วิธีตรวจสอบการอัพเดต XProtect ใน OS X

ระบบ XProtect ของ Apple (aka File Quarantine) ใน OS X เป็นสแกนเนอร์ป้องกันมัลแวร์ขั้นพื้นฐานที่จะทำการตรวจสอบไฟล์ที่ดาวน์โหลดอย่างรวดเร็วเพื่อให้แน่ใจว่าไม่มีมัลแวร์ที่รู้จักและจะบล็อกเว็บปลั๊กอินเช่น Java และ Flash ที่รู้จักช่องโหว่

XProtect ทำงานในพื้นหลังโดยไม่มีการโต้ตอบกับผู้ใช้ซึ่งสะดวก แต่ก็หมายความว่าเมื่อได้รับการปรับปรุงผู้ใช้อาจพบว่าตัวเองไม่สามารถเข้าถึงเนื้อหาเว็บบางอย่างได้โดยไม่คาดคิด แม้ว่าการอัปเดตปลั๊กอินอย่างรวดเร็วควรช่วยให้คุณได้รับความไม่สะดวกนี้ แต่อาจมีประโยชน์ที่จะทราบว่าบล็อกเกิดขึ้นเนื่องจาก XProtect หรือด้วยเหตุผลอื่นที่อาจต้องมีการตรวจสอบ

น่าเสียดายที่ Apple ไม่ได้แจ้งเตือนเมื่อมีการอัพเดต XProtect อย่างไรก็ตามคุณสามารถใช้งานรูทีนของคุณเองที่จะตรวจสอบและแจ้งให้คุณทราบถึงการปรับปรุงใด ๆ

XProtect.plist "และ" XProtect.meta.plist "ซึ่งมีข้อมูลเกี่ยวกับปลั๊กอินเวอร์ชันที่ถูกบล็อกเมื่อ XProtect ได้รับการอัพเดตและคำจำกัดความของภัยคุกคามมัลแวร์ใหม่ที่อยู่ลึกลงไปในโฟลเดอร์ระบบ XProtect เก็บไฟล์สองไฟล์ เมื่อใช้ไฟล์เหล่านี้คุณสามารถตั้งค่าสคริปต์พื้นหลังขนาดเล็กที่จะตรวจสอบการเปลี่ยนแปลงใด ๆ เป็นประจำจากนั้นส่งการแจ้งเตือนหากมีเกิดขึ้น

เช่นเดียวกับวิธีการตรวจสอบระบบอื่น ๆ การตั้งค่านี้เกี่ยวข้องกับการสร้างสคริปต์อย่างง่ายที่ออกการแจ้งเตือนจากนั้นตั้งค่าตัวแทนการเรียกใช้เพื่อเรียกใช้สคริปต์นั้นเป็นระยะ

ติดตั้งเทอร์มินัลแจ้งเตือน

เพื่อรับการแจ้งเตือนจากเชลล์สคริปต์ก่อนอื่นคุณต้องดาวน์โหลดเครื่องมือแจ้งเตือนเทอร์มินัลและวางไว้ในโฟลเดอร์ / Applications / Utilities บนระบบของคุณ เครื่องมือนี้ไม่สามารถเรียกใช้โดยตรง แต่มีคุณสมบัติทั้งหมดที่จำเป็นในการใช้คุณสมบัติศูนย์การแจ้งเตือนของ Apple ใน Mountain Lion

สร้างสคริปต์การแจ้งเตือน

ขั้นตอนต่อไปคือการสร้างสคริปต์ที่จะออกการแจ้งเตือนดังนั้นให้ทำสิ่งนี้ก่อนเปิดยูทิลิตี้ OS X Terminal และป้อนคำสั่งต่อไปนี้เพื่อสร้างไฟล์สคริปต์ที่ชื่อว่า "xprotectnotify.sh" ในโฟลเดอร์ Library ทั่วโลก (ระบุรหัสผ่านของคุณ เมื่อได้รับแจ้ง):

sudo pico /Library/xprotectnotify.sh

จากนั้นเลือกสคริปต์ต่อไปนี้และคัดลอกลงในเท็กซ์เอดิเตอร์ของ Terminal:

