jaybird1291/macOS-persistence-cheatsheet

# macOS 持久化速查表 一份面向 DFIR 的实用速查表，用于识别、分类和审查 macOS 持久化机制。包含额外背景信息，如适用范围、所需权限、权威来源、信号级别、误报风险以及审查指导。   ## 功能 - 支持浅色和深色主题。 - 涵盖 39 种 macOS 持久化机制，分布于核心启动、Shell 和计划执行、扩展和处理程序、相邻及传统技术，以及配置文件 / MDM。 - 包含搜索和交互式图例过滤器，可按适用范围、所需权限、权威来源、信号和误报风险快速筛选机制。 - 提供快速导航、阅读/紧凑密度模式以及专注模式。 - 包含同步的机制概览，可快速扫描所有记录的技术。 - 记录每种机制的工件路径、收集和分类说明、执行触发器以及审查指导。 ## 官方页面 - [macOS Persistence Cheatsheet](https://jaybird1291.github.io/blog-cyber/posts/macos-persistence-cheatsheet/) ## 当前版本 当前发布的版本是 `v1.2`，日期为 `2026-04-08`。 当前仓库中存在的资产： - `macos-persistence-cheatsheet-light-v1.2.html` - `macos-persistence-cheatsheet-dark-v1.2.html` - `macOS Persistence Cheatsheet Light v1.2.pdf` - `macOS Persistence Cheatsheet Dark v1.2.pdf` ### v1.2 更新日志 **概要** - 记录的机制数量从 `31` 增加到 `39`，新增了 `8` 个条目，无删除。 **变更** - 改进了整体配色方案。 **新增** - 新增 `Privileged Helper Tools` 条目，涵盖经典的 `SMJobBless` 布局和现代 bundle 内嵌的辅助工具。 - 新增 `SSH rc` 条目，用于 `~/.ssh/rc` 以及通常放置在 `~/.security/` 下的链式 payload 投放。 - 新增 `Calendar Alerts / EventKit` 条目，涵盖基于闹钟的执行触发器和相关日历工件。 - 新增 `Finder Sync Extensions` 条目，用于通过 `pluginkit` 注册的 `.appex` 包。 - 新增 `Application Support helpers` 条目，用于 `~/Library/Application Support/` 下的可疑可执行文件、脚本和启动风格的 `.plist` 文件。 - 新增 `Application startup scripts` 条目，用于应用特定的启动挂钩，例如 Atom、iTerm2 和 Sublime Text 启动脚本。 - 新增 `App preference triggers` 条目，用于隐藏在用户首选项中的持久化，例如 Dock 图块、Terminal 命令字符串和屏幕保护程序模块。 - 新增 `TCC / Accessibility Grants` 条目，涵盖用户和系统 `TCC.db`，作为与持久化相邻的能力放大面。 - 新增了用于发布和发布速查表资产的初始 GitHub 仓库骨架。 **扩展** - 扩展了 `Shell init (zsh)` 和 `Shell init (bash / sh)` 以包含 `~/.security/` 下的隐藏辅助投放。 - 扩展了 `Cron` 以包含隐藏的 payload 路径，例如 `~/Public/Drop Box/.share.sh`。 - 扩展了 `Application / daemon plug-ins` 以包含 `Sublime Text` 包、`~/.vim/plugin` 和 `~/Library/Application Support/xbar/plugins`。 - 扩展了 `Login Hooks` 以包含 root 作用域的 `com.apple.loginwindow.plist` 以及 `/Users/Shared/.security/` 下的共享 payload 暂存。 - 扩展了 `Periodic Jobs` 以包含 `/usr/local/etc/periodic/{daily,weekly,monthly}`，以及系统 `/etc/periodic` 目录树。 - 扩展了 `KEXTs` 以包含 `/System/Library/Extensions` 以及 `/Library/Extensions`。 ## 版本历史 - `v1.2` (`2026-04-08`)：将覆盖范围从 31 个扩展到 39 个机制，并刷新了视觉设计 - `v1.1` (`2026-04-08`)：UI 打磨，改进滚动行为，专注模式清理，以及概览徽章修复 - `v1.0` (`2026-04-07`)：初始发布版本 ## 贡献 欢迎通过 issues 和 pull requests 进行贡献。 您可以通过报告不准确之处、建议遗漏的持久化机制、改进分类指导等方式提供帮助。 请尽量保持贡献： - 实用且技术准确 - 简洁且与当前结构一致 - 在相关时与版本化和已发布的资产保持同步

标签：Artifact, Cheatsheet, Launch Agents, Launch Daemons, MDM, Persistence, Shell配置, 后端开发, 多模态安全, 库, 应急响应, 开源安全工具, 恶意代码分析, 数字取证, 数据可视化, 数据展示, 检测规则, 特权提升, 系统加固, 红队, 网络安全, 网络资产发现, 自动化脚本, 自动化部署, 辅助工具, 逆向工程平台, 速查表, 配置文件, 隐私保护