在 Mac 上更安全地使用 EasyConnect

起因还是偶然在 B 站刷到这么一个视频：

哟，原来是个流氓软件啊，草！！！！！！

安装它，主要是因为学校内网要用 VPN 才能登陆，

起初安装完我就发现有后台权限的开关，

我也尝试关掉了，但是没法连接了（表现为一直在初始化）

为什么说他流氓

后台持续活动

打开“活动监视器”（Windows 上是 “任务管理器”），

就能找到名为 EasyMonitor 和 ECAgent 的两个进程，关键是以 root 权限运行，

意味着，他想干嘛就干嘛，不需要我任何授权，我也浑然不知。

观察了一会儿，CPU 一直都有 0.3 - 0.5 的占用，

意味着，有少量代码在持续运行，在干嘛，不知道。

尝试关掉它？呵呵，太小看它了。关了又自动启动了。

安装了系统根证书

打开 钥匙串访问 - 系统钥匙串 - 系统 - 证书，搜索 Sangfor，

就能看到一个 自己颁给自己 的一个证书，到 2117 年过期…

理论上这样可以劫持 HTTPS 活动。

引用 在 macOS 上安全使用 EasyConnect 的说法：

以 root 权限常驻进程，意味着这些进程可以读取和写入任何东西；

安装根证书，意味着可以直接进行中间人攻击。因此我们需要解决这些问题。

解决方法

具体方法可以参考 在 macOS 上安全使用 EasyConnect

关闭自启动 和 后台驻留

sudo su
rm -r -f /Library/LaunchDaemons/com.sangfor.EasyMonitor.plist
rm -r -f /Library/LaunchAgents/com.sangfor.ECAgentProxy.plist

以上代码适用于 Mac

重启电脑

一定要重启‼️因为现在它还有后台驻留的权限‼️

删除根证书

在 钥匙串访问 - 系统钥匙串 - 系统 - 证书 下搜索 Sangfor，删除对应的所有证书。

---

到此，开机自启动 和 后台驻留 的问题解决了，但是 EasyConnect 也彻底用不了了，

可能会出现 “一直初始化中…” 的问题。

脚本配置

上面那个参考链接里面给出了具体脚本，有打开和关闭两个，

我将他们统一了，点这里下载

这是一个没有扩展名的文件，用文本编辑器打开就能看到 bash 命令。

为脚本添加运行权限

chmod +x <easyconnect 文件路径>

图标变成一个黑色的框框，里面写着 exec 就对了。

导入我的脚本

把 easyconnect 放到 /usr/local/bin 文件夹下。

这个目录可能需要在访达中按 Command + Shift + G 后输入。

一切就绪

安全地启动

• 使用 EasyConnect 的时候，只需在终端输入这行命令：

easyconnnect open

在使用过程中不要关闭终端窗口‼️

虽然但是，

你可能会发现，EasyMonitor 和 ECAgent 仍然是以 root 权限运行的，

因此还需要手动关闭他们。

彻底地关闭

• 断开 VPN 后，除了退出 EasyConnect 本身，需要执行这行命令：

easyconnect kill

这样一来，刚才启动的 EasyMonitor 和 ECAgent 就会被关闭，

由于没有后台驻留的权限，也就不会重新启动了。

整个方案是按需使用的策略，因为 EasyMonitor 和 ECAgent 是初始化时必要的进程。

快捷指令

如果你觉得整个过程比较复杂，

也可以使用我制作的快捷指令：Toggle Easy Connect 来让这一切变得自动化。

快捷指令会自动检测 EasyMonitor 的运行情况来作为 EasyConnect 是否正在运行的标志，

进而自动选择合适的命令。

疑难解答

• 登陆之后闪退

重启电脑即可。这是由于某些组建启动了多次后产生了冲突。