https://t.cn/A6jqvOZb月16日,卡巴斯基全球研究与分析团队(GReAT)公布了一种用于检测iOS恶意软件的轻量级方法,能够检测出Pegasus、Reign、Predator等知名复杂恶意软件。
卡巴斯基分析发现,恶意软件感染会在一个系统日志Shutdown.log中留下痕迹。Shutdown.log是一个在任何移动iOS设备上都可以找到的系统日志文件。此文件会记录下每次的重启事件,同时记录多个环境特征,并且还存储着多年的条目。
检测的原理是:当用户重新启动设备时,操作系统会尝试在重启前终止仍在运行的进程。若此时仍有进程在运行,则会记录其进程标识符(PID)和相应的文件系统路径,日志条目指出这些进程阻止了正常的重新启动,另外还提供了一个UNIX时间戳。
该日志文件存储在sysdiagnose(sysdiag)存档中。Sysdiag是为调试及故障排除目的而生成的系统日志和数据库的集合。生成sysdiag存档的方法因iOS版本而异,该存档可以在操作系统的常规设置中找到。等待数分钟创建完一个200-400MB大小的.tar.gz文件后,便可以将该文件传输到分析机上进行后续处理。卡巴斯基在GitHub上提供了一些Python3脚本,以帮助用户自动化提取、分析、解析Shutdown.log数字取证物。
卡巴斯基表示,迄今为止,分析iOS感染的常见方法要么是检查加密的完整iOS备份,要么是分析设备的网络流量,但这两种方法要么非常耗时,要么需要高水平的专业知识。相较之下,他们公布的这种轻量级检测方法相当方便且没什么门槛。同时卡巴斯基也强调,这并不是一种能够检测所有恶意软件的万能药,这种方法较为依赖于用户尽可能频繁地重启手机。
卡巴斯基分析发现,恶意软件感染会在一个系统日志Shutdown.log中留下痕迹。Shutdown.log是一个在任何移动iOS设备上都可以找到的系统日志文件。此文件会记录下每次的重启事件,同时记录多个环境特征,并且还存储着多年的条目。
检测的原理是:当用户重新启动设备时,操作系统会尝试在重启前终止仍在运行的进程。若此时仍有进程在运行,则会记录其进程标识符(PID)和相应的文件系统路径,日志条目指出这些进程阻止了正常的重新启动,另外还提供了一个UNIX时间戳。
该日志文件存储在sysdiagnose(sysdiag)存档中。Sysdiag是为调试及故障排除目的而生成的系统日志和数据库的集合。生成sysdiag存档的方法因iOS版本而异,该存档可以在操作系统的常规设置中找到。等待数分钟创建完一个200-400MB大小的.tar.gz文件后,便可以将该文件传输到分析机上进行后续处理。卡巴斯基在GitHub上提供了一些Python3脚本,以帮助用户自动化提取、分析、解析Shutdown.log数字取证物。
卡巴斯基表示,迄今为止,分析iOS感染的常见方法要么是检查加密的完整iOS备份,要么是分析设备的网络流量,但这两种方法要么非常耗时,要么需要高水平的专业知识。相较之下,他们公布的这种轻量级检测方法相当方便且没什么门槛。同时卡巴斯基也强调,这并不是一种能够检测所有恶意软件的万能药,这种方法较为依赖于用户尽可能频繁地重启手机。
人有时候不要太早遇见太好的人,因为那个时候你还不知道什么是好什么是坏,拿到了最好的不一定会珍惜,只有经历了很多很多人之后,才会走辨别是非的能力,那个时候再遇见好的人的时候,才会珍惜。
为什么这么讲呢,因为翻出了我和笔友七年前的短讯记录,还有曾经的一些信件和留言板,每次看到那些记录我都会有点崩溃,因为曾经的我真的不配拥有这样的朋友。有时候又觉得可能是命运吧,有些人出现在你生命里,就是安排好的。
为什么这么讲呢,因为翻出了我和笔友七年前的短讯记录,还有曾经的一些信件和留言板,每次看到那些记录我都会有点崩溃,因为曾经的我真的不配拥有这样的朋友。有时候又觉得可能是命运吧,有些人出现在你生命里,就是安排好的。
P1 灵活的小胖子哈哈哈哈哈
P23 一些拍立得记录下来的美好瞬间~
P4 结婚第二天马上约打麻将了️
P5 打完麻将去吃烧烤了
P6 吃完烧烤回家数钱了(新婚之夜实在太困先睡了 没来得及数哈哈哈哈哈哈哈哈哈)
P7 今天回门 小杨亲自担 很有喜感
P8 结婚第三天 回家跟妈妈打牌了
P9 还是家里的天空
P23 一些拍立得记录下来的美好瞬间~
P4 结婚第二天马上约打麻将了️
P5 打完麻将去吃烧烤了
P6 吃完烧烤回家数钱了(新婚之夜实在太困先睡了 没来得及数哈哈哈哈哈哈哈哈哈)
P7 今天回门 小杨亲自担 很有喜感
P8 结婚第三天 回家跟妈妈打牌了
P9 还是家里的天空
✋热门推荐