Detección de malware en informes de pánico

Navega tus respuestas
1

¿Hay una manera de identificar los módulos del kernel que no deberían estar ahí fuera de un informe de pánico? Por ejemplo, mirando esta discusión enlace , era bastante obvio ya que "elmedia" era fácilmente identificable. Sin embargo, cuando miro el mío, hay algunas cosas que parecen bastante comunes pero parece que no puedo encontrar ninguna información sobre ellas en internet. Por ejemplo, en mi informe tengo un par de controladores de instrumentos nacionales (¿sospechosos?) Llamados ni488k.

Creo que estos registros proporcionan una buena idea para detectar posibles malware. La pregunta es, ¿cómo puedo saber qué módulos del kernel deberían estar allí y cuáles no?

    
pregunta zom-pro 13.08.2014 - 09:19

2 respuestas

2

Un informe de pánico no es la herramienta adecuada para investigar malware.

  1. Muchos bloqueos vienen de piezas de software comerciales y no mal concebidas. Algunos de ellos vienen directamente de MacOS X. Crash no significa malware.

  2. La mayoría de las veces no puedes reproducir estos bloqueos a voluntad.

  3. Para ocultar sus pistas, la mayoría de los crapware cambiarán su nombre tan pronto como se activen.

  4. Si el crapware no estaba activo en el momento de la falla, no habrá ninguna información útil en un informe de falla.

Las herramientas adecuadas para investigar el malware son:

  1. Herramientas para detectar cualquier actividad anormal del sistema:

    Activity Monitor

    top

    netstat

    Little Snitch

    Este comando mostrará cualquier programa que pueda intentar penetrar en tu firewall:

    tail -f /var/log/appfirewall.log

    ...

  2. Herramientas para detectar componentes anormales del sistema:

    kextstat

    este comando busca todos los archivos de bits de setuid recientes:

    find / -mtime -7 -perm +04000 -ls

    tripwire

    clamav , ClamXav

    chkrootkit

    ...

Si finalmente crees que algo es sospechoso dentro de un informe de pánico, Trate de investigarlo con los métodos anteriores en el sistema vivo. Para comprobar qué módulos deberían estar allí, use kextstat . Guarde una copia de su salida, verifique otro día, verifique cuando instale un software que le solicite su contraseña de administrador, verifique cuando note una desaceleración anormal.

    
respondido por el daniel Azuelos 25.08.2014 - 10:10
1

La respuesta corta es no. No tiene ninguna garantía de que el malware no haya eliminado un módulo de kernel de Apple genuino que no se haya utilizado y se haya dado el mismo nombre.

El malware es muy bueno para ocultarlo: los sistemas Unix a menudo comprometidos (como OS X) obtienen versiones personalizadas de las utilidades del sistema que no muestran el malware (consulte diapositivas 39-41 aquí ).

    
respondido por el D Schlachter 13.08.2014 - 18:36

Lea otras preguntas en las etiquetas

¿El algoritmo de búsqueda de amigos de Facebook obtiene datos de la aplicación iOS? ¿Por qué este script de bash no funciona como un servicio de automatización?