BlockBlock：macOS 持久性威胁监控工具

BlockBlock 是一款由 Objective-See 开发的 macOS 系统安全工具，专注于监控和阻止恶意软件通过持久性机制在系统中的自启动行为。它通过实时监控常见的持久化位置，在检测到可疑的持久化组件时向用户发出警报，从而有效防止恶意软件在系统重启后自动运行。

---

🛡️ 功能特点与优势

1. 实时监控持久化机制

• 监控核心位置：BlockBlock 持续监控 macOS 系统中常见的持久化位置，包括启动项、启动代理、登录项、定时任务等恶意软件常利用的持久性组件安装点。
• 端点安全框架：基于 Apple 官方的“终端安全框架”开发，确保了监控的高效性和系统兼容性。

2. 智能警报与响应

• 详细警报信息：
  • 显示触发持久化行为的进程（名称、PID、路径、参数）。
  • 显示被修改的持久化文件和被添加的持久化组件。
  • 提供点击查看进程的代码签名信息、VirusTotal 检测结果和进程族谱的功能。
• 灵活的响应选项：
  • 允许：信任该进程和持久化项目。
  • 阻止：阻止该持久化项目，并从文件系统中移除相应组件。
  • 临时处理：通过勾选“temporarily”复选框，可临时允许或阻止，不创建长期规则。
• 规则作用域设置：可通过下拉菜单自定义规则的匹配范围（如仅匹配进程、持久化文件或持久化项目，或它们的组合）。

3. 规则的创建与管理

• 自动规则生成：根据用户的允许或阻止操作，自动生成相应的规则，确保后续遇到相同的持久化行为时自动处理。
• 手动规则管理：用户可以通过状态栏菜单中的“规则”选项，查看、编辑或删除现有规则，实现细粒度控制。

4. 系统集成与日志记录

• 系统权限要求：安装时需要系统授权，并需在“系统设置”中为 BlockBlock 授予“完全磁盘访问权限”，以确保其能够有效监控文件系统。
• 自动启动保护：安装后，BlockBlock 会在系统启动时自动运行，提供持续的保护。
• 详细日志记录：所有的警报响应和操作都会被记录到 /Library/Objective-See/BlockBlock/BlockBlock.log 文件中，便于用户追踪和审计。

5. 易于安装与卸载

• 简单安装流程：下载最新版本后，运行“BlockBlock Installer.app”并点击“安装”按钮即可完成安装。
• 清晰的卸载步骤：通过状态栏菜单中的“卸载 BlockBlock”选项，可启动卸载程序，轻松完全移除软件。

---

🚀 支持与兼容性

• 支持的操作系统：macOS 10.15 及以上版本
• 最新版本：2.2.5（支持查看变更日志）
• 源代码开放：BlockBlock 的源代码可供用户查看和审计，增加了软件的透明度与可信度。

---

BlockBlock 是一款针对 macOS 系统设计的轻量级、专业级安全工具，特别适合关注系统安全、希望防止恶意软件通过持久化机制入侵的用户。其基于官方安全框架的设计，确保了与 macOS 系统的完美兼容，同时提供了直观的用户界面和灵活的控制选项，使得安全防护变得简单而高效。