Was könnte die Quelle / Logik hinter den Hash-Werten sein, die vom Unified Logging-System unter macOS verwendet werden?

4

Diese Frage wurde inspiriert von ein weiterer frage und antwort thread in Bezug auf False-Positives auf einem Mac für - anscheinend - nur PC-Viren / Malware.

Meine Antwort dort geht davon aus, dass der Hash BC8EE8D09234D99DD8B85A99E46C64 - Dies ist der Dateiname für eine Datei im Systemverzeichnis „Unified Logging“ /private/var/db/uuidtext/7B/ - ist nur falsch positiv. Ich bin der festen Überzeugung, dass diese falsch-positive Diagnose richtig ist. Trotzdem finde ich es seltsam, dass ein Hash auf einem Mac einem Hash auf einem PC entspricht. Was sind die Chancen, richtig?

Auf jeden Fall habe ich auf dem Mac Pro, auf dem macOS High Sierra 10.13.1 ausgeführt wird, das Terminal geöffnet, um zu verstehen, warum dies passieren könnte /private/var/db/uuidtext/7B Verzeichnis; ls -la Ausgabe unten:

total 128
drwxr-xr-x    9 root  wheel    306 Nov  8 09:33 .
drwxr-xr-x  259 root  wheel   8806 Sep 27 11:50 ..
-rw-r--r--    1 root  wheel   5732 Nov  1 09:27 122DC675FC3FC6A8184614F1ECBB99
-rw-r--r--    1 root  wheel     35 Nov 27 09:31 3AAA6D1D0C3D65A50B1B111ABEB6F3
-rw-r--r--    1 root  wheel    103 Nov 27 09:18 7F80A4BACE396A9BC2DA7E3C619493
-rw-r--r--    1 root  wheel   6605 Nov 27 09:21 96F54B98023EB49676A83C6A0E7A57
-rw-r--r--    1 root  wheel  32766 Nov 27 10:21 AE6788A12B367EA7442F303846B58D
-rw-r--r--    1 root  wheel   1310 Nov 27 14:26 E6B6AA12DD365CA5C5C8C8A2293D0B
-rw-r--r--    1 root  wheel    344 Nov  1 10:26 ECFE2546EB32328AF616F3154B2ABA

Und ich habe auf dem Mac Mini, den ich zu Hause verwende, dasselbe Verzeichnis durchsucht, in dem auch macOS High Sierra 10.13.1 ausgeführt wird, und Folgendes festgestellt:

total 48
drwxr-xr-x    7 root  wheel   238 Nov 27 18:12 .
drwxr-xr-x  259 root  wheel  8806 Sep 26 20:12 ..
-rw-r--r--    1 root  wheel  5732 Oct 29 13:59 122DC675FC3FC6A8184614F1ECBB99
-rw-r--r--    1 root  wheel    35 Nov 27 18:09 3AAA6D1D0C3D65A50B1B111ABEB6F3
-rw-r--r--    1 root  wheel   103 Nov 27 18:08 7F80A4BACE396A9BC2DA7E3C619493
-rw-r--r--    1 root  wheel  1310 Nov 27 18:20 E6B6AA12DD365CA5C5C8C8A2293D0B
-rw-r--r--    1 root  wheel   344 Nov  1 20:01 ECFE2546EB32328AF616F3154B2ABA

Okay, scheint ein langweiliger Haufen Haschisch zu sein, oder? Schauen Sie genauer hin: Beide Systeme zeigen Hashes für E6B6AA12DD365CA5C5C8C8A2293D0B und 7F80A4BACE396A9BC2DA7E3C619493. Und ich habe eine schnelle Google-Suche nach den Hashes durchgeführt, und obwohl die meisten Elemente überhaupt keine Ergebnisse liefern, habe ich festgestellt, dass einer der oben genannten Hashes E6B6AA12DD365CA5C5C8C8A2293D0B - In einem Dateiverzeichnis auf dieser Seite anzeigen :

