Gibt es eine Möglichkeit, Kernel-Module zu identifizieren, die aus einem Panikbericht heraus nicht vorhanden sein sollten? Wenn man sich beispielsweise diese Diskussion https://discussions.apple.com/thread/2778885 ansieht , ist es ziemlich offensichtlich, dass „elmedia“ leicht zu identifizieren ist. Wenn ich mir jedoch meine anschaue, gibt es einige Dinge, die ziemlich häufig erscheinen, aber ich scheine keine Informationen darüber im Internet finden zu können. Zum Beispiel habe ich in meinem Bericht ein paar (verdächtige?) nationale Instrumententreiber namens ni488k.
Ich denke, diese Protokolle geben einen guten Einblick in die Erkennung möglicher Malware. Die Frage ist, wie kann ich wissen, welche Kernel-Module vorhanden sein sollten und welche nicht?
Ein Panikbericht ist nicht das richtige Werkzeug, um Malware zu untersuchen.
Viele Abstürze kommen von kommerzieller und nicht böse erdachter Software. Einige davon stammen direkt von MacOS X. Absturz bedeutet nicht Malware.
Meistens kann man diese Abstürze nicht beliebig reproduzieren.
Um ihre Spuren zu verwischen, ändert die meiste Crapware ihren Namen, sobald sie aktiviert wird.
Wenn die Crapware zum Zeitpunkt des Absturzes nicht aktiv war, werden sie keine nützlichen Informationen in einem Absturzbericht enthalten.
Tools zum Erkennen von anormalen Systemaktivitäten:
Activity Monitor
top
netstat
Dieser Befehl zeigt jedes Programm an, das versuchen könnte, Ihre Firewall zu durchdringen:
tail -f /var/log/appfirewall.log
...
Tools zur Erkennung abnormaler Komponenten des Systems:
kextstat
Dieser Befehl sucht nach allen aktuellen setuid-Bitdateien:
find / -mtime -7 -perm +04000 -ls
...
Wenn Sie schließlich glauben, dass etwas in einem Panikbericht verdächtig ist, versuchen Sie, es mit den oben genannten Methoden auf dem laufenden System zu untersuchen. Um zu überprüfen, welche Module vorhanden sein sollten, verwenden Sie kextstat. Speichern Sie eine Kopie der Ausgabe, überprüfen Sie sie an einem anderen Tag, überprüfen Sie, wann Sie eine Software installieren, die Sie nach Ihrem Admin-Passwort fragt, überprüfen Sie, wenn Sie eine ungewöhnliche Verlangsamung bemerken.
Die kurze Antwort ist nein – Sie haben keine Garantie dafür, dass die Malware nicht ein selten verwendetes echtes Apple-Kernelmodul entfernt und sich denselben Namen gegeben hat.
Malware kann sich sehr gut verstecken – oft erhalten kompromittierte Unix-Systeme (wie OS X) benutzerdefinierte Versionen von Systemdienstprogrammen, die die Malware nicht anzeigen (siehe Folien 39-41 hier ).
GiftNinja