एक संभावित समझौता किए गए iMac को पुनर्स्थापित करें - कार्रवाई का सबसे अच्छा कोर्स

3

लंबी कहानी छोटी, मेरे एक मित्र को एक Microsoft मेल खाते पर "अपरिचित IP सफल लॉगिन" अलर्ट प्राप्त हुआ जो उसका मालिक है। "हैक" (समय, पासवर्ड का इस्तेमाल आदि) की स्थितियां ऐसी हैं कि "झूठे सकारात्मक" अलर्ट (जो अभी भी बहुत संभावना है) के अलावा एकमात्र व्यवहार्य विकल्प यह है कि पासवर्ड किसी तरह क्लाइंट से चुराया गया था - एक आईमैक - एक बहुत ही कम समय में खाता बनाने के लिए उपयोग किया जाता है ("समझौता" की तारीख मूल खाता निर्माण के 5 मिनट बाद है) - यदि आप चाहें, तो आप अधिक जानकारी पा सकते हैं सूचना सुरक्षा पर इस सवाल में

वैसे भी, मुद्दा यह है कि अगर एक समझौता था, तो मशीन पर कुछ कीगलर या समान मैलवेयर होना चाहिए। मैंने कुछ बुनियादी खोज की लेकिन कुछ नहीं मिला। इसके अलावा लिटिल स्निच को स्थापित करने की कोशिश की गई, लेकिन नेटवर्क फ़िल्टर कुछ भी संदिग्ध नहीं दिखा।

उस ने कहा, क्योंकि मुझे हटाने के लिए कोई संक्रमण नहीं मिल रहा है और न ही मैं यह सुनिश्चित कर सकता हूं कि मेरे दोस्त को जो अलर्ट मिला है वह एक झूठी सकारात्मक थी, मैं मशीन को "रिस्टोर / रीस्टोर / फॉरमेट" करने की योजना बना रहा था, भले ही इसका मतलब है कि सभी का बलिदान इस पर मौजूद डेटा। लेकिन मुझे अपनी अज्ञानता को स्वीकार करना चाहिए ... भले ही मैं एक आईमैक का मालिक हूं, मुझे कुछ समझौते के बाद इसे बहाल करने की आवश्यकता नहीं थी, इसलिए मुझे वास्तव में आगे बढ़ने का पता नहीं है।

इसलिए मैं यहाँ सर्वोत्तम दृष्टिकोण के बारे में सुझाव माँग रहा हूँ। मुझे लगता है कि मुझे Apple साइट पर कहीं एक ऑपरेटिंग सिस्टम डाउनलोड करना होगा और फिर सिस्टम को पुनर्स्थापित करने के लिए उपयोग करना होगा लेकिन मुझे यकीन नहीं है। यह पन्ना लगता है कि मुझे "रिस्टोर मोड" में प्रवेश करना चाहिए और वहां से काम करना चाहिए .... लेकिन ... क्या इसका मतलब यह है कि "रिस्टोर" घटक अभी भी स्थापित ओएस से बंधा हुआ है और इसे एक तरह से समझौता भी किया जा सकता था। जो एक संक्रमण को "वाइप" जीवित रहने की क्षमता दे सकता है?

क्षमा करें यदि वे प्रश्न थोड़े उलझे हुए या पंगु लगते हैं, लेकिन कथित संक्रमण का कोई निशान नहीं पाया गया है तो मैं अब किसी भी संभावना का मूल्यांकन करना शुरू कर रहा हूं।

security  restore  virus 
Derpy
स्रोत
स्टार्टअप डिस्क को मिटाना Apple लिंक में महत्वपूर्ण कदम है। आपके मुख्य वॉल्यूम पर कोई भी कीगलर / मालवेयर इससे नहीं बचेगा। यह आपको फ़र्मवेयर आधारित अटैक वैक्टर से नहीं बचाएगा DerStarke
klanomath
तो, @klanomath, क्या आप यह समझ रहे हैं कि डिस्क उपयोगिता उपकरण जिसे आप स्टार्टअप डिस्क को अलग, गैर-लिखने योग्य मेमोरी से चलाने के लिए उपयोग करेंगे? अन्यथा, मुझे समझ में नहीं आता कि ओएस से समझौता करने वाले संक्रमण ने टूल से समझौता क्यों नहीं किया।
Derpy
2
रिकवरी एचडी में डिस्क यूटिलिटी को एक माउंटेड लेकिन रीड-ओनली डिस्क इमेज से लॉन्च किया गया है (और इसके md5 / sha1 को आसानी से प्रूफ किया जा सकता है)। रिकवरी एचडी बढ़ते के बाद पथ: /Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg। इंटरनेट रिकवरी मोड में यह एक समान नेटबूट छवि (अकामाई / एप्पल से "डाउनलोड") है।
klanomath

जवाबों:

3

कीगलरों का पता लगाने का तरीका यहां दिया गया है:

टर्मिनल में यह कमांड चलाएँ: kextstat

ऐसा कुछ दिखाई देना चाहिए: 

