- A+
谷歌最近正致力于打造一款针对MacOS的恶意检测系统,目前它已经在Github上开源。这个由谷歌Macintosh Operations团队开发的项目名叫Santa,现在已经更新到了0.9.12版本。
如谷歌所描述的那样,Santa并不完全是一个杀毒引擎。它会通过黑白名单机制,对MacOS的进程进行控制。当前版本Santa的GUI界面,其实只有一个通知弹窗,而且是在它阻止某个进程运行的时候才会弹出来。
这个恶意软件嗅探系统,会扮演一个用户守护进程的角色。它会去主动扫描新出现的进程,并根据自身维护的基于黑白名单的SQLite数据库,判断某个应用是否应该继续运行。
两种操作模式
该项目在Github的文档中,有两种操作模式:监控(MONITOR)和封锁(LOCKDOWN)。
在监控模式中,该系统会借助黑名单,告诉操作系统哪些应用是不能运行的。
在封锁模式中,它会告诉系统只能运行白名单里的应用。
用户和网络管理员都可以往Santa的黑名单里,根据签名证书添加相应的应用。
谷歌解释道:
“这样,你就可以允许或阻止拥有某个厂商签名的所有程序。只有当某程序的签名校验通过之后,Santa才能将它加入白名单。
不过你需要注意一点,将某证书签名的程序加入黑名单后,再将该证书加入白名单,两边的规则都会生效。
当然,反过来效果也是一样的。”
另外,Santa自带有防篡改机制。如同其他优秀的安全产品一样,Santa会记录自身执行过的操作。当然,它也会采取一系列的安全措施,保证恶意软件不能通过植入它的进程,来到达躲避安全检测的目的。
恶意软件或许会通过修改Santa的黑名单,来阻断Santa或者MacOS的核心进程。而Santa的组件会使用苹果XPC服务的API进行相互验证,如果签名证书不一致,是不会进行通信的。
FreeBuf小科普
苹果XPC服务:OSX10.7以后,cocoa新增加了一种新的技术,就是XPC,它的实现不再通过对象间的直接连接,而是通过block实现一种服务端对客户端的connection。这两者之间的通信都是通过使用xpc_connection发送消息实现。XPC的出现是为了将程序分成不同的几个子程序,从而实现权限分隔,让你的程序更加安全。
然而,Santa现在还没有明确的发布日期,但是大家都可以安装它的试用版本。
*参考来源:SP,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)
