Mac OS Xのルートキット
- Mac OS X用のルートキットの既知の存在はありますか、そして例を提供できますか?
- OS/X上のルートキットを検出するためにどのソフトウェアを推奨しますか?
- ソフトウェア開発者の観点から、OS/Xでルートキットを手動で検出する方法の指針を提供できますか?例えば、私が探すことができるカーネルの特定の場所はありますか?カーネルをスキャンまたは検証する目的で使用できる、Cocoa内の既知の関数またはライブラリはありますか?ルートキットをスキャンするためのシェルスクリプトまたはネイティブのC/Obj-Cコードをどのように書きますか?
WeaponXは2004年にありました。自分で開発する方法についてのガイド here もあります。 OSXはMachとBSDの組み合わせであるため、Mach側またはUnix側、あるいはその両方を対象とするために特別に開発されたルートキットが存在します。
私のUnixマシンではRkhunterを使用していますが、OSXのバージョンもあるので、それを確認することをお勧めします。
ルートキットの問題は、それ自体が隠れてしまう可能性のある場所がたくさんあることに加えて、検出が非常に困難になることが多いことです。誤ったプロセス情報を提供する可能性があります。
私は自分で書いたことがありませんが、rkhunterはオープンソースなので、そこから始めることをお勧めします。
また、私が誤解していない場合(確信が持てない場合)は、バイナリとカーネルモジュールのMD5ハッシュを作成し、これを頻繁にチェックします。変更点を通知します。更新した可能性があります。そうでない場合は、そのバイナリが変更された理由を調べてみてください。
F-secure 1月16日のこのブログ投稿: http://www.f-secure.com/weblog/archives/00002300.html
ただし、「バックドア」とは呼ばれていません。