Deze vraag heeft hier al antwoorden :

Reacties

  • Dit is je baas. Kom morgen naar me toe. Nee, grapje. Afhankelijk van hoe bekwaam hij is, zou je kunnen beginnen met het controleren van de beschikbare software van dat type voor Mac OS X en b.v. toetsaanslagen die het activeren. Ik heb ook geen commerciële oplossing gevonden die het vastleggen van wachtwoorden mogelijk maakt.
  • Het is niet noodzakelijkerwijs illegaal, maar hangt af van wat uw arbeidsovereenkomst zegt en ik vermoed dat het legaal kan zijn alleen omdat u apparatuur gebruikt die eigendom is van het bedrijf
  • Een vergelijkbare vraag bij Super User . U kunt ook proberen het netwerkverkeer in de gaten te houden met een applicatie als Little Snitch .

Antwoord

Elke soort rootkit die zijn zout waard is, zal bijna niet detecteerbaar zijn op een draaiend systeem omdat ze in de kernel haken en / of systeembinaire bestanden vervangen om zichzelf te verbergen. Wat u ziet, kan in feite niet worden vertrouwd omdat het systeem niet kan worden vertrouwd. Wat u moet doen is het systeem uitschakelen, een externe opstartschijf aansluiten (niet verbinden met het actieve systeem) en vervolgens het systeem opstarten vanaf een externe schijf en zoek naar verdachte programmas.

Antwoord

Ik zal de hypothese opstellen dat je de meest voorkomende al grondig hebt gecontroleerd RAT is uitgeschakeld of werkt niet (alle sharings, ARD, Skype, VNC…).

  1. Installeer op een externe en volledig betrouwbare Mac waarop ook 10.6.8 wordt uitgevoerd een (of beide) van deze 2 rootkits-detectoren:

    1. rkhunter dit is een traditionele tgz om te bouwen & install

    2. chkrootkit die u kunt installeren via brew of macports, bijvoorbeeld:

      port install chkrootkit

  2. Test ze op deze betrouwbare Mac.

  3. Bewaar ze op een USB-sleutel.

  4. Sluit uw sleutel aan op uw vermoedelijke systeem dat in de normale modus werkt met alles zoals gewoonlijk en voer hen.

Reacties

  • Als de rootkit de werking van een uitvoerbaar bestand op een flash kan detecteren, kan het zijn in staat om de acties van ' te verbergen. Beter, om de verdachte mac op te starten in de doelmodus, en vervolgens te scannen vanaf de vertrouwde mac.
  • Wie heeft de broncode voor alle chkrootkit C-programmas gecontroleerd, vooral het script “chkrootkit”, om ervoor te zorgen dat ze infecteren onze computers niet met rootkits of keyloggers?

Antwoord

Een duidelijke manier om te zien of er iets is verdacht wordt uitgevoerd, is om de Activity Monitor-app te openen, die u kunt openen met Spotlight of naar Toepassingen Hulpprogrammas Activity Monitor gaat. Een app kan zich uit het zicht verbergen, maar als deze op de computer draait, zal hij zeker in Activity Monitor verschijnen. Sommige dingen zullen grappige namen hebben, maar ze zouden moeten worden uitgevoerd; dus als je dat niet doet zeker wat het is, misschien Google het voordat u op Proces afsluiten klikt, of u kunt iets belangrijks uitschakelen.

Opmerkingen

  • Sommige software kan de procestabelroutines patchen en zichzelf verbergen. Eenvoudige programmas en programmas die bedoeld zijn om betrouwbaarder te zijn (aangezien een wijziging van dat lage niveau van het systeem problemen kan veroorzaken) zullen ' de processen of bestanden die het achterlaat, niet verbergen. Maar om categorisch te zeggen dat alle apps zeker verschijnen, is niet ' een goede verklaring, aangezien het ' niet eenvoudig is om Activity Monitor of de procestabel zelf te patchen met wat licht technisch werk.
  • Dit is een risicovol vertrouwen in een bekende applicatie (Activity Monitor) die niet zo moeilijk is om te liegen.

Antwoord

Als je gehackt bent, moet de keylogger dit melden. Hij kan dit ofwel onmiddellijk doen , of sla het lokaal op en spuw het regelmatig naar een netwerkbestemming.

Je kunt het beste een oude laptop in handen nemen, idealiter met 2 ethernetpoorten, of, als dat niet lukt met een PCMCIA-netwerkkaart. Installeer een BSD of Linux-systeem erop. (Ik zou OpenBSD aanbevelen, en dan FreeBSD alleen vanwege eenvoudiger beheer)

Stel de laptop in om als een brug te fungeren – alle pakketten worden doorgelaten. Voer tcpdump uit op het verkeer terug en verder. Schrijf alles naar een flashstation. Wijzig regelmatig het station, neem de volle schijf mee naar huis en gebruik etherisch of snuif of iets dergelijks om door het dumpbestand te gaan en te kijken of je iets vreemds vindt.

U zoekt verkeer naar een ongebruikelijke ip / poort-combinatie. Dit is moeilijk. Weet geen goed gereedschap om het kaf te verwijderen.

Er is een mogelijkheid dat de spyware naar de lokale schijf schrijft en zijn sporen bedekt. U kunt dit controleren door op te starten vanaf een andere computer, boot je mac in de doelmodus (het werkt als een firewire-apparaat) Scan het volume en grijp alle details die je kunt.

Vergelijk twee runs hiervan op verschillende dagen met diff. Dit elimineert het bestand dat hetzelfde is op beide runs. Dit zal niet alles vinden. Bijv. Een Blackhat-app kan een schijfvolume als bestand maken. Dit zal niet veel veranderen als de Black-app kan regelen dat de datums niet veranderen.

Software kan helpen: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Handig om te kijken naar gewijzigde bestanden / machtigingen. Gericht op * ix, niet zeker hoe het omgaat met uitgebreide attributen.

Ik hoop dat dit helpt.

Answer

Om apps te detecteren en te verwijderen, kunt u alle verwijderingssoftware voor Macintosh gebruiken (zoals CleanMyMac of MacKeeper).

Reacties

  • Hoe zou deze persoon de spyware überhaupt vinden (voordat hij de verwijderingsapp gebruikte)?
  • Mackeeper is de slechtste software ooit

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *