1月16日，卡巴斯基全球研究与分析团队（GReAT）公布了一种用于检测iOS恶意软件的轻量级方法，能够检测出Pegasus、Reign、Predator等知名复杂恶意软件。

卡巴斯基分析发现，恶意软件感染会在一个系统日志Shutdown.log中留下痕迹。Shutdown.log是一个在任何移动iOS设备上都可以找到的系统日志文件。此文件会记录下每次的重启事件，同时记录多个环境特征，并且还存储着多年的条目。

检测的原理是：当用户重新启动设备时，操作系统会尝试在重启前终止仍在运行的进程。若此时仍有进程在运行，则会记录其进程标识符（PID）和相应的文件系统路径，日志条目指出这些进程阻止了正常的重新启动，另外还提供了一个UNIX时间戳。

该日志文件存储在sysdiagnose（sysdiag）存档中。Sysdiag是为调试及故障排除目的而生成的系统日志和数据库的集合。生成sysdiag存档的方法因iOS版本而异，该存档可以在操作系统的常规设置中找到。等待数分钟创建完一个200-400MB大小的.tar.gz文件后，便可以将该文件传输到分析机上进行后续处理。卡巴斯基在GitHub上提供了一些Python3脚本，以帮助用户自动化提取、分析、解析Shutdown.log数字取证物。

卡巴斯基表示，迄今为止，分析iOS感染的常见方法要么是检查加密的完整iOS备份，要么是分析设备的网络流量，但这两种方法要么非常耗时，要么需要高水平的专业知识。相较之下，他们公布的这种轻量级检测方法相当方便且没什么门槛。同时卡巴斯基也强调，这并不是一种能够检测所有恶意软件的万能药，这种方法较为依赖于用户尽可能频繁地重启手机。

编辑：左右里

资讯来源：Kaspersky

转载请注明出处和本文链接