分析osx.crisis黑客病毒

    黑客病毒osx.crisis对比某些盆友并不陌生，它曽经在互联网上走红和deiver-macos-master病毒的涵数名同样，乃至思维也基础相同，下列也是安会学者对osx.crisis病原体的深入分析。

   先从黑客病毒OSX rootkit通道涵数mchook_start开展剖析得话，关键也是注冊空格符web端设施，随后算是文件系统中建立的设施连接点，应属基本的这种控制器通道形为，详尽的状况给出图。

   其相匹配的空格符设施变换表得话也给出：

  主IOCTL回涵数因此也是3个，列举得话cdev_open和cdev_close是为空的，全部解决思维都包含在cdev_ioctl的涵数中，详尽的状况给出图：

  次之得话再看cdev_ioctl回调函数，这类涵数得话装有各类潜伏掩藏的形为，特别是在在mchook.h文件头里就界定了许多的cdev_ioctl中启用的涵数，从这类涵数明上也基础就能推断出rootkit包括有文件隐藏、进程隐藏和内核模块掩藏等作用，详尽的给出图：

   在程序的掩藏中mac.cosx每一程序的语义都能储存在proc构造中，在allproc链接表中也可以储存着多有程序proc的构造表针，根据这类allproc链接表就能上溢相对的程序proc构造；也有该黑客病毒编码掩藏的程序是坐落于相对程序链接表和程序Hash表层都能开展移祛除，当发觉沒有别的hash表清除程序基本信息的当时，就能造成可根据ps-p pid指令来搜索程序，详尽的状况给出图：

   对于黑客病毒OSX rootkt内核模块的掩藏，初期得话是对leopard体系内核模块掩藏启用hide_kext_leopard涵数，而如今得话就已不应用，就仅仅简易的遍历kmod_info内核模块的链接表构造，再寻找相符合的模快名那样就能在链接表中开展去除，那样在动物的特征kextstat指令的当时就馋不上掩藏的内核模块了，具体情况给出图：