在OS X平台中利用FSEvents检测并删除恶意文件

最新推荐文章于 2024-04-07 11:38:27 发布
最新推荐文章于 2024-04-07 11:38:27 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: mac

在支持OS X 10.7及其以上版本的FSEvemts中,引入了一个能够检测文件目录修改行为的功能。FSEvents能够利用文件系统事件守护进程(fseventsd)提供的数据来对相应的行为操作进行记录;守护进程会将这些文件操作写入每一个卷宗下的日志文件中(日志文件保存在一个名为“.fseventsd”的文件夹中)。应用程序可以利用FSEvents提供的API接口来访问这些日志文件,并获取到修改目录的操作信息,这些信息包括文件的创建,文件的修改,以及文件的删除等操作。

通常情况下,恶意软件在对目标系统进行了非法操作之后,都会尝试清除其行为痕迹,而FSEvents就可以帮助我们发现这些恶意软件,并将相关的恶意文件从我们的系统中彻底删除。利用这一工具,即便是恶意软件已经将其操作痕迹完全清除了,我们也可以找到恶意如案件执行和非法操作的证据。在对FSevents的日志文件进行分析之后,即便是过了很长一段时间,我们仍然可以轻而易举地获取到恶意文件的完整路径,创建和删除的日期。

由于我们可以查看到系统的历史修改记录,所以在此需要注意的是,FSEvents的日志文件并不一定一直存在于.fseventsd文件夹之中,因为这个文件夹仅仅只作为OS X系统中检测文件系统变化的一个中转区。CrowdStrike的安全研究人员已经成功地在一个普通的系统中观察到了四个月前的非法操作信息。所以,我们将在这篇文章中提供一些关于这一取证神器的基本信息。

当一个FSEventStream创建成功之后,该工具还会创建一些默认的标识符,除此之外,工具还可以通过一些额外的标识符来表示某些类型的操作行为。所有的标识符如下表所示:

-None:默认标识符。如果目录发生了特定的修改操作,工具不会为此操作设置事件标识符。

-MustScanSubDirs:通知应用程序,需要重新扫描受影响的目录以及该目录下的所有子目录。

-UserDropped:在设置标识符的时候发生错误,应用程序需要对目录执行完整的扫描操作。

-KernelDropped:在设置标识符的时候发生错误,应用程序需要对目录执行完整的扫描操作。

-EventldsWrapped:事件ID计数器发生错误,之前的事件ID将无效。

-HistoryDone:设置相应的标识符来表示之前哪些标识符需要忽略。

-RootChanged:当监视目录下发生修改操作时,设置相应的标识符。

-Mount:加载一个需要进行监视的卷宗。

-Unmount:卸载一个不需要进行监视的卷宗。

-ItemCreated:当文件或目录创建成功之后,设置相应的标识符。

-ItemRemoved:当文件或目录删除成功之后,设置相应的标识符。

-ItemInodeMetaMod:当节点元数据发生变化时,设置相应的标识符。

-ItemRenamed:当文件或目录名称修改成功之后,设置相应的标识符。

-ItemModified:当文件或目录修改成功之后,设置相应的标识符。

-ItemFinderInfoMod:文件finder的元数据被修改之后,设置相应的标识符。

-ItemChangeOwner:当文件或目录的所有者发生变化时,设置相应的标识符。

-ItemIsFile:操作对象是一个文件。

-ItemIsDir:操作对象是一个目录。

-ItemIsSymlink:操作对象是一个符号链接。

如何解析FSEvents所记录的日志数据

FSEvents会将日志文件保存在一个名为.fseventsd的文件夹中,而这个文件夹位于每一个卷宗的根目录下。这个文件夹只有root访问权限,并且文件夹中包含有大量gzipped文件。

比如说,/Volumes/Macintosh HD/.fseventsd目录下包含有本地硬盘驱动器的FSEvents日志。

我们往往无法直接从这些文件中获取到有价值的信息,因为事件日志中的数据是以十六进制来表示的。为此,David Cowen还专门开发了一款基于python的解析工具,这款工具名为“FSEventsParser”,它可以比昂祝我们对FSEvent的日志记录进行解析。

https://i-blog.csdnimg.cn/blog_migrate/320af6fd5ab21b55b626ad71a3f2f6ee.png

使用FSEvents来删除OS X中的恶意软件

比如说,我们可以使用FSEventsparser来识别类似OS X/Iworm这样的恶意软件。Iworm是OS X平台下的一款木马,计算机在感染了这一木马之后,攻击者就可以利用社交媒体网站来获取到目标用户的IP地址,然后将这台目标主机与僵尸网络进行连接。

