makaisghr的专栏

Mac下清除@例如xattr -d com.apple.FinderInfo /Volumes/My\ Passport/KAI/*

在2017年之前，研究人员无法轻松监控macOS上某个进程执行的操作，而不得不求助于生成底层系统调用数据的编码脚本。FireEye 于2017年发布了Monitor.app，可在更高级别上收集macOS上的信息; 在一个简化的数据集，与类似的Dtrace。多年来，我创建了许多Monitor.app版本，并收到了用户的积极反馈。不过最近，用户注意到它不适用于macOS Catalina（10.15）…最初，需要使用内核扩展来提供Monitor.app提供的检查功能。不幸的是，内核扩展以特权模式运行，而特权模

利用LaunchAgent驻留在macOS上实现驻留的最常见方式是通过LaunchAgent。Mac用户在Library文件夹下都有一个LaunchAgent文件夹，用来指定用户每次登陆后要执行的代码。(10.15版本后会默认隐藏)系统还有一个自己的LaunchAgents文件夹。因为该文件夹是由于macOS自己管理的，默认请求下恶意软件不会进入该文件夹。LaunchAgents以property list file的形式来指定要执行的文件，或包含要执行的命令。因为用户LaunchAgents

编写任务脚本把要执行的任务写好编写任务描述文件mac的任务描述文件是plist格式的。结构如下：<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict>