有时,我会注意到一个通知图标,指示有待处理的更新,或者只是弹出更新管理器,要求下载一些更新。然后,当我想继续操作时,系统会要求我输入密码。此时,我如何知道我所交互的图标和窗口确实来自真正的更新管理器,而不是一些模仿它以获取我的密码的恶意进程?请注意,这是一个普遍的问题,不仅限于更新管理器。验证窗口来源的最简单方法是什么?
答案1
您可以随时检查/var/log/auth.log。每个身份验证请求都将进入日志。例如,当我手动打开更新管理器并在弹出窗口要求更新时取消时,以下是一条条目:
Sep 30 00:07:13 eagle pkexec[17815]: xieerqi: Executing command [USER=root] [TTY=unknown] [CWD=/home/xieerqi] [COMMAND=/usr/lib/update-notifier/package-system-locked]
这是手动运行的apt-get:
Sep 30 00:10:24 eagle sudo: xieerqi : 1 incorrect password attempt ; TTY=pts/6 ; PWD=/home/xieerqi ; USER=root ; COMMAND=/usr/bin/apt-get update
如您所见,COMMAND 字段告诉您哪个应用程序请求了 root 权限。从那里,您可以通过扫描它clamav或类似工具来检查该可执行文件的完整性。如果您真的担心该可执行文件被泄露,请检查它的 SHA 和,例如,
sha1sum /usr/bin/apt-get
如果它以某种方式改变,你会看到不同的输出sha1sum。
最后,请记住要全面实行良好的安全措施 - 使用强密码并且禁止远程访问您的系统(除非您真的需要)。
答案2
我认为验证窗口来源的最佳方法是使用类似于通过窗口知道进程的 PID?。
这将告诉你该窗口来自哪个进程。然后你可以去验证进程的身份,以确保它不是来自恶意程序。例如https://superuser.com/questions/632979/if-i-know-the-pid-number-of-a-process-how-can-i-get-its-name