Kommentit
- Tämä on pomosi. Tule tapaamaan huomenna. Nah, vain hauskaa. Riippuen siitä, kuinka taitava hän on, voit aloittaa tarkistamalla kyseisen tyyppisen käytettävissä olevan ohjelmiston Mac OS X: lle ja kokeilemalla esim. näppäimet, jotka aktivoivat sen. En myöskään ole löytänyt kaupallista ratkaisua, joka tarjoaisi salasanan sieppauksen.
- Se ei ole välttämättä laitonta, mutta riippuu siitä, mitä työsopimuksesi sanoo ja epäilen, että se voi olla laillista vain siksi, että käytät yrityksen omistamia laitteita / li>
- Samankaltainen kysymys pääkäyttäjältä . Voit myös yrittää seurata verkkoliikennettä sovelluksella, kuten Little Snitch .
Vastaa
Kaikenlainen suolan arvoinen rootkit on melkein havaitsematon käynnissä olevassa järjestelmässä, koska ne kytkeytyvät ytimeen ja / tai korvaavat järjestelmän binäärit peittääkseen itsensä. Pohjimmiltaan näkemiisi ei voida luottaa, koska järjestelmään ei voida luottaa. Sinun tarvitsee sammuttaa järjestelmä, kytkeä ulkoinen käynnistysasema (älä liitä sitä käynnissä olevaan järjestelmään) ja käynnistää sitten järjestelmä ulkoisen levyn ja etsi epäilyttäviä ohjelmia.
Vastaa
Minä teen hypoteesin, jonka olet jo tarkistanut perusteellisesti kaikki yleisimmät RAT on pois päältä tai kuollut (kaikki jaot, ARD, Skype, VNC …).
-
Asenna yksi (tai molemmat) ulkoisesta ja täysin luotettavasta Macista, jossa on myös 10.6.8 nämä 2 rootkit-ilmaisinta:
- rkhunter tämä on perinteinen
tgz
rakentaa & asenna -
chkrootkit , jonka voit asentaa kautta
brew
taimacports
, esimerkiksi:port install chkrootkit
- rkhunter tämä on perinteinen
-
Testaa heitä tällä luotettavalla Macilla.
-
Tallenna ne USB-avaimeen.
-
Liitä avain epäiltyyn normaalitilassa toimivaan järjestelmään kaikella tavalliseen tapaan ja suorita niitä.
Kommentit
- Jos rootkit pystyy havaitsemaan suoritettavan tiedoston toiminnan flashilla, se voi olla pystyy piilottamaan sen ' toiminnot. Parempi on käynnistää epäilty mac kohdetilassa ja skannata sitten luotetusta macista.
- Kuka on tarkistanut kaikkien chkrootkit C -ohjelmien lähdekoodin, erityisesti skriptin ”chkrootkit”, varmistaakseen, että ne eivätkö tartuta tietokoneitamme juuripaketeilla tai avainkirjaajilla?
Vastaa
Yksi selvä tapa nähdä onko mitään epäilyttävä on käynnissä on avata Activity Monitor -sovellus, jonka voit avata Spotlightilla tai siirtyä kohtaan Applications Utilities Activity Monitor . Sovellus voi piiloutua näkymältä, mutta jos se toimii koneella, se näkyy varmasti Activity Monitorissa. Joillakin siellä olevilla asioilla on hauskoja nimiä, mutta niiden oletetaan olevan käynnissä; joten jos et ole varma mikä se on, ehkä Googlen ennen kuin napsautat Lopeta prosessi , tai voit sulkea jotain tärkeätä.
Kommentit
- Jotkut ohjelmistot voivat korjata prosessitaulukon rutiinit ja piiloutua. Yksinkertaiset ja luotettavammiksi tarkoitetut ohjelmat (koska järjestelmän alhaisen tason muokkaaminen voi aiheuttaa ongelmia) ' ei piilota sen jälkeisiä prosesseja tai tiedostoja. Kuitenkin, jos sanotaan kategorisesti, että kaikki sovellukset näkyvät ehdottomasti, se ei ole ' hyvä lausunto, koska se on ' triviaalia korjata Activity Monitoria tai itse prosessitaulukkoa jonkin verran kevyttä insinöörityötä.
- Tämä on riskialtis luottamus tunnettuun sovellukseen (
Activity Monitor
), jota ei ole liian vaikea valehdella.
Vastaa
Jos sinut on hakkeroitu, näppäinlukijan on raportoitava. Se voi tehdä tämän joko välittömästi tai tallenna paikallisesti ja huuhtele se ajoittain johonkin verkkokohteeseen.
Paras veto on vanhan kannettavan tietokoneen kaappaaminen, mieluiten kahdella Ethernet-portilla, tai jos se ei onnistu PCMCIA-verkkokortilla. Asenna BSD tai Linux-järjestelmä. (Suosittelen OpenBSD: tä ja sitten FreeBSD: tä vain helpomman hallinnan vuoksi)
Aseta kannettava tietokone toimimaan siltana – kaikki paketit kulkevat läpi. Suorita tcpdump liikenteen takaisin ja Kirjoita kaikki muistitikulle. Vaihda asema ajoittain, vie täytetty asema kotiin ja käytä eteeristä tai snorttia tai vastaavaa käydäksesi dump-tiedosto läpi ja katso jos löydät jotain outoa.
Etsit liikennettä epätavalliseen ip / port-yhdistelmään. Tämä on kovaa. Älä tiedä hyviä työkaluja, jotka auttavat poistamaan akanat.
On mahdollista, että vakoiluohjelma kirjoittaa paikalliselle levylle, joka peittää sen kappaleet. Voit tarkistaa tämän käynnistämällä toisen koneen, käynnistämällä Mac-tietokoneesi kohdetilassa (se toimii kuin Firewire-laite) Skannaa äänenvoimakkuus tarttumalla kaikkiin mahdollisiin yksityiskohtiin.
Vertaa kahta tämän suoritusta erillisinä päivinä diff: n avulla. Tämä poistaa samat tiedostot molemmilla ajoilla. Tämä ei löydä kaikkea. Esimerkiksi. Blackhat-sovellus voi luoda levyn levyn tiedostona. Tämä ei muutu paljon, jos Musta-sovellus voi järjestää päivämäärät eivät muutu.
Ohjelmisto voi auttaa: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Hyödyllinen muutettujen tiedostojen / käyttöoikeuksien tarkkailussa. Kohde on * ix, et ole varma, kuinka se käsittelee laajennettuja määritteitä.
Toivottavasti tämä auttaa.
Vastaa
Voit tunnistaa ja poistaa sovelluksia käyttämällä mitä tahansa Macintoshin asennuksen poisto-ohjelmistoa (kuten CleanMyMac tai MacKeeper).
Kommentit
- Miten tämä henkilö löytää vakoiluohjelman (ennen asennuksen poistamista)?
- mackeeper on kaikkien aikojen huonoin ohjelmisto