安全研究人员让虚拟机系统感染了Iworm,然后运行FSEventsParser。根据恶意软件的运行机制,它们通常会使用守护进程来作为启动选择。所以我们利用FSEventsParser来对/System/Library/LaunchDaemons/ 和/Library/LaunchDaemons这两个目录进行监视。在扫描之后我们发现,2016年2月1日系统创建了一个文件(/Library/LaunchDaemons/com.JawaW.plist)。在对数据进行了过滤处理之后,我们得到的事件标识符为“ItemCreated”,“ ItemModified”,以及“ItemIsfile”。除此之外,系统在当日还创建了一个新文件夹(/Library/Application Support/JavaW)。

https://i-blog.csdnimg.cn/blog_migrate/4bf2edfc7a98fa9797280b92406fce6d.png

现在,我们已经获取到了恶意文件的创建时间和存储位置。那么接下来我们就可以利用这一工具来对被入侵的系统进行更深入地分析了。

结论

现在,越来越多的企业和机构选择在各自的工作环境中使用Mac终端了,这一趋势使得OS X平台下的取证分析人员变得更加的炙手可热。FSEvents是一个非常有实用价值的工具,即便是恶意软件已经完全清除了它们的操作痕迹,FSEvents仍然可以帮助我们发现并识别出恶意文件。从这一角度出发,这款工具能够在很多不同的调查取证环境下为分析人员提供有效的帮助。因为在某些特殊情况下,很多其他的工具并不能够发现可供分析的有效证据。

