J'ai fini par utiliser un deuxième Mac pour effectuer une analyse avec la machine douteuse démarrée en mode disque cible .
Ma procédure de numérisation réelle était
0) (effectuée avant d'utiliser le mode de disque cible) mettre à jour le système et les applications des deux machines vers les versions actuelles
1) comparez les fichiers sur les deux machines en utilisant ce script:
DIRS=(Applications Library mach_kernel bin "private/etc" sbin usr);
# leaving out /opt as it seems to just contain MacPorts stuff
for dir in "${DIRS[@]}"; do
# diff: recursive, just output whether files differ
diff -r -q --speed-large-files "$1/$dir" "$2/$dir";
done;
1.1) J'ai utilisé un éditeur de texte puissant (vim) pour donner un sens à la sortie. Ma stratégie de base consistait simplement à organiser les lignes de sortie en fonction des deux premiers niveaux de la structure de répertoires à l'aide du pliage de code basé sur le retrait. Cette technique nécessite des connaissances informatiques générales et spécifiques à POSIX, en particulier pour différencier les différences correctes des différences potentiellement dangereuses.
2) j'ai couru en chkrootkit
utilisant la commande
sudo ./chkrootkit -q -r /Volumes/system/
2.1) chkrootkit
est venu avec la sortie suivante. Ces indications semblent être dues à l'exécution de l'analyse sur un disque cible et / ou aux différences entre les différents systèmes d'exploitation pris en chkrootkit
charge.
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
error: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/bin/strings: can't map file: /Volumes/system/ (Invalid argument)
not tested
not tested
unable to open wtmp-file /Volumes/system/wtmp
not tested: not found wtmp and/or lastlog file
2.2) Afin de pouvoir chkrootkit
compiler, je devais décommenter une ligne dans le fichier Makefile
. C'est clairement indiqué dans le Makefile
. Voir ici pour plus d'informations.
RÉSUMÉ
Je suis assez confiant que cette analyse a été efficace (compte tenu de l'état de propreté du système d'analyse). Cependant, cette méthode présente quelques inconvénients:
- Il suppose que l'ordinateur de numérisation est propre
- Cela nécessite un autre Mac (évidemment)
- Il peut être très difficile de trouver un câble Firewire 9 broches / 9 broches
Si vous n'avez pas de Mac supplémentaire disponible, voici quelques alternatives à cette approche:
Il est possible de mettre une installation propre d’OSX sur une clé USB. Pour ce faire, vous démarrez la machine en maintenant la commande commande-option-R enfoncée pour effectuer une récupération Internet . Cela contourne le contenu du disque et utilise le code du micrologiciel pour installer OSX à partir des serveurs Apple. Apparemment, vous pouvez simplement brancher un lecteur USB et choisir celui-ci comme cible d'installation; Ensuite, vous pouvez démarrer la machine à partir du lecteur USB et lancer des analyses sur le lecteur système. L'inconvénient est qu'il s'agit d'un téléchargement> 5 Go, il est donc préférable de disposer d'une connexion Internet rapide (ou de la patience).
J'aurais aussi pu sortir le lecteur de la machine et le placer dans un boîtier de disque dur. Les avantages ici sont que je n'aurais pas eu à utiliser un Mac pour le scanner et que je n'aurais pas eu à trouver un câble Firewire 9 broches / 9 broches. Bien sûr, si je n'utilisais pas de Mac pour le scanner, je n'aurais pas pu utiliser ma première méthode de numérisation (la diff
).