我的 MAC 上有一个 Android Studio。在安装它时,我去检查了SHA256它的版本。所以我意识到这不是原始软件包。我想了解它是什么,为什么,并探索我的选择是什么。
首先,我知道我不应该在检查签名之前开始安装。我知道,这是我的错。因此,我尝试修复这种情况并了解可能发生的情况。
我有几件事想了解:
如果签名不匹配,那么100%确定这是一个恶意包吗?
如果是,我可以使用什么工具来探索这个包里面有什么,以及它对我的机器做了什么?
我可以运行哪种工具来检查是否有任何操作系统命令被覆盖?我的意思是,我不确定即使简单的复制操作是否可能会做其他事情。
我想获取真正的 dmg 并将其与奇怪的 dmg 进行比较,有没有办法比较两个 dmg 文件?某种 diff 命令?
我不是安全专家,但我正在学习如何让事情变得更安全。我确信我收到了很多恶意电子邮件、文件和连接尝试。只是想学习如何更好地保护自己。
我想避免重置机器,但这似乎是最好的办法。但我需要备份……所以
有人可以帮忙吗?
更新:
文件的名称相同,版本相同:android-studio-ide-173.4819257-mac.dmg
我运行:shasum -a 256 android-studio-ide-173.4819257-mac.dmg
我得到了这个:d4a8502c5aabfc5477ff30dfffe296bf705bd7e62650a76796b646a8f28b5e5c
我应该得到这个(来自developer.android.com):21ec7cf480bfa05ff90594e9cebd0f79892e41d37b4a14988dce04a6fbb76b58
我不知道这有什么关系,但我收到了来自 MacOSX 的 syspolicyd 消息,内容是:
android-studio-ide-173.4819257-mac.dmg 的评估被拒绝 com.apple.message.domain: com.apple.security.assessment.outcome2 com.apple.message.signature2: bundle:UNBUNDLED com.apple.message.signature4: 3 com.apple.message.signature3: android-studio-ide-173.4819257-mac.dmg com.apple.message.signature5: UNKNOWN com.apple.message.signature: denied: no usable signature SenderMachUUID: F8DBBA1F-DCAE-3434-9083-DC560D8032D5
答案1
在我看来磁盘映像是正确的,唯一的错误是网站由于某种原因列出了错误的 SHA256。
我刚刚从https://developer.android.com/studio/#downloads,我得到的 SHA256 校验和和你一样。磁盘映像中的应用程序文件具有来自 Google 的有效签名(见下文),并且我没有在磁盘映像中看到任何其他可疑的东西。请注意,磁盘映像本身未签名,但这不是问题。
$ codesign -dvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
Executable=/Volumes/Android Studio 3.1.3/Android Studio.app/Contents/MacOS/studio
Identifier=com.google.android.studio
Format=app bundle with Mach-O universal (i386 x86_64)
CodeDirectory v=20200 size=537 flags=0x0(none) hashes=11+3 location=embedded
Hash type=sha256 size=32
CandidateCDHash sha1=bac9739e22e0c9da7499d33bafc4b211b1950cc4
CandidateCDHash sha256=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Hash choices=sha1,sha256
CDHash=6507a87b8b1e550e5467d2a8ecd82c9dc02a27f4
Signature size=8949
Authority=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Timestamp=Jun 4, 2018, 2:33:20 PM
Info.plist entries=20
TeamIdentifier=EQHXZ8M8AV
Sealed Resources version=2 rules=13 files=13287
Internal requirements count=1 size=188
$ codesign -vvvv --deep /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: valid on disk
/Volumes/Android Studio 3.1.3/Android Studio.app: satisfies its Designated Requirement
$ spctl -avvv /Volumes/Android\ Studio\ 3.1.3/Android\ Studio.app
/Volumes/Android Studio 3.1.3/Android Studio.app: accepted
source=Developer ID
origin=Developer ID Application: Google, Inc. (EQHXZ8M8AV)
$ codesign -dvvv ~/Downloads/android-studio-ide-173.4819257-mac.dmg
/Users/gordon/Downloads/android-studio-ide-173.4819257-mac.dmg: code object is not signed at all
答案2
如果签名不匹配,那么100%确定这是一个恶意包吗?
不。您只知道软件包的校验和与开发人员提供的校验和不同。造成这种情况的原因也可能是下载已损坏(检查一下,看看第二次下载原始版本时会发生什么,这与第一次下载有什么不同吗?)