情况。

注意：macOS 安全性在不断发展，因此将来可能会添加新的检查和措施。（本文考虑了撰写本文时可用的方法）

macOS 二进制文件从下载到执行的安全检查生命周期：

文件隔离：

下载后，文件会被标记为特殊属性(com.apple.quarantine)，表明其存在潜在风险。当用户尝试打开文件时，MacOS 会检查此标记。如果存在，则会发出警告以告知潜在风险。

守门人：

虽然在文件下载后会立即进行隔离和标记过程，但Gatekeeper 的介入实际上是在尝试执行时进行的。用户尝试打开或运行下载的文件的行为会触发 Gatekeeper。

守门人验证：

• 来源：是从App Store、签约开发者还是未知来源下载的？
• 公证：如果从App Store 之外下载，是否经过 Apple公证以进行基本的恶意软件检查？

当用户决定继续执行初始警告时，Gatekeeper 会验证应用程序的数字签名，以确定它是否来自已识别的开发者，并检查它是否被更改。

从 Mac App Store 下载的应用程序已由 Apple 签名，可确保不含恶意软件。来自其他来源的应用程序会检查其开发者 ID；这是 Apple 认可的开发者的签名。

如果该应用程序不是来自 App Store，则应该经过公证，这意味着它已经通过了 Apple 的安全检查，以查找任何已知的安全问题或恶意内容。

决定：

• 已批准：如果 Gatekeeper 验证了所有内容，则允许应用程序运行。
• 已阻止：如果 Gatekeeper 发现任何问题，它会阻止该应用程序并向您发出警告。
• 用户覆盖：您有时可以选择覆盖 Gatekeeper 的决定，但不建议这样做

透明度、同意和控制 (TCC)：

应用程序权限检查点。

• 如果应用程序需要访问您的相机或麦克风等敏感数据，则必须通过 TCC 弹出窗口征求您的明确许可。
• TCC 系统确保您了解应用程序需要什么数据，并让您有权说“是”或“否”。

XProtect：macOS 的反恶意软件

• 持续监控：即使 Gatekeeper 允许应用程序运行，内置的反恶意软件扫描程序 XProtect 也会在后台持续监控其行为。
• 签名匹配：XProtect 将应用程序的行为与其数据库中已知的恶意软件签名进行比较。（基于 YARA 规则和行为检测）

如果 XProtect 检测到可疑活动，它可以：

• 警告用户：告知您潜在的风险。
• 隔离文件：将应用程序移至隔离区，防止进一步执行。
• 补救：在极少数情况下，XProtectRemediator 可能会尝试自动修复应用程序或将其删除。

额外检查：

• 沙盒：下载的应用程序（即使是经过批准的应用程序）也在沙盒中运行，限制对敏感系统资源和用户数据的访问。
• 系统完整性保护 (SIP)：防止对关键系统文件进行未经授权的修改，进一步阻碍潜在的恶意软件。

当发现新的恶意软件时苹果如何应对？

• Apple 可以发布内置安全工具的更新，将新威胁添加到已知恶意软件列表中。XProtect签名已开发并发布。
• 所有关联的开发者 ID 证书均被撤销。所有文件（应用程序和相关文件）均已颁发公证撤销票，这将阻止将来运行该应用程序的任何尝试。

原文始发于微信公众号（安全狗的自我修养）：解释 macOS 内置防御！