BlockBlock：保护你的Mac免受恶意软件的侵扰

在你日常使用Mac的时候，有没有想过那些不请自来的恶意软件是怎么做到每次开机都能自动运行的？这就是所谓的“持久性安装”。为了对抗这种情况，BlockBlock应运而生。它专门用来监控那些常见的持久性位置，一旦发现有新的持久性组件被添加，就会立刻通知你。

安装BlockBlock

首先呢，你需要下载最新版本的BlockBlock。下载完后，运行BlockBlock Installer.app，然后点击Install按钮进行安装。由于BlockBlock利用了苹果的新Endpoint Security Framework来监控持久性，所以安装时会需要系统权限。你会看到一个授权提示，这时候只要根据提示操作就行了。

另外，使用Endpoint Security Framework还需要“完全磁盘访问”权限。第一次安装BlockBlock时，它会指导你如何手动授予这个权限。你只需点击Open System Preference按钮，然后在系统偏好设置中点击左下角的??图标进行重新认证。在“完全磁盘访问”表中，勾选BlockBlock即可。

卸载BlockBlock

如果你想卸载BlockBlock，只需在BlockBlock的状态栏菜单中点击Uninstall BlockBlock。这会启动卸载程序，点击Uninstall就能完全移除BlockBlock了。

使用BlockBlock（警报）

安装完成后，BlockBlock就会开始运行，并在每次电脑重启时自动启动，提供持续的保护。如果有软件试图安装持久性组件，BlockBlock会检测到并显示一个信息丰富的警报。

警报会包含以下信息：

• 负责该操作的进程：警报中会显示进程名称、pid、路径和参数。你还可以点击查看进程的代码签名信息、VirusTotal检测结果和进程来源。
• 被安装的持久性项目：警报会显示为了实现持久性而被修改的文件以及被添加的持久性项目。

如果你信任这个进程和持久性项目，只需点击Allow。如果不信任，就点击Block。这两种操作都会创建一个规则来记住你的选择（除非你选择了temporarily复选框）。如果你决定阻止某个项目，BlockBlock会从文件系统中移除该项目，从而阻止持久性。

所有的警报响应都会记录在 /Library/Objective-See/BlockBlock/BlockBlock.log 中。

使用BlockBlock（规则）

持久性事件是根据用户输入被允许或阻止的，这些输入会转化为BlockBlock的规则。要打开规则窗口，只需在BlockBlock的状态栏菜单中点击Rules。规则窗口会显示这些规则，并允许你手动删除规则。

使用BlockBlock（偏好设置）

BlockBlock可以通过其偏好设置面板进行配置。要打开这个面板，只需在BlockBlock的状态栏菜单中点击Preferences。在这里，你可以控制BlockBlock的各种方面，包括警报模式、图标模式、公证模式，以及禁用自动更新检查。

公证模式（在2.0版本中新增）如果启用，会在用户尝试启动未被公证的应用程序时进行阻止并发出警报。

常见问题

问题：警报是否意味着我已经被感染了？

不一定！BlockBlock的设计初衷是当它检测到系统中添加了持久性组件时就会提醒你。很多时候，某些持久性项目是无害的，比如BlockBlock本身就会持久性安装以提供持续保护！当然，恶意软件也会持久性安装。因此，在批准之前，你应该仔细检查和理解任何警报。

问题：我已经给了BlockBlock完全磁盘访问权限，但仍然收到“BlockBlock Not Active”警报。为什么？

如果你使用的是macOS Ventura，这是由于macOS的一个bug。苹果已经在macOS 13.0.1中发布了修复。因此，建议的解决方案是升级到包含苹果修复的最新版本的macOS。或者，你也可以使用手动解决方法。

最后嘛，我觉得BlockBlock真的是一个很不错的工具，特别是对于那些对安全性要求比较高的用户来说。它不仅能实时监控，还能在检测到问题时及时通知你，让你对自己的Mac了如指掌。