Patrick Wardle，前NSA黑客，近年來已成為Mac惡意軟件的事實上的專家，創(chuàng)建并發(fā)布了一款可以檢測某些類型的macOS鍵盤記錄器的Mac應(yīng)用程序。

命名ReiKey [ GitHub的 ]，瓦德爾創(chuàng)建和朝向的2018結(jié)束時釋放這個新的應(yīng)用程序，如研究者開始尋找到的MacOS鍵盤記錄器的內(nèi)部工作[ 1，2 ]。

“大多數(shù)包含鍵盤記錄邏輯(用于捕獲按鍵)的macOS惡意軟件都是通過CoreGraphics的事件點擊來實現(xiàn)的，”Wardle說道。

ReiKey專門用于解決這種常見的鍵盤記錄設(shè)計模式。Wardle的應(yīng)用程序通過不斷掃描操作系統(tǒng)來完成新注冊的CoreGraphics事件點擊。

當ReiKey檢測到任何注冊新CoreGraphics事件的應(yīng)用程序時，它會顯示一個彈出通知，其中包含有關(guān)創(chuàng)建的可疑進程的信息，以便用戶可以查看并確定它是否來自合法或惡意進程。

在某些情況下，這些通知將是誤報，因為某些具有輔助功能或響應(yīng)各種鍵盤命令的應(yīng)用程序也將使用CoreGraphics事件點擊來響應(yīng)用戶輸入。一個這樣的例子是Siri。

但是，很少有macOS應(yīng)用程序傾向于使用事件點擊，而ReiKey是一個完美的應(yīng)用程序，可以在安裝新的或從未使用過的應(yīng)用程序時退縮。

如果應(yīng)用安裝了一個沒有理由這樣做的事件點擊，那么用戶應(yīng)該查看應(yīng)用的功能以獲得解釋或考慮使用其他應(yīng)用。

默認情況下，ReiKey始終在操作系統(tǒng)的后臺運行并偵聽新注冊的事件點擊，但它也可以根據(jù)需要掃描已安裝CoreGraphics鍵盤事件點擊的任何進程。