ハッキングされた場合、キーロガーは報告する必要があります。これはすぐに行うことができます。 、またはローカルに保存し、定期的にネットワークの宛先に吐き出します。
最善の策は、理想的には2つのイーサネットポートを備えた古いラップトップを探すか、PCMCIAネットワークカードで失敗することです。BSDまたはLinuxシステム(管理が簡単なため、OpenBSD、次にFreeBSDをお勧めします)
ブリッジとして機能するようにラップトップを設定します。すべてのパケットが通過します。トラフィックでtcpdumpを実行し、フラッシュドライブにすべてを書き込みます。定期的にドライブを交換し、いっぱいになったドライブを家に持ち帰り、etherealまたはsnortなどを使用してダンプファイルを調べ、何か奇妙なことがないか確認します。
異常なIP /ポートの組み合わせへのトラフィックを探しています。これは難しいです。もみ殻を吹き飛ばすのに役立つ優れたツールがわからない。
スパイウェアがそのトラックをカバーするローカルディスクに書き込む可能性があります。これは、別のマシンから起動して確認できます。ターゲットモードのMac(ファイアワイヤデバイスのように機能します)ボリュームをスキャンし、可能な限り詳細を取得します。
diffを使用して、別々の日に2回実行した場合を比較します。これにより、同じファイルが削除されます。両方の実行で。これはすべてを見つけることはできません。例えば。 Blackhatアプリは、ディスクボリュームをファイルとして作成できます。 Blackアプリが日付を変更しないように調整できる場合、これはあまり変わりません。
ソフトウェアが役立ちます: http://aide.sourceforge.net/ AIDE Advanced IntrusionDetectionEnvironment。変更されたファイル/権限を監視するのに便利です。* ixを対象としており、拡張属性の処理方法がわかりません。
これがお役に立てば幸いです。