Встроенный сканер вредоносных программ в macOS называется XProtect. 13 Он обнаруживает и удаляет вредоносное ПО путём его сравнения с базой сигнатур. 1

XProtect запускает сканирование только при соблюдении одного из трёх условий: 5

1. Если файл запускается впервые. 5
2. Если хэш файла изменился. 5
3. Если обновлены правила XProtect Yara. 5

Система ищет шаблоны программного обеспечения, которые обычно создаются вредоносными программами, с помощью инструмента под названием YARA. 2 Эти шаблоны или сигнатуры регулярно обновляются, отдельно от основных обновлений программного обеспечения macOS. 2

Когда XProtect распознаёт известное вредоносное ПО, оно блокируется и перемещается в корзину. 1 Затем пользователь получает оповещение в Finder. 1

Кроме того, в XProtect встроены инструменты обнаружения неизвестного вредоносного ПО на основе анализа его поведения. 1 Информация о распознанном вредоносном ПО используется для улучшения сигнатур XProtect и безопасности macOS. 1