1 votos

rtacconi avatar

La detección de malware en los informes de pánico

Preguntado el 13 de Agosto, 2014
Cuando se hizo la pregunta
245 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Es allí una manera de identificar a los módulos del núcleo que no debería estar allí de un informe de pánico? Por ejemplo, buscando en esta discusión https://discussions.apple.com/thread/2778885, era bastante obvio como "elmedia" era fácilmente identificable. Sin embargo, cuando se mira en el mío, hay algunas cosas que parecen bastante común, pero no parece ser capaz de encontrar cualquier información sobre ellos en internet. Por ejemplo, en mi informe que tengo un par de (sospechoso?) nacional de controladores de instrumentos llamados ni488k.

Creo que estos registros dan una muy buena idea para la detección de posible malware. La pregunta es, ¿cómo puedo saber qué módulos del kernel debería estar allí y cuáles no?

Preguntado el 13 de Agosto, 2014 por rtacconi

Respuestas

¿Demasiados anuncios?

2voto

Rich avatar
Rich Puntos 2429

Un pánico informe no es la herramienta adecuada para investigar malware.

  1. Muchos accidentes son procedentes de comercial y no mal concebido piezas de software. Algunos de ellos son procedentes de MacOS X directamente. Accidente no significa que el malware.

  2. La mayoría del tiempo usted no puede reproducir estos accidentes.

  3. Para ocultar sus pistas, la mayoría de crapware va a cambiar su nombre tan pronto como se activa.

  4. Si el crapware no estaba activo en el momento del accidente, su no ser de cualquier información útil en un informe del accidente.

Las herramientas adecuadas para investigar en busca de malware son :

  1. Herramientas para detectar cualquier sistema de actividad anormal:

    Activity Monitor

    top

    netstat

    Little Snitch

    Este comando mostrará cualquier programa que intente penetrar en tu firewall:

    tail -f /var/log/appfirewall.log

    ...

  2. Herramientas para detectar anormal de los componentes del sistema:

    kextstat

    este comando busca todos los últimos bit setuid archivos:

    find / -mtime -7 -perm +04000 -ls

    tripwire

    clamav, Además,

    chkrootkit

    ...

Si finalmente usted piensa que algo es sospechoso dentro de un pánico informe, trate de investigar con los métodos anteriores en el sistema vivo. Para comprobar que los módulos deben ser de uso kextstat. Guardar una copia de su salida, compruebe el otro día, consulte al instalar un software que le solicita su contraseña de administrador, consulte cuando se nota un anormal lento hacia abajo.

Respondido el 25 de Agosto, 2014 por Rich (2429 Puntos )

1voto

D Schlachter avatar
D Schlachter Puntos 136

respuesta corta es no - usted no tiene ninguna garantía de que el malware no ha eliminado un módulo del núcleo genuino de Apple rara vez utilizado y el propio dado el mismo nombre.

El malware es muy bueno en la ocultación - sistemas Unix a menudo comprometida (como OS X) consiguen versiones personalizadas de las utilidades del sistema que no se verán el malware (ver diapositivas 39-41 aquí ).

Respondido el 13 de Agosto, 2014 por D Schlachter (136 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X