什么是access_bpf组？

有谁知道“access_bpf”组是什么/做什么。当我进入首选项>用户和组时，我注意到了它。

我已经四处搜索，发现它与Wireshark有关，但是我没有在我的Mac上安装程序，所以我太确定该组是如何添加的。

Wireshark的安装程序配置您的系统，以便执行安装的用户可以捕获网络流量，而捕获程序不必以root身份运行。

它的方式是：

• 创建一个access_bpf团队;
• 将用户放入该组;
• 安装StartupItem（在旧版本中）或启动守护程序（在较新版本中），在系统启动时，将BPF设备的权限更改为rw-rw ---并将BPF设备的组所有者更改为access_bpf;
• 安排StartupItem / launch守护进程在那时运行。

请注意，顺便说一句，这也允许您使用Wireshark（或Wireshark的TShark或dumpcap程序）捕获流量而无需以root身份运行它，它还允许您使用tcpdump捕获流量而无需以root身份运行它。

Wireshark的安装程序将创建access_bpf组！或者在你的情况下谁知道:)

由于您不记得安装并且不使用它，因此只需将其删除即可。

要从您的计算机中删除Wireshark，请在Mac上查找以下文件，如果存在则将其删除：

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

同时删除access_bpf组

导航到系统偏好设置 - >用户和组 - >将其解锁为管理员 - >打开用户下的字段组 - >选择并删除。

或通过终端与

sudo dscl . -delete /Groups/access_bpf

这也可能是因为恶意软件攻击而被Java驱动器击中的残余物。

在这种情况下，机器人将获得root访问权限，创建一个访客帐户（可能隐藏得很好）并开始查看您的钥匙串。

如果您在证书下看到mitmproxy，请立即致电apple或其他可信赖的支持联系人。

他们通过电话跟我说话，好像他们从来没有听说过这个问题。

事实仍然表明MacOS并不完美。如果你还需要帮助，请随时写信。

该组还将通过安装Debookee来创建，Debookee是一个使用嵌入式Wireshark的macOS本地网络流量分析工具。

https://debookee.com