EFI раздел вредоносного ПО?
У меня Macbook Pro 2011 года выпуска с версией 10.8.2, и я беспокоился о том, что ноутбук мог быть подделан, если оставался без присмотра в течение нескольких дней, находясь за границей в Азии.
Я смонтировал раздел EFI, используя:
mkdir /Volumes/efi
sudo mount -t msdos /dev/disk0s1 /Volumes/efi
Там я нашел:
T──. Побеги
│ ├── ._502
│ ├── ._508
50 ├── 502
50 └── 508
F──.fseventsd
Se └── fseventsd-uuid
├── BOOTLOG
E── EFI
AP── ЯБЛОКО
C── КАШЕНЫ
├── РАСШИРЕНИЯ
Firm └── Firmware.scap
F── ПРОШИВКА
2011── 2011MBP15.smc
C── SmcFlasher.efiЯ переделал компьютер и включил filevault незадолго до Нового года 2013, и мне показалось странным, что папка /Volumes/efi/.Trashes/._508 существует и датирована 2 ноября 2012 года. Также я не помню, чтобы когда-либо был пользователь с идентификатором выше 508. (Только 3 аккаунта и, возможно, macports?) Для.
Также файл BOOTLOG датирован 3 ноября 2012 года и содержит множество записей для SlingShot, SlingShotUpdateProgressUI, NetworkFinishOSRSHostInfoLookup.
Кто-нибудь может объяснить эти артефакты как естественные явления (то есть, не результат подделки)? Любые предложения относительно других вещей, чтобы проверить, заражен ли мой компьютер?
Наконец, кто-то может проверить контрольные суммы MD5 для следующих файлов:
/Volumes/efi/EFI/APPLE/EXTENSIONS/Firmware.scap 5783b82bc1dd7d612ca0447b737b35df /Volumes/efi/EFI/APPLE/FIRMWARE/2011MBP15.smc fbc25d6db9babda6d5d70163c9a48286 /Volumes/efi/EFI/APPLE/FIRMWARE/SmcFlasher.efi 586e3e4775cedb3a5ca821011541b500
1 ответ
EFI расшифровывается как расширенный интерфейс встроенного ПО, он обладает некоторыми функциями, которые ваш BIOS использовал на старых компьютерах. Файловая система содержит файлы, которые расширяют функциональность EFI. В этом случае он содержит загрузчик для запуска Mac OS X.