Dette spørsmålet har allerede svar her :

Kommentarer

  • Dette er sjefen din. Kom og se meg i morgen. Nei, bare tuller. Avhengig av hvor dyktig han er, kan du starte med å sjekke tilgjengelig programvare av den typen for Mac OS X og prøve f.eks. tastetrykk som aktiverer den. Jeg har heller ikke funnet en kommersiell løsning som tilbyr passordfangst.
  • Det er ikke nødvendigvis ulovlig, men avhenger av hva det står i arbeidsavtalen din, og jeg mistenker at det kan være lovlig bare fordi du bruker utstyr som eies av selskapet
  • Et lignende spørsmål hos Super User . Du kan også prøve å overvåke nettverkstrafikk med et program som Little Snitch .

Svar

En hvilken som helst rootkit som er verdt saltet, vil nesten ikke kunne oppdages i et løpende system fordi de kobles til kjernen og / eller erstatter systembinarier for å skjule seg selv. I utgangspunktet kan du ikke stole på det du ikke kan stole på. Det du trenger å gjøre er å slå av systemet, koble til en ekstern oppstartsstasjon (ikke koble det til det kjørende systemet) og deretter starte systemet fra en ekstern disk og se etter mistenkelige programmer.

Svar

Jeg kommer til å gjøre hypotesen du allerede har sjekket grundig alle de vanligste RAT er av eller død (alle delinger, ARD, Skype, VNC …).

  1. På en ekstern og fullt pålitelig Mac som kjører også 10.6.8, installerer du en (eller begge) av disse to rootkits-detektorene:

    1. rkhunter dette er en tradisjonell tgz & installer

    2. chkrootkit som du kan installere gjennom brew eller macports, for eksempel:

      port install chkrootkit

  2. Test dem på denne pålitelige Mac-en.

  3. Lagre dem på en USB-nøkkel.

  4. Plugg nøkkelen til det mistenkte systemet ditt kjører i normal modus med alt som vanlig og kjør dem.

Kommentarer

  • Hvis rootkit kan oppdage operasjonen til en kjørbar på et blunk, kan det være i stand til å skjule den ' s handlinger. Bedre, å starte den mistenkte macen i målmodus, og skann deretter fra den pålitelige macen.
  • Hvem har vurdert kildekoden for alle chkrootkit C-programmene, spesielt skriptet «chkrootkit», for å sikre at de smitter ikke datamaskinene våre med rootkits eller nøkkelloggere?

Svar

En bestemt måte å se om noe mistenkelig kjører er å åpne Activity Monitor-appen, som du kan åpne med Spotlight eller gå til Applications Utilities Activity Monitor . En app kan skjule seg fra vanlig syn, men hvis den kjører på maskinen, vil den definitivt dukke opp i Activity Monitor. Noen ting der vil ha morsomme navn, men de skal kjøre, så hvis du ikke er sikker på hva det er, kanskje Google det før du klikker Avslutt prosess , eller du kan slå av noe viktig.

Kommentarer

  • Noe programvare kan lappe rutene i prosesstabellen og skjule seg. Enkle programmer og de som er ment å være mer pålitelige (siden en modifisering av det lave nivået i systemet kan forårsake problemer) vant ' t skjul prosessene eller filene den etterlater. Men å kategorisk si at alle apper definitivt dukker opp, er ikke ' en god uttalelse siden det ' er trivielt å lappe Aktivitetsovervåking eller selve prosessbordet med litt lysingeniørarbeid.
  • Dette er en risikabel tillit på et kjent program (Activity Monitor) ikke for vanskelig å lyve.

Svar

Hvis du har blitt hacket, må nøkkelloggeren rapportere. Den kan gjøre dette enten umiddelbart , eller lagre lokalt og med jevne mellomrom, spyd det til et eller annet nettverksmål.

Det beste alternativet er å kaste en gammel bærbar datamaskin, ideelt sett med 2 ethernet-porter, eller, hvis ikke, med et PCMCIA-nettverkskort. Installer en BSD eller Linux-system på det. (Jeg vil anbefale OpenBSD, deretter FreeBSD bare på grunn av enklere administrasjon)

Sett opp den bærbare datamaskinen til å fungere som en bro – alle pakker blir sendt gjennom. Kjør tcpdump på trafikken tilbake og Skriv alt til en flash-stasjon. Bytt harddisk med jevne mellomrom, ta fylt kjøretur hjem og bruk eterisk eller fnys eller lignende for å gå gjennom dumpfilen og se om du finner noe rart.

Du leter etter trafikk til en uvanlig ip / port-kombinasjon. Dette er tøft. Ikke vet noen gode verktøy som hjelper til med å pusse ut agnet.

Det er en mulighet for at spionprogrammet skriver til den lokale disken som dekker sporene dine. Du kan se etter dette ved å starte opp fra en annen maskin, start opp Macen din i målmodus (den fungerer som en firewire-enhet). Skann volumet og ta tak i alle detaljene du kan.

Sammenlign to kjøringer av dette på separate dager ved hjelp av diff. på begge løpeturer. Dette finner ikke alt. F.eks. En Blackhat-app kan opprette et diskvolum som en fil. Dette vil ikke endre seg mye hvis Black-appen kan ordne at datoene ikke endres.

Programvare kan hjelpe: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Nyttig for å se etter endrede filer / tillatelser. Siktet mot * ix, usikker på hvordan det håndterer utvidede attributter.

Håper dette hjelper.

Svar

For å oppdage og slette apper kan du bruke hvilken som helst avinstallasjonsprogramvare for Macintosh (som CleanMyMac eller MacKeeper).

Kommentarer

  • Hvordan vil denne personen finne spyware i utgangspunktet (før du bruker avinstallasjonsappen)?
  • mackeeper er den verste programvaren noensinne

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *