Terminé usando un segundo Mac para hacer un escaneo con la máquina cuestionable iniciada en modo de disco de destino .
Mi actual procedimiento de escaneo fue
0) (hecho antes de usar el modo de disco de destino) actualizan el sistema y las aplicaciones de ambas máquinas a las versiones actuales
1) comparar los archivos de ambas máquinas usando este script:
DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff
for dir in "${DIRS[@]}"; do
# diff: recursive, just output whether files differ
diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;
1.1) Utilicé un editor de texto de alta potencia (vim) para darle sentido a la salida. Mi estrategia básica fue organizar las líneas de salida por el primer par de niveles de la estructura de directorios usando el plegado de código basado en sangrías. Esta técnica requiere algunos conocimientos informáticos generales y específicos de POSIX, en particular para diferenciar las diferencias "aceptables" de las potencialmente peligrosas.
2) Corrí chkrootkit usando el comando
sudo ./chkrootkit -q -r /Volumes/system/
2.1) chkrootkit se le ocurrió el siguiente resultado. Estas indicaciones parecen deberse a la ejecución de la exploración en un disco de destino y/o debido a las diferencias entre los diversos sistemas operativos que chkrootkit soportes.
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file
2.2) Con el fin de conseguir chkrootkit para compilar, tuve que descomponer una línea en el Makefile . Está claramente indicado en el Makefile . Mira aquí para más información.
RESUMEN
Me siento bastante confiado de que este fue un escaneo efectivo (dado el estado limpio del sistema de escaneo). Sin embargo, hay algunas desventajas de este método:
- Asume que la computadora de escaneo está limpia
- Requiere otro Mac (obviamente)
- Puede ser dolorosamente difícil encontrar un cable Firewire de 9 pines a 9 pines
En caso de que no tengas un Mac extra disponible, aquí tienes un par de alternativas a este enfoque:
-
Es posible poner una instalación limpia de OSX en una unidad USB. Para hacer esto, se arranca la máquina mientras se mantiene pulsado el comando-opción-R para hacer una Recuperación de Internet . Esto evita el contenido del disco y utiliza el código del firmware para instalar OSX desde los servidores de Apple. Aparentemente, puedes conectar una unidad USB y elegirla como objetivo de la instalación; después puedes arrancar la máquina desde la unidad USB y ejecutar escaneos en la unidad del sistema. Lo malo de esto es que se trata de una descarga de más de 5 GB, así que será mejor que tengas una conexión rápida a Internet (o algo de paciencia).
-
También podría haber sacado el disco de la máquina y ponerlo en una caja de disco duro. Las ventajas son que no habría tenido que usar un Mac para escanearlo, y que no habría tenido que encontrar un cable Firewire de 9 pines a 9 pines. Por supuesto, si no hubiera usado una Mac para escanearlo, no habría podido usar mi primer método de escaneo (el diff ).
