mobinert/machunt

GitHub: mobinert/machunt

一款纯 Bash 编写的 macOS 只读威胁狩猎扫描器,通过 17 个模块检测持久化后门、签名异常和隐私授权等安全隐患。

Stars: 0 | Forks: 0

``` ███╗ ███╗ █████╗ ██████╗██╗ ██╗██╗ ██╗███╗ ██╗████████╗ ████╗ ████║██╔══██╗██╔════╝██║ ██║██║ ██║████╗ ██║╚══██╔══╝ ██╔████╔██║███████║██║ ███████║██║ ██║██╔██╗ ██║ ██║ ██║╚██╔╝██║██╔══██║██║ ██╔══██║██║ ██║██║╚██╗██║ ██║ ██║ ╚═╝ ██║██║ ██║╚██████╗██║ ██║╚██████╔╝██║ ╚████║ ██║ ╚═╝ ╚═╝╚═╝ ╚═╝ ╚═════╝╚═╝ ╚═╝ ╚═════╝ ╚═╝ ╚═══╝ ╚═╝ ``` ### 🛡️ macOS 威胁狩猎与妥协评估 **一款只读扫描器,深入探查 macOS 恶意软件的真正藏身之处——且绝不改动任何内容。** [![License: MIT](https://img.shields.io/badge/License-MIT-22c55e.svg?style=flat-square)](LICENSE) [![Platform](https://img.shields.io/badge/macOS-12%E2%80%9315-000000.svg?style=flat-square&logo=apple)](#) [![Shell](https://img.shields.io/badge/Pure_Bash-no_dependencies-4EAA25.svg?style=flat-square&logo=gnubash&logoColor=white)](#) [![Read Only](https://img.shields.io/badge/Mode-100%25_read--only-0ea5e9.svg?style=flat-square)](#-safety-first) [![Maintainer](https://img.shields.io/badge/by-Mobin_Erteghaie-8b5cf6.svg?style=flat-square)](https://github.com/mobinert)
## ⚡ 快速开始 ``` git clone https://github.com/mobinert/machunt.git cd machunt chmod +x machunt.sh ./machunt.sh # user-level scan sudo ./machunt.sh # full scan — system daemons, all ports, TCC ``` 带有时间戳的报告将保存到您的主文件夹,**并复制到您的桌面**。 ## 🎯 为什么选择 machunt? 杀毒软件寻找的是*已知*文件。**machunt 寻找的是技术手段**——即真实的 macOS 植入物所依赖的启动代理、签名异常、恶意 DNS 以及隐私授权。它不预设任何前提,验证每个持久化目标的代码签名,并准确告诉您**需要关注什么**,而绝不会在背后删除、隔离或“修复”任何东西。 ## 🔍 扫描内容 | # | 模块 | 检测内容 | |---|--------|-----------------| | 1 | **安全态势** | SIP, FileVault, Firewall, Gatekeeper, 远程登录, 屏幕共享 | | 2 | **LaunchAgents / Daemons** | 每个持久化的 plist——并对其目标进行**代码签名验证** | | 3 | **登录项与后台任务** | `sfltool` 后台项目,登录项辅助程序 | | 4 | **Cron · periodic · at · hooks · emond** | 经典和遗留的计划执行后门 | | 5 | **配置描述文件** | MDM / 间谍软件强制代理、证书、锁定设置 | | 6 | **内核与系统扩展** | 非 Apple 的 kext 及活动系统扩展 | | 7 | **运行中的进程** | 未签名或从临时/共享目录运行的实时二进制文件 | | 8 | **网络** | 监听端口 + 已建立的外连——*您的 Mac 正在与谁通信?* | | 9 | **DNS · hosts · proxy** | 流量劫持重定向和静默拦截 | | 10 | **浏览器扩展** | Safari + Chromium 广告软件 / 劫持者 | | 11 | **SUID / SGID 二进制文件** | 可写路径中的提权后门 | | 12 | **最近修改的文件** | 持久化/配置目录中的更改(过去 7 天) | | 13 | **Shell 与环境** | `*.rc` 文件中的“下载并执行” / 反向 shell 命令 | | 14 | **已知恶意软件 IOC** | 已记录的恶意路径 + “伪装成 Apple”的启发式检测 | | 15 | **隐私权限 (TCC)** 🆕 | 哪些 App 拥有**摄像头 / 麦克风 / 屏幕 / 全盘**访问权限——最常见的间谍软件特征 | | 16 | **隔离 / 下载** 🆕 | 最近下载的可执行文件及其*来源* | | 17 | **基线对比** 🆕 | 对持久化项进行指纹记录,并在多次运行之间**对任何新增项发出警报** | ## 🧪 签名模型(核心理念) 对于每一个自动运行的二进制文件,machunt 都会对其代码签名进行分类: | 结论 | 含义 | |---------|---------| | 🟢 `Apple-signed` | 由 Apple 提供——符合预期 | | 🔵 `Developer ID` | 真实的供应商——*确认是您自己安装的* | | 🔴 `ad-hoc` / `unsigned` / `invalid` | **在恶意软件中很常见——需进行调查** | ## 🛟 安全第一 - **设计为只读。** 绝不执行 `rm`、`kill`、隔离或更改配置——绝不。 - **无依赖。** 纯 `bash` + macOS 自带工具。不会安装任何东西。 - **任何数据都不会离开您的 Mac。** 没有网络调用,没有遥测。报告完全归您所有。 - `.gitignore` 默认将您自己的扫描报告和基线**排除在 git 之外**。 ## 📋 解读结果 扫描完成后,请从上到下依次查看各项标记。在健康的 Mac 上,大多数标记都是良性的(例如您的 VPN、Developer ID 实用程序、您自己的 SSH)。对于任何不熟悉的内容: ``` shasum -a 256 /path/to/suspicious/binary # then look the hash up on VirusTotal ``` ### 推荐配套工具 - **[Objective-See](https://objective-see.org)** — KnockKnock(持久化检查)、**LuLu**(出站防火墙)、BlockBlock(实时警报)。黄金标准,免费。 - **Malwarebytes for Mac** — 快速清理已知广告软件。 ## 🗺️ 路线图 - [ ] `--json` 机器可读输出 - [ ] 具有严重性分组的 HTML 报告 - [ ] 针对可疑 `execve` 事件的统一日志分诊 - [ ] Wi-Fi / ARP 异常检查 ## 📄 许可证 [MIT](LICENSE) © 2026 **Mobin Erteghaie**
专为防御者打造。请仅在您拥有或被授权评估的系统上使用。
标签:Bash, SQL, 妥协评估, 应用安全, 系统审计, 网络信息收集