Detección de malware en informes de pánico

¿Hay alguna manera de identificar los módulos del kernel que no deberían estar allí en un informe de pánico? Por ejemplo, mirando esta discusión https://discussions.apple.com/thread/2778885 , era bastante obvio que "elmedia" era fácilmente identificable. Sin embargo, al mirar el mío, hay algunas cosas que parecen bastante comunes, pero parece que no puedo encontrar ninguna información sobre ellas en Internet. Por ejemplo, en mi informe tengo un par de (¿sospechosos?) controladores de instrumentos nacionales llamados ni488k.

Creo que estos registros brindan una buena perspectiva para detectar posibles programas maliciosos. La pregunta es, ¿cómo puedo saber qué módulos del kernel deberían estar allí y cuáles no?

¿Podría publicar los registros con toda la información personal eliminada?

Respuestas (2)

Un informe de pánico no es la herramienta adecuada para investigar malware.

  1. Muchos bloqueos provienen de piezas de software comerciales y no mal concebidas. Algunos de ellos provienen directamente de MacOS X. Crash no significa malware.

  2. La mayoría de las veces no puedes reproducir estos bloqueos a voluntad.

  3. Para ocultar sus huellas, la mayoría de los crapware cambiarán su nombre tan pronto como se activen.

  4. Si el crapware no estaba activo en el momento del bloqueo, no habrá información útil en un informe de bloqueo.

Las herramientas adecuadas para investigar el malware son:

  1. Herramientas para detectar cualquier actividad anormal del sistema:

    Activity Monitor

    top

    netstat

    pequeño soplón

    Este comando mostrará cualquier programa que pueda intentar penetrar su firewall:

    tail -f /var/log/appfirewall.log

    ...

  2. Herramientas para detectar componentes anormales del sistema:

    kextstat

    este comando busca todos los archivos de bits setuid recientes:

    find / -mtime -7 -perm +04000 -ls

    cable trampa

    clamav , ClamXav

    chkrootkit

    ...

Si finalmente cree que algo es sospechoso dentro de un informe de pánico, intente investigarlo con los métodos anteriores en el sistema vivo. Para verificar qué módulos deberían estar allí, use kextstat. Guarde una copia de su salida, verifique otro día, verifique cuando instale un software que le solicite su contraseña de administrador, verifique cuando note una desaceleración anormal.

La respuesta corta es no: no tiene garantía de que el malware no haya eliminado un módulo del kernel original de Apple que rara vez se usa y se haya dado el mismo nombre.

El malware es muy bueno para ocultarse; a menudo, los sistemas Unix comprometidos (como OS X) obtienen versiones personalizadas de las utilidades del sistema que no mostrarán el malware (consulte las diapositivas 39-41 aquí ).

Detección de malware en informes de pánico
RespuestasAquíPolítica de privacidad1y, 0v