Questa domanda ha già una risposta qui :

Commenti

  • Questo è il tuo capo. Vieni a trovarmi domani. No, sto scherzando. A seconda di quanto sia abile, potresti iniziare controllando il software disponibile di quel tipo per Mac OS X e provando ad es. sequenze di tasti che lo attivano. Inoltre, non ho trovato una soluzione commerciale che offra lacquisizione della password.
  • Non è necessariamente illegale, ma dipende da ciò che dice il tuo contratto di lavoro e sospetto che potrebbe essere legale solo perché stai utilizzando apparecchiature di proprietà dellazienda
  • Una domanda simile a Super User . Puoi anche provare a monitorare il traffico di rete con unapplicazione come Little Snitch .

Risposta

Qualsiasi tipo di rootkit degno di questo nome sarà quasi impercettibile su un sistema in esecuzione perché si aggancia al kernel e / o sostituisce i binari di sistema per nascondersi. Fondamentalmente ciò che vedi non può essere considerato attendibile perché il sistema non può essere considerato attendibile. Quello che devi fare è spegnere il sistema, collegare ununità di avvio esterna (non collegarla al sistema in esecuzione) e quindi avviare il sistema da un disco esterno e cercare programmi sospetti.

Risposta

Farò le ipotesi che hai già controllato accuratamente tutte le più comuni I RAT sono disattivati o morti (tutte le condivisioni, ARD, Skype, VNC …).

  1. Su un Mac esterno e completamente affidabile che esegue anche 10.6.8, installa uno (o entrambi) di questi 2 rilevatori di rootkit:

    1. rkhunter questo è un tgz tradizionale da costruire & installa

    2. chkrootkit che puoi installare tramite brew o macports, ad esempio:

      port install chkrootkit

  2. Provali su questo affidabile Mac.

  3. Salvali su una chiave USB.

  4. Collega la tua chiave al sistema sospetto in esecuzione in modalità normale con tutto come al solito ed esegui .

Commenti

  • Se il rootkit può rilevare il funzionamento di un eseguibile su una flash, potrebbe essere in grado di nasconderlo ' s azioni. Meglio, per avviare il Mac sospetto in modalità target, quindi eseguire la scansione dal Mac attendibile.
  • Chi ha esaminato il codice sorgente di tutti i programmi C chkrootkit, in particolare lo script “chkrootkit”, per assicurarsi che non infettano i nostri computer con rootkit o key logger?

Risposta

Un modo preciso per vedere se cè qualcosa sospetto è in esecuzione è aprire lapp Activity Monitor, che puoi aprire con Spotlight o andare su Applicazioni Utilità Monitoraggio attività . Unapp può nascondersi alla vista, ma se è in esecuzione sulla macchina, verrà sicuramente mostrata in Monitoraggio attività. Alcune cose avranno nomi divertenti, ma dovrebbero essere in esecuzione; quindi se non lo sei certo di cosa si tratta, magari cercalo su Google prima di fare clic su Esci dal processo o potresti disattivare qualcosa di importante.

Commenti

  • Alcuni software possono patchare le routine della tabella dei processi e nascondersi. I programmi semplici e quelli pensati per essere più affidabili (poiché una modifica di quel livello basso del sistema può causare problemi) non ' nascondono i processi oi file che lascia dietro di sé. Tuttavia, affermare categoricamente che tutte le app vengono sicuramente visualizzate non è ' una buona affermazione poiché ' è banale patchare Activity Monitor o la tabella dei processi stessa con un po di lavoro di ingegneria leggera.
  • Questa è una fiducia rischiosa su unapplicazione nota (Activity Monitor) non troppo difficile da mentire.

Risposta

Se sei stato violato, il keylogger deve segnalarlo. Può farlo immediatamente , o archiviarlo localmente e periodicamente vomitarlo su qualche destinazione di rete.

La soluzione migliore è scroccare un vecchio laptop, idealmente con 2 porte Ethernet, o, in caso contrario, con una scheda di rete PCMCIA. Installa un BSD o Sistema Linux su di esso (consiglierei OpenBSD, poi FreeBSD solo per una gestione più semplice)

Imposta il laptop in modo che funga da bridge: tutti i pacchetti vengono passati. Esegui tcpdump sul traffico e avanti. Scrivi tutto su ununità flash. Cambia periodicamente lunità, porta a casa il disco pieno e usa ethereal o snort o simili per esaminare il file di dump e vedere se trovi qualcosa di strano.

Stai cercando traffico verso una combinazione insolita di ip / porta. Questa è dura. Non conosco nessun buon strumento per aiutare a vagliare la pula.

Esiste la possibilità che lo spyware scriva sul disco locale coprendone le tracce. Puoi verificarlo avviando da unaltra macchina, boot il tuo Mac in modalità target (si comporta come un dispositivo firewire) Scansiona il volume, raccogliendo tutti i dettagli che puoi.

Confronta due esecuzioni di questo in giorni separati usando diff. Questo elimina i file che sono gli stessi su entrambe le piste. Questo non troverà tutto. Per esempio. Unapp Blackhat può creare un volume disco come file. Questo non cambierà molto se lapp Black può fare in modo che le date non cambino.

Il software può aiutare: http://aide.sourceforge.net/ AIDE Ambiente di rilevamento delle intrusioni avanzato. Utile per controllare i file / permessi modificati. Rivolto a * ix, non so come gestisce gli attributi estesi.

Spero che questo aiuti.

Risposta

Per rilevare ed eliminare app puoi utilizzare qualsiasi software di disinstallazione per Macintosh (come CleanMyMac o MacKeeper).

Commenti

  • Come potrebbe questa persona trovare lo spyware in primo luogo (prima di utilizzare lapp di disinstallazione)?
  • mackeeper è il peggior software in assoluto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *