Każdy rodzaj rootkita wartego swojej soli będzie prawie niewykrywalny w działającym systemie, ponieważ zaczepia się o jądro i / lub zamienia pliki binarne systemu, aby się ukryć. Zasadniczo to, co widzisz, nie może być zaufane, ponieważ system nie może być zaufany. Musisz tylko wyłączyć system, podłączyć zewnętrzny dysk startowy (nie podłączaj go do działającego systemu), a następnie uruchomić system z dysk zewnętrzny i poszukaj podejrzanych programów.
Postawię hipotezę, którą już dokładnie sprawdziłeś, wszystkie najpopularniejsze RAT są wyłączone lub martwe (wszystkie udostępnienia, ARD, Skype, VNC…).
-
Na zewnętrznym iw pełni zaufanym komputerze Mac z systemem 10.6.8 zainstaluj jeden (lub oba) z te 2 detektory rootkitów:
- rkhunter to jest tradycyjny
tgz
do zbudowania & zainstaluj
-
chkrootkit , który możesz zainstalować za pomocą brew
lub macports
, na przykład:
port install chkrootkit
-
Przetestuj je na tym zaufanym komputerze Mac.
-
Zapisz je na kluczu USB.
-
Podłącz swój klucz do podejrzanego systemu działającego w normalnym trybie ze wszystkim jak zwykle i uruchom je.
Komentarze
Jeden konkretny sposób sprawdzenia, czy coś podejrzany jest uruchomiony, to otwórz aplikację Monitor aktywności, którą możesz otworzyć za pomocą Spotlight lub przejdź do Aplikacje Narzędzia Monitor aktywności . Aplikację można ukryć przed wzrokiem, ale jeśli jest uruchomiona na komputerze, na pewno pojawi się w Monitorze aktywności. Niektóre rzeczy tam będą miały zabawne nazwy, ale powinny być uruchomione; więc jeśli tak nie jest wiesz, co to jest, może wygoogluj to przed kliknięciem Zakończ proces lub możesz wyłączyć coś ważnego.
Komentarze
Jeśli zostałeś zhakowany, keylogger musi to zgłosić. Może to zrobić natychmiast lub przechowuj lokalnie i okresowo wypluwaj go do jakiegoś miejsca w sieci.
Najlepszym rozwiązaniem jest wyszukanie starego laptopa, najlepiej z 2 portami Ethernet lub, w przypadku braku karty sieciowej PCMCIA. Zainstaluj BSD lub System Linux na nim. (Poleciłbym OpenBSD, a następnie FreeBSD tylko ze względu na łatwiejsze zarządzanie).
Skonfiguruj laptopa tak, aby działał jako most – wszystkie pakiety są przepuszczane. Uruchom tcpdump w ruchu naprzód. Zapisz wszystko na dysku flash. Co jakiś czas zmieniaj dysk, Zabierz wypełniony dysk do domu i użyj eteru, parsknięcia lub czegoś podobnego, aby przejść przez plik zrzutu i sprawdzić, czy nie znajdziesz czegoś dziwnego.
Szukasz ruchu do nietypowej kombinacji IP / port. To jest trudne. Nie znam żadnych dobrych narzędzi, które pomogłyby usunąć plewy.
Istnieje możliwość, że oprogramowanie szpiegujące zapisuje na dysku lokalnym, zasłaniając swoje ścieżki. Możesz to sprawdzić, uruchamiając się z innego komputera, uruchamiając Twój Mac w trybie docelowym (działa jak urządzenie FireWire) Przeskanuj wolumin, zbierając wszystkie szczegóły, jakie możesz.
Porównaj dwa uruchomienia tego w różnych dniach za pomocą diff. Eliminuje to ten sam plik na obu przebiegach. To nie znajdzie wszystkiego. Na przykład. Aplikacja Blackhat może utworzyć wolumin dysku jako plik. Nie zmieni się to zbytnio, jeśli aplikacja Black może ustawić daty tak, aby się nie zmieniały.
Oprogramowanie może pomóc: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Przydatne do obserwowania zmienionych plików / uprawnień. Skierowany na * ix, nie wiem, jak obsługuje atrybuty rozszerzone.
Mam nadzieję, że to pomoże.