苹果的 iOS 26 系统更新改变了 shutdown.log 文件的处理方式,导致每次设备重启都会覆盖该文件,而非追加记录。这一变化无意中清除了用于检测 Pegasus 和 Predator 等高级间谍软件的关键证据,使得安全研究人员和普通用户更难判断自己的设备是否曾被感染。
一个关键日志文件的作用
shutdown.log 文件长期以来都是检测 iOS 恶意软件的重要线索。它记录了设备关机过程中的活动,为安全研究提供了宝贵信息。
- 最初的发现: 2021 年,研究人员发现 Pegasus 间谍软件会在
shutdown.log文件中留下明显的痕迹,这成为识别感染设备的关键指标。 - 不断进化的策略: 到了 2022 年,Pegasus 的开发者变得更加狡猾。他们不再留下痕迹,而是试图完全擦除
shutdown.log文件。
然而,即便是擦除文件的行为本身,也会留下微妙的线索。一个看似干净、但明显被清除过的
shutdown.log文件,反而成了一个新的感染指标。
研究人员认为,后来的 Pegasus 版本可能加入了更强的清除机制,以确保在设备关机时彻底抹去其存在。同样,2023 年出现的 Predator 间谍软件很可能也采用了类似的技术来隐藏踪迹。
iOS 26 带来的意外问题
iOS 26 的一项更新(无论是设计决策还是无意的漏洞)导致了一个严重后果:每次设备重启时,系统会完全覆盖 shutdown.log 文件,而不是像过去那样保留历史记录。
这意味着,任何升级到 iOS 26 并重启设备的用户,都会无意中删除掉 shutdown.log 中可能存在的、关于 Pegasus 或 Predator 感染的所有旧证据。这个变化使得一个长期以来用于识别复杂威胁的取证工具失效了。
如何识别旧版 Pegasus 感染
对于仍在使用 iOS 26 之前版本的用户,可以通过一个特定的指标来识别 2022 年的 Pegasus 感染。
- 关键指标 (IOC): 检查
shutdown.log文件中是否存在/private/var/db/com.apple.xpc.roleaccountd.staging/com.apple.WebKit.Networking这一条目。 - 策略转变: 这一发现也揭示了攻击者策略的转变——他们开始使用正常的系统进程名称来伪装自己,而不是容易识别的自定义名称,这大大增加了检测难度。
更新前的建议
鉴于 iOS 26 对 shutdown.log 的处理方式,用户应采取预防措施。
- 立即备份诊断日志: 在更新到 iOS 26 之前,立刻生成并保存一份设备的系统诊断报告 (sysdiagnose)。这将保留您当前的
shutdown.log文件以及其中可能包含的任何证据。 - 考虑推迟更新: 您可以考虑暂缓升级到 iOS 26,直到苹果发布修复程序,解决重启时覆盖日志文件的问题。