- 是否存在适用于 Mac OS X 的 rootkit,您能否提供示例?
- 你会推荐什么软件来检测 OS/X 上的 rootkit?
- 从软件开发人员的角度来看,您能否提供有关如何在 OS/X 上手动检测 rootkit 的指示?例如,我可以在内核中寻找任何特定的位置吗?Cocoa 中是否有任何已知的函数或库可用于扫描或验证内核?您将如何编写 shell 脚本或本机 C/Obj-C 代码来扫描 rootkit?
Mac OS X 上的 Rootkit
信息安全
苹果系统
Rootkit
2021-08-20 05:20:00
2个回答
2004 年就有了 WeaponX,这里甚至还有一个关于如何自己开发的指南。由于 OSX 是 Mach 和 BSD 的组合,因此专门开发了针对 Mach 或 Unix 端或两者的 rootkit。
我在我的 Unix 机器上使用 Rkhunter,也有一个适用于 OSX 的版本,所以我建议你看一下。
rootkit 的问题是它可以隐藏很多地方,而且它们通常很难被发现。他们可以提供虚假的过程信息。
我自己从来没有写过,但是 rkhunter 是开源的,所以我建议你从那里开始。
此外,如果我没有记错(但不确定),它会生成二进制文件和内核模块的 MD5 哈希,然后每隔一段时间检查一次。它会通知您发生了什么变化。可能是你做了更新。如果没有,那么您可能想看看为什么该二进制文件被更改了。
F-secure 1 月 16 日的这篇博文: http ://www.f-secure.com/weblog/archives/00002300.html
不过,他们没有命名“后门”。