系统:Monterey 12.4 起因:下破解版的软件,因为急着用,根本没注意伪装成 pkg 安装包的 command 脚本,给了 root 权限,才意识到翻车了~
把 dmg 内容倒腾出来,是一长串 base64 附带一个 sh 脚本将其 decode 为二进制(Mach-O 64-bit executable x86_64),放到 /tmp 执行后删除,执行前还会贴心的给装 Rosetta 。
设法得到了它藏的二进制,上传 viruscan 基本实锤是 Adware/Bundlore ,有个问题想请教各位:如果 LaunchAgent 和 LaunchDaemon 下无可疑项目,并且用 CleanMyMac 全盘扫过一次了,进程列表里面也没有不对劲的东西,算是安全了吗?
二进制传到这里了 drive dot google dot com/file/d/10hV-UK4XJ7UlAd8SDI9eeHu1AaK0XIyK/view?usp=sharing 供会逆向的大佬研究研究
1
classiccc 2022-05-18 07:52:15 +08:00
插眼关注,如果转了不少破解软件,有什么好方法查杀可疑项目呀?
|
2
luckykong 2022-05-18 08:50:28 +08:00
同样有这个担心。。想问下有没有好用查杀软件。
eset 这种传统的 windows 的杀毒软件,mac 下表现如何呢? |
4
xiyangzh 2022-05-18 11:53:32 +08:00
二进制文件下载不了了,google 给你删了吧
|
5
zhandouji 2022-05-18 12:10:35 +08:00
不用破解软件,用免费开源软件就没这麻烦。吃饭的家伙应该花钱买。
|
6
yousabuk 2022-05-18 13:20:00 +08:00 via iPhone
一直不敢下载破解好的软件进行安装
想想:人家凭什么义务奉献? |
7
cuff 2022-05-18 13:21:42 +08:00
我看了一下我有一个 com.yelab.AdwareRemovalHelper ,但是想不到是什么时候装的?这个进程是干什么的呢?
|
10
idealhs 2022-05-18 13:38:26 +08:00 3
无聊,讨论个杀毒都能歪到破解?
|
11
stephCurry 2022-05-18 17:58:30 +08:00
既然恶意脚本移动到 /tmp 执行后删除了,那么原理上重启后就没事了,但恶意脚本通常会在 crontab 里面定时启动。Linux 经验来收,检查下 /etc/crontab 下所有 daily weekly 等任务,同时分析下恶意脚本内容。
|
12
dingwen07 2022-05-18 18:22:10 +08:00
链接被 Google 干掉了
难道 Google Drive 分享也和 Gmail 一样带病毒扫描的吗 |
13
dingwen07 2022-05-18 18:23:40 +08:00
顺便提一下,我打开 PKG 之前一般都会看一下它会运行哪些脚本再定夺是否安装,op 用电脑还是得小心啊,不管什么系统
|
16
a1knla OP @yousabuk 很有道理!
@cuff 好像查不到这个包的信息 @stephCurry 感谢提醒,忘记了 crontab @dingwen07 是的我也刚知道个人网盘的内容也会被扫毒,收到了谷歌的邮件说这个文件因为有病毒所以删了,我放到了 https://github.com/hatsune-miku/bibobibo/blob/main/malware 谢谢提醒! |
17
CivAx 2022-05-18 20:10:59 +08:00
注意有没有释放和加载恶意 Kext 就行了,这可能是 mac 在病毒防护逻辑上唯一跟 Windows 近似的地方,其他就是常规的 Linux 检查项:启动项 /服务、crontab 、进程、资源占用、陌生脚本
|
18
nicevar 2022-05-18 20:26:27 +08:00
很多破解软件都绑了,特别是的 PD ,老毛子捆绑的,我最初发现是我们同事的电脑中招了,为了用破解的,请求授权自己就输入密码通过了,其实很多 macOS 用户都中招了,只是自己发现不了,然后还整天觉得 macOS 很安全,须不知已经当了肉鸡多长时间都不知道
|
20
luoyayu 2022-05-18 20:57:53 +08:00
https://objective-see.org/tools.html 一些开源的 Mac 安全工具
|
21
luckykong 2022-05-18 21:37:31 +08:00
“恶意软件”是如何跟“破解”划等号的?
不用破解版的软件,就不担心中毒? mac 系统这么安全? |
22
a1knla OP |
25
a1knla OP @luckykong 我看错了,不好意思!
@sickoo 我装了一个开源的 KnockKnock ( https://github.com/objective-see/KnockKnock) 可以把系统中各个敏感区域比如启动项都扫一遍,然后看看有没有可疑的项目吧 |