Як виявити програмне забезпечення шпигуна / кейлоггера? [дублікат]


9

У мене є серйозні переконання, що мій бос встановив якесь шпигунське програмне забезпечення. Може бути кейлоггер, знімок екрана чи щось, щоб знати, що я роблю, коли його немає в офісі.

Мені нічого не приховувати, тому я не знаю, чи він мені нічого не скаже, тому що він нічого не знайшов на місці, або тому, що я параноїк, і він мене не шпигує.

У будь-якому випадку я хочу бути впевненим, чи мене шпигують, тому що:

  1. Я не хочу працювати на когось, хто мені не довіряє
  2. Це незаконно, і я не дозволяю нікому зберігати мої паролі (я отримую доступ до своєї особистої електронної пошти, домашнього банківського рахунку та акаунта у Facebook під час перерв на обід) та особистої інформації.

Отже ... як я можу виявити шпигунське програмне забезпечення в iMac під керуванням OS X 10.6.8? У мене є повні дозволи адміністратора це знаю.

Я спробував сканувати всі папки в бібліотеці свого користувача та системної бібліотеки, але нічого не дзвонило жодним дзвоном, але оскільки я думаю, що будь-яке з цього програмного забезпечення приховає папку (за місцем розташування чи іменем), я не думаю, що знайду папку під назвою Дані працівника шпигуна

Я також роздивився всі процеси, що працюють в різні моменти за допомогою Monitor Monitor, але знову ж таки ... це не так, як процес називався б помічником SpyAgent

Чи є список відомих можливих папок / процесів, які потрібно шукати?

Будь-який інший спосіб виявити?


5
Це твій начальник. Приходь до мене завтра. Ні, просто жартую. Залежно від того, наскільки він кваліфікований, ви можете почати, перевіривши доступне програмне забезпечення цього типу для Mac OS X і спробувати, наприклад, натискання клавіш, які його активують. Також я не знайшов комерційного рішення, яке б пропонувало захоплення пароля.
Гарольд Кавендіш

1
Це не обов'язково незаконно, але це залежить від того, що говорить ваш трудовий договір, і я підозрюю, що це може бути законним, оскільки ви використовуєте обладнання, яке належить компанії
user151019

1
Аналогічне запитання у Super User . Ви також можете спробувати відстежувати мережевий трафік із додатком, як Little Snitch .
Лрі

Відповіді:


10

Будь-який тип руткіта, який коштує його солі, майже не виявиться в запущеній системі, оскільки він зачепить ядро ​​та / або замінить системні бінарні файли, щоб приховати себе. В основному тому, що ви бачите, не можна довіряти, оскільки не можна довіряти системі. Що потрібно зробити, це вимкнути систему, підключити зовнішній завантажувальний привід (не підключати його до запущеної системи), а потім завантажити систему із зовнішнього диска та шукати підозрілі програми.


2

Я зроблю гіпотезу, що ви вже ретельно перевірили, що всі найпоширеніші RAT вимкнено або мертві (всі знімки, ARD, Skype, VNC ...).

  1. На зовнішній та повністю надійний Mac, який працює також 10.6.8, встановіть один (або обидва) цих 2 кореневих детектора:

    1. rkhunter - це традиційний tgzспосіб створення та встановлення
    2. chkrootkit , які ви можете встановити через brewабо macports, наприклад:

      port install chkrootkit

  2. Перевірте їх на цьому надійному Mac.

  3. Збережіть їх на USB-ключі.

  4. Підключіть ключ до системи, яка підозрюється, що працює у звичайному режимі, як завжди, і запускайте їх.


1
Якщо руткіт може виявити роботу виконуваного файлу на спалах, він може приховати його дії. Краще, щоб завантажувати підозрілий mac у цільовому режимі, а потім сканувати з надійного mac.
Шервуд Ботсфорд

Хто переглянув вихідний код для всіх програм chkrootkit C, особливо сценарію «chkrootkit», щоб переконатися, що вони не заражають наші комп’ютери руткітами або ключами?
Керт

1

Одним із певних способів дізнатися, чи працює щось підозріле, є відкрити додаток Монітор активності, який можна відкрити за допомогою прожектора або перейти в Програми > Утиліти > Монітор активності . Додаток може ховатися від простого зору, але якщо він працює на машині, він обов'язково з’явиться в «Моніторі діяльності». Деякі речі там будуть мати смішні назви, але вони, як передбачається, працюють; тож якщо ви не впевнені, що це таке, можливо, Google це, перш ніж натиснути Вийти із процесу , або ви можете вимкнути щось важливе.


2
Деяке програмне забезпечення може виправити підпрограми таблиці процесів і приховати себе. Прості програми та програми, призначені для більш надійного (оскільки зміна цього низького рівня системи може спричинити проблеми) не приховуватимуть процесів або файлів, які він залишає після себе. Однак категорично сказати, що всі програми, безумовно, відображаються, не є гарною заявою, оскільки це нереально, щоб виправити Монітор активності або саму таблицю процесів з легкими інженерними роботами.
bmike

Це ризикована довіра відомому додатку ( Activity Monitor), який не надто важко збрехати.
дан

0

Якщо вас зламали, кейлоггер повинен повідомити. Це можна зробити негайно, або зберігати локально та періодично підписувати його до якогось мережевого пункту призначення.

Ваша найкраща ставка - відірвати старий ноутбук, в ідеалі, з двома портами Ethernet, або, якщо цього не вдасться за допомогою мережевої карти PCMCIA. Встановіть на нього систему BSD або Linux. (Я б порекомендував OpenBSD, а потім FreeBSD тільки через просте управління)

Налаштуйте ноутбук, щоб він був мостом - всі пакети передаються через. Запустіть tcpdump на трафіку назад і назад. Запишіть все на флешку. Періодично змінюйте накопичувач, відводьте заповнений диск додому та використовуйте ефірне чи фронт або подібне, щоб перейти через файл дампа і побачити, чи знайдете ви щось дивне.

Ви шукаєте трафік до незвичайної комбінації ip / port. Це важко. Не знайте жодних хороших інструментів, які допоможуть виграти тело.

Існує ймовірність, що шпигунське програмне забезпечення записує на локальний диск, що покриває його доріжки. Ви можете перевірити це, завантажившись з іншої машини, завантажте ваш Mac у цільовому режимі (він діє як пристрій Firewire) Скануйте гучність, захопивши всю деталь, яку ви можете.

Порівняйте два запуски цього в окремі дні, використовуючи розл. Це виключає файл, однаковий на обох запусках. Це не знайде все. Наприклад, додаток Blackhat може створити об'єм диска як файл. Це не сильно зміниться, якщо додаток Чорний може домовитись про те, щоб дати не змінилися.

Програмне забезпечення може допомогти: http://aide.sourceforge.net/ AIDE Розширене середовище виявлення вторгнень. Корисно для перегляду змінених файлів / дозволів. Націлений на * ix, не впевнений, як він обробляє розширені атрибути.

Сподіваюсь, це допомагає.


-2

Для виявлення та видалення програм ви можете використовувати будь-яке програмне забезпечення для видалення Macintosh (наприклад, CleanMyMac або MacKeeper).


Як ця людина знайде шпигунське програмне забезпечення в першу чергу (перед тим, як використовувати програму для видалення)?
МК

mackeeper - найгірше програмне забезпечення, яке було колись
Хуан
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.