Erre a kérdésre már itt vannak válaszok :

megjegyzések

  • Ez a főnöke. Gyere meg holnap. Nem, csak vicceltem. Attól függően, hogy mennyire jártas, kezdje azzal, hogy megnézi az elérhető típusú szoftvereket a Mac OS X számára, és megpróbálja pl. gombnyomások, amelyek aktiválják. Emellett nem találtam olyan kereskedelmi megoldást, amely jelszó-rögzítést kínálna.
  • Ez nem feltétlenül törvényellenes, hanem attól függ, hogy mit ír a munkaszerződése, és gyanítom, hogy törvényes lehet, csak mert a vállalat tulajdonában lévő berendezéseket használ
  • Hasonló kérdés a Szuperfelhasználónál . Megpróbálhatja a hálózati forgalom megfigyelését olyan alkalmazással is, mint a Little Snitch .

Válasz

Bármilyen, a sóját megillető rootkit szinte észrevehetetlen lesz egy futó rendszeren, mert bekapcsolódnak a kernelbe és / vagy lecserélik a rendszer bináris fájljait, hogy elrejtse magát. Alapvetően abban nem lehet megbízni, amit lát, mert a rendszerben nem lehet megbízni. Amit meg kell tennie, akkor kapcsolja ki a rendszert, csatlakoztasson egy külső indító meghajtót (ne csatlakoztassa a futó rendszerhez), majd indítsa el a rendszert egy külső lemezt, és keresse meg a gyanús programokat.

Válasz

Megállítom azt a hipotézist, amelyet már alaposan megvizsgált, a leggyakoribb A RAT kikapcsolt vagy halott (az összes megosztás, ARD, Skype, VNC…).

  1. A 10.6.8-at is futtató külső és teljesen megbízható Mac-en telepítsen egyet (vagy mindkettőt) ez a 2 rootkit detektor:

    1. rkhunter ez hagyományosan építendő tgz & telepítés
    2. chkrootkit , amelyet a vagy macports, például:

      port install chkrootkit

  2. Tesztelje őket ezen a megbízható Mac-en.

  3. Mentse őket egy USB-kulcsra.

  4. Csatlakoztassa kulcsát a feltételezett, normál módban futó rendszerhez, a szokásos módon, és futtassa őket.

Megjegyzések

  • Ha a rootkit képes észlelni egy futtatható fájl működését egy flash-en, akkor lehetséges, hogy képes elrejteni ' műveleteit. Jobb, ha a gyanús macot cél módban indítja, majd szkennel a megbízható mac-ról.
  • Ki ellenőrizte az összes chkrootkit C program forráskódját, különös tekintettel a „chkrootkit” szkriptre, annak biztosítása érdekében, hogy nem fertőzik meg a számítógépeinket rootkitekkel vagy kulcsnaplózókkal?

Válasz

Egy biztos módja annak, hogy megnézzük, van-e valami A gyanús futás az Activity Monitor alkalmazás megnyitása, amelyet a Spotlight segítségével nyithat meg, vagy az Applications Utilities Activity Monitor oldalra léphet. Egy alkalmazás elrejtheti a szeme elől, de ha fut a gépen, akkor feltétlenül megjelenik az Activity Monitor alkalmazásban. Néhány dolognak vicces neve lesz, de állítólag futnak, tehát ha nem biztos, hogy mi ez, lehet, hogy Google-ra állítod, mielőtt a Kilépés a folyamatból gombra kattintasz, vagy kikapcsolhatsz valami fontosat.

Megjegyzések

  • Egyes szoftverek javíthatják a folyamattábla rutinjait, és elrejthetik magukat. Az egyszerű és megbízhatóbbnak szánt programok (mivel a rendszer ezen alacsony szintjének módosítása problémákat okozhat) nem fogja elrejteni az általa hátrahagyott folyamatokat vagy fájlokat '. Ha kategorikusan azt akarjuk mondani, hogy az összes alkalmazás feltétlenül megjelenik, az nem jó megállapítás, mivel ' triviális az Activity Monitor vagy maga a folyamattábla javítása némi könnyű mérnöki munkával.
  • Ez egy kockázatos bizalom egy ismert alkalmazásban (Activity Monitor), nem túl nehéz hazudni.

Válasz

Ha feltörték, a kulcsbemutatónak jelentést kell tennie. Ezt azonnal megteheti , vagy tárolja helyben, és rendszeresen dobja át valamilyen hálózati rendeltetési helyre.

A legjobb megoldás az, ha egy régi laptopot kap, ideális esetben 2 Ethernet porttal, vagy ha ez nem áll fenn, akkor PCMCIA hálózati kártyával. Telepítsen egy BSD-t vagy Linux rendszer rajta. (Javasolnám az OpenBSD-t, majd a FreeBSD-t csak a könnyebb kezelhetőség miatt)

Állítsa be a laptopot, hogy hídként működjön – az összes csomag átkerül. Futtassa a tcpdump-ot a forgalom vissza Írjon mindent egy flash meghajtóra. Időnként cserélje ki a meghajtót, vidd haza a megtöltött meghajtót, és használd az étert vagy a horkolást vagy hasonlót a dump fájl átnézéséhez, és nézd meg, hogy találsz-e valami furcsát.

Szokatlan ip / port kombinációra keres forgalmat. Ez nehéz. Ne ismerjen olyan jó eszközt, amely elősegítené a pelyvák elpusztítását.

Lehetséges, hogy a kémprogramok a helyi lemezre írnak, amelyek lefedik a sávokat. Ezt ellenőrizheti egy másik gépről történő indítással, indítással a Mac géped célállapotban (úgy működik, mint egy FireWire eszköz) Szkenneld be a kötetet, ragadd meg az összes részletet.

Hasonlítsd össze ennek két futását külön napokon a diff segítségével. Ez kiküszöböli az azonos fájlokat mindkét menetben. Ez nem fog mindent megtalálni. Például. A Blackhat alkalmazás fájlként létrehozhat egy lemezkötetet. Ez nem fog sokat változtatni, ha a Fekete alkalmazás képes gondoskodni arról, hogy a dátumok ne változjanak.

A szoftver segíthet: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Hasznos a megváltozott fájlok / engedélyek figyeléséhez. A * ix célpontja, nem biztos benne, hogyan kezeli a kiterjesztett attribútumokat.

Remélem, hogy ez segít.

Válasz

Az alkalmazások észleléséhez és törléséhez bármilyen eltávolító szoftvert használhat a Macintosh számára (például a CleanMyMac vagy a MacKeeper).

Megjegyzések

  • Hogyan találná meg ez a személy a kémprogramokat (az eltávolító alkalmazás használata előtt)?
  • A mackeeper a legrosszabb szoftver valaha

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük