mobinert/machunt
GitHub: mobinert/machunt
一款纯 Bash 编写的 macOS 只读威胁狩猎扫描器,通过 17 个模块检测持久化后门、签名异常和隐私授权等安全隐患。
Stars: 0 | Forks: 0
```
███╗ ███╗ █████╗ ██████╗██╗ ██╗██╗ ██╗███╗ ██╗████████╗
████╗ ████║██╔══██╗██╔════╝██║ ██║██║ ██║████╗ ██║╚══██╔══╝
██╔████╔██║███████║██║ ███████║██║ ██║██╔██╗ ██║ ██║
██║╚██╔╝██║██╔══██║██║ ██╔══██║██║ ██║██║╚██╗██║ ██║
██║ ╚═╝ ██║██║ ██║╚██████╗██║ ██║╚██████╔╝██║ ╚████║ ██║
╚═╝ ╚═╝╚═╝ ╚═╝ ╚═════╝╚═╝ ╚═╝ ╚═════╝ ╚═╝ ╚═══╝ ╚═╝
```
### 🛡️ macOS 威胁狩猎与妥协评估
**一款只读扫描器,深入探查 macOS 恶意软件的真正藏身之处——且绝不改动任何内容。**
[](LICENSE)
[](#)
[](#)
[](#-safety-first)
[](https://github.com/mobinert)
## ⚡ 快速开始
```
git clone https://github.com/mobinert/machunt.git
cd machunt
chmod +x machunt.sh
./machunt.sh # user-level scan
sudo ./machunt.sh # full scan — system daemons, all ports, TCC
```
带有时间戳的报告将保存到您的主文件夹,**并复制到您的桌面**。
## 🎯 为什么选择 machunt?
杀毒软件寻找的是*已知*文件。**machunt 寻找的是技术手段**——即真实的 macOS 植入物所依赖的启动代理、签名异常、恶意 DNS 以及隐私授权。它不预设任何前提,验证每个持久化目标的代码签名,并准确告诉您**需要关注什么**,而绝不会在背后删除、隔离或“修复”任何东西。
## 🔍 扫描内容
| # | 模块 | 检测内容 |
|---|--------|-----------------|
| 1 | **安全态势** | SIP, FileVault, Firewall, Gatekeeper, 远程登录, 屏幕共享 |
| 2 | **LaunchAgents / Daemons** | 每个持久化的 plist——并对其目标进行**代码签名验证** |
| 3 | **登录项与后台任务** | `sfltool` 后台项目,登录项辅助程序 |
| 4 | **Cron · periodic · at · hooks · emond** | 经典和遗留的计划执行后门 |
| 5 | **配置描述文件** | MDM / 间谍软件强制代理、证书、锁定设置 |
| 6 | **内核与系统扩展** | 非 Apple 的 kext 及活动系统扩展 |
| 7 | **运行中的进程** | 未签名或从临时/共享目录运行的实时二进制文件 |
| 8 | **网络** | 监听端口 + 已建立的外连——*您的 Mac 正在与谁通信?* |
| 9 | **DNS · hosts · proxy** | 流量劫持重定向和静默拦截 |
| 10 | **浏览器扩展** | Safari + Chromium 广告软件 / 劫持者 |
| 11 | **SUID / SGID 二进制文件** | 可写路径中的提权后门 |
| 12 | **最近修改的文件** | 持久化/配置目录中的更改(过去 7 天) |
| 13 | **Shell 与环境** | `*.rc` 文件中的“下载并执行” / 反向 shell 命令 |
| 14 | **已知恶意软件 IOC** | 已记录的恶意路径 + “伪装成 Apple”的启发式检测 |
| 15 | **隐私权限 (TCC)** 🆕 | 哪些 App 拥有**摄像头 / 麦克风 / 屏幕 / 全盘**访问权限——最常见的间谍软件特征 |
| 16 | **隔离 / 下载** 🆕 | 最近下载的可执行文件及其*来源* |
| 17 | **基线对比** 🆕 | 对持久化项进行指纹记录,并在多次运行之间**对任何新增项发出警报** |
## 🧪 签名模型(核心理念)
对于每一个自动运行的二进制文件,machunt 都会对其代码签名进行分类:
| 结论 | 含义 |
|---------|---------|
| 🟢 `Apple-signed` | 由 Apple 提供——符合预期 |
| 🔵 `Developer ID` | 真实的供应商——*确认是您自己安装的* |
| 🔴 `ad-hoc` / `unsigned` / `invalid` | **在恶意软件中很常见——需进行调查** |
## 🛟 安全第一
- **设计为只读。** 绝不执行 `rm`、`kill`、隔离或更改配置——绝不。
- **无依赖。** 纯 `bash` + macOS 自带工具。不会安装任何东西。
- **任何数据都不会离开您的 Mac。** 没有网络调用,没有遥测。报告完全归您所有。
- `.gitignore` 默认将您自己的扫描报告和基线**排除在 git 之外**。
## 📋 解读结果
扫描完成后,请从上到下依次查看各项标记。在健康的 Mac 上,大多数标记都是良性的(例如您的 VPN、Developer ID 实用程序、您自己的 SSH)。对于任何不熟悉的内容:
```
shasum -a 256 /path/to/suspicious/binary # then look the hash up on VirusTotal
```
### 推荐配套工具
- **[Objective-See](https://objective-see.org)** — KnockKnock(持久化检查)、**LuLu**(出站防火墙)、BlockBlock(实时警报)。黄金标准,免费。
- **Malwarebytes for Mac** — 快速清理已知广告软件。
## 🗺️ 路线图
- [ ] `--json` 机器可读输出
- [ ] 具有严重性分组的 HTML 报告
- [ ] 针对可疑 `execve` 事件的统一日志分诊
- [ ] Wi-Fi / ARP 异常检查
## 📄 许可证
[MIT](LICENSE) © 2026 **Mobin Erteghaie**
专为防御者打造。请仅在您拥有或被授权评估的系统上使用。
标签:Bash, SQL, 妥协评估, 应用安全, 系统审计, 网络信息收集