我有一台運行Mac OS X的計算機,我懷疑可能安裝了後門程序。
我知道我可以將其帶到專業的安全公司進行分析,或者從軌道上對其進行核查,但是我有興趣親自處理。
我可以使用哪些鑑識技術來確定係統中是否存在任何後門?
此外,我可能希望使用哪些網絡配置選項(防火牆或IDS規則,例如)以幫助限製或檢測系統中對後門的利用?
如果有人在您的系統中放置了一些隱藏的後門,並且他們能夠勝任,那麼您將找不到它們。這裡的“權限”是指“可以訪問Internet並在Google中鍵入'rootkit mac os x'”。參見例如這個。從理論上講,完全隱藏後門是不可能的,但前提是在理論上沒有任何錯誤的情況下編寫軟件。換句話說,這很難。
“安全實驗室”,無論是誰,都可以嘗試在您的計算機中查看是否發現了一些可疑的東西。可能的是,如果您觀察到奇怪的症狀,它們可能能夠在不假定病毒/後門/惡意軟件的情況下進行解釋。如果您不想向他們展示您的計算機,那麼您將無法逃脫:您必須自己進行分析,這意味著您需要掌握幾年的技術技能。
或者,重新格式化硬盤,然後從頭開始重新安裝。很少有惡意軟件能夠倖免於難。
如果您正在尋找一個不活躍的後門,那麼祝您好運,您需要多年的計算機取證技能才能進行追踪。另一方面,如果您正在尋找正在使用的後門,則使用來自另一個系統或網絡上硬件設備的流量分析可以讓您查看計算機是否正在發出任何意外的數據包。
這可能有助於發現某人是否正在積極地使用您的計算機來完成某事,但是仍然需要相當高的技術知識,因為即使“沒有做任何事情”,系統上也會有一些後台通信。 。”
效率在這裡不是變量。權衡是對所消耗資源的完整性的保證。為了完全確保您的系統具有完美的完整性(即未經您的允許,任何人都不能使用您的系統),您將需要消耗幾乎無限量的資源。
至少,您需要一個具有更嚴格分區的操作系統,然後是OSX。在極端情況下,您需要一個專門的處理器,該處理器提供對數據和控制的嚴格物理隔離(哈佛體系結構而不是von Neumann體系結構)。鑑於您無法控制的系統組件(cpu,主板,網卡,OS和其他軟件)的數量,即使沒有外部幫助,專家也很難實現系統的高度完整性保證。
鑑於您不是惡意軟件專家,您最大的希望就是通過減少暴露,減少漏洞管理和減少威脅可見性來降低風險。
限制暴露意味著採取以下步驟,例如減少系統連接到網絡的總時數,減少存儲在系統上的敏感數據的大小和範圍以及減少軟件的下載和安裝。
漏洞管理意味著跟踪系統的所有組件,並不斷升級或修補任何易受攻擊的組件。這主要是軟件,但也可以是網卡或外圍設備。這意味著監視操作系統和應用程序的源以獲取有關漏洞的警報,並根據需要重新配置或修補系統。
減少對威脅的可見性意味著不會在廣告中指出系統的位置或位置以及所包含的內容。說明這一點的最簡單方法是顯示相反的內容。不要在Facebook上發布您使用Macbook開始為小型企業使用信用卡的信息。這會提醒潛在的攻擊者一個有價值的目標(信用卡號)以及它可能具有的漏洞。
給定係統處於未知狀態,就像其他人所說的那樣,很難檢測到後門。您可以使用多種工具,但是對它們的適當討論超出了本文的討論範圍。 p但是,給定已知處於良好狀態的系統,可以使用基於主機的完整性檢測系統(例如,tripwire和ossec hids)來檢測其狀態的任何修改。這樣可以維護系統上可執行代碼文件哈希的安全數據庫。提供手段讓您查看修補/開發活動發生的任何變化。