KnockKnock

应用类型： 系统安全、恶意软件检测工具 支持系统： macOS 10.15 及以上版本 最新版本： 4.0.3 许可证： 免费、开源 开发商： Objective-See

简介

KnockKnock（意为“敲门，是谁？”）是一款由知名 Mac 安全研究组织 Objective-See 开发的免费、开源安全工具。它的核心功能是扫描并列出所有在您的 Mac 上持久安装的软件，从而帮助用户和专业人士发现可能存在的恶意软件。

恶意软件通常会通过各种“持久化”机制将自己“钉”在系统中，以确保电脑每次重启时都能自动（重新）运行。KnockKnock 的设计初衷，正是为了通用性地揭示这类具有持久化特性的潜在威胁。

核心功能与特点

1. 全面且深入的持久化扫描

• 系统级枚举： 扫描数十种 macOS 已知的持久化位置，包括：
  • 启动项、登录项
  • Launch Daemons/Agents
  • 浏览器扩展与插件
  • 计划任务（cron jobs、emond）
  • 内核扩展、系统守护进程、网络扩展
  • 重启动性事件监控工具等高级项目
• 分类展示： 将所有发现的持久化项目按类型清晰分类，用户可以一目了然地查看和管理。

2. 详细的上下文信息

• 对扫描到的每个项目，KnockKnock 不仅显示其名称和路径，还提供：
  • 代码签名状态： 使用图标清晰标识该项目是否由 Apple 签名、由第三方开发者签名，或是未签名。
  • 文件哈希值（SHA-1/SHA-256）
  • 捆绑信息（如果是应用程序）
  • 首次/最后执行时间
• 一键搜索： 可以快速将文件名或哈希值发送到 VirusTotal 等在线平台进行进一步查询。

3. 集成 VirusTotal 检查

• 用户可以（可选）配置自己的 VirusTotal API 密钥。
• 配置后，KnockKnock 能自动查询 VirusTotal 数据库，快速识别已知的恶意软件样本，为判断提供有力参考。

4. 易用性与无侵扰性

• 无需安装： 应用本身是一个独立的 .app 文件，从 ZIP 压缩包解压后可直接在任何位置运行。卸载同样简单，只需删除该应用文件即可。
• 向导式初次配置： 清晰引导用户授予“完全磁盘访问权限”（这是深度扫描所必需），并提供初始设置选项。
• 结果中立： 工具本身不会直接判定一个项目为“恶意”，而是客观地展示所有持久化项目，将判断权留给用户。默认情况下会过滤掉已签名的 Apple 二进制文件，以减少信息噪音。

5. 高度透明与可信

• 完全开源： 其源代码在 GitHub 上公开，任何人都可以审查其逻辑，确保其行为无恶意。
• 来自 Objective-See： 由业内顶尖的 macOS 恶意软件研究员 Patrick Wardle 及其团队开发，信誉卓著。

主要优势

1. 主动防御： 帮助用户在被恶意软件完全控制之前，发现其“落脚点”，实现主动防御，而非被动查杀。
2. 深度发现： 能够发现许多传统防病毒软件可能忽略的、通过复杂或新型持久化技术隐藏的威胁。
3. 系统监控： 对于系统管理员和高级用户，它是一个绝佳的系统监控工具，可以清晰了解系统中所有自动运行的程序，检查软件的“隐形”安装。
4. 教育与研究： 作为一款教育工具，它直观地展示了 macOS 系统的持久化机制，是学习 macOS 安全知识的绝佳辅助。
5. 免费与自由： 完全免费且开源，没有任何功能限制或使用门槛。

使用方法简述

1. 下载与运行： 从官网下载 ZIP 文件，解压得到 KnockKnock.app，双击运行。
2. 授予权限： 首次运行需在“系统设置” -> “隐私与安全性” -> “完全磁盘访问权限”中授予其权限。
3. 初始设置： 在配置界面选择扫描偏好（如忽略 Apple 项目、集成 VirusTotal 等）。
4. 开始扫描： 点击“开始扫描”按钮，等待扫描完成并查看结果。

重要提示

• 谨慎判断： KnockKnock 会列出所有持久化软件，包括大量完全合法的第三方程序。列表中出现的项目不代表就是恶意软件。 用户需要结合路径、签名、开发者信息和 VirusTotal 报告等信息进行综合判断。
• 高级工具： 虽然界面友好，但解读结果需要一定的 macOS 知识。对于不确定的项目，建议先搜索其名称进行核实，不要轻易删除系统关键文件。

总结

KnockKnock 是一款 macOS 安全领域必备的辅助工具。它以简洁高效的方式，揭开了系统持久化层面的神秘面纱，是 Mac 用户、IT 管理员和安全研究人员维护系统安全、排查未知威胁的强大伴侣。其开源、免费的属性，更是将专业级的安全防护能力带给了每一位普通用户。