卡巴斯基发布轻量级工具,可检测Pegasus及其他iOS恶意软件
2024-1-17 18:6:30 Author: 看雪学苑(查看原文) 阅读量:8 收藏

1月16日,卡巴斯基全球研究与分析团队(GReAT)公布了一种用于检测iOS恶意软件的轻量级方法,能够检测出Pegasus、Reign、Predator等知名复杂恶意软件。
卡巴斯基分析发现,恶意软件感染会在一个系统日志Shutdown.log中留下痕迹。Shutdown.log是一个在任何移动iOS设备上都可以找到的系统日志文件。此文件会记录下每次的重启事件,同时记录多个环境特征,并且还存储着多年的条目。
检测的原理是:当用户重新启动设备时,操作系统会尝试在重启前终止仍在运行的进程。若此时仍有进程在运行,则会记录其进程标识符(PID)和相应的文件系统路径,日志条目指出这些进程阻止了正常的重新启动,另外还提供了一个UNIX时间戳。
该日志文件存储在sysdiagnose(sysdiag)存档中。Sysdiag是为调试及故障排除目的而生成的系统日志和数据库的集合。生成sysdiag存档的方法因iOS版本而异,该存档可以在操作系统的常规设置中找到。等待数分钟创建完一个200-400MB大小的.tar.gz文件后,便可以将该文件传输到分析机上进行后续处理。卡巴斯基在GitHub上提供了一些Python3脚本,以帮助用户自动化提取、分析、解析Shutdown.log数字取证物。
卡巴斯基表示,迄今为止,分析iOS感染的常见方法要么是检查加密的完整iOS备份,要么是分析设备的网络流量,但这两种方法要么非常耗时,要么需要高水平的专业知识。相较之下,他们公布的这种轻量级检测方法相当方便且没什么门槛。同时卡巴斯基也强调,这并不是一种能够检测所有恶意软件的万能药,这种方法较为依赖于用户尽可能频繁地重启手机。

编辑:左右里

资讯来源:Kaspersky

转载请注明出处和本文链接

每日涨知识

Data Encryption Standard: 数据加密标准(DES)

1997 年对所有政府通信提出的标准密码系统。尽管它在 2001 年被高级加密标准(AES)所代替,但是很多政府机构今天仍继续在密码学应用中使用 DES。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458536542&idx=3&sn=293beb46c3c51520d59bef66b8cc1a01&chksm=b05fc7bd1d8d46bbc8c55eeb523e74ba3414397c3d40df393272068757fe056253e09813c61a&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh