KnockKnock 4.0.1

ist ein kostenloses Forensik‑Tool für macOS, das deinen Mac nach dauerhaft eingerichteter Software durchsucht – also genau nach den Stellen, an denen sich persistente Malware im Autostart verankert.

Was KnockKnock genau macht

Malware versucht in der Regel, beim Start des Macs automatisch mitzulaufen, etwa über Launch Agents, Login‑Objekte, Browser‑Extensions oder Cron‑Jobs. KnockKnock scannt systemweit über 60 bekannte Persistenz‑Orte und listet alles auf, was dort beim Booten oder Login automatisch ausgeführt wird – inklusive Drittanbieter‑Tools, Skripte und weniger offensichtlicher Komponenten wie Kernel‑ oder System‑Erweiterungen.

Apple‑eigene, signierte Binaries werden standardmäßig ausgeblendet, damit du dich auf verdächtige und fremde Einträge konzentrieren kannst. Zusätzlich prüft KnockKnock unbekannte Funde optional gegen VirusTotal, um Hinweise zu geben, ob eine Komponente bereits als Malware bekannt ist.

Neuerungen in Version 4.0.1

Die Version 4.0.1 bringt mehrere praxisnahe Verbesserungen:

• Autostart für KnockKnock selbst: Du kannst das Tool so konfigurieren, dass es direkt beim Login startet und automatisch einen Scan durchführt, um neue Persistenz‑Einträge frühzeitig zu sehen.
• Neues Plugin für Shell‑Konfigurationsdateien: KnockKnock zeigt jetzt auch Einträge in Dateien wie .zshrc oder .bash_profile an – genau dort, wo sich moderne Mac‑Malware gern versteckt, um bei jedem Terminal‑Start aktiv zu werden.
• Verfeinerte Aufteilung nach Kategorien: Login‑Items, LaunchDaemons/Agents, Browser‑Erweiterungen, Cron‑Jobs, Kernel‑Extensions etc. werden sauber getrennt angezeigt, was das Beurteilen einzelner Funde erleichtert.

Beim ersten Start fordert KnockKnock Vollzugriff auf das Festplattenschutz‑System von macOS (Full Disk Access), damit auch alle relevanten Pfade geprüft werden können – ohne diese Rechte ist der Blick in manche Persistenz‑Orte eingeschränkt.

Wie du es im Security-Workflow sinnvoll nutzt

• Basis‑Check: In regelmäßigen Abständen (oder nach einem verdächtigen Verhalten) einmal KnockKnock laufen lassen, um dir anzeigen zu lassen, was genau beim Systemstart oder Login automatisch geladen wird.
• Unbekanntes markieren, aber nicht blind löschen: Viele legitime Tools (Backup‑Software, Wacom‑Treiber, Kamera‑Tools) tauchen in der Liste auf – verdächtig ist vor allem, was du nicht kennst, was unsauber signiert ist oder von VirusTotal rot markiert wird.
• Kombination mit BlockBlock & Co.: KnockKnock findet, was schon als persistent installiert ist; Tools wie BlockBlock melden zusätzlich, wenn neue Persistenz eingerichtet wird.

Gerade weil macOS‑eigene Schutzmechanismen (XProtect, MRT, Gatekeeper) primär signatur‑ bzw. politikbasiert arbeiten, ergänzt KnockKnock das Setup gut: Es schaut generisch nach „irgendetwas, das sich dauerhaft verankert“, und ist damit ein nützliches zweites Paar Augen für deinen Mac.

Hier findest du weiterführende Informationen: Objective-see