We use cookies to ensure that we give you the best experience on our website.

כיצד XProtect מגן עליך מפני וירוסים ב-macOS

XProtect הוא של אפלמקמערכת זיהוי וירוסים השומרת על ה-Mac שלך בטוח. כך פועלת תכונת ה-macOS המגן.

וירוסים ותוכנות זדוניות אחרות מהווים איום מתמיד על מחשבים, שגולשי אינטרנט צריכים לעקוף אותו בכל פעם שהם נכנסים לאינטרנט.

וירוס מחשב הוא פיסת קוד קטנה שמותקנת במחשב שלך בשקט. כזה שבו הוא פועל או מטמיע את עצמו בתוכנות אחרות וגורם להרס.

תוכנה זדונית נכתבת על ידי שחקנים גרועים שמתכוונים לפגוע במחשבים, מערכות או מכשירים אלקטרוניים אחרים. ברגע שווירוס נכנס לטבע, הוא יכול להתפשט במהירות על פני מיליוני מחשבים - לעתים קרובות לא מזוהה עד שזה מאוחר מדי.

כתגובה לווירוסים ותוכנות זדוניות אחרות, ספקי תוכנות ומערכות הפעלה רבים פיתחו תוכנות אנטי-וירוס או אנטי-תוכנות זדוניות. אלה יכולים לסרוק ו"לנקות" מחשב מקוד זדוני.

אחת הדרכים שבהן תוכנת אנטי-וירוס עושה זאת היא לסרוק אחר חתימות, גדלים וקוד ידועים של אפליקציות. לאחר מכן הם מושווים למאגרי מידע שהורדו של תוכנות זדוניות ידועות.

אם נמצא התאמה, ניתן להסיר את התוכנה הפגומה מהמחשב.

שתי חבילות תוכנת אנטי-וירוס מוקדמות שראשונות עשרות שנים ב-Mac הןנורטון אנטי וירוסווירקס.מקאפיהיא אפליקציית אנטי וירוס נוספת שקיימת ב-Mac כבר שנים ועדיין זמינה היום.

החל ב-Mac OS X 10.6 Snow Leopard בשנת 2009, אפל הוסיפה הגנת אנטי-וירוס משלה בשםXProtect.

XProtect פועלברקע, ניתוח בכל פעם שאפליקציה מושקת לראשונה, כאשר אפליקציה משתנה במערכת הקבצים, או כאשר מסד נתונים חדש של חתימות XProtect זמין להורדה.

אלו הם התגובות אבטחהלעתים קרובות תראה רשום בהגדרות מערכת->כללי->עדכוני תוכנה

חלק מהמשתמשים דיווחו על שימוש גבוה במעבד בשירות XProtect ברקע (XProtectService) כפי שניתן לראות בכלי השירות Activity Monitor, אך באופן אישי, עדיין לא ראינו אותו.

כאשר XProtect פועל בשקט ברקע, הוא צופה במערכת הקבצים ובאפליקציות בזמן שהם מופעלים - בודק את ה-Mac שלך עבור תוכנות זדוניות שרשומות במסד הנתונים של חתימות XProtect. אם נמצא התאמה, XProtect יבקש ממך להסיר את התוכנה הזדונית מהמחשב שלך.

על ידי שימוש בצג רקע שקט כדי לצפות בתוכנות זדוניות, XProtect שומר על ה-Mac שלך בטוח ונקי מיישומים שעלולים להזיק.

מאז XProtect הוא חלקmacOS, ומכיוון שקובצי החתימות שלו מתארחים ומותקנים על ידי אפל, אינך צריך לדאוג לכלום - ה-Mac שלך דואג להכל בשבילך.

קבצי ה-X(הגן).

אתה יכול לראות אילו קבצי חתימה של XProtect הורדו ל-Mac שלך על ידי לחיצה ממושכת עלאוֹפְּצִיָהמקש ובחירהמידע מערכתמהתפריט תפוחבשורת התפריטים.

