<åt sidan class = "s-notice s-notice__info js-post-notice mb16" role = "status">

Denna fråga har redan svar här :

Kommentarer

  • Det här är din chef. Kom och se mig imorgon. Nej, bara skojar. Beroende på hur skicklig han är kan du börja med att kontrollera den tillgängliga programvaran av den typen för Mac OS X och försöka t.ex. tangenttryckningar som aktiverar den. Jag har inte hittat någon kommersiell lösning som erbjuder lösenordsfångst.
  • Det är inte nödvändigtvis olagligt men beror på vad ditt anställningsavtal säger och jag misstänker att det kan vara lagligt bara för att du använder utrustning som ägs av företaget
  • En liknande fråga hos Super User . Du kan också prova att övervaka nätverkstrafik med en applikation som Little Snitch .

Svar

Alla typer av rootkit som är värda sitt salt kommer att vara nästan omöjligt att upptäcka i ett löpande system eftersom de hakar i kärnan och / eller ersätter systembinarier för att dölja sig. I grund och botten kan du inte lita på det du ser eftersom systemet inte kan lita på. Vad du behöver göra är att stänga av systemet, ansluta en extern startdisk (inte ansluta det till det löpande systemet) och starta sedan systemet från en extern disk och leta efter misstänkta program.

Svar

Jag kommer att göra hypotesen att du redan har noggrant kontrollerat alla de vanligaste RAT är avstängd eller död (alla delningar, ARD, Skype, VNC …).

  1. På en extern och fullt pålitlig Mac som kör också 10.6.8 installerar du en (eller båda) av dessa två rootkits-detektorer:

    1. rkhunter detta är en traditionell tgz & installera
    2. chkrootkit som du kan installera via brew eller macports, till exempel:

      port install chkrootkit

  2. Testa dem på denna pålitliga Mac.

  3. Spara dem på en USB-nyckel.

  4. Anslut din nyckel till ditt misstänkta system som körs i normalt läge med allt som vanligt och kör dem.

Kommentarer

  • Om rootkit kan upptäcka funktionen för en körbar på en blixt kan det vara kan dölja den ' s åtgärder. Bättre att starta den misstänkta macen i målläge och skanna sedan från den pålitliga macen.
  • Vem har granskat källkoden för alla chkrootkit C-programmen, särskilt skriptet ”chkrootkit”, för att säkerställa att de infekterar inte våra datorer med rootkits eller nyckelloggare?

Svar

Ett definitivt sätt att se om något misstänkt körs är att öppna Activity Monitor-appen, som du kan öppna med Spotlight eller gå till Applications Utilities Activity Monitor . En app kan gömma sig från vanlig syn, men om den körs på maskinen kommer den definitivt att dyka upp i Activity Monitor. Vissa saker där kommer att ha roliga namn, men de ska köras, så om du inte är säker på vad det är, kanske googla det innan du klickar på Avsluta process eller så kan du stänga av något viktigt.

Kommentarer

  • En del programvara kan korrigera processtabellrutinerna och gömma sig. Enkla program och sådana som är avsedda att vara mer tillförlitliga (eftersom en ändring av den låga nivån i systemet kan orsaka problem) vann inte ' att dölja de processer eller filer som den lämnar. Men för att kategoriskt säga att alla appar definitivt dyker upp är det inte ' ett bra uttalande eftersom det ' är trivialt att lappa Activity Monitor eller själva processtabellen med lite ljusarbete.
  • Detta är ett riskabelt förtroende för en känd applikation (Activity Monitor) som inte är så svår att ljuga.

Svar

Om du har blivit hackad, måste keylogger rapportera. Den kan göra det antingen omedelbart , eller lagra lokalt och med jämna mellanrum spionera det till någon nätverksdestination.

Det bästa är att kasta en gammal bärbar dator, helst med två Ethernet-portar, eller, om det inte är med ett PCMCIA-nätverkskort. Installera en BSD Linux-system på det. (Jag skulle rekommendera OpenBSD, sedan FreeBSD bara på grund av enklare hantering)

Ställ in den bärbara datorn för att fungera som en bro – alla paket passeras igenom. Kör tcpdump på trafiken tillbaka och Skriv allt till en flash-enhet. Ändra enheten regelbundet, ta den fyllda enheten hem och använd eterisk eller fnysa eller liknande för att gå igenom dumpfilen och se om du tycker något konstigt.

Du letar efter trafik till en ovanlig ip / port-kombination. Det här är tufft. Känner inte till några bra verktyg för att hjälpa till med att ta bort agnet.

Det finns en möjlighet att spionprogrammet skriver till den lokala skivan som täcker dess spår. Du kan söka efter detta genom att starta från en annan maskin, starta din mac i målläge (den fungerar som en firewire-enhet) Skanna volymen och ta alla detaljer du kan.

Jämför två körningar av detta på separata dagar med diff. Detta eliminerar samma fil som på båda körningarna. Detta hittar inte allt. T.ex. En Blackhat-app kan skapa en diskvolym som en fil. Detta kommer inte att förändras mycket om Black-appen kan ordna att datumen inte ändras.

Programvaran kan hjälpa: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Användbar för att titta på ändrade filer / behörigheter. Riktad till * ix, inte säker på hur den hanterar utökade attribut.

Hoppas det hjälper.

Svar

För att upptäcka och radera appar kan du använda vilken avinstallationsprogramvara som helst för Macintosh (som CleanMyMac eller MacKeeper).

Kommentarer

  • Hur skulle den här personen hitta spionprogrammet i första hand (innan han använder avinstallationsappen)?
  • mackeeper är den värsta programvaran någonsin

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *