Rilevamento di malware nei rapporti di panico

1

C'è un modo per identificare i moduli del kernel che non dovrebbero essere lì fuori da un rapporto di panico? Ad esempio, guardando questa discussione link , era abbastanza ovvio come "elmedia" fosse facilmente identificabile. Tuttavia, quando guardo il mio, ci sono alcune cose che sembrano abbastanza comuni, ma non riesco a trovare alcuna informazione su Internet. Ad esempio, nel mio rapporto ho un paio di driver per strumenti nazionali (sospetti?) Chiamati ni488k.

Penso che questi registri forniscano informazioni utili per rilevare possibili malware. La domanda è: come posso sapere quali moduli del kernel dovrebbero essere lì e quali no?

    
posta zom-pro 13.08.2014 - 09:19
fonte

2 risposte

2

Un rapporto di panico non è lo strumento giusto per indagare sul malware.

  1. Molti arresti anomali provengono da software commerciali e non male concepiti. Alcuni di questi provengono direttamente da MacOS X. Crash non significa malware.

  2. La maggior parte delle volte non è possibile riprodurre questi arresti anomali a volontà.

  3. Per nascondere le loro tracce, la maggior parte dei crapware cambierà il loro nome non appena attivato.

  4. Se il crapware non era attivo al momento del crash, non saranno informazioni utili in un rapporto di crash.

Gli strumenti giusti per indagare sui malware sono:
  1. Strumenti per rilevare qualsiasi attività anomala del sistema:

    Activity Monitor

    top

    netstat

    Little Snitch

    Questo comando mostrerà qualsiasi programma che potrebbe tentare di penetrare il tuo firewall:

    tail -f /var/log/appfirewall.log

    ...

  2. Strumenti per rilevare componenti anomali del sistema:

    kextstat

    questo comando cerca tutti i file bit setuid recenti:

    find / -mtime -7 -perm +04000 -ls

    tripwire

    clamav , ClamXav

    chkrootkit

    ...

Se finalmente pensi che qualcosa sia sospetto all'interno di un rapporto di panico, prova ad investigarlo con i metodi sopra riportati sul sistema vivo. Per verificare quali moduli dovrebbero essere lì usa kextstat . Salva una copia del suo output, controlla un altro giorno, controlla quando installi un software che ti chiede la password di amministratore, controlla quando noti un rallentamento anomalo.

    
risposta data 25.08.2014 - 10:10
fonte
1

La risposta breve è no - non si ha alcuna garanzia che il malware non abbia rimosso un modulo del kernel Apple originale usato raramente e si sia dato lo stesso nome.

Il malware è molto buono a nascondersi - i sistemi Unix spesso compromessi (come OS X) ottengono versioni personalizzate delle utilità di sistema che non mostreranno il malware (vedi diapositive 39-41 qui ).

    
risposta data 13.08.2014 - 18:36
fonte

Leggi altre domande sui tag