Як виявити програмне забезпечення шпигуна / кейлоггера? [дублікат]

У мене є серйозні переконання, що мій бос встановив якесь шпигунське програмне забезпечення. Може бути кейлоггер, знімок екрана чи щось, щоб знати, що я роблю, коли його немає в офісі.

Мені нічого не приховувати, тому я не знаю, чи він мені нічого не скаже, тому що він нічого не знайшов на місці, або тому, що я параноїк, і він мене не шпигує.

У будь-якому випадку я хочу бути впевненим, чи мене шпигують, тому що:

1. Я не хочу працювати на когось, хто мені не довіряє
2. Це незаконно, і я не дозволяю нікому зберігати мої паролі (я отримую доступ до своєї особистої електронної пошти, домашнього банківського рахунку та акаунта у Facebook під час перерв на обід) та особистої інформації.

Отже ... як я можу виявити шпигунське програмне забезпечення в iMac під керуванням OS X 10.6.8? У мене є повні дозволи адміністратора це знаю.

Я спробував сканувати всі папки в бібліотеці свого користувача та системної бібліотеки, але нічого не дзвонило жодним дзвоном, але оскільки я думаю, що будь-яке з цього програмного забезпечення приховає папку (за місцем розташування чи іменем), я не думаю, що знайду папку під назвою Дані працівника шпигуна

Я також роздивився всі процеси, що працюють в різні моменти за допомогою Monitor Monitor, але знову ж таки ... це не так, як процес називався б помічником SpyAgent

Чи є список відомих можливих папок / процесів, які потрібно шукати?

Будь-який інший спосіб виявити?

Будь-який тип руткіта, який коштує його солі, майже не виявиться в запущеній системі, оскільки він зачепить ядро ​​та / або замінить системні бінарні файли, щоб приховати себе. В основному тому, що ви бачите, не можна довіряти, оскільки не можна довіряти системі. Що потрібно зробити, це вимкнути систему, підключити зовнішній завантажувальний привід (не підключати його до запущеної системи), а потім завантажити систему із зовнішнього диска та шукати підозрілі програми.

Я зроблю гіпотезу, що ви вже ретельно перевірили, що всі найпоширеніші RAT вимкнено або мертві (всі знімки, ARD, Skype, VNC ...).

1. На зовнішній та повністю надійний Mac, який працює також 10.6.8, встановіть один (або обидва) цих 2 кореневих детектора:

   1. rkhunter - це традиційний tgzспосіб створення та встановлення

   2. chkrootkit , які ви можете встановити через brewабо macports, наприклад:

      port install chkrootkit

2. Перевірте їх на цьому надійному Mac.

3. Збережіть їх на USB-ключі.

4. Підключіть ключ до системи, яка підозрюється, що працює у звичайному режимі, як завжди, і запускайте їх.

Одним із певних способів дізнатися, чи працює щось підозріле, є відкрити додаток Монітор активності, який можна відкрити за допомогою прожектора або перейти в Програми > Утиліти > Монітор активності . Додаток може ховатися від простого зору, але якщо він працює на машині, він обов'язково з’явиться в «Моніторі діяльності». Деякі речі там будуть мати смішні назви, але вони, як передбачається, працюють; тож якщо ви не впевнені, що це таке, можливо, Google це, перш ніж натиснути Вийти із процесу , або ви можете вимкнути щось важливе.

Якщо вас зламали, кейлоггер повинен повідомити. Це можна зробити негайно, або зберігати локально та періодично підписувати його до якогось мережевого пункту призначення.

Ваша найкраща ставка - відірвати старий ноутбук, в ідеалі, з двома портами Ethernet, або, якщо цього не вдасться за допомогою мережевої карти PCMCIA. Встановіть на нього систему BSD або Linux. (Я б порекомендував OpenBSD, а потім FreeBSD тільки через просте управління)

Налаштуйте ноутбук, щоб він був мостом - всі пакети передаються через. Запустіть tcpdump на трафіку назад і назад. Запишіть все на флешку. Періодично змінюйте накопичувач, відводьте заповнений диск додому та використовуйте ефірне чи фронт або подібне, щоб перейти через файл дампа і побачити, чи знайдете ви щось дивне.

Ви шукаєте трафік до незвичайної комбінації ip / port. Це важко. Не знайте жодних хороших інструментів, які допоможуть виграти тело.

Існує ймовірність, що шпигунське програмне забезпечення записує на локальний диск, що покриває його доріжки. Ви можете перевірити це, завантажившись з іншої машини, завантажте ваш Mac у цільовому режимі (він діє як пристрій Firewire) Скануйте гучність, захопивши всю деталь, яку ви можете.

Порівняйте два запуски цього в окремі дні, використовуючи розл. Це виключає файл, однаковий на обох запусках. Це не знайде все. Наприклад, додаток Blackhat може створити об'єм диска як файл. Це не сильно зміниться, якщо додаток Чорний може домовитись про те, щоб дати не змінилися.

Програмне забезпечення може допомогти: http://aide.sourceforge.net/ AIDE Розширене середовище виявлення вторгнень. Корисно для перегляду змінених файлів / дозволів. Націлений на * ix, не впевнений, як він обробляє розширені атрибути.

Сподіваюсь, це допомагає.

Для виявлення та видалення програм ви можете використовувати будь-яке програмне забезпечення для видалення Macintosh (наприклад, CleanMyMac або MacKeeper).