Potansiyel olarak tehlikeye düşmüş bir iMac'i geri yükleyin - en iyi eylemler

Uzun lafın kısası, bir arkadaşım, sahip olduğu Microsoft posta hesabında "tanınmayan bir IP başarılı giriş" uyarısı aldı. "Kesmek" (zamanlama, kullanılan parola vb.) Koşulları, "yanlış pozitif" bir uyarı dışında (hala çok muhtemel olan) tek geçerli seçeneğin, parolanın bir şekilde istemciden çalınmasıdır - bir iMac - çok kısa bir zaman diliminde hesap oluşturmak için kullanılır ("uzlaşma" tarihi orijinal hesap oluşturma işleminden sadece 5 dakika sonradır) - isterseniz, bu soruya Bilgi Güvenliği hakkında daha fazla bilgi bulabilirsiniz .

Her neyse, asıl olmasıdır eğer bir uzlaşma oldu, sonra makinede bazı keylogger veya benzeri zararlı olmamalıdır. Bazı temel aramalar yaptım ama hiçbir şey bulamadım. Ayrıca Little Snitch'i kurmaya çalıştı, ancak ağ filtreleri şüpheli bir şey göstermedi.

Bu, kaldırılacak herhangi bir enfeksiyon bulamadığım için arkadaşımın aldığı uyarının yanlış bir pozitif olduğuna emin olamadığım için, makinenin "geri yükleme / yeniden yükleme / biçimlendirme" planını yapıyordum. üzerinde bulunan veriler. Ama cehaletimi itiraf etmeliyim ki ... aynı zamanda bir iMac'e sahip olsam bile, bazı uzlaşmalardan sonra onu geri yükleme ihtiyacım olmadı, bu yüzden nasıl ilerleyeceğimi gerçekten bilmiyorum.

Bu nedenle, buradaki en iyi yaklaşım hakkında öneriler istiyorum. Bir işletim sistemi iso'yu Apple sitesinde bir yere indirmek zorunda kalacağımı ve sonra sistemi geri yüklemek için kullanacağımı sanıyorum ama emin değilim. Bu sayfa "Geri Yükleme Modu" na girmem ve oradan çalışmam gerektiğini gösteriyor ... ancak ... bu, "geri yükleme" bileşeninin hala yüklü olan işletim sistemine bağlı olduğu ve bu bağlantıların bozulmasına neden olabileceği anlamına geliyor. Enfeksiyona “silme” den kurtulma yeteneği verebilecek bir yol?

Üzgünüm, bu sorular biraz karışık veya paranoyak görünüyorsa, ancak iddia edilen enfeksiyondan hiçbir iz bulamadıysa, şimdi herhangi bir olasılığı değerlendirmeye başlıyorum.

Keylogger'ları nasıl tespit edeceğiniz aşağıda açıklanmaktadır:

Bu komutu terminalde çalıştırın: kextstat

Böyle bir şey görünmelidir:

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

Bu yüzden ilk 143 kex'im başlıyor com.apple, yani güvenli olmalı (biri Apple'ın paket kimliğini kullanmıyorsa, bu yüzden her birine yakından bakın ve adında yanlış bir şey olup olmadığına bakın) ve paralellikler kurdum, bu yüzden güvenli olmalı. çok.

Ardından, uzantılardan birinin bir ağ kütüphanesine bağlanan bir ses uzantısı gibi anlamlı olmayan bir şeye bağlanıp bağlanmadığını kontrol edin. Neye bağlı olduklarını, köşeli parantezlerin <> içine bakarak görebilirsiniz. Örneğin, öğe 114 ( com.parallels.virtualhid), olan öğe 1'e bağlanır com.apple.kpi.bsd. 1 (köşeli parantez içinde olduğu gibi <37 5 4 3 1>),

Şüpheli bir şey bulursanız, kaldırın, ancak devam etmeden önce doğru çekirdek uzantısına sahip olduğunuzdan emin olun. Yanlış çekirdek uzantısını devre dışı bırakmak hayatı gerçekten zorlaştırabilir. Genellikle System/Library/Extensionsuzantı içinde bulunurlar ve bitirler .kext.

Şimdi gerçekten macOS'u tamamen yeniden yüklemek istiyorsanız, şu adımları izleyin:

1. İhtiyacınız olan dosyaları başka bir yere kopyalayın
2. Kurtarma moduna önyükleme:
   tutarken Bilgisayarınızı kapatın, sonra güç onu Command- R.
3. Bilgisayarınızı silin:
   Menüden "Disk İzlencesi" ni seçin
   Sil'e tıklayın ve iletişim kutularını onaylayın (Silme biraz zaman alabilir)
4. MacOS yeniden yükleyin
   Seç "MacOS yeniden" kendi yönergeleri izleyin
   
   
5. Tamamlayınız!

Kurulumun, özellikle internet bağlantınızı işletim sistemini İnternet'ten indirdiği için yavaş olduğu zaman alabileceğini unutmayın.