Eu tenho um MacBook Pro de 2011, rodando o 10.8.2 e estava preocupado que o laptop possa ter sido adulterado enquanto deixado sozinho por alguns dias enquanto estava no exterior na Ásia.
Eu montei minha partição EFI usando:
mkdir /Volumes/efi
sudo mount -t msdos /dev/disk0s1 /Volumes/efi
Lá eu encontrei:
├── .Trashes
│ ├── ._502
│ ├── ._508
│ ├── 502
│ └── 508
├── .fseventsd
│ └── fseventsd-uuid
├── BOOTLOG
└── EFI
└── APPLE
├── CACHES
├── EXTENSIONS
│ └── Firmware.scap
└── FIRMWARE
├── 2011MBP15.smc
└── SmcFlasher.efi
Eu reparticionei o computador e ativei o filevault antes da véspera de Ano Novo de 2013 e então achei estranho que a pasta /Volumes/efi/.Trashes/._508 existisse e seja datada de 2 de novembro de 2012. Também não me lembro de ter tinha um usuário com id tão alto quanto 508. (Só tem 3 contas e talvez macports?) Para o.
Além disso, o arquivo BOOTLOG é datado de 3 / Nov / 2012 com muitas entradas para SlingShot, SlingShotUpdateProgressUI, NetworkFinishOSRSHostInfoLookup.
Alguém pode explicar esses artefatos como ocorrências naturais (ou seja, não o resultado de adulteração)? Alguma sugestão sobre outras coisas para verificar se minha máquina está infectada?
Finalmente, alguém poderia verificar as somas de verificação MD5 para os seguintes arquivos:
/Volumes/efi/EFI/APPLE/EXTENSIONS/Firmware.scap 5783b82bc1dd7d612ca0447b737b35df /Volumes/efi/EFI/APPLE/FIRMWARE/2011MBP15.smc fbc25d6db9babda6d5d70163c9a48286 /Volumes/efi/EFI/APPLE/FIRMWARE/SmcFlasher.efi 586e3e4775cedb3a5ca821011541b500
EFI significa Extensible Firmware Interface, tem algumas das funcionalidades que seu BIOS costumava ter em computadores antigos. O sistema de arquivos contém os arquivos, que abrangem a funcionalidade do EFI. Neste caso, contém o bootloader para iniciar o Mac OS X.