이미 가장 일반적인 모든 것을 철저히 확인한 가설을 세울 것입니다. RAT가 꺼져 있거나 작동하지 않습니다 (모든 공유, ARD, Skype, VNC…).
-
10.6.8을 실행하는 완전히 신뢰할 수있는 외부 Mac에서 다음 중 하나 (또는 둘 다)를 설치합니다. 이 2 개의 루트킷 탐지기 :
- rkhunter 이것은 구축하는 전통적인
tgz입니다. & 설치
-
chkrootkit 을 또는 macports, 예 :
port install chkrootkit
-
신뢰할 수있는 Mac에서 테스트 해보세요.
-
USB 키에 저장합니다.
-
모든 것을 평소와 같이 정상 모드로 실행중인 것으로 의심되는 시스템에 키를 연결하고 실행합니다.
댓글
해킹을 당했다면 키로거가 신고해야합니다. 즉시 신고 할 수 있습니다. 또는 로컬에 저장하고 일부 네트워크 대상에 주기적으로 분출하십시오.
가장 좋은 방법은 2 개의 이더넷 포트가있는 오래된 랩톱을 샅샅이 뒤 지거나 PCMCIA 네트워크 카드로 실패하는 것입니다. BSD를 설치하거나 리눅스 시스템. (나는 OpenBSD를 추천하고 그 다음에는 관리가 더 쉽기 때문에 FreeBSD를 추천합니다.)
노트북이 브리지 역할을하도록 설정하십시오-모든 패킷이 통과됩니다. 트래픽에 대해 tcpdump를 실행하고 플래시 드라이브에 모든 것을 기록하고 주기적으로 드라이브를 교체하고 채워진 드라이브를 집으로 가져 가서 ethereal 또는 snort 또는 이와 유사한 것을 사용하여 덤프 파일을 살펴보고 이상한 것이 있는지 확인하십시오.
비정상적인 IP / 포트 조합에 대한 트래픽을 찾고 있습니다. 이건 힘들다. 왕겨를 제거하는 데 도움이되는 좋은 도구를 모릅니다.
스파이웨어가 트랙을 덮고있는 로컬 디스크에 기록 할 가능성이 있습니다. 다른 컴퓨터에서 부팅하여이를 확인할 수 있습니다. 대상 모드의 Mac (파이어 와이어 장치처럼 작동) 볼륨을 스캔하여 가능한 모든 세부 정보를 수집합니다.
diff를 사용하여 별도의 날에 두 번 실행을 비교합니다. 이렇게하면 동일한 파일이 제거됩니다. 두 실행 모두에서 모든 것을 찾을 수 없습니다. 예 : Blackhat 앱은 디스크 볼륨을 파일로 생성 할 수 있습니다. Black 앱이 날짜를 변경하지 않도록 조정할 수 있다면 크게 변경되지 않습니다.
소프트웨어가 도움이 될 수 있습니다. http://aide.sourceforge.net/ AIDE 고급 침입 감지 환경. 변경된 파일 / 권한을 감시하는 데 유용합니다. * ix를 목표로하지만 확장 된 속성을 처리하는 방법이 확실하지 않습니다.
도움이 되길 바랍니다.