文章总结： Machbox是面向macOS的恶意软件分析沙箱工具，基于Apple原生框架构建，支持在AppleSiliconMac上运行。文档详细介绍了从虚拟机配置、GuestAgent安装到样本分析的全流程操作方法，包括使用命令行工具进行自动化分析和WebUI查看可视化报告。项目目前未开源但持续更新，适用于macOS恶意软件行为检测和分析。 综合评分： 78 文章分类： 恶意软件,安全工具,Mac安全,逆向分析,安全开发

Machbox 使用指北

原创

zznQ zznQ

凹陷外壳

2026年6月16日 19:54 日本

在小说阅读器读本章

去阅读

Machbox 是一款面向 macOS 的恶意软件分析沙箱工具，基于 Apple 原生框架构建（Virtualization.framework、EndpointSecurity.framework、DTrace 等）。

系统要求：

• Apple Silicon Mac
• macOS 13+

简化架构图：

下载最新版：https://github.com/ac0d3r/machbox/releases；

下载之后移除 com.apple.quarantine标识：

xattr -c /PATH/machbox

首先要使用 VirtualBuddy 创建新虚拟机，需要关闭虚拟机的 SIP。（可选：取消勾选 “Enable VirtualBuddy Guest App”）

安装Guest Agent

machbox setup -m /PATH/Machbox.vbvm

会启动虚拟机实例，并打开一个用于交互的 GUI 窗口：

打开 Finder，从侧边栏选择 MachboxGuest并安装 machbox-guest.pkg

等安装完成后关闭虚拟机（不要直接关闭窗口！）

分析样本

machbox analyze -m /PATH/Machbox.vbvm --network-mode NAT sample.bin

测试样本为：https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor

分析完成后使用 Web UI 查看可视化报告：

machbox report-view

• 持久化行为：/usr/local/bin/qtop
• 提升权限：Setuid / Setgid / Setreuid / Setregid
• 修改文件扩展属性：Setextattr
• 多个Exec事件，执行命令（包含参数：

项目后续

本项目目前尚未开源，计划更完善后发布。

由于个人时间有限，更新会比较慢，但欢迎通过 Issue 或邮件交流想法。

（应该不会烂尾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：凹陷外壳 zznQ zznQ《Machbox 使用指北》