XProtect — Apple утверждает, что они делают антивирусы на основе сигнатур, но откуда мы знаем?

Я прочитал эту страницу поддержки Apple , что они используют XProtect для сканирования на наличие известных вирусов.

Я не могу найти никаких доказательств того, что XProtect получает новые определения или что-либо сканирует.

Где я могу найти журналы, и если они в унификации, то как их сохранить?

Откуда мне знать, что Apple действительно сканирует известные вредоносные программы, а не просто заявляет об этом?

Я могу понять желание проверить все самостоятельно, но есть масса исследователей безопасности, которые целыми днями проверяют MacOS с частым гребешком. Если бы Apple делала заявления о безопасности, не соответствующие действительности, это было бы во всей технической прессе.
@benwiggy Чтобы быть справедливым к ОП, Apple имеет историю анонсирования функции безопасности с большой помпой, а через два года оставляла ее безвестной. Например, данные конфигурации привратника не обновлялись более 2 лет и больше не являются активными eclecticlight.co/2021/03/06/…
Моим аудиторам, клиентам и совету директоров нужно больше информации, чем просто «доверьтесь Apple». Нам нужно показать, что решение работает, обновляется и работает в любой системе. В противном случае мне может понадобиться установить стороннее антивирусное решение, которое никому не подходит :-)

Ответы (2)

Этот ответ является дополнением к ответу @jksoegaard, в котором показано, как сообщать об использовании XProtect. Я предоставляю доказательства относительно обновлений XProtect.

Информация о системе показывает все установки, связанные с XProtect. Вот мои с тех пор, как я в последний раз стирал и переустанавливал:

XProtect

Если вы предпочитаете вывод терминала, вы можете использовать system_profiler -json SPInstallHistoryDataType, но вывод требует дальнейшей обработки, чтобы привести его в управляемую форму. [Спасибо @mustaccio за это.]

И я знаю, что сегодня есть еще одно обновление XProtect. Об этом сообщает SilentKnight Говарда Окли.

Тихий рыцарь

Изменения в сегодняшнем обновлении обсуждаются здесь XProtect Update

Это показывает мне, что данные конфигурации обновлены и история обновлений. ps -ef | grep -i xprotect | grep -v grepпоказывает мне, что он работает. Вы знаете, как я могу получить доступ к информации в Программное обеспечение->Установки с помощью терминала?
Нет, не знаю, извини.
@ Джонатан, system_profiler -json SPInstallHistoryDataTypeнапример.
@mustaccio Спасибо, я вставил ваш комментарий в свой ответ.

Вы можете найти журналы, выполнив:

log show --predicate 'subsystem == "com.apple.xprotect"'

Чтобы сохранить их, вы можете просто сохранить их в файл, например:

log show --predicate 'subsystem == "com.apple.xprotect"' > mylogs.txt

В этой папке можно найти различные определения безопасности XProtect:

/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

Например, посмотрите на XProtect.plistи XProtect.yara. Если вы хотите доказать себе, что они действительно обновлены Apple, сделайте их копию. Затем сравните эту копию с вашими файлами через месяц или два.

Если вы все еще очень подозреваете, что, возможно, Apple просто утверждает, что сканирует на наличие вредоносных программ, хотя на самом деле этого не делает, даже если это включает создание для нее поддельной документации, поддельного программного обеспечения, поддельных файлов определений и поддельных процессов обновления для то же самое - вы можете просто проверить, что он делает для себя. Похоже, что для Apple было бы больше работы имитировать сканирование на наличие вредоносных программ, чем на самом деле — при значительном риске того, что любой системный эксперт или программист разоблачит их. Не имеет смысла, но если очень хочется - никто не мешает.

Самостоятельная проверка может включать в себя такие действия, как преднамеренное введение файла вредоносного ПО (неактивированного) в систему и проверка того, обнаруживает ли XProtect его. Вы также можете выполнить анализ кода двоичных файлов XProtect, чтобы убедиться, что он делает то, что говорит Apple.

Вы можете указать OP на тестовый файл EICAR — это небольшой двоичный файл MS-DOS, который является безопасным (его единственное действие — вывести строку на консоль), но большинство поставщиков антивирусов включают в свои определения, чтобы обеспечить безопасное тестирование.
Я не вижу в этих журналах историю обновлений или результаты текущего сканирования. Черт возьми, у меня в журналах нет ничего, что совпадало бы — я предполагаю, что они уже сброшены. Хорошая идея с тестовым файлом EICAR @nanofarad.
@nanofarad, как мне использовать EICAR для запуска xprotect - это не бинарное приложение, которое будет выполнять Mac, и поэтому xprotect не будет его сканировать, верно?
@Jonathan Я ожидаю, что компетентный сканер вредоносных программ, вероятно (но не обязательно), будет сканировать что-то, кроме собственных исполняемых файлов для локальной системы. Здесь все еще есть вероятность ложноотрицательного результата, но если он обнаружен, у вас есть ответ без необходимости делать что-либо сложное и рискованное.
@nanofarad Я не думаю, что XProtect претендует на звание универсального антивирусного сканера. Он очень сосредоточен на конкретных типах вредоносных программ для Mac. Я серьезно сомневаюсь, что он обнаружит eicar, и что мы не должны этого ожидать. Или у вас есть доказательства того, что это так (и я ошибаюсь).
@nanofarad Вот доказательство того, что я ошибался: /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plistимеет ссылку наeicar.com
XProtect — Apple утверждает, что они делают антивирусы на основе сигнатур, но откуда мы знаем?
СпросиСетьПолитика конфиденциальности1y, 0v