Làm cách nào để phát hiện xem vân tay của HĐH và Máy đã bị hỏng bởi phần mềm độc hại? [đóng cửa]

Việc giả mạo MAC hoặc IP rất dễ dàng:

Đối với Apple OSX, Dấu vân tay của hệ điều hành sẽ là hàm băm MD5 của   hệ thống tập tin UUID cho hệ thống tập tin gốc (tức là ’/ mạng). Ví dụ: máy Mac   với một UUID gốc của nhóm de305d54-75b4-431b-adb2- eb6b9e546013   dấu vân tay hệ điều hành của C001163fbbaaadabeb733e1e9ceb95e6.

(tìm thấy trong: (S // OC / NF) Bộ phận vận hành mạng Định dạng trao đổi dữ liệu hoạt động của CNE (Codex) Đặc điểm kỹ thuật , trang 9)

Nếu không có nhật ký hoặc vô hiệu hóa, làm thế nào bạn phát hiện nếu tập tin dấu vân tay bị hỏng? thay đổi?

Việc giả mạo dấu vân tay.codex.xml sẽ buộc phần mềm độc hại không hoạt động khi khởi động?

Có thể tạo băm an toàn với sha512k thay vì md5 cho dấu vân tay không?

Tài liệu được liên kết chỉ định định dạng trao đổi dữ liệu dựa trên XML. Nó mô tả cách đóng gói tất cả dữ liệu (bao gồm vân tay.codex.xml) trong 3. (U) Cấu trúc thư mục .

Toàn bộ dữ liệu CODEX bao gồm các tệp xml đơn (ví dụ: vân tay.codex) hoặc siêu dữ liệu của dữ liệu được truy xuất (như email hoặc ảnh chụp màn hình) không được tạo trên máy chủ đích:

Tạo các tệp siêu dữ liệu này và   định dạng KHÔNG PHẢI diễn ra trên mục tiêu. Thay vào đó, các công cụ PHẢI gửi lại cho người dùng cần thiết   chi tiết sao cho tệp hoặc cấu trúc Codex có thể được tạo từ định dạng tùy chỉnh dành riêng cho công cụ trên người dùng được kiểm soát   có khả năng không kết nối internet, phần cứng. Để lặp lại, các công cụ PHẢI không lưu trữ dữ liệu trên   mục tiêu ở định dạng Codex hoặc tạo bất kỳ định dạng Codex tùy chỉnh trên mục tiêu.

Mục tiêu ở đây có nghĩa là: một máy chủ được theo dõi / tấn công. Người dùng ở đây có lẽ có nghĩa là: một người đánh giá / xử lý dữ liệu của cơ quan hoặc một trong các nhà thầu của nó.

Do đó, vân tay vân tay thậm chí không tồn tại trên máy chủ của mục tiêu mà được tạo ở một nơi khác dựa trên dữ liệu được truyền tải.

Theo tài liệu ( 4.4 (U // FOUO) Định dạng XML vân tay ) dấu vân tay macOS đơn giản chỉ bao gồm UUID chữ thường md5 của hệ thống gốc. Tất cả các khóa khác ngoại trừ quán tính có liên quan đến hệ điều hành Windows hoặc Linux.

Có thể lấy UUID bằng cách nhập:

diskutil info / | grep "Volume UUID" | tr '[:upper:]' '[:lower:]' | awk '{print $3}'

và băm md5 của nó với:

md5 -s $(diskutil info / | grep "Volume UUID" | tr '[:upper:]' '[:lower:]' | awk '{print $3}')

Toàn bộ tệp vân tay sẽ trông như thế này đối với máy Mac (ở đây là ví dụ macOS VM):

<codex version=”1”>
    <fingerprint target=”machine” type=”os” version=”1”>
       <uid>“db78ec1b99a4e71fabbc0e23888baf64</uid>
       <rootfsid>d15d6f4e-d213-373d-893e-f975126cb767</rootfsid>
       <usertag>NONE</usertag>
    </fingerprint>
    <fingerprint target=”machine” type=”hardware” version=”1”>
    </fingerprint>
    <timestamp>2017-03-24 07:11:00.000000Z</timestamp>
</codex>

Trong các trường hợp cụ thể, tệp dấu vân tay không thể bị "hỏng" hoặc "giả mạo" trên máy chủ của bạn - đơn giản là nó được tạo và lưu trữ ở một nơi khác.

Tất nhiên, bạn có thể làm mất hiệu lực dấu vân tay hiện tại liên quan đến máy Mac của mình bằng cách xóa khối lượng khởi động và cài đặt một hệ thống mới - điều này sẽ tạo ra Volume UUID mới (hoặc rootfsid).

Tôi không biết liệu cơ quan có công cụ hoặc phương pháp để liên kết dấu vân tay mới (và dữ liệu CODEX liên quan) được tạo sau "lần truy cập thứ hai thân thiện" / giám sát / tấn công với dấu vân tay cũ (và dữ liệu CODEX liên quan) của bạn bây giờ ghi đè khối lượng gốc. Nó có lẽ có!

Và để trả lời câu hỏi của bạn bằng cách nào đó:

1. Bạn không thể phát hiện nếu tệp vân tay bị hỏng vì có thể bạn không có quyền truy cập vào các cơ sở lưu trữ dữ liệu CIA
2. Bạn không thể giả mạo tệp vân tay vì có thể bạn không có quyền truy cập vào các cơ sở lưu trữ dữ liệu CIA và làm thế nào phần mềm độc hại không hoạt động khi khởi động bằng tệp vân tay từ xa?
3. Bạn có thể sử dụng bất kỳ thuật toán băm "an toàn" nhiều hơn hoặc ít hơn để tính uid trong tệp dấu vân tay. Theo định nghĩa, đó là md5.