Google为macOS量身打造的恶意软件检测系统“Santa”

Google为macOS量身打造的恶意软件检测系统“Santa”

一、项目详细介绍

目前，Google已经开发了一个针对macOS平台的恶意程序监控系统。根据Softpedia网站的最新消息，该项目现阶段拥有开源系统，项目代码托管在GitHub服务平台上。这个名为“圣诞老人”的项目是由谷歌的麦金塔R&D部门开发和设计的。手机软件目前的版本号是0.9.12。

正如谷歌所描述的，“圣诞老人”项目并不是传统定义中的杀毒软件模块。只能将部分macOS服务平台的意向进程列入黑名单或白名单。此外，圣诞老人的图形界面设计(GUI)并不复杂，它只有一个优雅的公告对话框。圣诞老人必须根据此对话框通知客户哪个过程是禁止的。Softpedia的安全科研人员检测到的版本号没有其他客户 *** 作面板，只有一个如下图所示的提示框。

第二，深度圣诞老人项目

圣诞老人展示了两种实用的 *** 作方法。况且只是一个比较简单的应用。

Santa恶意软件监控系统的关键只是一个客户端监控进程，它可以扫描新的进程，并根据本地SQLite数据库查询中存储的进程信用黑名单(或白名单)阻止(或允许)应用程序的运行。

根据Github上托管的该项目的详细介绍文本文档，Santa展示了以下两种实际 *** 作模式:MONITOR和LOCKDOWN。

在监控模式下，Santa可以从信用黑名单中加载禁止运行的程序流信息，然后告诉计算机 *** 作系统哪些应用不允许运行。在锁定模式下，Santa总是允许白名单中的程序流运行，这意味着没有白名单顶部的应用程序的默认设置将被禁止运行。

此外，客户和网络工程师可以根据应用程序的签名资格证书来区分程序过程的合法性，并将潜在的意向应用程序添加到Santa的信用黑名单中。

特别是，圣诞老人内置了安全措施，可以避免故意网络攻击的非法伪造。和很多其他优秀的网络安全产品一样，Santa会在程序流日志中记录它的所有日常任务。此外，它还具有相对的安全保护措施。因为很多恶意程序会试图破坏圣诞老人的扫描仪进程，并以此为由逃避检查。所以圣诞老人自己的安全系统的目的就是为了更好的避免这类恶性事件的发生。

恶意程序可以改变圣诞老人的信用黑名单，然后让圣诞老人阻止圣诞老人及其macOS的关键进程的执行。Santa会使用iPhoneXPC服务项目的API来认证自己组件各部分的有效性。如果所有一个组件的签名资格证书不能被认证，则Santa可以阻止该组件与其他组件之间的通信。

圣诞老人有以下功能:

-各种 *** 作模式:Santa默认的 *** 作模式是监控模式。在这种模式下，除了信用黑名单中识别的应用，其他所有程序流都可以运行，所有程序流的运行信息都会被记录并存储在Santa的恶性事件数据库查询中。在锁定模式下，只允许运行由白名单标识的应用程序。

-事件记录:当加载kext文档时，运行程序流的所有实际个人动作都可能被记录。

-根据资质证书的检验标准:除了利用编程代码的“指纹识别”(hash值)进行区分外，Santa还可以根据签署的资质证书来区分必须纳入白名单或信用黑名单的应用。只有程序流的签名资格证书通过认证，这个程序流才能加入白名单。

-根据本办法的测试标准:该功能类似于OSX系统软件托管客户端显示的限制功能。但是，这个函数允许我们在测试的整个过程中向测试标准添加正则表达式。

三。圣诞老人的安装和 *** 作

首先，打开Mac的终端设备，然后键入以下命令:

git克隆https://github.com/google/santa

运营设计效果图:

在终端提醒你日常任务成功后，你可能会在今日客户下的文件目录中看到圣诞老人项目文档。

必须要注意的是，在运行Santa之前，你要处理依赖CocoaPods类库可视化工具的问题。针对这些问题，请阅读Cocoapods官网，掌握实际安装流程【发射器】。

安装后，您可以对圣诞老人的功能进行简单的测试。你可以对终端设备发出“是”的命令。

添加到圣诞老人信用黑名单，检测说明如下:

santactl规则-黑名单-路径/usr/bin/yes-消息“否”

如果你一直在终端设备中运行“是”命令，可能会看到一个d出的对话框，会提醒你这个应用已经被禁止运行很长时间了，提醒信息是“否”。此外，该对话框还可以允许最终产品用户关闭与应用程序相关的提醒。客户选择此选项后，圣诞老人不容易在24小时内提醒客户关于手续变更流程的禁止信息。

只是一个简单的系统测试，圣诞老人的作用自然远不止于此。客户可以自行安装下载圣诞老人，然后按照自己的想法进行测试。

第四，运行测试。

动词（verb的缩写）摘要

如今，Santa的版本号是0.9.12，GoogleEnterprise的MacintoshR&D部门的开发人员仍在对Santa项目进行系统测试和安全测试，并试图恢复产品中存在的系统漏洞。如果你觉得自己有足够的能力开发软件，谷歌企业的R&D麦金塔部门可能会欢迎你加入圣诞老人项目。具体信息请参考Santaproject的编码贡献文本文档【transmitter】。

目前，圣诞老人最新版本的发布日期尚未确定。每个人都可以安装下载这个产品，但是你要记住，圣诞老人现阶段还是一个产品测试中的手机软件，圣诞老人项目不是Google的官网项目。

如果你对圣诞老人项目有所有的疑问，或者你在整个安装过程中遇到了难以克服的困难，你可以浏览谷歌社区论坛的“圣诞老人-开发”控制模块来寻找答案。另外，可以浏览Github的Wiki版块和Issues版块，获取大量信息。

不及物动词参考连接

1.1的Github主页。圣诞老人项目:

https://github.com/google/santa

2."圣诞老人开发"第二部分。谷歌官方论坛:

https://groups.google.com/forum/#!论坛/圣诞老人发展

3.3.对应用和设备的具体指导。圣诞老人:

https://github.com/google/santa/wiki

4.4可视化工具的安装和应用的具体说明。CocoaPods类库:

https://guides.cocoapods.org/

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/771724.html