Index Refs Address            Size       Wired      Name (Version) UUID <Linked Against>
    1   90 0xffffff7f80a46000 0x9d90     0x9d90     com.apple.kpi.bsd (16.5.0) D4161E07-43B8-4D47-ABFE-7DF2D693ED9A
    2    8 0xffffff7f80dff000 0x3940     0x3940     com.apple.kpi.dsep (16.5.0) 6B33C49C-82D8-4830-AC91-ECF9B9EE3A8C
    3  116 0xffffff7f80a04000 0x21040    0x21040    com.apple.kpi.iokit (16.5.0) E2BA46F4-C06A-4ACE-81E5-D9A4B6E061AA
    4  122 0xffffff7f80a26000 0xd200     0xd200     com.apple.kpi.libkern (16.5.0) 21ABA52A-C45A-4A1B-8824-F6EB5295ADDE
    5  110 0xffffff7f80a00000 0x3dd0     0x3dd0     com.apple.kpi.mach (16.5.0) E18B885B-776C-4F3A-88D4-C823FAFE12A1
    6   61 0xffffff7f80a34000 0xbbf0     0xbbf0     com.apple.kpi.private (16.5.0) F0CD0AC2-92DF-4FF9-80A5-21B68641D28E
    7   71 0xffffff7f80a40000 0x5890     0x5890     com.apple.kpi.unsupported (16.5.0) 4AE97C68-EB51-4545-A2EB-007EE5A66503
    ...
  140    0 0xffffff7f81f9e000 0x9000     0x9000     com.apple.filesystems.autofs (3.0) E79E1801-8AB8-3BB1-A1F2-3CA5F9C7C648 <139 7 6 5 4 3 1>
  142    0 0xffffff7f8272a000 0x18000    0x18000    com.apple.driver.AGPM (110.23.17) 3E92E313-274C-3175-A659-2CB88F03A707 <115 108 99 89 12 6 5 4 3>
  143    0 0xffffff7f823f4000 0x5000     0x5000     com.apple.driver.AppleHWSensor (1.9.5d0) AFB68EC7-205B-3499-B796-DAE93A4BA543 <5 4 3>
  144    0 0xffffff7f83463000 0x5000     0x5000     com.parallels.virtualhid (1.0.3 3) B0C355DF-4268-359B-9654-0A67F4305F7B <37 5 4 3 1>

तो मेरे पहले 143 kexts सभी के साथ शुरू करते हैं com.apple, इसलिए वे सुरक्षित होना चाहिए (जब तक कि कोई व्यक्ति ऐप्पल के बंडल आईडी का उपयोग नहीं करता है, इसलिए प्रत्येक को बारीकी से देखें और देखें कि क्या नाम में कुछ गड़बड़ है) और मैंने समानताएं स्थापित की हैं, इसलिए यह सुरक्षित भी होना चाहिए।

अगली जाँच करें कि क्या कोई एक्सटेंशन किसी ऐसी चीज़ के खिलाफ लिंक करता है, जिसका कोई मतलब नहीं है, जैसे नेटवर्किंग लाइब्रेरी के साथ ऑडियो एक्सटेंशन लिंक करना। आप कोण कोष्ठक & lt; & gt; उदाहरण के लिए, आइटम 114 ( com.parallels.virtualhid ) आइटम 1 के लिंक, जो है com.apple.kpi.bsd। के रूप में 1 कोण कोष्ठक के अंदर है ( <37 5 4 3 1> )

यदि आपको कुछ संदिग्ध लगता है, तो उसे हटा दें, लेकिन इससे पहले कि आप सुनिश्चित करें कि आपके पास सही कर्नेल एक्सटेंशन है। गलत कर्नेल एक्सटेंशन को अक्षम करना जीवन को वास्तव में कठिन बना सकता है। वे आमतौर पर में पाए जाते हैं System/Library/Extensions और विस्तार के साथ समाप्त होता है .kext

अब यदि आप वास्तव में macOS को पूरी तरह से पुनर्स्थापित करना चाहते हैं, तो इन चरणों का पालन करें:

  1. उन फ़ाइलों को कॉपी करें जिनकी आपको दूसरी जगह पर आवश्यकता है
  2. पुनर्प्राप्ति मोड में चालू करें:
    अपने कंप्यूटर को शट डाउन करें, फिर होल्ड करते समय इसे पावर करें आदेश - आर
  3. अपने कंप्यूटर को मिटाएँ:
    मेनू से "डिस्क उपयोगिता" चुनें
    Disk Utility मिटाएँ और डायलॉग्स की पुष्टि करें (मिटाने में थोड़ा समय लग सकता है) Erase
  4. MacOS को पुनर्स्थापित करें
    "पुनर्स्थापना macOS" चुनें
    reinstall
    इसके निर्देशों का पालन करें
  5. पूर्ण!

ध्यान दें कि स्थापना में लंबा समय लग सकता है, खासकर जब आपका इंटरनेट कनेक्शन धीमा हो, क्योंकि यह वास्तव में इंटरनेट से ओएस डाउनलोड करता है।

paper1111
स्रोत
सलाह के लिए धन्यवाद। मैं वास्तव में पहले से ही kextstat (कर्नेल एक्सटेशन स्टैटस?) कमांड की कोशिश कर चुका हूं और यहां तक ​​कि कुछ और भी। यहाँ और कुछ भी नहीं मिला (केवल गैर-Apple एक्सटेंशन एक कोको स्क्रिप्ट से संबंधित है जो Google परिणामों के आधार पर सुरक्षित होना चाहिए)। इस बिंदु पर, मुझे वहां पूरा यकीन है नहीं है किसी भी संक्रमण, बस Microsoft प्रणाली झूठी सकारात्मकता दे रही है, लेकिन चूंकि यह साबित करने का कोई तरीका नहीं है कि यह एकमात्र विकल्प है। मैं बस यह सुनिश्चित करना चाहता था कि वहाँ कोई नहीं है उचित जिस तरह से एक संक्रमण अतीत को बहाल कर सकता है।
Derpy
@ निश्चित रूप से नहीं क्योंकि आप चरण 3 में डिस्क को साफ करते हैं।
paper1111
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.