启用SIP时,将允许的权利添加到非Apple签名的应用程序。

这是什么?

启用SIP和AMFI后,即使应用程序是根用户,它们也不能使用某些授权。这是特意设计的,有利于安全。如果我们想使用特殊权利,传统上有两种方法。

  1. 修补AMFI以禁用权利检查
  2. 添加引导参数amfi_get_out_of_my_way=1并禁用SIP

这两种方法都不适合非开发用途,因为它们实际上禁用了一个大型安全特性。相反,我们希望“选择性地”削弱安全性,允许任何应用程序获得某些苹果私人授权。这是因为一些权利允许巨大的损害(例如访问钥匙串数据),而其他权利允许访问Apple私人功能(例如禁用菜单栏的透明度)。如果我们给每个应用程序使用任何授权的能力,然后使用私人功能,我们也可以让任何应用程序能够访问钥匙串(例如)。

请注意,应小心使用此KEXT,因为您添加到豁免列表的任何权利都可以授予任何的申请。如果您添加敏感的权利,您不会比只是禁用SIP+AMFI更安全。您应该像考虑制作内核补丁一样考虑授予权限:确保不引入安全漏洞是您的责任。

使用

该KEXT要求利卢.

要添加权利豁免,请打开Info.plist在您最喜欢的plist编辑器中IOKitPersonalities => AMFIExemptionList => Exemptions,您可以向数组中添加新字符串。支持两种豁免:

  • 前缀匹配:标识符的最后一个字符是*以及前缀与*将从权利检查中删除。例如com.apple.private.*将允许任何应用程序拥有任何以开头的权限com.apple.private.。注意这只是一个例子,不鼓励这样做!
  • 绝对匹配:权利的完整标识符,例如com.apple.private.CoreGraphics.debugging.

请注意,在豁免列表中拥有权利会意味着授权被授予所有应用程序。您的应用仍必须使用请求的权利进行代码签名。该KEXT仅取消了大多数授权需要Apple CA锚的要求。您可以使用自己的证书进行自签名,也可以在没有证书的情况下进行临时签名,但仍然使用权利。

安全性

强烈建议OpenCore在启用vault功能的情况下加载此KEXT。这将防止恶意软件修改Info.plist并且授予自己任意的权利,这挫败了SIP+AMFI安全性。

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或夸克网盘或者蓝奏云。 若排除这种情况,可在对应资源底部留言,或联络我们。

夸克网盘需要保存到自己的夸克网盘中,然后进入自己网盘下载,不需要下载app或者客户端,直接网页登陆即可

本站资源大部分来源于网络,魏叔一个人精力有限,无法进行一一测试,希望谅解。

如果您已经成功付款但是网站没有弹出成功提示,请联系魏叔提供付款信息为您处理

素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源