KextViewr：查看所有在 OS 内核中加载的模块

嘿，你有没有想过在你的macOS系统中，内核到底加载了哪些模块呢？如果你对这些感兴趣，或者只是想看看有哪些第三方模块在悄悄运行，那么KextViewr就是你的好帮手啦！这个小工具的使命就是帮你显示所有当前加载的内核模块，简单又直观。

KextViewr的主要功能就是显示所有加载的内核模块，也就是所谓的"kexts"。虽然macOS自带的命令行工具kmutil也能提供类似的信息，但KextViewr提供了一个用户界面版本，还支持过滤、搜索和导出功能，这样一来查看信息就方便多了。

使用KextViewr非常简单。首先，你需要包含应用程序的zip压缩包。下载完成后，根据浏览器的不同，你可能需要手动解压缩这个压缩包，直接双击就行。

接下来，双击KextViewr.app来运行应用程序。KextViewr会查询操作系统，显示所有加载的内核模块。默认情况下，所有模块，包括操作系统的一部分，都会显示出来。不过呢，你可以通过过滤功能，只显示第三方模块。

在KextViewr的界面中，每一行都包含一个加载的内核模块的各种信息。首先，一个图标会显示模块是否属于Apple或者第三方。接下来是模块的名称、包ID和完整路径。然后是它的集合（启动、系统或辅助）、地址、大小，最后是它的架构。

在macOS 11及以上版本中，内核模块被移到了内核集合中。因此，模块的可执行组件不再作为独立文件存储在磁盘上，尽管系统工具报告了这样的文件。

在应用程序右上角的“过滤Kexts”搜索框中，你可以输入内容来过滤任务，比如输入“BSD”就只会显示名称或路径中包含“BSD”的模块。KextViewr还包含特殊的“标签”过滤器，比如“#apple”只显示系统模块，“#nonapple”显示所有非Apple（第三方）模块。

在KextViewr窗口的底部，有几个按钮。第一个按钮可以刷新或重新加载已加载模块的列表。第二个按钮可以将KextViewr的结果保存为JSON格式。在右侧，取消选中“显示OS Kexts”可以隐藏所有系统Apple签名的内核模块，只留下第三方模块。

需要注意的是，KextViewr有一些限制。要获取加载的内核扩展的信息，必须拥有com.apple.private.kernel.get-kext-info权限。由于第三方应用无法获得此权限，KextViewr使用了macOS工具kmutil，它具有所需的权限。

所以呢，如果某个内核模块没有被kextstat显示（或者在主动隐藏），那么KextViewr也不会显示它。换句话说，不要指望KextViewr能揭示高级macOS rootkit内核模块的存在哦！

最后嘛，我的感觉是，KextViewr是一个非常实用的小工具，特别是对于那些想要深入了解macOS内核模块的人来说。如果你对这些技术细节感兴趣，或者只是想看看系统中到底有哪些东西在运行，不妨试试这个工具吧！