第一代 M1 架构的mac 是第一批禁止运行无符号代码的苹果电脑

This new policy doesn’t apply to translated x86 binaries running under Rosetta, nor does it apply to macOS 11 running on Intel platforms. Apple, WWDC 2020

在 macos 中 有至少两种方式 能让 没有签名的代码可以胜过有签名的代码需求，且这方法不是 漏洞或者绕过，是 macos 的一种设计

• 未签名恶意软件可以通过 Rosetta 在M1 mac上执行
• 未签名的恶意软件可以通过 **ad hoc signatures**(特定的签名) 在M1 mac上执行

利用 Rosetta

新的 mac芯片的 mac 不允许没有签名的 arm64 运行，但是允许 Rosetta 编译的 x86_64 的代码程序

我自己测试了一下 是这样的

利用 ad hoc signatures

系统运行创建临时签名

在良性的、第一阶段的有效载荷由不知情的用户运行后，恶意软件下载一个恶意的有效载荷并将其签名到内存中，以便它将在M1 Mac上执行，而不受苹果的代码签名检查的干扰。

防护

我们需要保证 程序是 M1 本地编译的 而不是 利用 Rosetta 进行编译的程序。