Comentários
- Este é seu chefe. Venha me ver amanhã. Nah, estou brincando. Dependendo de quão habilidoso ele é, você pode começar verificando o software disponível desse tipo para Mac OS X e tentando, por exemplo, pressionamentos de tecla que o ativam. Além disso, não encontrei uma solução comercial que oferecesse captura de senha.
- Não é necessariamente ilegal, mas depende do que diz o seu contrato de trabalho e suspeito que possa ser legal apenas porque você está usando equipamento de propriedade da empresa
- Uma pergunta semelhante em Superusuário . Você também pode tentar monitorar o tráfego de rede com um aplicativo como o Pequeno Snitch .
Resposta
Qualquer tipo de rootkit que valha a pena será quase indetectável em um sistema em execução porque se conecta ao kernel e / ou substitui os binários do sistema para se ocultar. Basicamente, o que você está vendo não é confiável porque o sistema não é confiável. O que você precisa fazer é desligar o sistema, conectar uma unidade de inicialização externa (não conecte ao sistema em execução) e, em seguida, inicializar o sistema a partir de um disco externo e procure por programas suspeitos.
Resposta
Farei a hipótese de que você já verificou completamente todos os mais comuns RAT está desativado ou morto (todos os compartilhamentos, ARD, Skype, VNC …).
-
Em um Mac externo e totalmente confiável executando também 10.6.8, instale um (ou ambos) estes 2 detectores de rootkits:
- rkhunter este é um
tgz
tradicional para construir & instalar -
chkrootkit que você pode instalar através do
brew
oumacports
, por exemplo:port install chkrootkit
- rkhunter este é um
-
Teste-os neste Mac confiável.
-
Salve-os em uma chave USB.
-
Conecte sua chave no sistema suspeito em execução no modo normal com tudo normalmente e execute eles.
Comentários
- Se o rootkit pode detectar a operação de um executável em um flash, pode ser capaz de ocultá-lo ' s ações. Melhor, inicializar o mac suspeito no modo de destino e, em seguida, digitalizar no mac confiável.
- Quem revisou o código-fonte de todos os programas chkrootkit C, especialmente o script “chkrootkit”, para garantir que eles não estão infectando nossos computadores com rootkits ou keyloggers?
Resposta
Uma maneira definitiva de ver se há algo suspeito está em execução é abrir o aplicativo Monitor de atividades, que pode ser aberto com o Spotlight ou ir para Aplicativos Utilitários Monitor de atividades . Um aplicativo pode ser escondido da vista de todos, mas se estiver em execução na máquina, com certeza aparecerá no Activity Monitor. Algumas coisas lá terão nomes engraçados, mas deveriam estar em execução; portanto, se você não certo do que é, talvez pesquise no Google antes de clicar em Sair do processo ou pode desligar algo importante.
Comentários
- Alguns softwares podem corrigir as rotinas da tabela de processos e se esconder. Programas simples e aqueles que pretendem ser mais confiáveis (já que uma modificação desse nível baixo do sistema pode causar problemas) não ' não esconderão os processos ou arquivos que deixaram para trás. No entanto, afirmar categoricamente que todos os aplicativos definitivamente aparecem não é ' uma boa declaração, pois é ' trivial corrigir o Activity Monitor ou a própria tabela de processos com algum trabalho de engenharia leve.
- Esta é uma confiança arriscada em um aplicativo conhecido (
Activity Monitor
) não muito difícil de mentir.
Resposta
Se você foi hackeado, o keylogger deve relatar. Ele pode fazer isso imediatamente ou armazene-o localmente e periodicamente em algum destino de rede.
Sua melhor aposta é roubar um laptop antigo, de preferência com 2 portas ethernet, ou, caso contrário, com uma placa de rede PCMCIA. Instale um BSD ou Sistema Linux nele. (Eu recomendaria OpenBSD, então FreeBSD apenas por causa de gerenciamento mais fácil)
Configure o laptop para agir como uma ponte – todos os pacotes são passados. Execute tcpdump no tráfego de volta e para frente. Grave tudo em uma unidade flash. Mude a unidade periodicamente, leve o drive cheio para casa e use ethereal ou snort ou similar para percorrer o arquivo de despejo e ver se você encontra algo estranho.
Você está procurando tráfego para uma combinação incomum de ip / porta. Isso é difícil. Não conheço nenhuma boa ferramenta para ajudar a separar o joio.
Existe a possibilidade de o spyware gravar no disco local que cobre seus rastros. Você pode verificar isso inicializando de outra máquina, inicialize seu mac no modo de destino (funciona como um dispositivo firewire) Verifique o volume, obtendo todos os detalhes que você puder.
Compare duas execuções disso em dias separados usando diff. Isso elimina os arquivos que são iguais em ambas as execuções. Isso não encontrará tudo. Por exemplo. Um aplicativo Blackhat pode criar um volume de disco como um arquivo. Isso não mudará muito se o aplicativo Black puder fazer com que as datas não mudem.
O software pode ajudar: http://aide.sourceforge.net/ AIDE Ambiente de detecção de intrusão avançado. Útil para observar arquivos / permissões alterados. Destinado a * ix, não tenho certeza de como trata os atributos estendidos.
Espero que isso ajude.
Resposta
Para detectar e excluir aplicativos, você pode usar qualquer software de desinstalação para Macintosh (como CleanMyMac ou MacKeeper).
Comentários
- Como essa pessoa encontraria o spyware em primeiro lugar (antes de usar o aplicativo de desinstalação)?
- mackeeper é o pior software de todos os tempos