新的ReiKey应用程序可以检测macOS键盘记录器

Patrick Wardle，前NSA黑客，近年来已成为Mac恶意软件的事实上的专家，创建并发布了一款可以检测某些类型的macOS键盘记录器的Mac应用程序。

命名ReiKey [ GitHub的 ]，瓦德尔创建和朝向的2018结束时释放这个新的应用程序，如研究者开始寻找到的MacOS键盘记录器的内部工作[ 1，2 ]。

“大多数包含键盘记录逻辑(用于捕获按键)的macOS恶意软件都是通过CoreGraphics的事件点击来实现的，”Wardle说道。

ReiKey专门用于解决这种常见的键盘记录设计模式。Wardle的应用程序通过不断扫描操作系统来完成新注册的CoreGraphics事件点击。

当ReiKey检测到任何注册新CoreGraphics事件的应用程序时，它会显示一个弹出通知，其中包含有关创建的可疑进程的信息，以便用户可以查看并确定它是否来自合法或恶意进程。

在某些情况下，这些通知将是误报，因为某些具有辅助功能或响应各种键盘命令的应用程序也将使用CoreGraphics事件点击来响应用户输入。一个这样的例子是Siri。

但是，很少有macOS应用程序倾向于使用事件点击，而ReiKey是一个完美的应用程序，可以在安装新的或从未使用过的应用程序时退缩。

如果应用安装了一个没有理由这样做的事件点击，那么用户应该查看应用的功能以获得解释或考虑使用其他应用。

默认情况下，ReiKey始终在操作系统的后台运行并侦听新注册的事件点击，但它也可以根据需要扫描已安装CoreGraphics键盘事件点击的任何进程。