Plist 文件修改
对手可能会修改属性列表文件(plist 文件)以启用其他恶意活动,同时可能规避和绕过系统防御。macOS 应用程序使用 plist 文件,例如 info.plist 文件,来存储属性和配置设置,这些设置告知操作系统如何在运行时处理应用程序。Plist 文件是基于 Apple 的 Core Foundation DTD 格式化的 XML 中的键值对结构化元数据。Plist 文件可以以文本或二进制格式保存。(引用: fileinfo plist file description) 对手可以修改 plist 文件中的键值对以影响系统行为,例如隐藏应用程序的执行(即 隐藏窗口)或运行其他命令以实现持久性(例如 启动代理/启动守护程序 或 重新打开的应用程序)。 例如,对手可以将恶意应用程序路径添加到 ~/Library/Preferences/com.apple.dock.plist 文件中,该文件控制出现在 Dock 中的应用程序。对手还可以修改应用程序 info.plist 文件中的 LSUIElement 键以在后台运行应用程序。对手还可以插入键值对以插入环境变量,例如 LSEnvironment,以通过 动态链接器劫持 实现持久性。(引用: wardle chp2 persistence)(引用: eset_osx_flashback)