[转帖]深入分析Snow Leopard中的反病毒功能
[转帖]深入分析Snow Leopard中的反病毒功能
作者:Niki猫
英国一家安全软件公司Intego一直在炒作苹果系统的安全问题(不超作怎么卖杀软啊),最近还发布了一项关于雪豹中的反恶意软件功能XProtect的详细报告,报告指出,苹果新的XProtect不以有识别所有的木马变种,而且也不能发现隐藏在mpkg文件中的木马。虽然很像枪文但还有一定可读价值的,下面是详细内容。
![]()
Intego安全备忘录--2009的9月2日
雪豹反恶意软件功能概要(其实主要是缺点)
·苹果在雪豹中增加了反恶意软件功能
·该功能只能扫描已知类型文件中的恶意软件
·该功能不能扫描CDs, DVDs, USB和网络设备拷入Finder中的文件所包含的恶意软件
·该功能同时只能扫描两种木马
·该功能不能识别普通木马的所有变种
·该功能不能扫描mpkg安装中的木马
·该功能不能修复感染文件
·该功能不提供针对病毒和木马的多重防护
自从我们知道苹果在雪豹中增加了恶意软件扫描功能之后,网上有一大堆讨论这个功能是如何工作的文章,那么下面就让我们来详细的了解一下,它如何工作,能做什么,不能做什么。
很多网站称这项功能为XProtect,苹果并未给给予官方命名,所以我们称之为“苹果的反恶意软件功能”。XProtect文件 Xprotect.plist可以在/System/Library/CoreServices/CoreTypes.bundle/Contents /Resources/目录下找到,多少有些隐蔽。
但是在在CoreTypes.bundle目录下,还有一个叫Exceptions.plist的文件引起了我们的兴趣,它包括了一些由XProtect功能生成的程序清单。
那么,雪豹的反恶意软件功能功能是如何起作用的呢?苹果以前就在Safari, Mail and iChat.中加入了quarantine功能。这个功能可以检查从网上下载的文件、电子邮件中的附件或者在聊天中接收的文件是否有恶意软件,并且会在这些文件中加入该文件是由哪种软件下载,何时下载的等标识信息(普通用户不可见)。例如,我们从苹果官网下载 了 Safari,那么它的信息可能会如下,com.apple.quarantine:0000;4a9bc528;Safari.app;2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E|com.apple.Safari
如果你双击可执行文件或者安装包,quarantine功能会读取文件中的该类信息,并且发出警告,在下载时也是如此。
![]()
苹果新的反恶意软件功能也是基于这个quarantine系统来扫描恶意软件的,如果发现有问题,会出现如下提示信息。
![]()
那么它会扫描些什么东西呢?
现在让我们看一看先前我们提到的XProtect.plist 文件,XProtect.plist可以用Property List Editor打开,我们可以看见里面列有两类恶意软件,RSPlug.A木马和iServices木马。
![]()
有一个问题:这个功能是否能识别现存所有的RSPlug.A木马变种,根据我们的测试,这个功能仅能识别15到17种木马变种,这证明雪豹的反恶意软件功能并不能发现所有的木马变种。
对于iServices类木马,情况有些复杂,这类木马经常可以在网上的盗版软件中找到。然而如果这些含有木马的软件通过BitTorrent客户端下载的软件并不能被标注,所以除非你从网站上下载这些软件,否则雪豹的反恶意软件功能对iServices类木马毫无作用。
那么哪些程序受保护呢?