/private/var/db/diagnostics/Special/0000000000000024.tracev3
/private/var/db/diagnostics/timesync/0000000000000002.timesync
/private/var/db/diagnostics/Persist/0000000000000011.tracev3
/private/var/db/uuidtext/58/CC0E0317B43D7A84C47DA1275642C0
/private/var/db/uuidtext/BB/88FC65AC78308A82030DAD82CCAC19
/private/var/db/uuidtext/FE/F349208E223E709FE2552800B9A460
/private/var/db/uuidtext/7B/E6B6AA12DD365CA5C5C8C8A2293D0B
/private/var/db/uuidtext/9A/CA0127E687388594751D5E4DD83168
/private/var/db/uuidtext/9A/79C2510A7335848F421652E5BAB381
/private/var/db/uuidtext/6C/791AD6426B34A495CC9B8B049A5489
/private/var/db/uuidtext/A7/A58DC0EEB3352CAAF1851A24A8ACF0
/private/var/db/uuidtext/B7/3EB177938B3A989405789F729A0C3B
/private/var/db/uuidtext/F0/24C78020883E28A8DA1D7DB12E39CB
/private/var/db/uuidtext/F7/1B60DC303734C3ABB4B011CDF19866
/private/var/db/uuidtext/F8/8F8299441C3E1AAEBEAFBB858AE1EA
/private/var/db/uuidtext/40/75E44E5F45386DB289C1E320CB1709

Okay, das ist zu komisch. Wenn dies System-Hashes sind, die (meines Wissens) zu 100% zufällig sein sollten, warum haben mein Mac bei der Arbeit, mein Mac zu Hause und der Mac eines anderen - wo immer er sich befindet - in einem ähnlichen Verzeichnis genau den gleichen Hash-Dateinamen?

Was könnte die Quelle / Logik hinter den Hash-Werten sein, die vom Unified Logging-System verwendet werden? Warum scheinen diese zufälligen Beobachtungen nicht zufällig zu sein?

JakeGould
quelle

Antworten:

2

Ich denke, hier gibt es ein Missverständnis: Hash-Funktionen sind nie zufällig:

Eine Hash-Funktion ist eine beliebige Funktion, mit der Daten beliebiger Größe auf Daten fester Größe abgebildet werden können. Die von einer Hash-Funktion zurückgegebenen Werte heißen Hash-Werte, Hash-Codes, Digests oder einfach Hashes.

Eine Hash-Funktion nimmt Daten auf und spuckt einen String aus, der der Hash-Wert ist. Eine gute Hash-Funktion wird an der Anzahl der Konflikte gemessen. Dies bedeutet, wie viele verschiedene Datenströme denselben Hashwert generieren können. Moderne Hash-Algorithmen sind darin ziemlich gut geworden und werden verwendet zum Identifizieren von / Fingerabdruck-Dateien aus vielen Gründen, zum Beispiel zum Auffinden von Viren.

Die beiden gefundenen Dateien haben denselben Hash-Wert. habe auch die gleiche exakte größe, daher würde ich denken, dass sie auch teilen gemeinsame Inhalte.

Sie haben also wahrscheinlich bewiesen, dass Ihr Mac Pro bei der Arbeit dieselbe Hash-Funktion verwendet wie Ihr Mac Mini zu Hause.

harrymc
quelle
Sie sagen also im Grunde genommen, dass dieses "Unified Logging" -Format eine festgelegte Menge von - sagen wir - "Thing A", "Thing B" und "Thing C" enthält und dass dies buchstäblich die Kennungen für alle Systeme sind, dann ein Hash der wörtlichen Namen "Thing A", "Thing B" und "Thing C" können systemübergreifend dem gleichen Hash entsprechen?
JakeGould
1
Ja, solange dieselbe Hash-Funktion verwendet wird (um nicht zu sagen, dass verschiedene Funktionen nicht denselben Hash-Wert haben können, obwohl dies hoffentlich sehr selten ist).
harrymc