麦晓宇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fsevents:在Node.js对MacOS FSEvents的本地访问
05-05
事件 对MacOS FSEvents的本地访问 MacOSFSEvents API允许应用程序注册以获取对给定目录树的更改的通知。 它是kqueue的非常快速和轻巧的替代品。 这是一个低级库。 对于使用fsevents的跨平台文件监视模块,请查看 。 安装 仅支持Node.js v8.16和更高版本。 npm install fsevents 用法 const fsevents = require ( 'fsevents' ) ; const stop = fsevents . watch ( __dirname , ( path , flags , id ) => { const info = fsevents . getInfo ( path , flags , id ) ; } ) ; // To start observation stop ( ) ; // To e
搭建VUE脚手架的时候,fsevents报错问题;
pingyer的博客
08-26 2万+
一开始$vue init webpack [name]的时候并没有什么问题; 然后在npm install的时候莫名奇妙的有个错误:; 然后查阅了不少资料,成功解决此情况: 首先在package.json加入如下配置: ; 接下来在webpack.base.conf.js加入如下配置: ; 至于这个watchOptions是干什么的,我们来看文档:
fsevents
weixin_34124651的博客
10-30 1771
为什么80%的码农都做不了架构师?>>> ...
FSEvents - 轻松监控文件系统变化
gitblog_00077的博客
03-14 473
FSEvents - 轻松监控文件系统变化 FSEvents 是一个开源的 macOS 应用程序接口 (API),用于实时监控文件系统的更改。它允许开发者轻松地监控单个目录、递归子目录树或整个文件系统的更改。 项目简介 FSEvents 提供了一种高效、可靠的方法来检测文件系统的变化。与传统的轮询方法相比,FSEvents 更加节省资源,并且可以避免因轮询导致的不必要的性能损失。 该项目的主要功...
Mac OS X系统的隐藏文件夹 .fseventsd,.Spotlight-V100,.Trashes
大木星的某卫星上的小角落
04-07 1596
Mac OS X系统的隐藏文件
fsevent_watch:简单但很棒的 OS X FSEvents 客户端
05-29
fsevent_watch 该工具使您可以在Mac上观看文件系统事件。 这是的 C 工具的独立分支,专注于与其他工具的可用性和可组合性。令人敬畏fsevent_watch有一个该死的简单可解析输出(制表符分隔) % ./fsevent_watch -F . ...
Go-go-fsevents在golang使用inotify递归文件系统事件监视器
08-14
标题的“Go-go-fsevents在golang使用inotify递归文件系统事件监视器”指的是一项技术,它允许Go语言(Golang)开发者利用`go-fsevents`库来实现对文件系统事件的监控,特别是递归式的监控。在Unix-like系统,...
fsevents_to_vm:将OS X文件系统事件转发到专供Dinghy使用的VM
05-11
FSEvents到VM 将OS X文件系统事件转发到专供Dinghy使用的VM。安装通常您不会手动安装此软件,Dinghy会帮您安装。 如果要手动安装: $ gem install fsevents_to_vm用法Dinghy将自动启动fsevents_to_vm。 如果您想手动...
CDEvents:Mac OS X的FSEvents C API的Objective-C包装器
04-28
注意: develop分支需要Mac OS X 10.6或更高版本,因为该框架依赖和 。 网站: : 这是什么? 它是Mac OS X的的Objective-C包装器,具有对块的支持。 此外,所有类都是不可变的,并且应该是线程安全的。 要求 ...
fsevents包npm install安装时报错
热门推荐
xm2by的博客
07-07 3万+
fsevents包npm install安装时报错 问题: 使用typescript-library-starter初始化项目时,执行npm install时,在安装fsevents@1.2.9包时出现报错,导致项目初始化失败 在网上搜了一下解决方法,有的说是node版本原因导致的,尝试切换node版本后发现并未解决,后来就试了一下清除npm缓存再重新安装的方法,最终有效的解决了fsevents@...
详解linux下fsevents模块引起的npm ls报错解决办法
09-15
主要介绍了详解linux下fsevents模块引起的npm ls报错解决办法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
npm fsevents_Visual Studio 2015-使用Windows上的节点修复fsevents的“未安装依赖项npm”
10-12 804
Maria and I were doing some work together on Thursday and I did a clone of one of her ASP.NET Core repositories and opened it in Visual Studio 2015 Community Edition on my local machine. Some of the J...
mac安装webpack时fsevents / fsevents依赖安装报错
u012031958的博客
07-28 3387
categories: [前端,webpack] thumbnail: /images/fe/leetcode.jpg toc: true 安装webpack时fsevents依赖安装报错 mac安装webpack时,会同时安装fsevents,但是在安装时候发生了报错 由于后来解决了,所以没有当时的报错截图,但是和下面这个大概一致 clang: warning: using sysroot for 'iPhoneSimulator' but targeting 'MacOSX' [-Wincompati
什么是“ dbfseventsd”,为什么它可以在Mac上运行?
culunyi0802的博客
09-13 793
Looking through Activity Monitor, you notice something named “dbfseventsd.” How do you even pronounce that? It’s running three times: twice by the root account, and once by you. What is it? 通过活动监视器 ,...
MacOS 开发 - FSEventStream(文件系统改变事件监控)
编码时光
04-07 4085
file system events 的构成 核心方法 Demo 地址 使用 1、导入 `CoreServices` 框架 2、添加属性 3、申明 `fsevents_callback` 方法 4、实现`fsevents_callback` 方法 5、开始监控 6、取消监控 7、实现私有方法 运行结果: 参考资料 ———————————————— 版权声明:本文为CSDN博主「伊织code」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog
npm i 时多次报fsevent的问题
Elaine20132014的博客
05-29 2253
很奇怪 npm i 时多次遇到报fsevent的问题,x-code什么的,可是这个项目完全和x-code没关系的。 xcode-select: error: tool 'xcodebuild' requires Xcode, but active developer 进根目录这么设置,突然就好了。 xcode-select --print-path /Library/Developer/CommandLineTools ➜ / sudo xcode-select --switch /App.
MacOS的Mysql(dmg安装)偏好设置启动失效
qq_45265659的博客
04-21 3164
文章目录首先说下我的版本信息具体问题发现问题问题一:没有/tmp/mysql.sock文件问题一的原因:主要问题解决方案 首先说下我的版本信息 操作系统 MacOS Big Bur 11.2.2 Mysql 8.0.24 说明:我安装的是通过官方的dmg包安装的,并不是通过homebrew,如果是homebrew安装出现的问题也可以作为参考。 当前日期2021年 4月21日 如果想直接测试结果可以跳到解决方案,前面话多. 哈哈 具体问题 自从更新了 Big Bur
qt 扫描文件文件_QT遍历文件夹目录图片文件的实现
weixin_39802962的博客
12-19 562
数码相框实现遍历文件夹图片文件一、功能介绍:在为数码相框所在文件系统实现U盘自动挂载之后,将U盘自动挂载在开发板上文件系统的/mnt/usb目录,故还需为数码相框添加遍历/mnt/usb路径下的文件夹内图片文件,暂定为扫描指定目录下一层文件夹内的图片文件。二、参考资料:以下一段代码为使用QT实现遍历文件夹和文件目录(递归法)boolFindFile(constQString&pa...
Unsupported platform for fsevents@2.3.3: wanted {"os":"darwin","arch":"any"} (current: {"os":"win32","arch":"x64"})
最新发布
06-07
这段错误信息是关于Node.jsfsevents文件系统事件监听器)模块。fsevents是一个用于监听文件系统变化的库,通常在macOS平台上使用。当你尝试在Windows(win32, x64架构)上安装版本为2.3.3的fsevents时,由于这个模块不支持Windows操作系统,所以会报错。 具体来说,"Unsupported platform" 表示该平台(这里是Windows)不是fsevents 2.3.3官方支持的平台。"wanted {"os":"darwin","arch":"any"}" 指的是fsevents希望运行在Darwin(macOS)操作系统,"any" 表示它可以在任何架构上运行。而 "current: {"os":"win32","arch":"x64"}" 则表示当前运行环境是Windows 32位或64位。 解决这个问题的方法通常是: 1. **寻找替代方案**:Windows用户可能需要寻找适用于Windows的文件系统变化监听器,如`fs.watch()`或第三方库如`chokidar`。 2. **使用支持Windows的版本**:如果fsevents有特定为Windows优化的版本,你需要找到并安装那个版本。 3. **如果可能,使用开发环境支持的工具**:如果你是在开发环境遇到这个问题,确保你的开发环境配置正确,如使用Docker或虚拟机创建一个macOS环境进行测试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值