Est-ce que / dev est protégé par SIP?

Je sais donc que / dev contient tous les pilotes requis pour la souris, le clavier, etc., mais certains logiciels malveillants dangereux peuvent-ils supprimer le dossier? Ou quelqu'un peut-il supprimer manuellement le dossier avec sudo?

Le répertoire couvert par SIP ( About System Integrity Protection ) est

• /Système
• / usr
• /poubelle
• / sbin
• Applications préinstallées avec OS X

/ dev contient tous les pilotes requis pour la souris, le clavier, etc.

Ce sont des nœuds de périphérique ou des fichiers spéciaux qui accèdent directement au matériel.

Les pilotes de périphérique sont généralement situés dans la bibliothèque système sous la forme de kexts (extensions de noyau). Voir cette réponse pour plus de détails.

quelqu'un peut-il supprimer manuellement le dossier avec sudo?

Oui, vous pouvez supprimer ce dossier. Toutefois, il doit être restauré au redémarrage, car ces nœuds sont générés de manière dynamique au fur et à mesure que le matériel est détecté. Sous Linux et BSD, la commande makedevva régénérer vos périphériques. mknodfera de même pour macOS.

De la page de manuel ( man mknod)

La commande mknod crée des fichiers spéciaux de périphérique.

Les logiciels malveillants peuvent-ils donc supprimer ou affecter ces fichiers? Peut-être, mais ce serait contre-productif car il faudrait d'abord y avoir rootaccès et quels que soient les changements qui seraient au mieux temporaires.