Diese Frage hat hier bereits Antworten :

Kommentare

  • Dies ist Ihr Chef. Komm morgen zu mir. Nein, nur ein Scherz. Je nachdem, wie gut er ist, können Sie zunächst die verfügbare Software dieses Typs für Mac OS X überprüfen und z. Tastenanschläge, die es aktivieren. Außerdem habe ich keine kommerzielle Lösung gefunden, die die Erfassung von Passwörtern anbietet.
  • Es ist nicht unbedingt illegal, hängt jedoch davon ab, was in Ihrem Arbeitsvertrag steht, und ich vermute, dass dies legal sein könnte, nur weil Sie Geräte verwenden, die dem Unternehmen gehören
  • Eine ähnliche Frage bei Super User . Sie können auch versuchen, den Netzwerkverkehr mit einer Anwendung wie Little Snitch zu überwachen.

Antwort

Jede Art von Rootkit, die ihr Geld wert ist, ist auf einem laufenden System nahezu nicht erkennbar, da sie sich in den Kernel einhaken und / oder Systembinärdateien ersetzen, um sich selbst zu verbergen. Grundsätzlich kann dem, was Sie sehen, nicht vertraut werden, da dem System nicht vertraut werden kann. Sie müssen lediglich das System ausschalten, ein externes Startlaufwerk anschließen (nicht mit dem laufenden System verbinden) und das System dann von einem System aus starten externe Festplatte und suchen Sie nach verdächtigen Programmen.

Antwort

Ich werde die Hypothese aufstellen, die Sie bereits gründlich überprüft haben RAT ist ausgeschaltet oder tot (alle Freigaben, ARD, Skype, VNC…).

  1. Installieren Sie auf einem externen und vollständig vertrauenswürdigen Mac, auf dem auch 10.6.8 ausgeführt wird, einen (oder beide) von Diese 2 Rootkits-Detektoren:

    1. rkhunter Dies ist eine traditionelle tgz zum Erstellen & install
    2. chkrootkit , das Sie über oder macports, zum Beispiel:

      port install chkrootkit

  2. Testen Sie sie auf diesem vertrauenswürdigen Mac.

  3. Speichern Sie sie auf einem USB-Stick.

  4. Schließen Sie Ihren Schlüssel an Ihr vermutetes System an, das im normalen Modus ausgeführt wird, und führen Sie alles wie gewohnt aus sie.

Kommentare

  • Wenn das Rootkit den Betrieb einer ausführbaren Datei auf einem Flash erkennen kann, kann dies der Fall sein kann die Aktionen von ' ausblenden. Besser, Sie starten den verdächtigen Mac im Zielmodus und scannen dann vom vertrauenswürdigen Mac.
  • Wer hat den Quellcode für alle chkrootkit C-Programme, insbesondere das Skript „chkrootkit“, überprüft, um sicherzustellen, dass diese vorhanden sind Infizieren Sie unsere Computer nicht mit Rootkits oder Key Loggern?

Antwort

Eine eindeutige Möglichkeit, um festzustellen, ob überhaupt Der Verdacht besteht darin, die Activity Monitor-App zu öffnen, die Sie mit Spotlight öffnen oder zu Anwendungen Dienstprogramme Activity Monitor wechseln können. Eine App kann sich vor den Augen verstecken, aber wenn sie auf dem Computer ausgeführt wird, wird sie definitiv im Aktivitätsmonitor angezeigt. Einige Dinge dort haben lustige Namen, aber sie sollten ausgeführt werden. Wenn Sie dies nicht tun Sicher, was es ist, vielleicht Google es, bevor Sie auf Prozess beenden klicken, oder Sie könnten etwas Wichtiges deaktivieren.

Kommentare

    inige Software kann die Routinen der Prozesstabelle patchen und sich verstecken. Einfache Programme und solche, die zuverlässiger sein sollen (da eine Änderung dieser niedrigen Ebene des Systems Probleme verursachen kann), verbergen ' nicht die Prozesse oder Dateien, die sie hinterlassen. Um kategorisch zu sagen, dass alle Apps definitiv angezeigt werden, ist ' keine gute Aussage, da es ' trivial ist, Activity Monitor oder die Prozesstabelle selbst zu patchen
  • Dies ist ein riskantes Vertrauen in eine bekannte Anwendung (Activity Monitor), das nicht zu schwer zu lügen ist.

Antwort

Wenn Sie gehackt wurden, muss sich der Keylogger melden. Dies kann entweder sofort erfolgen oder lokal speichern und regelmäßig an ein Netzwerkziel senden.

Am besten durchsuchen Sie einen alten Laptop, idealerweise mit 2 Ethernet-Ports, oder, falls dies nicht der Fall ist, mit einer PCMCIA-Netzwerkkarte. Installieren Sie ein BSD oder Linux-System darauf. (Ich würde OpenBSD und dann FreeBSD nur wegen der einfacheren Verwaltung empfehlen.)

Richten Sie den Laptop als Bridge ein – alle Pakete werden weitergeleitet. Führen Sie tcpdump für den Datenverkehr zurück und aus Schreiben Sie alles auf ein Flash-Laufwerk. Wechseln Sie das Laufwerk regelmäßig. Nehmen Sie das gefüllte Laufwerk mit nach Hause und verwenden Sie ätherisch oder schnaubend oder ähnliches, um die Dump-Datei zu durchsuchen und festzustellen, ob Sie etwas Seltsames finden.

Sie suchen nach Datenverkehr zu einer ungewöhnlichen IP / Port-Kombination. Das ist hart. Sie kennen keine guten Tools, um die Spreu zu beseitigen.

Es besteht die Möglichkeit, dass die Spyware auf die lokale Festplatte schreibt, die ihre Spuren abdeckt. Sie können dies überprüfen, indem Sie von einem anderen Computer booten Ihr Mac befindet sich im Zielmodus (er verhält sich wie ein Firewire-Gerät). Scannen Sie das Volume und erfassen Sie alle Details, die Sie können.

Vergleichen Sie zwei Läufe an verschiedenen Tagen mit diff. Dadurch werden die gleichen Dateien entfernt auf beiden Läufen. Dies wird nicht alles finden. Z.B. Eine Blackhat-App kann ein Datenträger-Volume als Datei erstellen. Dies ändert sich nicht viel, wenn die Black-App dafür sorgen kann, dass sich die Daten nicht ändern.

Software kann helfen: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection-Umgebung. Nützlich zum Suchen nach geänderten Dateien / Berechtigungen. Ziel ist * ix, nicht sicher, wie es mit erweiterten Attributen umgeht.

Hoffe, dies hilft.

Antwort

Um Apps zu erkennen und zu löschen, können Sie jede Deinstallationssoftware für Macintosh (wie CleanMyMac oder MacKeeper) verwenden.

Kommentare

  • Wie würde diese Person die Spyware überhaupt finden (bevor sie die Deinstallations-App verwendet)?
  • Mackeeper ist die schlechteste Software aller Zeiten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.