Qual pode ser a origem / lógica por trás dos valores de hash usados pelo sistema “Unified Logging” no macOS?

Navegue suas respostas
4

Esta pergunta foi inspirada por outro tópico de perguntas e respostas sobre falsos positivos em um Mac para um — aparentemente — PC somente vírus / malware.

Minha resposta postula que o hash BC8EE8D09234D99DD8B85A99E46C64 - que é o nome do arquivo para um arquivo no “Unified Logging Diretório do sistema /private/var/db/uuidtext/7B/ - é apenas um falso positivo. Eu acredito strongmente que este falso positivo diagnóstico está correto ... Mas ainda assim, parece-me estranho que um hash em um Mac combine com um hash em um PC. Quais são as chances, certo?

De qualquer forma, ao tentar entender por que isso pode acontecer, eu abri o Terminal no Mac Pro no trabalho que executa o macOS High Sierra 10.13.1 e examinei o diretório /private/var/db/uuidtext/7B do próprio sistema; ls -la de saída abaixo: 

total 128
drwxr-xr-x    9 root  wheel    306 Nov  8 09:33 .
drwxr-xr-x  259 root  wheel   8806 Sep 27 11:50 ..
-rw-r--r--    1 root  wheel   5732 Nov  1 09:27 122DC675FC3FC6A8184614F1ECBB99
-rw-r--r--    1 root  wheel     35 Nov 27 09:31 3AAA6D1D0C3D65A50B1B111ABEB6F3
-rw-r--r--    1 root  wheel    103 Nov 27 09:18 7F80A4BACE396A9BC2DA7E3C619493
-rw-r--r--    1 root  wheel   6605 Nov 27 09:21 96F54B98023EB49676A83C6A0E7A57
-rw-r--r--    1 root  wheel  32766 Nov 27 10:21 AE6788A12B367EA7442F303846B58D
-rw-r--r--    1 root  wheel   1310 Nov 27 14:26 E6B6AA12DD365CA5C5C8C8A2293D0B
-rw-r--r--    1 root  wheel    344 Nov  1 10:26 ECFE2546EB32328AF616F3154B2ABA

E eu olhei para o mesmo diretório no Mac Mini que eu uso em casa que roda o macOS High Sierra 10.13.1 e encontrei o seguinte: 

total 48
drwxr-xr-x    7 root  wheel   238 Nov 27 18:12 .
drwxr-xr-x  259 root  wheel  8806 Sep 26 20:12 ..
-rw-r--r--    1 root  wheel  5732 Oct 29 13:59 122DC675FC3FC6A8184614F1ECBB99
-rw-r--r--    1 root  wheel    35 Nov 27 18:09 3AAA6D1D0C3D65A50B1B111ABEB6F3
-rw-r--r--    1 root  wheel   103 Nov 27 18:08 7F80A4BACE396A9BC2DA7E3C619493
-rw-r--r--    1 root  wheel  1310 Nov 27 18:20 E6B6AA12DD365CA5C5C8C8A2293D0B
-rw-r--r--    1 root  wheel   344 Nov  1 20:01 ECFE2546EB32328AF616F3154B2ABA

Ok, parece uma pilha chata de hashes, certo? Bem, olhe mais de perto: os dois sistemas mostram hashes para E6B6AA12DD365CA5C5C8C8A2293D0B e 7F80A4BACE396A9BC2DA7E3C619493 . E fiz uma busca rápida no Google pelos hashes e, embora a maioria dos itens não tenha resultados, descobri que um dos hashes que mencionei acima - E6B6AA12DD365CA5C5C8C8A2293D0B - mostre uma lista de diretórios de arquivos nesta página : 

/private/var/db/diagnostics/Special/0000000000000024.tracev3
/private/var/db/diagnostics/timesync/0000000000000002.timesync
/private/var/db/diagnostics/Persist/0000000000000011.tracev3
/private/var/db/uuidtext/58/CC0E0317B43D7A84C47DA1275642C0
/private/var/db/uuidtext/BB/88FC65AC78308A82030DAD82CCAC19
/private/var/db/uuidtext/FE/F349208E223E709FE2552800B9A460
/private/var/db/uuidtext/7B/E6B6AA12DD365CA5C5C8C8A2293D0B
/private/var/db/uuidtext/9A/CA0127E687388594751D5E4DD83168
/private/var/db/uuidtext/9A/79C2510A7335848F421652E5BAB381
/private/var/db/uuidtext/6C/791AD6426B34A495CC9B8B049A5489
/private/var/db/uuidtext/A7/A58DC0EEB3352CAAF1851A24A8ACF0
/private/var/db/uuidtext/B7/3EB177938B3A989405789F729A0C3B
/private/var/db/uuidtext/F0/24C78020883E28A8DA1D7DB12E39CB
/private/var/db/uuidtext/F7/1B60DC303734C3ABB4B011CDF19866
/private/var/db/uuidtext/F8/8F8299441C3E1AAEBEAFBB858AE1EA
/private/var/db/uuidtext/40/75E44E5F45386DB289C1E320CB1709

Ok, isso é muito estranho. Se esses são hashes do sistema que devem ser 100% aleatórios (que eu saiba), por que meu Mac no trabalho, meu Mac em casa e o Mac de outra pessoa - onde quer que estejam - têm exatamente o mesmo nome de arquivo hash em um diretório semelhante? p>

Qual pode ser a fonte / lógica por trás dos valores de hash usados pelo sistema "Log unificado"? Por que, com base nessas observações casuais, parece não ser aleatório?

    
por JakeGould 27.11.2017 / 20:36

1 resposta

2

Acho que há aqui algum mal-entendido: Funções de hash nunca são aleatórios:

A hash function is any function that can be used to map data of arbitrary size to data of fixed size. The values returned by a hash function are called hash values, hash codes, digests, or simply hashes.

Uma função hash coleta dados e cria uma string que é o valor do hash. Uma boa função hash é medida pelo seu número de conflitos, ou seja, quantos fluxos de dados diferentes podem gerar o mesmo valor de hash. Algoritmos hash modernos se tornaram muito bons nisso, e são usados para identificar / processar impressões digitais por vários motivos, por exemplo, encontrar vírus.

Os dois arquivos que você encontrou são do mesmo valor de hash, também tem o mesmo tamanho exato, então eu acho que eles também compartilham conteúdos comuns.

Assim, você provavelmente provou que o seu Mac Pro no trabalho usa a mesma função de hash do seu Mac Mini em casa.

    
por 02.12.2017 / 12:58

Tags

Use o iptables nat para redirecionar o gateway para os PCs da LAN Que alteração permitiu que o intervalo fosse duplicado dos protocolos wifi 802.11g para 802.11n?