Я прочитал эту страницу поддержки Apple , что они используют XProtect для сканирования на наличие известных вирусов.
Я не могу найти никаких доказательств того, что XProtect получает новые определения или что-либо сканирует.
Где я могу найти журналы, и если они в унификации, то как их сохранить?
Откуда мне знать, что Apple действительно сканирует известные вредоносные программы, а не просто заявляет об этом?
Этот ответ является дополнением к ответу @jksoegaard, в котором показано, как сообщать об использовании XProtect. Я предоставляю доказательства относительно обновлений XProtect.
Информация о системе показывает все установки, связанные с XProtect. Вот мои с тех пор, как я в последний раз стирал и переустанавливал:
Если вы предпочитаете вывод терминала, вы можете использовать system_profiler -json SPInstallHistoryDataType
, но вывод требует дальнейшей обработки, чтобы привести его в управляемую форму. [Спасибо @mustaccio за это.]
И я знаю, что сегодня есть еще одно обновление XProtect. Об этом сообщает SilentKnight Говарда Окли.
Изменения в сегодняшнем обновлении обсуждаются здесь XProtect Update
ps -ef | grep -i xprotect | grep -v grep
показывает мне, что он работает. Вы знаете, как я могу получить доступ к информации в Программное обеспечение->Установки с помощью терминала?system_profiler -json SPInstallHistoryDataType
например.Вы можете найти журналы, выполнив:
log show --predicate 'subsystem == "com.apple.xprotect"'
Чтобы сохранить их, вы можете просто сохранить их в файл, например:
log show --predicate 'subsystem == "com.apple.xprotect"' > mylogs.txt
В этой папке можно найти различные определения безопасности XProtect:
/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/
Например, посмотрите на XProtect.plist
и XProtect.yara
. Если вы хотите доказать себе, что они действительно обновлены Apple, сделайте их копию. Затем сравните эту копию с вашими файлами через месяц или два.
Если вы все еще очень подозреваете, что, возможно, Apple просто утверждает, что сканирует на наличие вредоносных программ, хотя на самом деле этого не делает, даже если это включает создание для нее поддельной документации, поддельного программного обеспечения, поддельных файлов определений и поддельных процессов обновления для то же самое - вы можете просто проверить, что он делает для себя. Похоже, что для Apple было бы больше работы имитировать сканирование на наличие вредоносных программ, чем на самом деле — при значительном риске того, что любой системный эксперт или программист разоблачит их. Не имеет смысла, но если очень хочется - никто не мешает.
Самостоятельная проверка может включать в себя такие действия, как преднамеренное введение файла вредоносного ПО (неактивированного) в систему и проверка того, обнаруживает ли XProtect его. Вы также можете выполнить анализ кода двоичных файлов XProtect, чтобы убедиться, что он делает то, что говорит Apple.
/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist
имеет ссылку наeicar.com
Марк Уилсон
Бенвигги
Гилби
Джонатан