זה מפעיל את אפליקציית מידע מערכת ב-/Utilities. גלול אלתוכנה->התקנותבצד שמאל לראותXProtectPayloadsוXProtectPlistConfigDataהמציגים את הגרסה והתאריך/שעה שכל מסד נתונים של חתימות XProtect הורד מאפל.

הפעל את מידע מערכת כדי לראות הורדות אחרונות של XProtect.

אישור נוטריוני ושומר סף

כאשר מפתחי צד שלישי בונים אפליקציית Mac הם יכולים לשלוח אותה לאפל עבוראישור נוטריוני. אפליקציות הנשלחות לאפל בדרך זו נסרקות לאיתור תוכנות זדוניות, ואפל מבצעת חתימה של גרסאות ידועות של האפליקציה כדי לכלול אותה בקובץ החתימות של XProtect.

אפל מספקת למפתחים שני כלים בשורת פקודה לאישור נוטריוני:altool(מיושן), והחדש יותרnotarytoolאשר נשלח לאחרXcode13.altoolכבר לא נשלח עםmacOS 15לסקויה ואפל יש אtechnote (TN3147)במעבר מהכלי הישן לחדש.

אתה יכול לקבל עזרה בשימושnotarytoolבאפליקציית Terminal של macOS על ידי הקלדה:

man notarytoolולחיצהלַחֲזוֹר.

לִלְחוֹץControl-Zבמקלדת כדי לצאת מדף האיש.

לאפל יש גם דף בנושאהתאמה אישית של זרימת העבודה הנוטריוניתבתיעוד המפתחים.

אישור נוטריון עובד יחד עם שומר הסף ומזהה מפתח של אפל כדי להבטיח שיישומי Mac מופצים מחוץ ל-MacApp Storeהם אותנטיים ואינם מכילים תוכנות זדוניות - כולל וירוסים.

לאחר ש-Apple קיבלה אישור נוטריוני לאפליקציה של צד שלישי, היא יכולה להשתחרר מחוץ ל-Mac App Store על ידי מפתחים.

נוטריון ו-gatekeeper - יחד עם XProtect - הם הגורמים לתיבת הדו-שיח "מאמת..." להופיע ב-Finder בפעם הראשונה שאתה מפעיל אפליקציה שלא שוחררה דרך חנות האפליקציות של Mac.

תהליך סריקת האפליקציה סורק את החבילה (תיקיה) של האפליקציה לאיתור רכיבים זדוניים ומונע ממנה לפעול אם נמצאו כאלה. הוא גם משווה את תוכן האפליקציה עם חתימות תוכנות זדוניות ידועות הכלולות במסד הנתונים של חתימות XProtect.

זו אחת הסיבות שתהליך ה"אימות" יכול לקחת כל כך הרבה זמן עבור אפליקציות גדולות יותר בפעם הראשונה שאתה מפעיל אותן.

כאשר תלחץ פעמיים על אפליקציית Mac עם נוטריון ב-macOS Finder, תראה את ההודעה "אפליקציה זו היא אפליקציה שהורדה מהאינטרנט. האם אתה בטוח שברצונך לפתוח אותה?" דו-שיח. זה נותן לך הזדמנות לסגת מהפעלת האפליקציה אם תרצה בכך.

אם תלחץבְּסֵדֶרה-Finder מפעיל את האפליקציה, ואם היא קיבלה אישור נוטריוני XProtect מתחילה לסרוק אותה לאיתור רכיבים זדוניים.

קרדיט תמונה: אוגוסטפסון

בעבר ניתן היה להשבית את Gatekeeper לחלוטין, אך אפל הסירה את היכולת הזו בשנת 2016. תוכנת Mac של צד שלישי שאינה של Gatekeeper לא תפעל בגירסאות נוכחיות של macOS אם היא לא עברה אישור נוטריוני או נבנתה עם מפתח מזהה מבלי להזהיר אותך תחילה .

