Detectando malware en informes de pánico

¿Hay alguna manera de identificar los modules kernel que no deberían estar ahí fuera de un informe de pánico? Por ejemplo, al mirar esta discusión https://discussions.apple.com/thread/2778885 , allí era bastante obvio ya que "elmedia" era fácilmente identificable. Sin embargo, cuando miro la mía, hay algunas cosas que parecen bastante comunes, pero parece que no puedo encontrar ninguna información sobre ellas en Internet. Por ejemplo, en mi informe tengo un par de (¿sospechoso?) Controladores de instrumentos nacionales llamados ni488k.

Creo que estos loggings dan una buena idea para detectar posibles malware. La pregunta es, ¿cómo puedo saber qué modules del kernel deberían estar allí y cuáles no?

  • Cómo restablecer los permissions pnetworkingeterminados
  • ¿Cómo evito que los dispositivos iOS tengan una copy de security en iTunes cuando se conecta a la computadora de un amigo?
  • ¿Qué inicia un antiguo "Update Helper" y cómo confirmo que no es un troyano?
  • Little Snitch informa las conexiones salientes de Mach Kernel. ¿Estoy infectado?
  • ¿Los MacBook Pros con TouchID contienen TPM?
  • Cómo rastrear quién envió el correo electrónico desde la count de Yahoo; miembro de la familia hackeó count de correo electrónico
  • Auditoría de actividad y hardware
  • App Store sigue pidiendo contraseña de administrador
  • ¿FileVault 2 también encripta mi espacio libre en el disco?
  • ¿Por qué ya no puedo abrir el panel de Seguridad y privacidad de las Preferences del sistema?
  • ¿Cómo usar el command `login` para tomar una captura de pantalla del escritorio de otro usuario?
  • ¿Cómo establecer una política de Chrome en OS X?
  • 2 Solutions collect form web for “Detectando malware en informes de pánico”

    Un informe de pánico no es la herramienta adecuada para investigar malware.

    1. Muchos crashs provienen de software comercial y no mal concebido. Algunos de ellos provienen directamente de MacOS X. Crash no significa malware.

    2. La mayoría de las veces no puedes reproducir estos lockings a voluntad.

    3. Para ocultar sus pistas, la mayoría de los crapware cambiarán su nombre tan pronto como se activen.

    4. Si el crapware no estaba activo en el momento del locking, no será útil en un informe de fallas.


    Las herramientas adecuadas para investigar el malware son:

    1. Herramientas para detectar cualquier actividad anormal del sistema:

      Activity Monitor

      top

      netstat

      Pequeña snitch

      Este command mostrará cualquier progtwig que pueda intentar penetrar su firewall:

      tail -f /var/log/appfirewall.log

    2. Herramientas para detectar componentes anormales del sistema:

      kextstat

      este command busca todos los files de bit de setuid recientes:

      find / -mtime -7 -perm +04000 -ls

      cable de enlace

      clamav , ClamXav

      chkrootkit


    Si finalmente cree que algo es sospechoso en un informe de pánico, intente investigarlo con los methods anteriores en el sistema. Para verificar qué modules deben estar allí, use kextstat . Guarde una copy de su salida, verifique otro día, verifique cuando instale un software que le pida su contraseña de administrador, verifique cuando note una desaceleración anormal.

    La respuesta corta es no; no tiene garantía de que el malware no haya eliminado un module genuino de kernel de Apple y haya recibido el mismo nombre.

    El malware es muy bueno para esconderse: los sistemas Unix, a menudo comprometidos (como OS X), obtienen versiones personalizadas de las utilidades del sistema que no mostrarán el malware (ver diapositivas 39-41 aquí ).

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).