Panik raporlarında kötü amaçlı yazılımları algılama

1

Panik raporun dışında olması gereken çekirdek modüllerini tanımlamanın bir yolu var mı? Örneğin, bu tartışmaya https://discussions.apple.com/thread/2778885 baktığımızda, "elmedia" nın kolayca tanımlanabildiği açıktı. Ancak, benimkine bakarken, oldukça yaygın görünen bazı şeyler var ama internetten onlar hakkında hiçbir bilgi bulamıyorum. Örneğin, raporumda ni488k adında birkaç (şüpheli?) Ulusal araç sürücüsü var.

Bence bu kayıtlar olası zararlı yazılımları tespit etmek için iyi bir fikir veriyor. Asıl soru, hangi çekirdek modüllerinin orada olduğunu ve hangilerinin olmaması gerektiğini nasıl bilebilirim?

security  kernel-panic 
zom-pro
kaynak
Tüm kişisel bilgiler kaldırılmış olarak günlükleri gönderebilir misiniz?
PoisonNinja

Yanıtlar:

2

Panik raporu kötü amaçlı yazılımları araştırmak için doğru araç değildir.

  1. Pek çok çarpışma ticaridir ve kötü niyetli olmayan yazılım parçalarından gelmektedir. Bazıları doğrudan MacOS X'den geliyor. Kaza, kötü amaçlı yazılım anlamına gelmez.

  2. Çoğu zaman bu çökmeleri tekrar edemezsiniz.

  3. Parçalarını gizlemek için, çoğu yazılım en kısa sürede etkinleştirilir.

  4. Kilitleme yazılımı kilitlenme anında etkin değilse, kilitlenme raporundaki hiçbir yararlı bilgi olmaz.

Kötü amaçlı yazılımları araştırmak için doğru araçlar şunlardır:

  1. Herhangi bir sistem anormal aktivitesini tespit etmek için araçlar:

    Activity Monitor

    top

    netstat

    Küçük kaçırmak

    Bu komut, güvenlik duvarınıza sızmaya çalışabilecek herhangi bir programı gösterecektir:

    tail -f /var/log/appfirewall.log

    ...

  2. Sistemin anormal bileşenlerini saptamak için araçlar:

    kextstat

    bu komut tüm son setuid bit dosyalarını arar:

    find / -mtime -7 -perm +04000 -ls

    tuzak teli

    clamav , ClamXav for

    chkrootkit

    ...

Sonunda panik bir raporda bir şeyin şüpheli olduğunu düşünüyorsanız, bunu sistemdeki canlı yöntemlerle araştırmaya çalışın. Hangi modüllerin orada olması gerektiğini kontrol etmek için kextstat. Çıktısının bir kopyasını kaydedin, başka bir günü kontrol edin, yönetici şifrenizi soran bir yazılım yüklediğinizde kontrol edin, anormal bir yavaşlama olup olmadığını kontrol edin.

dan
kaynak
1

Kısa cevap hayır - Kötü amaçlı yazılımın nadiren kullanılan orijinal bir Apple çekirdek modülünü kaldırmadığı ve kendisine aynı adı verdiği konusunda hiçbir garantiniz yok.

Kötü amaçlı yazılımlar gizlenmede çok iyidir - genellikle tehlike altında olan Unix sistemleri (OS X gibi), kötü amaçlı yazılımı göstermeyen özel sistem yardımcı programları sürümleri alır ( buradaki 39-41 numaralı slaytlara bakın ).

D Schlachter
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.