Orice tip de rootkit în valoare de sare va fi aproape nedetectabil pe un sistem care rulează, deoarece se conectează în nucleu și / sau înlocuiesc binarele sistemului pentru a se ascunde. Practic, ceea ce vedeți nu poate fi de încredere, deoarece sistemul nu poate fi de încredere. Ce trebuie să faceți este să opriți sistemul, să conectați o unitate de boot externă (nu o conectați la sistemul care rulează) și apoi să porniți sistemul dintr-un disc extern și căutați programe suspecte.
Voi face ipoteza că ați verificat deja cu atenție toate cele mai frecvente RAT sunt dezactivate sau moarte (toate partajările, ARD, Skype, VNC …).
-
Pe un Mac extern și complet de încredere care rulează și 10.6.8, instalați unul (sau ambele) din acești 2 detectori de rootkits:
- rkhunter acesta este un
tgz tradițional de construit & instalați
-
chkrootkit pe care îl puteți instala prin brew sau macports, de exemplu:
port install chkrootkit
-
Testează-le pe acest Mac de încredere.
-
Salvați-le pe o cheie USB.
-
Conectați cheia la sistemul suspectat care rulează în modul normal cu totul ca de obicei și rulați ele.
Comentarii
Un mod clar de a vedea dacă este ceva care rulează suspect este să deschideți aplicația Activity Monitor, pe care o puteți deschide cu Spotlight sau accesați Applications Utilities Activity Monitor . O aplicație se poate ascunde de la vedere, dar dacă rulează pe mașină, va apărea cu siguranță în Activity Monitor. Unele lucruri de acolo vor avea nume amuzante, dar se presupune că rulează; deci, dacă nu sunteți sigur ce este, poate Google-l înainte de a face clic pe Ieșiți din proces sau puteți opri ceva important.
Comentarii
Dacă ați fost piratat, keylogger-ul trebuie să raporteze. Poate face acest lucru fie imediat , sau stocați-l local și periodic, aruncați-l către o anumită destinație de rețea.
Cel mai bun pariu este să aruncați un laptop vechi, ideal cu 2 porturi Ethernet sau, în caz contrar, cu o placă de rețea PCMCIA. Sistem Linux pe el. (Aș recomanda OpenBSD, apoi FreeBSD doar datorită unei gestionări mai ușoare)
Configurați laptopul pentru a acționa ca o punte – toate pachetele sunt trecute. Rulați tcpdump pe traficul înapoi și scrieți totul pe o unitate flash. Schimbați periodic unitatea, luați unitatea plină acasă și utilizați eteric sau pufnit sau similar pentru a trece prin fișierul de descărcare și a vedea dacă găsiți ceva ciudat.
Căutați trafic către o combinație neobișnuită de ip / port. Este greu. Nu știți niciun instrument bun pentru a ajuta la eliminarea plăcii.
Există posibilitatea ca spyware-ul să scrie pe discul local care acoperă pistele sale. Puteți verifica acest lucru pornind de la o altă mașină, pornind Mac-ul dvs. în modul țintă (acționează ca un dispozitiv firewire) Scanați volumul, apucând toate detaliile pe care le puteți.
Comparați două rulări ale acestuia în zile separate folosind dif. Acest lucru elimină fișierul care este același pe ambele curse. Acest lucru nu va găsi totul. De exemplu. O aplicație Blackhat poate crea un volum de disc ca fișier. Acest lucru nu se va schimba mult dacă aplicația Black poate aranja ca datele să nu se schimbe.
Software-ul poate ajuta: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Util pentru vizionarea fișierelor / permisiunilor modificate. Destinat * ix, nu știu cum gestionează atributele extinse.
Sper că acest lucru vă va ajuta.