人工智能太缺高质量数据了！

介绍：

当测试已知的恶意软件时，在某些情况下，你可能需要改变文件的大小或哈希，以击败安全检测规则。这个技巧在我们最近的一篇关于如何在Catalina上绕过XProtect的文章中介绍过，但这肯定不是你想使用它的唯一原因。任何文件大小检查以及针对文件哈希的信誉检查都可以通过这种方式进行。在后一种情况下，不需要将文件扩展到一个字节以上，因此将条件中的第二个数字从3000000调整为2，并将其调整为比你试图打破的规则中提到的大小稍微大一点的数字。
 

介绍：

这个单行程序利用arp实用程序会打印出连接到LAN的设备的信息，包括本地IP地址、MAC地址(又称链路层地址)和失效时间等。该命令使用2秒钟延迟的无限while循环，以便它不断更新，直到你使用键盘命令Ctl-C中断它为止

如果你还保留网络上允许的MAC地址的清单，这可能是一种非常容易的方法，可以手动发现家庭，实验室或其他小型网络中出现的恶意设备。对于自动化企业解决方案，请使用SentinelOne的Ranger之类的工具。
 

但是，这有两个问题，除了需要Xcode命令行工具之外。

首先，无需凭票即可对应用进行公证;实际上，许多开发人员将票证附加到DMG或安装程序，而不是应用程序本身，因此仅检查票证不会产生准确的结果。

其次，从安全性角度来看，公证的主要好处是，在最严格的规则下，它需要强化的运行时标志。没有这种标志的应用程序可以被恶意进程修改，因此，使用此技巧，我们实际上要在“应用程序”文件夹中列出所有应用程序。当然，你可以并且应该考虑将相同的技术应用于包含应用程序的其他文件夹，然后测试它们是否都缺少必需的标志。单行代码将代码签名的结果输出到一个临时文件，然后对文件中所有根本没有标志的条目进行抓取，这表明没有强化的运行时。在输出与搜索匹配的可执行文件列表之后，单行代码还会清除此临时文件
 

介绍：

从macOS 10.15 Catalina开始，默认情况下，所有的应用程序都必须经过公证才能启动，但是有一些免责条款意味着你的系统中可能有未经公证的应用程序。首先，用户可以在本地完成对公证的要求，这并不需要管理员权限。这是一种常见的macOS恶意软件技术，可对用户进行社交工程设计以做到这一点。其次，苹果在早期阶段在公证要求上有些摇摆不定，在2020年2月之前在不那么严格的要求下进行了公证并安装的应用程序，比如没有硬化的运行时，即使在更严格的要求生效后，也可以在Catalina上正常运行。

如果你安装的Xcode工具的单行代码短得多，则可以检查应用程序是否没有公证“票证”：
 

但是，你可能希望找到当前未运行的应用程序的bundle标识符。为此，请使用利用mdfind实用程序的第二个版本。

请注意，mdfind只显示用户有权访问的文件的结果：这就是为什么你不会得到常规' find '命令中所有的权限错误(除非你将stderr重定向到/dev/null)。但这没关系，因为整个Launch Services数据库都是与用户相关的：它只会返回用户有权启动的应用的结果。mdfind命令就是Spotlight功能的终端界面，这意味着如果Spotlight被禁用，mdfind命令也将无法工作。mdfind命令非常迅速、高效。

寻找缺乏硬化运行时(Hardened Runtime)的应用程序

技巧：

（编辑：唐山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!