Was könnte die Quelle / Logik hinter den Hash-Werten sein, die vom Unified Logging-System unter macOS verwendet werden?

541
JakeGould

Diese Frage wurde von einem anderen Frage- und Antwort-Thread in Bezug auf falsch positive Ergebnisse auf einem Mac für einen anscheinend nur PC / Virus / Malware angeregt .

Meine Antwort dort besagt, dass der Hash BC8EE8D09234D99DD8B85A99E46C64- der Dateiname für eine Datei im Systemverzeichnis "Unified Logging" /private/var/db/uuidtext/7B/- nur ein falsches Positiv ist. Ich glaube fest daran, dass diese falsch positive Diagnose richtig ist… Trotzdem erscheint es mir merkwürdig, dass ein Hash auf einem Mac einem Hash auf einem PC entsprechen würde. Was sind die Chancen, richtig?

Während ich versuchte herauszufinden, warum dies möglich ist, habe ich das Terminal auf dem Mac Pro bei der Arbeit mit macOS High Sierra 10.13.1 geöffnet und in das eigene /private/var/db/uuidtext/7BVerzeichnis dieses Systems geschaut . ls -laAusgabe unten:

total 128 drwxr-xr-x 9 root wheel 306 Nov 8 09:33 . drwxr-xr-x 259 root wheel 8806 Sep 27 11:50 .. -rw-r--r-- 1 root wheel 5732 Nov 1 09:27 122DC675FC3FC6A8184614F1ECBB99 -rw-r--r-- 1 root wheel 35 Nov 27 09:31 3AAA6D1D0C3D65A50B1B111ABEB6F3 -rw-r--r-- 1 root wheel 103 Nov 27 09:18 7F80A4BACE396A9BC2DA7E3C619493 -rw-r--r-- 1 root wheel 6605 Nov 27 09:21 96F54B98023EB49676A83C6A0E7A57 -rw-r--r-- 1 root wheel 32766 Nov 27 10:21 AE6788A12B367EA7442F303846B58D -rw-r--r-- 1 root wheel 1310 Nov 27 14:26 E6B6AA12DD365CA5C5C8C8A2293D0B -rw-r--r-- 1 root wheel 344 Nov 1 10:26 ECFE2546EB32328AF616F3154B2ABA

Und ich habe in das gleiche Verzeichnis auf dem Mac Mini geschaut, den ich zu Hause verwende, der auch macOS High Sierra 10.13.1 ausführt, und folgendes gefunden:

total 48 drwxr-xr-x 7 root wheel 238 Nov 27 18:12 . drwxr-xr-x 259 root wheel 8806 Sep 26 20:12 .. -rw-r--r-- 1 root wheel 5732 Oct 29 13:59 122DC675FC3FC6A8184614F1ECBB99 -rw-r--r-- 1 root wheel 35 Nov 27 18:09 3AAA6D1D0C3D65A50B1B111ABEB6F3 -rw-r--r-- 1 root wheel 103 Nov 27 18:08 7F80A4BACE396A9BC2DA7E3C619493 -rw-r--r-- 1 root wheel 1310 Nov 27 18:20 E6B6AA12DD365CA5C5C8C8A2293D0B -rw-r--r-- 1 root wheel 344 Nov 1 20:01 ECFE2546EB32328AF616F3154B2ABA

Okay, es scheint ein langweiliger Haufen Haschisch zu sein, richtig? Schauen Sie genauer hin: Beide Systeme zeigen Hashes für E6B6AA12DD365CA5C5C8C8A2293D0Bund 7F80A4BACE396A9BC2DA7E3C619493. Und ich habe eine schnelle Google - Suche nach dem Hashes und während der meisten der Artikel überhaupt keine Ergebnisse haben, fand ich, dass einer der Hashes ich oben erwähnt E6B6AA12DD365CA5C5C8C8A2293D0B- zeige auf dieser Seite in einer Datei Verzeichnisliste nach oben :

/private/var/db/diagnostics/Special/0000000000000024.tracev3 /private/var/db/diagnostics/timesync/0000000000000002.timesync /private/var/db/diagnostics/Persist/0000000000000011.tracev3 /private/var/db/uuidtext/58/CC0E0317B43D7A84C47DA1275642C0 /private/var/db/uuidtext/BB/88FC65AC78308A82030DAD82CCAC19 /private/var/db/uuidtext/FE/F349208E223E709FE2552800B9A460 /private/var/db/uuidtext/7B/E6B6AA12DD365CA5C5C8C8A2293D0B /private/var/db/uuidtext/9A/CA0127E687388594751D5E4DD83168 /private/var/db/uuidtext/9A/79C2510A7335848F421652E5BAB381 /private/var/db/uuidtext/6C/791AD6426B34A495CC9B8B049A5489 /private/var/db/uuidtext/A7/A58DC0EEB3352CAAF1851A24A8ACF0 /private/var/db/uuidtext/B7/3EB177938B3A989405789F729A0C3B /private/var/db/uuidtext/F0/24C78020883E28A8DA1D7DB12E39CB /private/var/db/uuidtext/F7/1B60DC303734C3ABB4B011CDF19866 /private/var/db/uuidtext/F8/8F8299441C3E1AAEBEAFBB858AE1EA /private/var/db/uuidtext/40/75E44E5F45386DB289C1E320CB1709

Okay, das ist zu komisch. Wenn dies Systemhashes sind, die 100% zufällig sein sollten (meines Wissens nach), warum haben dann mein Mac, mein Mac zu Hause und der Mac eines anderen Computers - wo immer er auch ist - den gleichen Hash-Dateinamen in einem ähnlichen Verzeichnis?

Was könnte die Quelle / Logik hinter den Hash-Werten sein, die vom Unified Logging-System verwendet werden? Warum scheinen diese gelegentlichen Beobachtungen nicht zufällig zu sein?

4

1 Antwort auf die Frage

2
harrymc

Ich denke, es gibt hier ein Missverständnis: Hash-Funktionen sind niemals zufällig:

Eine Hash-Funktion ist eine beliebige Funktion, mit der Daten beliebiger Größe Daten fester Größe zugeordnet werden können. Die von einer Hash-Funktion zurückgegebenen Werte werden Hash-Werte, Hash-Codes, Digests oder einfach Hashes genannt.

Eine Hash-Funktion nimmt Daten auf und spuckt einen String aus, der der Hash-Wert ist. Eine gute Hash-Funktion wird anhand ihrer Anzahl von Konflikten gemessen, dh wie viele verschiedene Datenströme denselben Hash-Wert generieren können. Moderne Hash-Algorithmen sind dafür sehr gut geeignet und werden aus vielen Gründen zum Identifizieren von Fingerabdruckdateien verwendet, beispielsweise zum Auffinden von Viren.

Die beiden Dateien, von denen Sie herausgefunden haben, dass sie denselben Hashwert haben, haben auch dieselbe genaue Größe. Ich denke also, dass sie auch gemeinsame Inhalte haben.

Sie haben wahrscheinlich bewiesen, dass Ihr Mac Pro bei der Arbeit die gleiche Hash-Funktion verwendet wie Ihr Mac Mini zu Hause.

Im Grunde sagen Sie also, wenn dieses „Unified Logging“ -Format eine bestimmte Menge von - sagen wir mal - „Thing A“, „Thing B“ und „Thing C“ hat, und diese sind buchstäblich die Bezeichner für diese Systeme und dann ein Hash der wörtlichen Namen "Thing A", "Thing B" und "Thing C" können den gleichen Hash zwischen Systemen gleichsetzen? JakeGould vor 6 Jahren 0
Ja, solange dieselbe Hash-Funktion verwendet wird (um nicht zu sagen, dass verschiedene Funktionen nicht denselben Hash-Wert haben können, obwohl dies hoffentlich recht selten ist). harrymc vor 6 Jahren 1

Verwandte Probleme