Обнаружение вредоносного ПО в панических отчетах

Есть ли способ идентифицировать модули ядра, которые не должны быть там, из сообщения о панике? Например, глядя на это обсуждение https://discussions.apple.com/thread/2778885 , там было довольно очевидно, что «elmedia» было легко идентифицировать. Однако, глядя на мои, есть некоторые вещи, которые кажутся довольно распространенными, но я, кажется, не могу найти никакой информации о них в Интернете. Например, в моем отчете есть пара (подозрительных?) драйверов национальных инструментов с названием ni488k.

Я думаю, что эти журналы дают хорошее представление об обнаружении возможных вредоносных программ. Вопрос в том, как я могу узнать, какие модули ядра должны быть там, а какие нет?

Не могли бы вы опубликовать логи, убрав всю личную информацию?

Ответы (2)

Отчет о панике — неподходящий инструмент для расследования вредоносного ПО.

  1. Многие сбои происходят из-за коммерческих, а не злонамеренных программ. Некоторые из них исходят непосредственно из MacOS X. Сбой не означает вредоносное ПО.

  2. В большинстве случаев вы не можете воспроизвести эти сбои по своему желанию.

  3. Чтобы скрыть свои следы, большинство дерьмовых программ меняют свое имя сразу после активации.

  4. Если программное обеспечение не было активным во время сбоя, в отчете о сбое не будет никакой полезной информации.

Правильные инструменты для поиска вредоносного ПО:

  1. Инструменты для обнаружения любой аномальной активности системы:

    Activity Monitor

    top

    netstat

    Маленький снитч

    Эта команда покажет любую программу, которая может попытаться проникнуть в ваш брандмауэр:

    tail -f /var/log/appfirewall.log

    ...

  2. Инструменты для обнаружения аномальных компонентов системы:

    kextstat

    эта команда ищет все последние битовые файлы setuid:

    find / -mtime -7 -perm +04000 -ls

    растяжка

    Кламав , ClamXav

    chkrootkit

    ...

Если, наконец, вы думаете, что что-то подозрительно в отчете о панике, попробуйте исследовать его с помощью вышеуказанных методов в системе. Чтобы проверить, какие модули должны быть там, используйте kextstat. Сохраните копию его вывода, проверьте в другой день, проверьте, когда вы устанавливаете программное обеспечение, запрашивающее пароль администратора, проверьте, когда вы заметите ненормальное замедление.

Короткий ответ: нет — у вас нет гарантии, что вредоносная программа не удалила редко используемый подлинный модуль ядра Apple и не присвоила себе такое же имя.

Вредоносные программы очень хорошо умеют прятаться — часто скомпрометированные системы Unix (например, OS X) получают специальные версии системных утилит, которые не отображают вредоносное ПО (см. слайды 39–41 здесь ).

Обнаружение вредоносного ПО в панических отчетах
СпросиСетьПолитика конфиденциальности1y, 0v