スパイ/キーロガーソフトウェアを検出する方法は？ [重複]

この質問にはすでに回答があります：

これはあなたの上司です。明日会いに来てください。いや、冗談です。彼のスキルに応じて、Mac OS Xでそのタイプの利用可能なソフトウェアを確認し、たとえば、それをアクティブにするキーストローク。また、パスワードキャプチャを提供する商用ソリューションは見つかりませんでした。
これは必ずしも違法ではありませんが、雇用契約の内容によって異なります。会社が所有する機器を使用しているため、合法である可能性があります。
スーパーユーザーでの同様の質問。 Little Snitch などのアプリケーションを使用してネットワークトラフィックを監視することもできます。

回答

実行中のシステムでは、カーネルに接続したり、システムバイナリを置き換えて自身を非表示にしたりするため、その塩に値するあらゆる種類のルートキットはほとんど検出されません。基本的に、システムが信頼できないため、表示されているものは信頼できません。必要なのは、システムの電源を切り、外部ブートドライブを接続して（実行中のシステムに接続しないでください）、システムを外部ディスクを使用して、疑わしいプログラムを探します。

回答

すでに徹底的にチェックした仮説を、最も一般的なものにします。 RATがオフまたは停止しています（すべての共有、ARD、Skype、VNC…）。

10.6.8も実行している外部の完全に信頼できるMacに、次のいずれか（または両方）をインストールします。これらの2つのルートキット検出器：
1. rkhunter これは従来のtgzを構築するためのものです&インストール
2. chkrootkit は、またはmacports例：
  
  port install chkrootkit
この信頼できるMacでテストしてください。
USBキーに保存します。
通常モードで実行されている疑いのあるシステムにキーを接続し、通常どおりに実行します。

ルートキットがフラッシュ上の実行可能ファイルの操作を検出できる場合は、次のようになります。 'のアクションを非表示にできます。疑わしいMacをターゲットモードで起動してから、信頼できるMacからスキャンすることをお勧めします。
すべてのchkrootkitCプログラム、特にスクリプト「chkrootkit」のソースコードを確認して、コンピュータをルートキットやキーロガーに感染させていませんか？

回答

何かがあるかどうかを確認する明確な方法の1つ疑わしいのは、アクティビティモニターアプリを開くことです。このアプリは、Spotlightで開くか、アプリケーション ユーティリティ アクティビティモニターに移動します。アプリは目立たないように隠すことができますが、マシン上で実行されている場合は、アクティビティモニターに確実に表示されます。そこにあるものの中には面白い名前が付いているものもありますが、実行されているはずです。それが何であるかを確認してください。 [プロセスを終了] をクリックする前にGoogleで検索するか、重要なものをオフにすることができます。

一部のソフトウェアは、プロセステーブルルーチンにパッチを適用して、自身を隠すことができます。単純なプログラムや信頼性を高めることを目的としたプログラム（システムの低レベルの変更は問題を引き起こす可能性があるため）は、'残されたプロセスやファイルを隠しません。ただし、すべてのアプリが確実に表示されると断言することは、アクティビティモニターまたはプロセステーブル自体にパッチを適用するのは簡単なので、'良いステートメントではありません。'
これは、既知のアプリケーション（Activity Monitor）に対する危険な信頼であり、嘘をつくのはそれほど難しくありません。

回答

ハッキングされた場合、キーロガーは報告する必要があります。これはすぐに行うことができます。、またはローカルに保存し、定期的にネットワークの宛先に吐き出します。

最善の策は、理想的には2つのイーサネットポートを備えた古いラップトップを探すか、PCMCIAネットワークカードで失敗することです。BSDまたはLinuxシステム（管理が簡単なため、OpenBSD、次にFreeBSDをお勧めします）

ブリッジとして機能するようにラップトップを設定します。すべてのパケットが通過します。トラフィックでtcpdumpを実行し、フラッシュドライブにすべてを書き込みます。定期的にドライブを交換し、いっぱいになったドライブを家に持ち帰り、etherealまたはsnortなどを使用してダンプファイルを調べ、何か奇妙なことがないか確認します。

異常なIP /ポートの組み合わせへのトラフィックを探しています。これは難しいです。もみ殻を吹き飛ばすのに役立つ優れたツールがわからない。

スパイウェアがそのトラックをカバーするローカルディスクに書き込む可能性があります。これは、別のマシンから起動して確認できます。ターゲットモードのMac（ファイアワイヤデバイスのように機能します）ボリュームをスキャンし、可能な限り詳細を取得します。

diffを使用して、別々の日に2回実行した場合を比較します。これにより、同じファイルが削除されます。両方の実行で。これはすべてを見つけることはできません。例えば。 Blackhatアプリは、ディスクボリュームをファイルとして作成できます。 Blackアプリが日付を変更しないように調整できる場合、これはあまり変わりません。

ソフトウェアが役立ちます： http://aide.sourceforge.net/ AIDE Advanced IntrusionDetectionEnvironment。変更されたファイル/権限を監視するのに便利です。* ixを対象としており、拡張属性の処理方法がわかりません。

これがお役に立てば幸いです。

回答

アプリを検出して削除するには、Macintosh用のアンインストールソフトウェア（CleanMyMacやMacKeeperなど）を使用できます。

この人は最初に（アンインストールアプリを使用する前に）スパイウェアをどのように見つけますか？
mackeeperは史上最悪のソフトウェアです

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル