Ich habe eine 1,5-MB-dmg-Datei von einer nicht authentischen Website heruntergeladen und sie trotz Verdachts geöffnet und die darin enthaltene App geöffnet. Angenommen, das Spiel, das ich wollte, war game
, so hieß es game.dmg
. Es wurde montiert installer
und zeigte das Symbol von installer.app
. Es hat nicht die erwartete Software ofc installiert, sondern die Datenschutzrichtlinie von InstallCore und dann zwei Softwareempfehlungen angezeigt, die ich abgelehnt habe. Danach zeigte es einen Link, mit dem ich echte Software herunterladen konnte. Zurück zum Finder, es zeigte die abgeschlossene Installation.
Ich habe das dmg und kann es wieder öffnen, aber ich muss wissen, wo ich suchen muss, um alle Installationen, Dateien, die es geschrieben hat, usw. zu finden. Ich habe Systembericht -> Installationen sortiert nach Datum überprüft. Nur Adobe Flash Player war etwas, an das ich mich nicht erinnern kann, es an diesem Tag installiert zu haben. Es war vorinstalliert. Ich habe es vorerst entfernt.
MalwareBytes-Scan hat nichts angezeigt.
Fühlen Sie sich frei, nach Paketinhalten, Screenshots, Systemprotokollen, Details zur Aktivitätsüberwachung usw. zu fragen. MacOS Mojave auf MacBook Air.
Im Allgemeinen ist es nicht möglich, im Nachhinein herauszufinden, was getan wurde – es sei denn, Sie haben Backups.
Wenn Sie ein aktuelles Backup von kurz vor der Installation haben, können Sie einen Vergleich mit Ihrem aktuellen System durchführen, um die Unterschiede zu finden. Dies ist die „sicherste“ Methode (d. h. es wird am wenigsten etwas übersehen).
Es ist auch möglich, die Installationsdatei selbst zu analysieren – aber moderne Malware erhält in der Regel Anweisungen von einem Server, was auf dem Zielsystem zu tun ist. Diese Anweisungen können sich seit der Installation geändert haben.
Ich empfehle Pacifist von Charlessoft . Dies öffnet jede .pkg-Datei und zeigt Ihnen die Dateien und wo sie installiert werden. Sie können auch Shell-Skripte vor und nach der Installation untersuchen, falls vorhanden, und sehen, was sie tun.
/
Standard war und der Entwickler ihn nicht ändern wollte. Ich weiß nicht, ob ich etwas in den Nutzungsinformationen verpasst habe, aber ich konnte keine Option zum Überprüfen von Shell-Skripten finden. Bitte beachten Sie auch das Update, es war .app
nicht.pkg
IconDaemon
Anki
Anki