注意：这是针对专业Mac 用户的高级主题。 Mac 通常被认为是安全的，至少与 Windows 的替代世界相比是这样。但现实情况是，虽然 Mac 通常比 Windows 更安全，但尽管有 GateKeeper、XProtect、沙盒和代码签名，恶意软件仍然有可能合法地进入 Mac OS X。

这就是网络安全解决方案提供商 Synack 的研究总监帕特里克沃德尔 (Patrick Wardle) 的精彩演讲所解释的内容，对 Mac OS X 中内置的当前安全实现进行了深思熟虑和详细的介绍，以及如何通过恶意攻击 Mac 来规避它们。

此外，Synack 概述更进一步，提供了一个名为 KnockKnock 的开源脚本，它显示了所有设置为在系统启动时执行的 Mac OS X 二进制文件，可能帮助高级用户检查和验证是否有任何内容shady 在 Mac 上运行

这篇优秀的文档，名为“METHODS of MALWARE PERSISTENCE on OS X”，分为五个主要部分：

• Mac OS X内置保护方法的背景，包括GateKeeper、Xprotect、沙盒和代码签名
• 了解Mac启动过程，从固件到Mac OS X
• 让代码在重启和用户登录时持久运行的方法，包括内核扩展、启动守护进程、cron 作业、启动以及启动和登录项
• 具体的Mac OS X恶意软件示例及其功能，包括Flashback、Crisis、Janicab、Yontoo和流氓AV产品
• KnockKnock – 一个开源实用程序，可以扫描可疑的二进制文件、命令、内核扩展等，可以帮助高级用户进行检测和保护

如果还不是很明显； 这都是相当先进的，针对专家用户和安全行业的个人。普通 Mac 用户不是此演示文稿、文档或 KnockKnock 工具的目标受众（但他们可以在此处遵循一些 Mac 恶意软件保护的一般提示）。

这是一份技术文档，概述了一些非常具体的潜在攻击向量和可能进入 Mac OS X 的威胁，它真正针对高级 Mac 用户、IT 工作者、安全研究人员、系统管理员和开发人员想要更好地了解 Mac OS X 带来的风险，并学习检测、保护和防范这些风险的方法。

整个 Synack 恶意软件演示文稿在一个 18MB 的 PDF 文件中有 56 个详细页面。

另外，KnockKnock python脚本在GitHub上提供，可供使用和探索。

对于希望更好地了解 Mac OS X 风险的高级 Mac 用户来说，这两者都非常值得一看，传递它！