Cette question a déjà des réponses ici :

Commentaires

  • Cest votre patron. Venez me voir demain. Non, je plaisante. En fonction de ses compétences, vous pouvez commencer par vérifier les logiciels disponibles de ce type pour Mac OS X et essayer par exemple. les frappes qui lactivent. De plus, je nai pas trouvé de solution commerciale offrant la capture de mots de passe.
  • Ce nest pas forcément illégal mais cela dépend de ce que dit votre contrat de travail et je pense que cela pourrait être légal simplement parce que vous utilisez un équipement appartenant à lentreprise
  • Une question similaire sur Super User . Vous pouvez également essayer de surveiller le trafic réseau avec une application telle que Little Snitch .

Réponse

Tout type de rootkit digne de ce nom sera presque indétectable sur un système en cours dexécution car ils se raccordent au noyau et / ou remplacent les binaires système pour se cacher. Fondamentalement, ce que vous voyez nest pas fiable car le système nest pas fiable. Ce que vous devez faire est déteindre le système, de connecter un lecteur de démarrage externe (ne le connectez pas au système en cours dexécution), puis de démarrer le système à partir dun disque externe et recherchez les programmes suspects.

Réponse

Je vais faire lhypothèse que vous avez déjà minutieusement vérifiée toutes les plus courantes Les RAT sont désactivés ou morts (tous les partages, ARD, Skype, VNC…).

  1. Sur un Mac externe et entièrement fiable exécutant également 10.6.8, installez lun (ou les deux) des ces 2 détecteurs de rootkits:

    1. rkhunter cest un tgz traditionnel à construire & installer

    2. chkrootkit que vous pouvez installer via brew ou macports, par exemple:

      port install chkrootkit

  2. Testez-les sur ce Mac fiable.

  3. Enregistrez-les sur une clé USB.

  4. Branchez votre clé sur votre système suspect fonctionnant en mode normal avec tout comme dhabitude et exécutez

Commentaires

  • Si le rootkit peut détecter le fonctionnement dun exécutable sur un flash, il peut être capable de cacher les actions de '. Mieux, pour démarrer le mac suspect en mode cible, puis scanner à partir du mac de confiance.
  • Qui a examiné le code source de tous les programmes chkrootkit C, en particulier le script «chkrootkit», pour s’assurer qu’ils ninfectez pas nos ordinateurs avec des rootkits ou des enregistreurs de frappe?

Answer

Une façon définitive de voir si quelque chose suspicieux est en cours dexécution est douvrir lapplication Activity Monitor, que vous pouvez ouvrir avec Spotlight ou aller dans Applications Utilitaires Activity Monitor . Une application peut se cacher de la vue de tous, mais si elle est exécutée sur la machine, elle apparaîtra certainement dans le Moniteur d’activité. Certains éléments auront des noms amusants, mais ils sont censés être en cours d’exécution; donc si vous n’êtes pas sûr de quoi il sagit, peut-être recherchez-le dans Google avant de cliquer sur Quitter le processus , ou vous pouvez désactiver quelque chose dimportant.

Commentaires

  • Certains logiciels peuvent patcher les routines de la table de processus et se cacher. Les programmes simples et ceux destinés à être plus fiables (car une modification de ce bas niveau du système peut causer des problèmes) nont pas ' cacher les processus ou les fichiers quil laisse derrière lui. Cependant, dire catégoriquement que toutes les applications saffichent définitivement nest pas ' une bonne déclaration car ' est trivial de patcher Activity Monitor ou la table de processus elle-même avec quelques travaux dingénierie légers.
  • Il sagit dune confiance risquée sur une application connue (Activity Monitor) pas trop difficile à faire mentir.

Réponse

Si vous avez été piraté, le keylogger doit signaler. Il peut le faire soit immédiatement , ou le stocker localement et le rejeter périodiquement vers une destination réseau.

Votre meilleur pari est de récupérer un ancien ordinateur portable, idéalement avec 2 ports Ethernet, ou, à défaut, avec une carte réseau PCMCIA. Installez un BSD ou Système Linux dessus (je recommanderais OpenBSD, puis FreeBSD simplement pour une gestion plus facile)

Configurez lordinateur portable pour quil agisse comme un pont – tous les paquets sont transmis. Exécutez tcpdump sur le trafic en retour et Tout écrire sur un lecteur flash. Changez régulièrement le lecteur, ramenez le lecteur rempli à la maison et utilisez éthéré ou snort ou similaire pour parcourir le fichier de vidage et voir si vous trouvez quelque chose détrange.

Vous recherchez du trafic vers une combinaison ip / port inhabituelle. Cest dur. Je ne connais aucun bon outil pour vous aider à éliminer les paillettes.

Il est possible que le logiciel espion écrive sur le disque local en couvrant ses pistes. Vous pouvez le vérifier en démarrant à partir d’une autre machine, démarrez votre mac en mode cible (il agit comme un périphérique Firewire) Analysez le volume, en saisissant tous les détails que vous pouvez.

Comparez deux exécutions sur des jours différents en utilisant diff. Cela élimine les fichiers qui sont identiques sur les deux pistes. Cela ne trouvera pas tout. Par exemple. Une application Blackhat peut créer un volume de disque en tant que fichier. Cela ne changera pas beaucoup si lapplication Black peut faire en sorte que les dates ne changent pas.

Le logiciel peut vous aider: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Utile pour surveiller les changements de fichiers / autorisations. Vise * ix, je ne sais pas comment il gère les attributs étendus.

Jespère que cela vous aidera.

Réponse

Pour détecter et supprimer des applications, vous pouvez utiliser nimporte quel logiciel de désinstallation pour Macintosh (comme CleanMyMac ou MacKeeper).

Commentaires

  • Comment cette personne trouverait-elle le logiciel espion en premier lieu (avant dutiliser lapplication de désinstallation)?
  • mackeeper est le pire logiciel qui soit

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *