macOS的XProtect如何扫描和检测病毒

XProtect 是苹果的 Mac 病毒检测系统，能够有效保护您的 Mac 安全。以下是该 macOS 功能的工作原理。

计算机病毒和其他恶意软件对电脑构成持续威胁，网络用户每次上网都必须绕开这些威胁。

计算机病毒是一段小型代码，会悄然安装在您的计算机上并潜伏在后台，悄悄地影响其他软件，造成严重破坏。

恶意软件是由意图破坏计算机、系统或其他电子设备的坏分子编写的。一旦病毒传播开来，可能会迅速传遍数百万台计算机，通常在被发现时已经为时已晚。

为了应对病毒和其他恶意软件，许多软件和操作系统供应商开发了杀毒程序或防恶意软件程序。这些程序可以扫描并“清除”计算机中的恶意代码。

杀毒软件通过扫描已知的应用程序特征、大小和代码来实现清理。然后，将其与下载的已知恶意软件数据库进行比较。

如果找到匹配项，则可以将恶意软件从计算机中移除。

早期的 Mac 杀毒软件包括 Norton Anti-virus 和 Virex。此外，McAfee 也是一款多年来一直存在的 Mac 杀毒应用，并仍然可以使用。

XProtect

自 2009 年的 Mac OS X 10.6 Snow Leopard 开始，苹果引入了自己的防病毒保护功能，即 XProtect。

XProtect 在后台运行，在首次启动应用程序时、应用程序文件系统发生更改时，或当新的可下载 XProtect 签名数据库可用时进行分析。

这些就是您经常在 系统设置->常规->软件更新 中看到的 安全响应。

一些用户报告了后台 XProtect 服务（XProtectService）导致高 CPU 使用率，但个人而言，我们尚未发现这一点。

XProtect 在后台静默运行，监控文件系统和运行的应用程序，检查您的 Mac 是否存在在 XProtect 签名数据库中列出的恶意软件。如果发现匹配，XProtect 将提示您从计算机中移除该恶意软件。

通过使用静默的后台监控程序监视恶意软件，XProtect 能够保持您的 Mac 安全且不受潜在有害应用的影响。

由于 XProtect 是 macOS 的一部分，且其签名文件由苹果主机和安装，您无需担心任何事情——您的 Mac 会为您处理一切。

X(Protect) 文件

您可以通过按住 Option 键并从菜单栏的 苹果菜单 中选择 系统信息 来查看已下载到 Mac 的 XProtect 签名文件。

这将运行 /Utilities 中的系统信息应用。向左滚动到 软件->安装，查看 XProtectPayloads 和 XProtectPlistConfigData，这些项将显示每个 XProtect 签名数据库从苹果下载的版本和日期/时间。

运行系统信息查看最近的 XProtect 下载。

公证和 Gatekeeper

当第三方开发者构建 Mac 应用程序时，可以将其发送给苹果进行 公证。提交给苹果的应用会被扫描以检测恶意软件，苹果会为已知版本的应用制作一个签名，并将其包含在 XProtect 签名文件中。

苹果为开发者提供了两个用于公证的命令行工具：altool（已过时）和更新的 notarytool，该工具在 Xcode 13 发布后提供。altool 在 macOS 15 Sequoia 中不再随附，苹果发布的技术说明 (TN3147) 提供了从旧工具迁移到新工具的相关信息。

您可以在 macOS 的终端应用中通过输入以下命令获取有关使用 notarytool 的帮助：

man notarytool，然后按 Return 键。

按 Control-Z 键可退出手册页面。

公证与苹果的 Gatekeeper 和 Developer ID 一起使用，以确保在 Mac 应用商店之外分发的 Mac 应用是合法的且不含恶意软件，包括病毒。

一旦苹果公证了第三方应用，开发者可以在 Mac 应用商店之外发布该应用。

公证和 Gatekeeper——连同 XProtect——使得您首次运行未通过 Mac 应用商店发布的应用时，会在 Finder 中看到“正在验证…”的对话框。

应用扫描过程会检查应用的包（文件夹）中是否存在恶意组件，如果发现，则阻止其运行。同时，它还将应用的内容与 XProtect 签名数据库中的已知恶意软件特征进行比较。

这是第一次运行大型应用时“验证”过程可能会很长的原因之一。

当您在 macOS Finder 中双击一个经过公证的 Mac 应用时，会看到“此应用是从互联网下载的。您确定要打开吗？”的对话框。这给您提供了一个机会，如果您愿意，可以选择不运行该应用。

如果您点击 确定，Finder 会启动该应用，如果它已被公证，XProtect 将开始扫描它以检测恶意组件。

图片来源：avagustafson

此前，可以完全禁用 Gatekeeper，但苹果在 2016 年取消了这一功能。如果未经过公证或未使用 Developer ID 构建的第三方 Mac 软件，在当前版本的 macOS 上将无法运行，并且不会提前警告您。

如果您在 Finder 中启动 Mac 应用程序时收到“移动到垃圾箱”或未经过验证的警告，您需要转到 系统设置->隐私与安全。点击 立即打开 按钮，并输入您的 Mac 管理员密码。

此外，苹果现在要求第三方开发者在分发其应用下载之前，添加 LSQuarantine（com.apple.quarantine）扩展文件系统属性。这个属性会触发 Gatekeeper 在运行应用前进行扫描。

然而，开发者仍然可以发布未添加此属性的 Mac 软件。

结合起来，这些安全功能使得恶意软件制造者更难感染您的 Mac。 

XProtect 至少每天运行一次，并在用户活动较低时进行扫描。

YARA 规则

XProtect 使用 Yara International ASA 的一组规则将其数据库与您 Mac 上的应用进行比较。YARA 使用基于特征的检测来定位嵌入代码中的恶意软件。

当 XProtect 扫描您 Mac 上的应用时，它会使用 YARA 规则对每个应用进行一系列对比。这可能会揭示嵌入在应用或应用包中的恶意代码的线索。

CISA 有一份关于使用 YARA 进行恶意软件检测 的文档，尽管略显过时。实际上，您并不需要了解 YARA 的内部细节，因为苹果会处理它在 macOS 中的使用。

XProtect 自行下载和更新其签名文件。

XProtect 对恶意软件的警报

如果您尝试启动包含已知恶意软件的应用，XProtect 会运行 XProtect Remediator，并在 Finder 中警告您该应用可能包含恶意软件。Finder 会询问您是否要将其移动到垃圾箱。

如果您点击 移动到垃圾箱，Finder 会将应用移动到 macOS 的垃圾箱中，但不会删除它。您必须使用 Finder->清空垃圾箱 菜单项目，才能真正从 Mac 中删除该应用。

XProtect Remediator 会在 Finder 中告诉您 XProtect 在您尝试启动某个应用时发现的恶意软件。您可以决定是否将其移至垃圾箱。

Howard Oakley 在 Eclectic Light Company 有一篇关于 XProtect Remediator 运行时会发生什么 的好文章。

Oakley 还提供了一份关于苹果对 XProtect 进行的更改的 2022 年记录，以及其扫描的恶意软件列表，尽管该列表并不详尽。

macOS 还包括一个名为 xprotect 的命令行接口 (CLI)。您可以在终端中运行此工具，获取有关您 Mac 上运行的 XProtect 的信息。

要查看终端中的 xprotect 命令列表，请输入：

man xprotect 并按 Return 键。

简而言之，命令包括：

1. update – 强制下载新的 XProtect 文件
2. check – 打印当前在线更新版本
3. version – 打印当前安装的 XProtect 文件版本
4. logs – 显示 XProtect 日志
5. status – 打印 XProtect 的当前状态
6. help – 打印子命令的帮助信息

请注意，所有 xprotect 命令必须使用 sudo 命令并输入管理员密码才能正常工作。

例如，运行 sudo xprotect update 时如果没有新文件下载，将会显示：

没有应用更新，已是最新

苹果的回应

如苹果所述，当 XProtect 检测到恶意软件时，苹果可能以多种方式作出反应，包括但不限于：

1. 撤销任何相关的开发者 ID 证书
2. 为所有文件发出公证撤销票据
3. 制定并发布 XProtect 签名

一般来说，您还可以使用终端中的 spctl 命令行工具检查 Mac 的系统安全策略：

spctl --status （系统策略控制）。

如果启用了安全扫描，您将看到如下响应：

spctl 有着众多选项和工具，因此您需要在终端中查看 man 页面以获取更多信息。

XProtect 可以禁用吗？

答案是：大部分情况下，但是不要这样做。

除非您的 Mac 完全离线、很少安装软件，或者您发现 конкрет的性能问题，否则没有真正的理由禁用 XProtect。这样做会让您的 Mac 面临已知和未知的恶意软件的攻击，您若这样做无疑是在自寻烦恼。

话虽如此，如果您确实 必须 禁用 XProtect，可以在终端中使用以下命令：

sudo spctl --master-disable

要重新启用 XProtect，请使用：

sudo spctl --master-enable

即使您禁用了 XProtect，也应尽量缩短禁用时间——在完成需要禁用 XProtect 的任务后，应尽快重新启用。

第三方扫描仪

尽管 XProtect 由苹果管理并且是 macOS 的一部分，但有时您可能仍想在 Mac 上运行第三方恶意软件扫描仪来查找恶意软件。

一些经过验证的扫描仪，如 Norton 和 McAfee 已存在数十年，因此它们始终可以信赖。此外，还有一些较小的第三方应用也不错，例如来自 SecureMac.com 的 PrivacyScan（15 美元）。

如果您使用第三方扫描仪，尽量使用在 Mac 应用商店销售的，因为苹果会审核所有 App Store 应用，以确保它们也不包含恶意软件。

总体而言，苹果对 XProtect 的管理表现优异，大多数情况下，它都是静默且可靠的。您可能希望在系统设置中启用自动安全更新，以确保您的 Mac 能够第一时间获取苹果发布的所有新的漏洞文件和更新。