Si no sabía, macOS tiene un directorio bien oculto llamado "/ AppleInternal" que es bastante secreto. No es posible leerlo ni firmarlo y nunca lo he visto antes con fs_usage, donde aparecía frecuentemente como / AppleInternal o / AppleInternal > > > > > > > > > > > > > > > > > > > > con generalmente entre 5 y 20 & gt ;.
Pensé que era una referencia a algo más que un directorio, pero el / antes de AppleInternal me hizo pensar y Google tiene un artículo sobre cómo habilitarlo, que aparentemente agregó algunas características ocultas a Xcode.
Inicié la recuperación y usé mkdir (no está permitido hacerlo fuera del modo de recuperación) y ahora hay una carpeta con ese nombre pero está vacía. fs_usage ya no hace ninguna referencia a / AppleInternal y ls muestra la fecha de creación como cuando usé mkdir. Parece un uso cuestionable si pudiera eliminarse una vez descubierto, ocultarlo tan bien y hacer referencia con tanta frecuencia antes de agregar el mío.
Parece un lugar bastante bueno para ocultar malware realmente.
Encontré una referencia vaga y única a AppleInternal en todas las páginas del manual. Está en ani (Apple Net Install) que dice que AppleInternal y AppleInternalAssistant son tipos de imagen dmg.
Entonces, ¿alguien tiene alguna idea de cómo se puede esconder tan bien o tiene información adicional sobre su verdadero propósito?