אם אתה מקבל את "העבר לאשפה" או אזהרות לא מאומתות ב-Finder בעת הפעלת אפליקציית Mac, תצטרך לעבור אלהגדרות מערכת->פרטיות ואבטחה. לחץ עלפתוח בכל מקרהלחצן והזן סיסמת מנהל עבור ה-Mac שלך.

אפל גם דורשת כעת ממפתחי צד שלישי להוסיף אתLSQuarantine(com.apple.quarantine) תכונת מערכת קבצים מורחבת להורדות האפליקציה שלהם לפני הפצתן באינטרנט. תכונה זו מפעילה את Gatekeeper לסרוק את האפליקציה לפני הפעלתה.

עם זאת, זה עדיין אפשרי למפתחים לשחרר תוכנת Mac באינטרנט בלי להוסיף תכונה זו.

ביחד, תכונות האבטחה הללו אומרות שהרבה יותר קשה לשחקני תוכנות זדוניות להדביק את ה-Mac שלך בתוכנה גרועה.

XProtect פועל לפחות פעם ביום וכאשר פעילות המשתמש ב-Mac נמוכה, לפי Apple.

חוקי YARA

XProtect משתמש בקבוצה של חוקי YARA מ-VirusTotal כדי להשוות את מסד הנתונים שלה לאפליקציות ב-Mac שלך. YARA משתמשת בזיהוי מבוסס חתימה כדי לאתר תוכנות זדוניות המוטבעות בקוד.

כאשר XProtect סורקת אפליקציות ב-Mac שלך לאיתור תוכנות זדוניות, היא משתמשת בכללי YARA כדי לבדוק כל אפליקציה עבור קבוצה של השוואות. אלה עשויים להניב רמזים המצביעים על קוד זדוני המוטמע באפליקציות או בחבילות אפליקציות.

ל-CISA יש מסמך קצת מיושן לגבי השימושYARA לזיהוי תוכנות זדוניות. אתה באמת לא צריך לדעת את הפרטים הפנימיים כדי ש-YARA יהיה שימושי מכיוון שאפל מטפלת בשימוש שלה ב-macOS.

XProtect מוריד ומעדכן את קבצי החתימות שלו.

התראות XProtect עבור תוכנות זדוניות

אם תנסה להפעיל אפליקציה המכילה תוכנה זדונית ידועה, XProtect יריץ אתXProtect Remediatorויתריע ב-Finder כי הוא חושב שהאפליקציה עשויה להכיל תוכנות זדוניות. Finder ישאל אותך אם אתה רוצה להעביר אותו לאשפה.

אם תלחץהעבר לאשפה, ה-Finder יעביר את האפליקציה לפח האשפה של macOS אך לא ימחק אותה. אתה חייב להשתמש בFinder->רוקן אשפהפריט תפריט כדי למחוק בפועל את האפליקציה מה-Mac שלך.

XProtect Remediator אומר לך ב-Finder איזה תוכנות זדוניות XProtect מצא באפליקציה מסוימת כשניסית להפעיל אותה. לאחר מכן תוכל להחליט אם להעביר אותו לפח או לא.

להווארד אוקלי בחברת Eclectic Light יש אעמוד נחמדעל מה שקורה כאשר XProtect Remediator פועל.

לאוקלי יש גם אהערה משנת 2022על שינויים שביצעה אפל ב-XProtect - ואיזה תוכנות זדוניות היא סורקת, למרות שהרשימה אינה ממצה בשום פנים ואופן.

למידע מסכם על אופן הפעולה של XProtect ותוכנות אבטחה אחרות של macOS, עיין ב-Appleמדריך אבטחת פלטפורמהושומר סף והגנה על זמן ריצהב-macOS.

macOS כולל גם ממשק שורת פקודה (CLI) ל-XProtect שנקראxprotect. אתה יכול להפעיל את הכלי הזה בטרמינל עם פקודה כדי לקבל מידע על XProtect שפועל ב-Mac שלך.

לרשימה שלxprotectפקודות בסוג מסוף:

man xprotectולחץלַחֲזוֹרבמקלדת שלך.

