MacOSX'te kötü amaçlı DMG dosyasını incelemek

0

MAC'imde bir Android Studio var. Ben kurarken kontrol etmeye gittim SHA256. Bu yüzden bunun orijinal bir paket olmadığını anladım. Bunun ne olduğunu, neden olduğunu ve tercihlerimin ne olduğunu keşfetmek istiyorum.

Öncelikle imzayı kontrol etmeden önce kurulumu başlatmamam gerektiğini biliyorum. Biliyorum, kötüm. Yani, durumu düzeltmeye ve anlamaya çalışarak olmuş olabilir.

Anlamak istediğim birkaç şey var:

  1. İmza uyuşmuyorsa, bunun% 100 zararlı bir paket olduğundan emin mi?

  2. Evet ise, bu paketin içinde ne olduğunu ve makineme ne yaptığını keşfetmek için hangi aracı kullanabilirim?

  3. Herhangi bir işletim sistemi komutunun üzerine yazılmış olup olmadığını kontrol etmek için ne tür bir araç çalıştırabilirim? Yani, basit bir kopya işlemi başka bir şey yapsa bile emin değilim.

  4. Gerçek dmg'yi almak ve garip olanı karşılaştırmak istedim, iki dmg dosyasını karşılaştırmanın bir yolu var mı? Bir çeşit diff komutu?

Güvenlik uzmanı değilim, ancak işleri daha güvenli hale getirme konusunda daha iyi uygulamalar öğreniyorum. Çok fazla kötü amaçlı e-posta, dosya ve bağlantı girişimi aldığımdan eminim. Sadece kendimi biraz daha nasıl koruyacağımı öğrenmeye çalışıyorum.

Makineyi sıfırlamak zorunda kalmaktan kaçınmak isterdim, ancak gitmenin en iyi yolu bu. Ama yedeklerime ihtiyacım var ...

Biri yardım edebilir mi?

GÜNCELLEŞTİRME:

Dosyaların adı aynı, aynı sürüm: android-studio-ide-173.4819257-mac.dmg

Koştum: shasum-bir 256 android-stüdyo-ide-173.4819257-mac.dmg

Ve bunu aldım: d4a8502c5aabfc5477ff30dfffe296bf705bd7e62650a76796b646a8f28b5e5c

Bunu almam gerekiyor (geliştirici.android.com'dan): 21ec7cf480bfa05ff90594e9cebd0f79892e41d37b4a14988dce04a6fbb76b58

Bunun önemini bilmiyorum ama MacOSX’tan bir syspolicyd mesajı var:

değerlendirme android-studio-ide-173.4819257-mac.dmg için reddedildi com.apple.message.domain: com.apple.security.assessment.outcome2 com.apple.message.signature2: paket: UNBUNDLED com.apple.message.signature4: paket 3 com.apple.message.signature3: android-studio-ide-173.4819257-mac.dmg com.apple.message.signature5: UNKNOWN com.apple.message.signature: reddedildi: Kullanılabilir imza yok SenderMachUUID: F8DBBA1F-DCAE 34 9083-DC560D8032D5

security 
user8012
kaynak
Tam olarak SHA256'nın ne hesapladığını ve neyle karşılaştırdığınızı açıklayabilir misiniz? Her farklı sürümün ve paketin tamamen farklı bir SHA256 karmasının olacağının farkındasınız, bu yüzden karmanızın başka bir sürümle eşleşmemesi bir şey ifade etmiyor mu? Yoksa bir imzayı mı kontrol ediyordunuz (ki bir karma değerinden oldukça farklı)?
Gordon Davisson,
Gordon, soruyu güncelledim. Evet, sadece sha checksum 256 ile bir bütünlük kontrolü.
user8012

Yanıtlar:

0

Bana disk görüntüsü doğru gibi görünüyor ve yanlış olan tek şey, web sitesinin bir nedenden dolayı yanlış SHA256'ya sahip olmasıdır.

Disk görüntüsünü https://developer.android.com/studio/#downloads adresinden indirdim ve aynı SHA256 sağlama toplamını aldım. Disk görüntüsündeki uygulama dosyasında Google'dan geçerli bir imza var (aşağıya bakın) ve disk görüntüsünde şüpheli olabilecek başka bir şey göremiyorum. Disk görüntüsünün kendisinin imzalı olmadığını, ancak bunun bir sorun olmadığını unutmayın.

$ codesign -dvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
Executable=/Volumes/Android Studio 3.1.3/Android Studio.app/Contents/MacOS/studio
Identifier=com.google.android.studio
Format=app bundle with Mach-O universal (i386 x86_64)
CodeDirectory v=20200 size=537 flags=0x0(none) hashes=11+3 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha1=bac9739e22e0c9da7499d33bafc4b211b1950cc4
CandidateCDHash sha256=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Hash choices=sha1,sha256
CDHash=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Signature size=8949
Authority=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jun 4, 2018, 2:33:20 PM
Info.plist entries=20
TeamIdentifier=EQHXZ8M8AV
Sealed Resources version=2 rules=13 files=13287
Internal requirements count=1 size=188

$ codesign -vvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: valid on disk
/Volumes/Android Studio 3.1.3/Android Studio.app: satisfies its Designated Requirement

$ spctl -avvv /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: accepted
source=Developer ID
origin=Developer ID Application: Google, Inc. (EQHXZ8M8AV)

$ codesign -dvvv ~/Downloads/android-studio-ide-173.4819257-mac.dmg
/Users/gordon/Downloads/android-studio-ide-173.4819257-mac.dmg: code object is not signed at all
Gordon Davisson
kaynak
Bu Gordon için çok teşekkür ederim! Google Geliştiriciler Grubu ile ilgili bir dokümantasyon hata raporu zaten açtım. Bu bilgiyle sanırım gitmem iyi olur!
user8012
Mac'imdeki politika mesajının ne olduğunu biliyor musunuz? Sonuçta yanlış bir şey var gibi görünüyor.
user8012
Mac'imle karşılaştırmamıştım, ancak görüntünün imzalı olmadığını belirten sadece disk imaj bağlama işlemi olduğundan eminim. Görüntü imzalama yalnızca belirli şartlar altında gereklidir (burada AFAIK uygulanmaz), bu nedenle sorun olmaz.
Gordon Davisson,
0

İmza uyuşmuyorsa, bunun% 100 zararlı bir paket olduğundan emin mi?

Hayır. Yalnızca paketin sağlama toplamına sahip olduğunu, geliştiricinin gönderdiğinden farklı olduğunu biliyorsunuz. Bunun nedeni indirme işleminin bozuk olması (orijinali ikinci kez indirdiğinizde ne olduğunu kontrol edin ve bakın, ilk indirmeden farklı mı?)

HBruijn
kaynak
Tekrar indirdim ve aynı dosya. İlk kurulumu tamamen sildim. Tekrar kurmadan önce, neler olup bittiğini kontrol etmeliyim! Teşekkürler.
user8012
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.