Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  • Como iniciar o Kext Viewer
  • Análise dos resultados
  • 1. Verificar assinaturas de imagem
  • 2. Verificar os nomes dos programas e os caminhos
  • 3. Verificar os resultados da verificação do VirusTotal
  1. Verificação de computadores Mac

Revisar extensões do kernel

PreviousRevisar processos em execuçãoNextRevisar conexões de rede

Last updated 4 months ago

As extensões do kernel (geralmente chamadas de kexts) são programas que ampliam os recursos do kernel do macOS e, como tal, são executados com o privilégio mais alto, o que os torna interessantes para malware. A ferramenta desenvolvida pela Objective-See permite listar todas as extensões do kernel carregadas.

NB: a interface do Kext Viewer não está disponível em português.

Como iniciar o Kext Viewer

Para iniciar o KextViewr, primeiro faça o download . Em seguida, extraia o programa do arquivo e clique duas vezes nele:

Análise dos resultados

1. Verificar assinaturas de imagem

Para visualizar apenas as extensões de kernel de terceiros, você pode desmarcar a caixa de seleção Show OS Kexts na parte superior da janela do KextViewr.

2. Verificar os nomes dos programas e os caminhos

Como nas etapas anteriores, você deve verificar o nome e os caminhos das kexts. O nome deve lhe dar uma indicação da utilidade da kext; qualquer erro de digitação ou cadeia aleatória aqui é suspeito.

Para os caminhos de extensão, os Kexts do sistema operacional devem ser executados a partir de /Sistema (/System, na versão em inglês), enquanto os Kexts que não são do sistema operacional devem ser executados a partir de /Biblioteca (/Library na versão em inglês).

3. Verificar os resultados da verificação do VirusTotal

O KextViewr também verifica a impressão digital do arquivo no VirusTotal. À direita de cada tarefa em execução, você verá dois números que representam primeiro o número de antivírus que identificaram esse arquivo como malicioso e, em seguida, o número total de antivírus testados. Um ponto de interrogação aparecerá se esse programa não for conhecido pelo VirusTotal.

Você deve investigar mais a fundo qualquer tarefa identificada por pelo menos um antivírus como maliciosa ou não conhecida pelo VirusTotal.

Da mesma forma que em outras ferramentas, o KextViewr exibe o status da assinatura com um ícone próximo ao nome, um ícone verde bloqueado significa que a extensão é assinada pela Apple, um cadeado preto fechado significa que a extensão é assinada por outra empresa, enquanto um cadeado laranja aberto significa que a extensão não é assinada.

Observe: as mesmas considerações e avisos explicados na seção também se aplicam aqui. Certifique-se de lê-los antes de prosseguir.

Revisar programas abertos na inicialização
KextViewr
em sua página oficial