修改 Plist

属性列表 (plist) 文件包含 macOS 和 OS X 中应用程序和服务所有配置信息。 这些文件采用 UTF-8 编码并像 XML 文档一样通过一系列由<>包围的键来格式化。 它们详细说明了程序应该在何时执行、可执行文件的路径、程序参数、所需的操作系统权限以及许多其他内容。plists 位于特定的位置，这取决于它们的用途，例如 /Library/Preferences（使用高级特权执行）和~/Library/Preferences（使用用户的特权执行）。 攻击者可以修改这些 plist 文件以指向自己的代码，可以利用它们在另一个用户的上下文中执行自己的代码，可以绕过白名单，甚至可以利用它们实现持久化。

缓解

将 plist 文件设为只读，防止用户修改。

检测

监视文件系统可以确定 plist 文件是否正在被修改。 在大多数情况下，用户不应该拥有修改这些文件的权限。 某些软件工具，如“Knock Knock”，可以检测持久性机制并指向正在引用的特定文件。 这有助于查看实际执行的内容。 监控由于修改 plist 文件而导致的异常进程执行。 监视用于修改 plist 文件或以 plist 文件为参数的实用程序，这些实用程序可能表明可疑活动。