בקצרה, הפקודות הן:

  1. עדכון - כפה הורדה של קבצי XProtect חדשים
  2. בדוק - הדפס גרסת עדכון מקוונת זמינה כעת
  3. גרסה - הדפס את הגרסה המותקנת כעת של קבצי XProtect
  4. יומנים - הצג יומני XProtect
  5. סטטוס - הדפס סטטוס נוכחי של XProtect
  6. help - הדפס עזרה עבור תת-פקודה

שימו לב שהכלxprotectיש להפעיל פקודות באמצעות ה-sudoפקודה וסיסמת אדמין בטרמינל על מנת שיעבדו.

למשל ריצהsudo xprotect updateהדפסים:

Starting update.

No update applied, already up to date

כאשר אין חלקים חדשים של XProtect להורדה.

איך אפל מגיבה

כפי שמציינת אפל, כאשר XProtect מזהה תוכנה זדונית, אפל עשויה להגיב במספר דרכים - כולל אך לא רק:

  1. כל אישורי מפתח מזהה משויכים מבוטל
  2. כרטיסי ביטול נוטריוני מונפקים עבור כל התיקים
  3. חתימות XProtect מפותחות ומשוחררות

באופן כללי, אתה יכול גם לבדוק את מדיניות אבטחת המערכת של ה-Mac שלך בטרמינל באמצעותspctlכלי שורת הפקודה:

spctl --status(בקרת מדיניות מערכת).

אם סריקת אבטחה מופעלת, תראה את התגובה הזו:

assessments enabled

spctlיש מגוון עצום של אפשרויות וכלים - אז תרצה לבדוק אתmanעמוד בטרמינל למידע נוסף.

האם ניתן להשבית את XProtect?

התשובה היא:לָרוֹב. אבל אל תעשה.

אלא אם ה-Mac שלך תמיד במצב לא מקוון, אתה ממעט להתקין תוכנה, או שאתה רואה בעיות ביצועים ספציפיות, אין סיבה אמיתית להשבית את XProtect. פעולה זו פותחת את ה-Mac שלך למבול של תוכנות זדוניות ידועות ולא ידועות באינטרנט - ואתה רק מבקש צרות אם תעשה זאת.

אחרי שאמרתי את זה, אם אתה בהחלטחוֹבָההשבת את XProtect, אתה יכול לעשות זאת בטרמינל עם הפקודה הבאה:

sudo spctl --master-disable

כדי להפעיל מחדש את השימוש ב-XProtect:

sudo spctl --master-enable

ולחץלַחֲזוֹר.

גם אם תשבית את XProtect, תרצה לעשות זאת לפרק זמן קצר ככל האפשר - תמיד הפעל אותו מחדש ברגע שתסיים עם כל משימה שדרשה את השבתה.

סורקים של צד שלישי

למרות ש-XProtect מנוהל על ידי Apple והוא חלק מ-macOS, עדיין עשויים להיות מקרים שבהם תרצה להפעיל סורק תוכנות זדוניות של צד שלישי ב-Mac שלך כדי לחפש תוכנה זדונית.

סורקים מנוסים כמו נורטון ומקאפי קיימים כבר עשרות שנים, כך שהם תמיד הימור בטוח. יש גם צד שלישי קטנים יותר שהם טובים, כגוןPrivacyScan ($15)מ-SecureMac.com.

אם אתה אכן משתמש בסורק של צד שלישי, נסה להשתמש בסורק שנמכר ב-Mac App Store, מכיוון שאפל סוקרת את כל האפליקציות של App Store כדי לוודא שגם הן אינן מכילות תוכנות זדוניות.

אפל עשתה עבודה טובה עם XProtect, ולרוב הוא שקט ואמין. ייתכן שתרצה להפעיל עדכוני אבטחה אוטומטיים בהגדרות המערכת רק כדי לוודא שה-Mac שלך מקבל את כל קבצי הפגיעות והעדכונים החדשים ברגע שהם משוחררים על ידי אפל.

Related articles