 #! / bin / bash if [`md5 -q /System/Library/CoreServices/CoreTypes.bundle/Contents/Reso \ urces / XProtect.meta.plist` ==` md5 -q ~ / .XProtect.meta.plist` ]; จากนั้น echo "ไม่เปลี่ยนแปลง" else UPDATED = `ค่าเริ่มต้นอ่าน /System/Library/CoreServices/CoreTypes.b \ undle / เนื้อหา / ทรัพยากร / XProtect.meta.plist LastModification` /Applications/Utilities/terminal-notifier.app/Contents/MacOS / ter \ minal-notifier -title "XProtect Updated" -message "$ UPDATED" cp /System/Library/CoreServices/CoreTypes.bundle/Contents/Resour \ ces / XProtect.meta.plist ~ / .XProtect.meta.plist 

สุดท้ายให้กด Control-O เพื่อบันทึกตามด้วย Control-X เพื่อออกจากนั้นเรียกใช้คำสั่งต่อไปนี้เพื่อให้สคริปต์เรียกทำงานได้:

sudo chmod + x /Library/xprotectnotify.sh

ณ จุดนี้สคริปต์สามารถรันโดยตรงในเทอร์มินัลโดยป้อนเส้นทางแบบเต็มไปยังมัน (/Library/xprotectnotify.sh) ซึ่งควรทำให้ลองเปรียบเทียบไฟล์ "meta" ของระบบ XProtect กับสำเนาที่ซ่อนอยู่ในโฮมไดเร็กตอรี่ของคุณ . หากสำเนาไม่มีอยู่หรือแตกต่างจากสำเนาอย่างเป็นทางการแล้วจะแจ้งให้คุณทราบว่ามีการเปลี่ยนแปลงเกิดขึ้นจากนั้นอัปเดตสำเนาเพื่อสะท้อนถึงระบบที่ใช้งานอยู่

สร้างตัวแทนการเปิดตัว

ขั้นตอนสุดท้ายคือการสร้างตัวแทนการเปิดตัวที่จะโหลดและเรียกใช้สคริปต์การแจ้งเตือนเป็นประจำ หากต้องการทำสิ่งนี้ใน Terminal ให้เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างและแก้ไขไฟล์ตัวแทน:

pico ~ / Library / LaunchAgents / local.XProtectNotify.plist

ตอนนี้คัดลอกบรรทัดต่อไปนี้ไปยังเท็กซ์เทอร์มินัลของเทอร์มินัลที่ควรจะเปิดตามมาอีกครั้งโดยกด Control-O จากนั้น Control-X เพื่อบันทึกและออก:

 ป้ายกำกับ localXXrotectNotify ProgramArguments /Library/xprotectnotify.sh QueueDirectories StartInterval 3600 

ในเอเจนต์เรียกใช้นี้หมายเลข "3600" ระบุว่ามันจะรันสคริปต์ทุกชั่วโมง แต่คุณสามารถเปลี่ยนสิ่งนี้เป็นจำนวนวินาทีใด ๆ ที่คุณต้องการเพื่อให้คุณสามารถตั้งค่าสคริปต์ให้ทำงานทุก ๆ สองสามชั่วโมงเพียงครั้งเดียวหรือสองครั้งต่อวัน หรือในช่วงเวลาอื่น

หลังจากบันทึกแล้วให้ออกจากระบบและลงชื่อเข้าใช้บัญชีผู้ใช้ของคุณอีกครั้ง สคริปต์นี้เป็นรูทีนที่มีน้ำหนักเบามากซึ่งจะมีผลกระทบเล็กน้อยต่อระบบแม้ว่าจะรันทุกสองสามวินาที อย่างไรก็ตามหากคุณต้องการยกเลิกการเปลี่ยนแปลงเหล่านี้ ณ เวลาใดก็ตามให้เรียกใช้คำสั่งสามคำสั่งต่อไปนี้แยกกันใน Terminal:

sudo rm /Library/xprotectnotify.sh

rm ~ / Library / LaunchAgents / local.XProtectNotify.plist

rm ~ / .XProtect.meta.plist

สคริปต์นี้จะแจ้งให้คุณทราบเมื่อมีการอัปเดต XProtect อย่างไรก็ตามคุณอาจพบเครื่องมือของบุคคลที่สามที่จะใช้ซึ่งสามารถแสดงสถานะของ XProtect และข้อมูลเกี่ยวกับคำจำกัดความล่าสุดของมันและใช้มันแทนหรือนอกเหนือจากสคริปต์นี้


 

แสดงความคิดเห็นของคุณ