Dylib Hijack Scanner (DHS)

一款专为 macOS 设计的简易实用工具，用于扫描您的电脑，检测哪些应用程序容易遭受动态库（dylib）劫持攻击，或是否已经被劫持。该工具所针对的攻击技术细节，已在 CanSecW 安全会议上通过题为《OS X 上的 DLL 劫持？当然！》的演讲进行了详细阐述。

支持系统： macOS 11 或更高版本 当前版本： 1.6.0 （查看更新日志） 文件验证： 压缩包 SHA-1: 08A2AF3D781CE16E485C93B26A17A95CC6DA080E

---

核心功能与特点

• 全面扫描与检测：自动扫描并识别系统中易受劫持和已被劫持的应用程序。
• 自定义偏好设置：
  • 完整扫描：启用后，将对整个文件系统进行全面扫描。
  • 弱导入检测：启用后，将检测利用“弱链接”机制进行劫持的攻击者。
  • 保存结果：将全部扫描结果以 JSON 格式保存在应用目录下的 dhsFindings.txt 文件中，便于分析与存档。
• 倾向于报告潜在风险：DHS 的设计原则是 “宁可误报，不可漏报”。这种策略能够更广泛地发现恶意劫持行为，但也可能导致某些合法的动态库被标记。
• 简洁直观的界面：操作简单，一键启动扫描。

使用指南

1. 下载与解压：
   • 从官网下载包含应用的 ZIP 归档文件。
   • 根据浏览器设置，您可能需要手动双击 ZIP 文件以解压出DHS.app。
2. 启动与扫描：
   • 双击 DHS.app 启动程序。
   • 点击 Start Scan 按钮即可开始扫描。
3. 解读结果：
   • 易受攻击的应用程序：扫描出此类应用非常普遍，这并不意味着您的电脑已被黑客入侵。它仅表示在系统已被入侵的前提下，攻击者可能会利用这些应用来维持隐蔽的恶意活动。
   • 被劫持的应用程序：如果程序在此类别下列出了任何应用，则需要引起注意。这可能是误报，也可能是真实的劫持行为。建议联系开发者或参考常见问题解答进行排查。
4. 偏好设置：
   • 点击界面左下角的 齿轮 图标可打开偏好设置面板，并根据需要勾选上述功能选项。

优势

• 主动安全防御：帮助用户和安全研究人员主动识别系统中潜在的动态库劫持漏洞和实际发生的攻击，提升系统安全性感知。
• 专业背景：基于 Objective-See 团队在 macOS 安全领域的深入研究，工具针对的是 macOS 核心机制层面的攻击向量。
• 透明与开源：工具完全开源，方便安全社区审查代码、验证其有效性和可靠性，并促进协作改进。
• 免费实用：作为一款免费工具，它为普通用户和专业人士提供了一个强大的基础安全检测手段。

---

常见问题解答 (FAQ)

Q: DHS 发现了一些易受攻击的应用程序，我应该担心吗？ A: 不必过度担心。“易受攻击”仅意味着在本地攻击者已经入侵您的电脑后，可能滥用这些应用（例如那些被操作系统自动启动的应用）来隐蔽地植入恶意动态库以实现持久化驻留。关键在于，要利用此漏洞，攻击者必须已经获得了您电脑的初始访问权限。

Q: 有针对这些易受攻击应用程序的修补程序吗？ A: 由于动态库劫持利用了 macOS 核心操作系统的合法功能，目前没有针对单个应用程序的修补程序。未来，Apple 可能在操作系统层面引入新的安全功能（例如要求所有库都必须签名），这或许能缓解此类攻击。

Q: DHS 发现了一个被劫持的应用，该怎么办？

重要提示：对于扫描结果中标记的项目，尤其是“被劫持的应用程序”，建议谨慎对待并进行二次验证。了解工具的“倾向于误报”原则有助于更准确地评估风险。