先前我们提到Exceptions.plist是由反恶意软件功能生成的程序列表。
![]()
在Additions 下面,你会看到目前雪豹正在监视的程序。你可以看见,现在里面有Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator和Camino,以及电子邮件客户端Entourage, Seamonkey 和Thunderbird。不过苹果自家的软件Safari, Mail and iChat不会出现在这里,它们会有单独的信息文件以quarantine接受保护。当然雪豹的保护功能并不是对所有类型的文件都适用,木马经常会伪装成非应用程序传播。
需要指出的是, Finder并不接受保护,所以从其他移动设备拷贝过来的文件不会被扫描,该功能也不能被修复已感染的镜像,甚至不会告诉你你的Mac已经被感染。
未知信息:关于病毒定义更新
苹果会定期对XProtect.plist中的病毒文件类型进行更新,具体信息未知,大约两周更新一次。像开始时提到的,目前只定义了两种病毒文件,显然这种保护对Mac还远远不够。
![]()
总之:雪豹现在有的恶意软件扫描功能还很弱,如概要中所指出的问题,该功能还远远不够,保护能力十分有限,不能提供全方位的保护。但对于大部分苹果系统用户来说杀毒软件并不是那么重要。
ps:所以那些杀软公司的头要任务是在雪豹上造病毒。。。
英国一家安全软件公司Intego一直在炒作苹果系统的安全问题(不超作怎么卖杀软啊),最近还发布了一项关于雪豹中的反恶意软件功能XProtect的详细报告,报告指出,苹果新的XProtect不以有识别所有的木马变种,而且也不能发现隐藏在mpkg文件中的木马。虽然很像枪文但还有一定可读价值的,下面是详细内容。
Intego安全备忘录--2009的9月2日
雪豹反恶意软件功能概要(其实主要是缺点)
·苹果在雪豹中增加了反恶意软件功能
·该功能只能扫描已知类型文件中的恶意软件
·该功能不能扫描CDs, DVDs, USB和网络设备拷入Finder中的文件所包含的恶意软件
·该功能同时只能扫描两种木马
·该功能不能识别普通木马的所有变种
·该功能不能扫描mpkg安装中的木马
·该功能不能修复感染文件
·该功能不提供针对病毒和木马的多重防护
自从我们知道苹果在雪豹中增加了恶意软件扫描功能之后,网上有一大堆讨论这个功能是如何工作的文章,那么下面就让我们来详细的了解一下,它如何工作,能做什么,不能做什么。
很多网站称这项功能为XProtect,苹果并未给给予官方命名,所以我们称之为“苹果的反恶意软件功能”。XProtect文件 Xprotect.plist可以在/System/Library/CoreServices/CoreTypes.bundle/Contents /Resources/目录下找到,多少有些隐蔽。
但是在在CoreTypes.bundle目录下,还有一个叫Exceptions.plist的文件引起了我们的兴趣,它包括了一些由XProtect功能生成的程序清单。
那么,雪豹的反恶意软件功能功能是如何起作用的呢?苹果以前就在Safari, Mail and iChat.中加入了quarantine功能。这个功能可以检查从网上下载的文件、电子邮件中的附件或者在聊天中接收的文件是否有恶意软件,并且会在这些文件中加入该文件是由哪种软件下载,何时下载的等标识信息(普通用户不可见)。例如,我们从苹果官网下载 了 Safari,那么它的信息可能会如下,com.apple.quarantine:0000;4a9bc528;Safari.app;2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E|com.apple.Safari
如果你双击可执行文件或者安装包,quarantine功能会读取文件中的该类信息,并且发出警告,在下载时也是如此。
苹果新的反恶意软件功能也是基于这个quarantine系统来扫描恶意软件的,如果发现有问题,会出现如下提示信息。
那么它会扫描些什么东西呢?
现在让我们看一看先前我们提到的XProtect.plist 文件,XProtect.plist可以用Property List Editor打开,我们可以看见里面列有两类恶意软件,RSPlug.A木马和iServices木马。
有一个问题:这个功能是否能识别现存所有的RSPlug.A木马变种,根据我们的测试,这个功能仅能识别15到17种木马变种,这证明雪豹的反恶意软件功能并不能发现所有的木马变种。
对于iServices类木马,情况有些复杂,这类木马经常可以在网上的盗版软件中找到。然而如果这些含有木马的软件通过BitTorrent客户端下载的软件并不能被标注,所以除非你从网站上下载这些软件,否则雪豹的反恶意软件功能对iServices类木马毫无作用。
那么哪些程序受保护呢?
先前我们提到Exceptions.plist是由反恶意软件功能生成的程序列表。
在Additions 下面,你会看到目前雪豹正在监视的程序。你可以看见,现在里面有Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator和Camino,以及电子邮件客户端Entourage, Seamonkey 和Thunderbird。不过苹果自家的软件Safari, Mail and iChat不会出现在这里,它们会有单独的信息文件以quarantine接受保护。当然雪豹的保护功能并不是对所有类型的文件都适用,木马经常会伪装成非应用程序传播。
需要指出的是, Finder并不接受保护,所以从其他移动设备拷贝过来的文件不会被扫描,该功能也不能被修复已感染的镜像,甚至不会告诉你你的Mac已经被感染。
未知信息:关于病毒定义更新
苹果会定期对XProtect.plist中的病毒文件类型进行更新,具体信息未知,大约两周更新一次。像开始时提到的,目前只定义了两种病毒文件,显然这种保护对Mac还远远不够。
总之:雪豹现在有的恶意软件扫描功能还很弱,如概要中所指出的问题,该功能还远远不够,保护能力十分有限,不能提供全方位的保护。但对于大部分苹果系统用户来说杀毒软件并不是那么重要。
ps:所以那些杀软公司的头要任务是在雪豹上造病毒。。。