谷歌为Mac OS打造开源恶意检测系统

2016-08-25 288717人围观 ,发现 8 个不明物体 工具

google-open-sources-macos-malware-sniffer-called-santa-507432-3.jpg

谷歌最近正致力于打造一款针对MacOS的恶意检测系统,目前它已经在Github上开源。这个由谷歌Macintosh Operations团队开发的项目名叫Santa,现在已经更新到了0.9.12版本。

如谷歌所描述的那样,Santa并不完全是一个杀毒引擎。它会通过黑白名单机制,对MacOS的进程进行控制。当前版本Santa的GUI界面,其实只有一个通知弹窗,而且是在它阻止某个进程运行的时候才会弹出来。

这个恶意软件嗅探系统,会扮演一个用户守护进程的角色。它会去主动扫描新出现的进程,并根据自身维护的基于黑白名单的SQLite数据库,判断某个应用是否应该继续运行。

两种操作模式

该项目在Github的文档中,有两种操作模式:监控(MONITOR)和封锁(LOCKDOWN)

在监控模式中,该系统会借助黑名单,告诉操作系统哪些应用是不能运行的。

在封锁模式中,它会告诉系统只能运行白名单里的应用。

用户和网络管理员都可以往Santa的黑名单里,根据签名证书添加相应的应用。

谷歌解释道:

“这样,你就可以允许或阻止拥有某个厂商签名的所有程序。只有当某程序的签名校验通过之后,Santa才能将它加入白名单。

不过你需要注意一点,将某证书签名的程序加入黑名单后,再将该证书加入白名单,两边的规则都会生效。

当然,反过来效果也是一样的。”

另外,Santa自带有防篡改机制。如同其他优秀的安全产品一样,Santa会记录自身执行过的操作。当然,它也会采取一系列的安全措施,保证恶意软件不能通过植入它的进程,来到达躲避安全检测的目的。

恶意软件或许会通过修改Santa的黑名单,来阻断Santa或者MacOS的核心进程。而Santa的组件会使用苹果XPC服务的API进行相互验证,如果签名证书不一致,是不会进行通信的。

FreeBuf小科普

苹果XPC服务:OSX10.7以后,cocoa新增加了一种新的技术,就是XPC,它的实现不再通过对象间的直接连接,而是通过block实现一种服务端对客户端的connection。这两者之间的通信都是通过使用xpc_connection发送消息实现。XPC的出现是为了将程序分成不同的几个子程序,从而实现权限分隔,让你的程序更加安全。

然而,Santa现在还没有明确的发布日期,但是大家都可以安装它的试用版本

*参考来源:SP,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)

发表评论

已有 8 条评论

取消
Loading...
dawner

黎明已经过去,黑暗就在眼前!

289 文章数 416 评论数

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php