Tato otázka již má odpovědi zde :

Komentáře

  • Toto je váš šéf. Přijďte se na mě podívat zítra. Ne, jen si dělám srandu. Podle toho, jak je zručný, byste mohli začít kontrolou dostupného softwaru tohoto typu pro Mac OS X a vyzkoušením např. klávesové zkratky, které ji aktivují. Také jsem nenašel komerční řešení nabízející zachycování hesel.
  • Není to nutně nezákonné, ale záleží na tom, co říká vaše pracovní smlouva, a domnívám se, že by mohlo být legální, protože používáte zařízení vlastněná společností
  • Podobná otázka u superuživatele . Můžete také zkusit sledovat síťový provoz pomocí aplikace jako Little Snitch .

Odpovědět

Jakýkoli druh rootkitu, který stojí za jeho sůl, bude na běžícím systému téměř nezjistitelný, protože se připojí k jádru nebo nahradí systémové binární soubory, aby se skryl. V zásadě nelze důvěřovat tomu, co vidíte, protože systému nelze důvěřovat. Musíte vypnout systém, připojit externí spouštěcí jednotku (nepřipojujte ji k běžícímu systému) a poté spustit systém z externí disk a vyhledejte podezřelé programy.

Odpovědět

Vytvořím hypotézu, kterou jste již důkladně zkontrolovali, nejběžnější RAT jsou vypnuté nebo mrtvé (všechna sdílení, ARD, Skype, VNC…).

  1. Na externí a plně důvěryhodný Mac se systémem 10.6.8 nainstalujte jeden (nebo oba) z tyto 2 detektory rootkitů:

    1. rkhunter toto je tradiční tgz stavět & nainstalovat
    2. chkrootkit , které můžete nainstalovat prostřednictvím brew nebo macports, například:

      port install chkrootkit

  2. Vyzkoušejte je na tomto důvěryhodném počítači Mac.

  3. Uložte je na USB klíč.

  4. Připojte svůj klíč k vašemu podezřelému systému běžícímu v normálním režimu se vším obvyklým a spusťte jej je.

Komentáře

  • Pokud rootkit dokáže bleskově detekovat činnost spustitelného souboru, může to být schopen skrýt ' s akcí. Lepší je spustit podezřelý mac v cílovém režimu a poté skenovat z důvěryhodného macu.
  • Kdo zkontroloval zdrojový kód všech programů chkrootkit C, zejména skriptu „chkrootkit“, aby zajistil, že neinfikujete naše počítače rootkity nebo protokolovači klíčů?

odpověď

Jeden jednoznačný způsob, jak zjistit, jestli něco podezřelé je spuštění aplikace Sledování aktivity, kterou můžete otevřít pomocí Spotlightu nebo přejít na Aplikace Nástroje Sledování aktivity . Aplikace se může skrýt před očima, ale pokud běží na stroji, určitě se zobrazí v Monitoru aktivity. Některé věci tam budou mít zábavná jména, ale mají běžet; takže pokud nejste ujistěte se, co to je, možná Google, než kliknete na Ukončit proces , nebo můžete vypnout něco důležitého.

Komentáře

  • Některý software může opravit rutiny tabulky procesů a skrýt se. Jednoduché programy a ty, které mají být spolehlivější (protože změna této nízké úrovně systému může způsobit problémy), nebudou skrývat procesy nebo soubory, které po sobě zanechají, '. Avšak kategoricky říci, že se všechny aplikace rozhodně zobrazují, není ' dobré prohlášení, protože ' je triviální opravovat Monitor aktivity nebo samotnou tabulku procesů s nějakou lehkou inženýrskou prací.
  • Toto je riskantní důvěra ve známou aplikaci (Activity Monitor), která není příliš těžká na to, aby lhala.

Odpověď

Pokud jste byli hacknuti, keylogger musí nahlásit. Může to udělat buď okamžitě , nebo ukládejte lokálně a pravidelně jej chrlejte na nějaký síťový cíl.

Nejlepším řešením je vydrat starý notebook, nejlépe se 2 ethernetovými porty, nebo, pokud to není možné, pomocí síťové karty PCMCIA. Nainstalujte BSD nebo Systém Linux na něm. (Doporučil bych OpenBSD, pak FreeBSD jen kvůli snazší správě.)

Nastavte notebook tak, aby fungoval jako most – všechny pakety jsou předány. Spusťte tcpdump v provozu zpět a dále. Napište vše na jednotku flash. Jednotku pravidelně měňte, vezměte naplněnou jednotku domů a pomocí éterického nebo odfrknutí nebo podobně projděte soubor s výpisem a zjistěte, zda vám připadá něco zvláštního.

Hledáte provoz na neobvyklou kombinaci ip / port. To je těžké. Nevíte žádné dobré nástroje, které by vám pomohly odhalit plevu.

Existuje možnost, že spyware zapíše na místní disk a zakryje jeho stopy. Můžete to zkontrolovat zavedením z jiného počítače, zavést váš mac v cílovém režimu (chová se jako zařízení firewire) Prohledejte svazek a získejte všechny podrobnosti, které můžete.

Porovnejte jeho dva běhy v různých dnech pomocí diff. Tím se eliminuje stejný soubor na obou bězích. To nenajde všechno. Např. Aplikace Blackhat může vytvořit svazek disku jako soubor. To se moc nezmění, pokud aplikace Black může zajistit, aby se data nezměnila.

Software může pomoci: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Užitečné pro sledování změněných souborů / oprávnění. Zaměřeno na * ix, nejste si jisti, jak zachází s rozšířenými atributy.

Doufám, že to pomůže.

Odpověď

Ke zjišťování a mazání aplikací můžete použít jakýkoli odinstalační software pro Macintosh (například CleanMyMac nebo MacKeeper).

Komentáře

  • Jak by tato osoba na prvním místě našla spyware (před použitím aplikace pro odinstalování)?
  • mackeeper je nejhorší software vůbec

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *