Revisar extensões do kernel
Last updated
Last updated
As extensões do kernel (geralmente chamadas de kexts) são programas que ampliam os recursos do kernel do macOS e, como tal, são executados com o privilégio mais alto, o que os torna interessantes para malware. A ferramenta KextViewr desenvolvida pela Objective-See permite listar todas as extensões do kernel carregadas.
NB: a interface do Kext Viewer não está disponível em português.
Para iniciar o KextViewr, primeiro faça o download em sua página oficial. Em seguida, extraia o programa do arquivo e clique duas vezes nele:
Para visualizar apenas as extensões de kernel de terceiros, você pode desmarcar a caixa de seleção Show OS Kexts na parte superior da janela do KextViewr.
Como nas etapas anteriores, você deve verificar o nome e os caminhos das kexts. O nome deve lhe dar uma indicação da utilidade da kext; qualquer erro de digitação ou cadeia aleatória aqui é suspeito.
Para os caminhos de extensão, os Kexts do sistema operacional devem ser executados a partir de /Sistema (/System, na versão em inglês), enquanto os Kexts que não são do sistema operacional devem ser executados a partir de /Biblioteca (/Library na versão em inglês).
O KextViewr também verifica a impressão digital do arquivo no VirusTotal. À direita de cada tarefa em execução, você verá dois números que representam primeiro o número de antivírus que identificaram esse arquivo como malicioso e, em seguida, o número total de antivírus testados. Um ponto de interrogação aparecerá se esse programa não for conhecido pelo VirusTotal.
Você deve investigar mais a fundo qualquer tarefa identificada por pelo menos um antivírus como maliciosa ou não conhecida pelo VirusTotal.
Observe: as mesmas considerações e avisos explicados na seção Revisar programas abertos na inicialização também se aplicam aqui. Certifique-se de lê-los antes de prosseguir.
Da mesma forma que em outras ferramentas, o KextViewr exibe o status da assinatura com um ícone próximo ao nome, um ícone verde bloqueado significa que a extensão é assinada pela Apple, um cadeado preto fechado significa que a extensão é assinada por outra empresa, enquanto um cadeado laranja aberto significa que a extensão não é assinada.
