Terminé usando una segunda Mac para hacer un escaneo con la máquina cuestionable iniciada en modo de disco de destino .
Mi procedimiento de escaneo real fue
0) (hecho antes de usar el modo de disco de destino) actualiza el sistema y las aplicaciones en ambas máquinas a las versiones actuales
1) compare archivos en ambas máquinas usando este script:
DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff
for dir in "${DIRS[@]}"; do
# diff: recursive, just output whether files differ
diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;
1.1) Utilicé un editor de texto de gran potencia (vim) para dar sentido a la salida. Mi estrategia básica era simplemente organizar las líneas de salida en los primeros dos niveles de la estructura de directorios utilizando el plegado de código basado en sangría. Esta técnica requiere algunos conocimientos informáticos generales y específicos de POSIX-ish, en particular para diferenciar las diferencias "correctas" de las diferencias potencialmente peligrosas.
2) Corrí chkrootkit
usando el comando
sudo ./chkrootkit -q -r /Volumes/system/
2.1) chkrootkit
produjo la siguiente salida. Estas indicaciones parecen deberse a la ejecución del análisis en un disco de destino y / o debido a las diferencias entre los distintos sistemas operativos que soporta chkrootkit
.
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file
2.2) Para obtener chkrootkit
para compilar, tuve que descomentar una línea en Makefile
. Está claramente indicado en el Makefile
. Consulte aquí para obtener más información.
SUMMARY
Me siento bastante seguro de que este fue un escaneo efectivo (dado el estado limpio del sistema de escaneo). Sin embargo, hay algunas desventajas de este método:
- Se supone que el equipo de escaneo está limpio
- Requiere otra Mac (obviamente)
- Puede ser muy difícil encontrar un cable Firewire de 9 pines a 9 pines.
En caso de que no tenga un Mac adicional disponible, aquí hay un par de alternativas a este enfoque:
-
Es posible instalar OSX de forma limpia en una unidad USB. Para hacer esto, inicie la máquina mientras mantiene presionada la opción de comando-R para realizar una Recuperación de Internet . Esto evita el contenido del disco y utiliza el código de firmware para instalar OSX desde los servidores de Apple. Aparentemente, solo puede conectar una unidad USB y elegirla como objetivo de instalación; después, puede arrancar la máquina desde la unidad USB y ejecutar escaneos en la unidad del sistema. El inconveniente aquí es que se trata de una descarga de > 5 GB, por lo que es mejor que tengas una conexión rápida a Internet (o algo de paciencia).
-
También podría haber extraído la unidad de la máquina y colocarla en una caja de disco duro. Las ventajas aquí son que no habría tenido que usar una Mac para escanearla, y que no hubiera tenido que encontrar un cable Firewire de 9 pines a 9 pines. Por supuesto, si no usara una Mac para escanearla, no habría podido usar mi primer método de escaneo (el diff
).