У меня есть Macbook Pro 2011 года, работающий под управлением 10.8.2, и я беспокоился о том, что ноутбук мог быть подделан, если оставался без присмотра в течение нескольких дней за границей в Азии.
Я смонтировал раздел EFI, используя:
mkdir /Volumes/efi
sudo mount -t msdos /dev/disk0s1 /Volumes/efi
Там я нашел:
├── .Trashes
│ ├── ._502
│ ├── ._508
│ ├── 502
│ └── 508
├── .fseventsd
│ └── fseventsd-uuid
├── BOOTLOG
└── EFI
└── APPLE
├── CACHES
├── EXTENSIONS
│ └── Firmware.scap
└── FIRMWARE
├── 2011MBP15.smc
└── SmcFlasher.efi
Я переделал компьютер и включил filevault незадолго до Нового года 2013, и мне показалось странным, что в папке /Volumes /efi /.Мусоры /._ 508 существует и датирована 2 ноября 2012. Также я не помню, чтобы когда-либо был пользователь с идентификатором 508. (Есть только 3 аккаунта и, возможно, macports?) Для .
Также файл BOOTLOG датирован 3 ноября 2012 года и содержит множество записей для SlingShot, SlingShotUpdateProgressUI, NetworkFinishOSRSHostInfoLookup.
Кто-нибудь может объяснить эти артефакты как естественные явления (т. Е. Не результат фальсификации)? Любые предложения относительно других вещей, чтобы проверить, заражен ли мой компьютер?
Наконец, кто-то может проверить контрольные суммы MD5 для следующих файлов:
/Volumes/efi/EFI/APPLE/EXTENSIONS/Firmware.scap 5783b82bc1dd7d612ca0447b737b35df /Volumes/efi/EFI/APPLE/FIRMWARE/2011MBP15.smc fbc25d6db9babda6d5d70163c9a48286 /Volumes/efi/EFI/APPLE/FIRMWARE/SmcFlasher.efi 586e3e4775cedb3a5ca821011541b500