Есть ли способ идентифицировать модули ядра, которые не должны быть там, из сообщения о панике? Например, глядя на это обсуждение https://discussions.apple.com/thread/2778885 , там было довольно очевидно, что «elmedia» было легко идентифицировать. Однако, глядя на мои, есть некоторые вещи, которые кажутся довольно распространенными, но я, кажется, не могу найти никакой информации о них в Интернете. Например, в моем отчете есть пара (подозрительных?) драйверов национальных инструментов с названием ni488k.
Я думаю, что эти журналы дают хорошее представление об обнаружении возможных вредоносных программ. Вопрос в том, как я могу узнать, какие модули ядра должны быть там, а какие нет?
Отчет о панике — неподходящий инструмент для расследования вредоносного ПО.
Многие сбои происходят из-за коммерческих, а не злонамеренных программ. Некоторые из них исходят непосредственно из MacOS X. Сбой не означает вредоносное ПО.
В большинстве случаев вы не можете воспроизвести эти сбои по своему желанию.
Чтобы скрыть свои следы, большинство дерьмовых программ меняют свое имя сразу после активации.
Если программное обеспечение не было активным во время сбоя, в отчете о сбое не будет никакой полезной информации.
Инструменты для обнаружения любой аномальной активности системы:
Activity Monitor
top
netstat
Эта команда покажет любую программу, которая может попытаться проникнуть в ваш брандмауэр:
tail -f /var/log/appfirewall.log
...
Инструменты для обнаружения аномальных компонентов системы:
kextstat
эта команда ищет все последние битовые файлы setuid:
find / -mtime -7 -perm +04000 -ls
...
Если, наконец, вы думаете, что что-то подозрительно в отчете о панике, попробуйте исследовать его с помощью вышеуказанных методов в системе. Чтобы проверить, какие модули должны быть там, используйте kextstat
. Сохраните копию его вывода, проверьте в другой день, проверьте, когда вы устанавливаете программное обеспечение, запрашивающее пароль администратора, проверьте, когда вы заметите ненормальное замедление.
Короткий ответ: нет — у вас нет гарантии, что вредоносная программа не удалила редко используемый подлинный модуль ядра Apple и не присвоила себе такое же имя.
Вредоносные программы очень хорошо умеют прятаться — часто скомпрометированные системы Unix (например, OS X) получают специальные версии системных утилит, которые не отображают вредоносное ПО (см. слайды 39–41 здесь ).
ЯдНиндзя