Skip to content

macOS 安装包静态分析

安装来源不明或权限较高的软件前,应先做静态检查,再决定是否安装。

推荐顺序:

bash
shasum -a 256 app.pkg
pkgutil --check-signature app.pkg
spctl -a -vv -t install app.pkg
pkgutil --expand-full app.pkg /tmp/pkg-inspect

重点查看:

文件或字段检查内容
Distribution安装流程、脚本入口、目标组件
PackageInfo是否包含 auth="root"、安装位置
Scripts/postinstall安装后执行命令、守护进程、证书、网络配置
Bom实际写入文件清单
Info.plist应用权限、Bundle 信息、启动项线索

auth="root" 表示安装过程在用户完成系统授权后以提升权限运行,不表示软件知道 root 密码,也不表示软件可以绕过系统授权凭空自提权。