Le système XProtect d’Apple (également appelé File Quarantine) sous OS X est un analyseur anti-malware rudimentaire qui vérifie rapidement les fichiers téléchargés pour s’assurer qu’ils ne contiennent pas de malware, et bloque toutes les versions de plug-ins Web telles que Java. Flash qui ont des vulnérabilités connues.
XProtect s’exécute en arrière-plan, sans interaction avec l’utilisateur, ce qui est pratique, mais cela signifie que lorsqu’elle est mise à jour, les utilisateurs risquent de ne pas pouvoir accéder à certains contenus Web. Même si la mise à jour rapide des plug-ins devrait vous éviter ce désagrément, il peut être utile de savoir si le blocage s'est produit à cause de XProtect ou pour toute autre raison pouvant nécessiter une enquête.
Malheureusement, Apple ne fournit aucune notification lorsque XProtect est mis à jour. Cependant, vous pouvez implémenter votre propre routine qui vérifiera et vous informera des mises à jour.
Au plus profond du dossier système, XProtect stocke deux fichiers, "XProtect.plist" et "XProtect.meta.plist", contenant des informations sur les versions de plug-in bloquées, la date de mise à jour de XProtect, ainsi que les définitions des nouvelles menaces de programmes malveillants. À l'aide de ces fichiers, vous pouvez configurer un petit script d'arrière-plan qui vérifie régulièrement toute modification, puis vous envoie une notification, le cas échéant.
Comme pour les autres approches de surveillance du système, cette configuration implique la création d'un script simple émettant une notification, puis la configuration d'un agent de lancement pour exécuter périodiquement ce script.
Installer un notificateur
Pour recevoir les notifications des scripts shell, vous devez d'abord télécharger l'outil terminal-notifier et le placer dans le dossier / Applications / Utilitaires de votre système. Cet outil ne peut pas être exécuté directement, mais contient toutes les fonctionnalités nécessaires pour utiliser la fonctionnalité Notification Center d’Apple dans Mountain Lion.
Créer le script de notification
L'étape suivante consiste à créer le script qui enverra la notification. Pour ce faire, ouvrez d'abord l'utilitaire Terminal OS X et entrez la commande suivante pour créer le fichier de script intitulé "xprotectnotify.sh" dans le dossier global de la bibliothèque (indiquez votre mot de passe). lorsque vous y êtes invité):
sudo pico /Library/xprotectnotify.sh
Ensuite, sélectionnez le script suivant et copiez-le dans l'éditeur de texte du terminal:
#! / bin / bash if [`md5 -q /System/Library/CoreServices/CoreTypes.bundle/Contents/Reso \ urces / XProtect.meta.plist` ==` md5 -q ~ / .XProtect.meta.plist` ]; then echo "Pas de changement" sinon UPDATED = `par défaut, lisez / System / Library / CoreServices/CoreTypes.b \ undle / Contents / Ressources / XProtect.meta.plist LastModification` /Applications/Utilities/terminal-notifier.app/Contents/MacOS / ter \ minal-notifier -title "message XProtect Updated" "$ UPDATED" cp /System/Library/CoreServices/CoreTypes.bundle/Contents/Resour \ ces / XProtect.meta.plist ~ / .XProtect.meta.plist fi
Enfin, appuyez sur Ctrl-O pour enregistrer, puis sur Ctrl-X pour quitter, puis exécutez la commande suivante pour rendre le script exécutable:
sudo chmod + x /Library/xprotectnotify.sh
À ce stade, le script peut être exécuté directement dans le terminal en entrant son chemin complet (/Library/xprotectnotify.sh), ce qui devrait le faire essayer de comparer le fichier "méta" XProtect du système avec une copie cachée dans votre répertoire personnel. . Si la copie n'existe pas ou est différente de la copie officielle, il vous avertira qu'un changement est survenu, puis mettra à jour la copie pour refléter celle utilisée par le système.
Créer un agent de lancement
La dernière étape consiste à créer l'agent de lancement chargé de charger et d'exécuter le script de notification régulièrement. Pour ce faire, dans Terminal, exécutez la commande suivante pour créer et modifier le fichier d'agent:
pico ~ / Library / LaunchAgents / local.XProtectNotify.plist
Copiez maintenant les lignes suivantes dans l'éditeur de texte du terminal qui devrait être ouvert, puis appuyez à nouveau sur Ctrl-O, puis sur Ctrl-X pour enregistrer et quitter:
Label local.XProtectNotify ProgramArguments /Library/xprotectnotify.sh QueueDirectories StartInterval 3600
Dans cet agent de lancement, le numéro "3600" indique qu'il exécutera le script toutes les heures, mais vous pouvez le modifier en autant de secondes que vous le souhaitez. Vous pouvez donc configurer le script pour qu'il s'exécute toutes les quelques heures, une ou deux fois par jour., ou à tout autre intervalle.
Après avoir enregistré, déconnectez-vous et reconnectez-vous à votre compte d'utilisateur, et vous avez terminé. Ce script est une routine très légère qui aurait un impact négligeable sur le système même s’il était exécuté toutes les quelques secondes. Toutefois, si vous souhaitez annuler ces modifications, exécutez les trois commandes suivantes séparément dans le terminal:
sudo rm /Library/xprotectnotify.sh
rm ~ / Library / LaunchAgents / local.XProtectNotify.plist
rm ~ / .XProtect.meta.plist
Ce script vous informera simplement de la mise à jour de XProtect; Cependant, vous pourrez peut-être trouver des outils tiers utilisables qui peuvent afficher le statut de XProtect et des informations sur ses dernières définitions, et les utiliser à la place ou en plus de ce script.
Laissez Vos Commentaires