Dylib Hijack Scanner：保护你的Mac免受Dylib劫持

大家平时用Mac电脑的时候，有没有想过自己的应用程序可能会被劫持呢？别担心，我今天要给大家介绍一个神器——Dylib Hijack Scanner，简称DHS。这个小工具专门用来检测你的Mac上有没有被dylib劫持的应用程序，或者哪些应用程序容易被劫持。

DHS的背后可是有故事的哦！在CanSecW大会上，有个叫做“DLL Hijacking' on OS X? #@%& Yeah!”的演讲，详细介绍了这种攻击方式。DHS支持macOS 11及以上版本，目前的版本是1.5.1，大家可以去官网下载。

使用DHS也很简单，首先你需要下载一个zip文件，下载好之后，根据浏览器的不同，可能需要手动解压。解压后，双击'DHS.app'，然后点击'开始扫描'按钮就可以了。DHS会扫描并检测出那些被劫持或者容易被劫持的应用程序。检测出一些易受攻击的应用程序是很正常的，这并不意味着你的电脑被黑了。不过，如果有应用程序被列在“被劫持的应用程序”下，那就要注意了，可能是误报，也可能是真的被劫持了。

如果你需要调整DHS的设置，可以点击窗口左下角的齿轮图标。这里有一些复选框可以选择，比如“全盘扫描”会让DHS扫描整个文件系统，“弱劫持者检测”会让DHS查找那些利用弱导入的劫持者，最后，“保存结果”会将所有发现记录为JSON格式，保存在应用程序目录下的'dhsFindings.txt'文件中。

DHS的设计理念是宁可多报误报，也不漏掉一个真正的劫持者。这虽然能发现更多的恶意劫持者，但也可能导致一些合法的dylib被标记。如果你的电脑上有东西被标记了，建议你先查看已知误报的列表。

有人可能会问，DHS发现了一些易受攻击的应用程序，我需要担心吗？其实不必。这些应用程序只是本地攻击者可以利用来进行恶意操作的工具。要利用这些应用程序，攻击者必须已经入侵了你的电脑。

如果DHS发现了被劫持的应用程序，也不要慌，特别是弱劫持。DHS倾向于报告误报而不是漏报。如果检测到潜在的劫持，可以查看被标记的动态库是否在已知误报列表中。如果不在，可以把dylib提交到VirusTotal，用多个杀毒引擎扫描。如果还不放心，可以谷歌一下文件的哈希值，或者直接联系开发者。

最后嘛，我的感觉是，DHS确实是一个非常有用的小工具，特别是对于那些注重安全的Mac用户来说。它操作简单，功能强大，能够帮助我们更好地保护自己的电脑不受dylib劫持的威胁。希望大家都能用得开心，用得放心！