Kommentarer
- Dette er din chef. Kom og se mig i morgen. Nej, bare en sjov. Afhængigt af hvor dygtig han er, kan du starte med at tjekke den tilgængelige software af den type til Mac OS X og prøve f.eks. tastetryk, der aktiverer det. Jeg har heller ikke fundet en kommerciel løsning, der tilbyder adgangskodefangst.
- Det er ikke nødvendigvis ulovligt, men afhænger af, hvad din ansættelseskontrakt siger, og jeg formoder, at det kunne være lovligt bare fordi du bruger udstyr, der ejes af virksomheden
- Et lignende spørgsmål hos Superbruger . Du kan også prøve at overvåge netværkstrafik med en applikation som Lille snitch .
Svar
Enhver slags rootkit, der er salt værd, kan næsten ikke detekteres i et kørende system, fordi de tilslutter sig kernen og / eller erstatter systembinarier for at skjule sig selv. Grundlæggende kan det, du ser, ikke stole på, fordi systemet ikke kan stole på. Det, du skal gøre, er at slukke for systemet, tilslutte et eksternt startdrev (ikke slutte det til det kørende system) og derefter starte systemet fra en ekstern disk og kig efter mistænkelige programmer.
Svar
Jeg vil gøre den hypotese, at du allerede har grundigt tjekket alle de mest almindelige RAT er slukket eller død (alle delinger, ARD, Skype, VNC …).
-
På en ekstern og fuldt pålidelig Mac, der også kører 10.6.8, skal du installere en (eller begge) af disse 2 rootkits-detektorer:
- rkhunter dette er en traditionel
tgz
& install -
chkrootkit , som du kan installere via
brew
ellermacports
, for eksempel:port install chkrootkit
- rkhunter dette er en traditionel
-
Test dem på denne pålidelige Mac.
-
Gem dem på en USB-nøgle.
-
Sæt din nøgle til dit mistænkte system, der kører i normal tilstand med alt som normalt, og kør dem.
Kommentarer
- Hvis rootkit kan registrere funktionen af en eksekverbar fil på et flash, kan det være i stand til at skjule det ' s handlinger. Bedre at starte den mistænkte mac i måltilstand og derefter scanne fra den betroede mac.
- Hvem har gennemgået kildekoden til alle chkrootkit C-programmerne, især scriptet “chkrootkit”, for at sikre, at de inficerer ikke vores computere med rootkits eller key loggers?
Svar
En bestemt måde at se om noget mistænkelig kører er at åbne appen Aktivitetsovervågning, som du kan åbne med Spotlight eller gå til Programmer Hjælpeprogrammer Aktivitetsovervågning . En app kan skjule sig fra almindeligt syn, men hvis den kører på maskinen, vises den bestemt i Aktivitetsovervågning. Nogle ting der vil have sjove navne, men de skal køre, så hvis du ikke er sikker på hvad det er, måske Google det, før du klikker på Afslut proces , eller du kan slå noget vigtigt fra.
Kommentarer
- Nogle software kan lappe rutinerne i procesbordet og skjule sig. Enkle programmer og programmer beregnet til at være mere pålidelige (da en ændring af det lave niveau i systemet kan forårsage problemer) vandt ' t skjul de processer eller filer, det efterlader. Men for at kategorisk sige, at alle apps helt sikkert vises, er det ikke ' en god erklæring, da det ' er trivielt at patchere Activity Monitor eller selve procestabellen med noget let ingeniørarbejde.
- Dette er en risikabel tillid på et kendt program (
Activity Monitor
), der ikke er så svært at lyve.
Svar
Hvis du er blevet hacket, skal keyloggeren rapportere. Det kan gøre det enten med det samme , eller gem det lokalt og med jævne mellemrum, spyd det til en eller anden netværksdestination.
Din bedste chance er at kaste en gammel bærbar computer, ideelt med 2 Ethernet-porte, eller hvis det ikke er med et PCMCIA-netværkskort. Linux-system på det. (Jeg vil anbefale OpenBSD, derefter FreeBSD bare på grund af lettere styring)
Indstil den bærbare computer til at fungere som en bro – alle pakker sendes igennem. Kør tcpdump på trafikken tilbage og Skriv alt til et flashdrev. Skift drev med jævne mellemrum, tage det fyldte drev hjem og brug æterisk eller fnys eller lignende til at gå gennem dumpfilen og se om du finder noget underligt.
Du leder efter trafik til en usædvanlig ip / port-kombination. Dette er hårdt. Kender ikke nogen gode værktøjer til at hjælpe med at udtømme agnet.
Der er en mulighed for, at spyware skriver til den lokale disk, der dækker dens spor. Du kan kontrollere dette ved at starte fra en anden maskine, start din mac i måltilstand (den fungerer som en firewire-enhed) Scan lydstyrken og få fat i alle de detaljer, du kan.
Sammenlign to kørsler af dette på separate dage ved hjælp af diff. Dette eliminerer den fil, der er den samme på begge kørsler. Dette finder ikke alt. For eksempel. En Blackhat-app kan oprette en diskvolumen som en fil. Dette ændrer ikke meget, hvis Black-appen kan sørge for, at datoerne ikke ændres.
Software kan hjælpe: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Nyttigt til at se efter ændrede filer / tilladelser. Målrettet mod * ix, ikke sikker på, hvordan det håndterer udvidede attributter.
Håber det hjælper.
Svar
For at opdage og slette apps kan du bruge enhver afinstallationssoftware til Macintosh (som CleanMyMac eller MacKeeper).
Kommentarer
- Hvordan ville denne person finde spyware i første omgang (inden han bruger afinstallationsappen)?
- mackeeper er den værste software nogensinde