资源分叉

对手可能会滥用资源分叉来隐藏恶意代码或可执行文件，以规避检测并绕过安全应用程序。资源分叉为应用程序提供了一种结构化的方式来存储资源，例如缩略图图像、菜单定义、图标、对话框和代码。(引用: macOS 分层文件系统概述) 使用资源分叉在显示文件的扩展属性时是可识别的，使用ls -l@或xattr -l命令。资源分叉已被弃用，并被应用程序包结构取代。非本地化资源放置在应用程序包的顶级目录中，而本地化资源放置在/Resources文件夹中。(引用: 资源和数据分叉)(引用: ELC 扩展属性) 对手可以使用资源分叉来隐藏可能直接存储在文件中的恶意数据。对手可以在指定的偏移量处执行带有附加资源分叉的内容，该内容被移动到可执行位置然后调用。资源分叉内容也可能在执行前被混淆/加密。(引用: sentinellabs 资源命名分叉 2020)(引用: tau bundlore erika noerenberg 2020)