KnockKnock 4.0.1: Kostenloses Tool durchleuchtet den Autostart und findet persistente Malware auf dem Mac
von caschy | Kommentieren
Schadsoftware auf dem Mac hat oft das primäre Ziel, sich dauerhaft im System festzusetzen, um auch nach einem Neustart des Rechners automatisch wieder ausgeführt zu werden. Das kostenlose Werkzeug KnockKnock von Objective-See setzt genau an diesem Punkt an und hilft Anwendern dabei, solche persistent installierte Software aufzuspüren. Es handelt sich dabei nicht um einen permanenten Hintergrundwächter, sondern um einen Scanner, der bei Bedarf ausgeführt wird. Vielleicht habt ihr ja gar schon bei uns darüber gelesen.
Da KnockKnock tief im System nach Autostart-Einträgen sucht, wird beim ersten Start der Festplattenvollzugriff (Full Disk Access) in den macOS-Systemeinstellungen angefordert. Nur so ist gewährleistet, dass alle relevanten Bereiche durchsucht werden können.
Nach dem Start präsentiert die Anwendung eine Übersicht verschiedener Kategorien, in denen sich Software verankern kann. Das reicht von klassischen Login-Items und Launch Daemons über Browser-Erweiterungen bis hin zu weniger offensichtlichen Orten wie Cron-Jobs oder Kernel-Erweiterungen. KnockKnock listet standardmäßig signierte Apple-Systemdateien nicht auf, um die Ansicht übersichtlich zu halten, zeigt aber legitime Drittanbieter-Software sowie potenziell gefährliche, unsignierte Dateien an.
Mittlerweile ist Version 4.0 mit vielen Änderungen erschienen, Version 4.0.1 wurde als Bugfix heute Nacht veröffentlicht. Wer möchte, kann das Tool nun direkt beim Login starten lassen. Ist die Option aktiviert, führt die Software bei jeder Anmeldung automatisch einen Scan durch. Neu ist auch ein Plugin für Shell-Konfigurationsdateien. Dateien wie die .zshrc werden beim Start der Shell geparst und enthaltene Befehle ausgeführt, was Schadsoftware gerne zur Persistenz nutzt. KnockKnock zeigt solche Einträge jetzt an.
Beim ersten Start begrüßt die Anwendung den Nutzer mit einem Konfigurationsbildschirm, um grundlegende Einstellungen vorzunehmen. Unter der Haube wurde die Integration von VirusTotal auf die API v3 aktualisiert, Anwender müssen nun ihren eigenen, kostenlosen API-Schlüssel hinterlegen. Dazu kommen Verbesserungen beim Scan über die Kommandozeile sowie angepasste Menüs, die nun besser den macOS-Richtlinien entsprechen. Auch die Prüfung auf Festplattenvollzugriff wurde optimiert und Apples tmp_cleaner-Skript auf die Whitelist gesetzt, um Fehlalarme zu vermeiden.
Lohnt? Ich würde behaupten ja, obwohl ich noch nie einen Fund hatte. Für mich hat KnockKnock einen festen Platz, wie auch LuLu, die Firewall der Sicherheits-Spezialisten.
- DIE WELTBESTE AKTIVE GERÄUSCHUNTERDRÜCKUNG BEI IN‑EAR KOPFHÖRERN – Reduziert bis zu 2x mehr...
- UNIBODY DESIGN. FÜR EINZIGARTIGE PERFORMANCE. − Heißgeschmiedetes Aluminium Unibody Design für das...
- WICHTIGE GESUNDHEITSFEATURES – Die Temperaturerkennung ermöglicht umfangreichere Insights in der...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht. Es besteht kein Recht auf die Veröffentlichung eines Kommentars.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Kommentar-Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.