Como monitorar atualizações do XProtect no OS X

O sistema XProtect da Apple (também conhecido como Quarentena de Arquivos) no OS X é um escâner antimalware rudimentar que fará uma verificação rápida dos arquivos baixados para garantir que eles não contenham malware conhecido e bloqueará quaisquer versões de plug-ins da Web como Java e Flash que possuem vulnerabilidades conhecidas.

O XProtect é executado em segundo plano, sem interação com o usuário, o que é conveniente, mas significa que, quando ele é atualizado, os usuários podem se encontrar inesperadamente impossibilitados de acessar algum conteúdo da Web. Embora a atualização rápida de plug-ins deva causar algum inconveniente, pode ser útil saber se o bloqueio ocorreu por causa do XProtect ou por algum outro motivo que precise ser investigado.

Infelizmente, a Apple não fornece notificações quando o XProtect é atualizado; no entanto, você pode implementar uma rotina própria que verificará e notificará você sobre quaisquer atualizações.

No fundo da pasta do sistema, o XProtect armazena dois arquivos chamados "XProtect.plist" e "XProtect.meta.plist" que contêm informações sobre as versões do plug-in bloqueadas, quando o XProtect foi atualizado e as definições para novas ameaças de malware. Usando esses arquivos, você pode configurar um pequeno script de segundo plano que verificará regularmente quaisquer alterações e, em seguida, enviará uma notificação se ocorrer alguma.

Como acontece com outras abordagens de monitoramento de sistema, essa configuração envolve a criação de um script simples que emite uma notificação e a configuração de um agente de ativação para executar periodicamente esse script.

Instalar terminal-notifier

Para receber notificações de scripts de shell, você primeiro precisa fazer o download do terminal de notificação da ferramenta e colocá-lo na pasta / Applications / Utilities em seu sistema. Esta ferramenta não pode ser executada diretamente, mas contém todos os recursos necessários para usar o recurso do Centro de Notificação da Apple no Mountain Lion.

Crie o script de notificação

O próximo passo é criar o script que irá emitir a notificação, para fazer isso primeiro abra o utilitário OS X Terminal e digite o seguinte comando para criar o arquivo de script chamado "xprotectnotify.sh" na pasta global Library (forneça sua senha quando solicitado):

sudo pico /Library/xprotectnotify.sh

Em seguida, selecione o seguinte script e copie-o no editor de texto do Terminal:

 #! / bin / bash if [`md5 -q /System/Library/CoreServices/CoreTypes.bundle/Contents/Resos/Upces/ XProtect.meta.plist` ==` md5 -q ~ / .XProtect.meta.plist` ]; então echo "Nenhuma mudança" else UPDATED = `padrões lidos /System/Library/CoreServices/CoreTypes.b \ undle / Contents / Resources / XProtect.meta.plist LastModification` /Applications/Utilities/terminal-notifier.app/Contents/MacOS / ter \ minal-notifier -title "XProtect Updated" -mensagem "$ UPDATED" cp /System/Library/CoreServices/CoreTypes.bundle/Contents/Resour \ ces / XProtect.meta.plist ~ / .XProtect.meta.plist fi 

Finalmente, pressione Control-O para salvar seguido de Control-X para sair e, em seguida, execute o seguinte comando para tornar o script executável:

sudo chmod + x /Library/xprotectnotify.sh

Neste ponto, o script pode ser executado diretamente no Terminal, digitando o caminho completo para ele (/Library/xprotectnotify.sh), que deve tentar comparar o arquivo "meta" XProtect do sistema com uma cópia oculta em seu diretório home . Se a cópia não existir ou for diferente da oficial, ela o notificará sobre a ocorrência de uma mudança e atualizará a cópia para refletir aquela que o sistema está usando.

Criar agente de lançamento

A etapa final é criar o agente de lançamento que carregará e executará o script de notificação regularmente. Para isso, no Terminal, execute o seguinte comando para criar e editar o arquivo do agente:

pico ~ / Library / LaunchAgents / local.XProtectNotify.plist

Agora copie as seguintes linhas para o editor de texto do Terminal que deve estar aberto, seguido novamente pressionando Control-O e depois Control-X para salvar e sair:

 Label local.XProtectNotify ProgramArguments /Library/xprotectnotify.sh QueueDirectories StartInterval 3600 

Neste agente de lançamento, o número "3600" indica que ele executará o script a cada hora, mas você pode alterá-lo para qualquer número de segundos desejado. Assim, é possível definir o script para ser executado a cada poucas horas, uma ou duas vezes por dia ou em qualquer outro intervalo.

Depois de salvar, efetue logout e login novamente na sua conta de usuário e pronto. Este script é uma rotina muito leve que teria um impacto insignificante no sistema, mesmo se executado a cada poucos segundos. No entanto, se em algum momento você desejar desfazer essas alterações, execute os três comandos a seguir separadamente no Terminal:

sudo rm /Library/xprotectnotify.sh

rm ~ / Library / LaunchAgents / local.XProtectNotify.plist

rm ~ / .XProtect.meta.plist

Este script irá simplesmente notificá-lo quando o XProtect for atualizado; no entanto, você pode encontrar algumas ferramentas de terceiros para usar que podem exibir o status do XProtect e informações sobre suas definições mais recentes e usá-las em vez de ou além desse script.


 

Deixe O Seu Comentário