Как обнаружить шпионское / кейлоггерное программное обеспечение? [Дубликат]

9

У меня есть серьезное подозрение, что мой босс установил какое-то шпионское программное обеспечение. Может быть, кейлоггер, снимок экрана или что-то, чтобы узнать, что я делаю, когда его нет в офисе.

Мне нечего скрывать, поэтому я не знаю, говорит ли он мне что-нибудь, потому что он не нашел ничего неуместного или потому что я параноик и он не шпионит за мной.

В любом случае, я хочу быть уверен, что меня шпионят, потому что:

  1. Я не хочу работать на кого-то, он мне не доверяет
  2. Это незаконно, и я не позволю никому хранить мои пароли (я получаю доступ к своей личной электронной почте, домашнему банку и учетной записи Facebook во время перерывов на обед) и личной информации.

Итак ... как я могу обнаружить шпионское программное обеспечение в iMac под управлением OS X 10.6.8? Я имею полные права администратора знаю это.

Я попытался отсканировать все папки в моей пользовательской и системной библиотеке, но ничего не прозвучало, но, поскольку я думаю, что любое из этого программного обеспечения скрыло бы папку (либо по местоположению, либо по имени), я не думаю, что найду папку с именем Employeee Spy Data

Я также просмотрел все процессы, запущенные в разные моменты, с помощью Activity Monitor, но опять же ... процесс не будет называться SpyAgent Helper

Есть ли список известных возможных папок / процессов для поиска?

Любой другой способ обнаружить?

Juan
источник
5
Это твой босс. Приходите ко мне завтра. Нет, просто шучу. В зависимости от его квалификации, вы можете начать с проверки доступного программного обеспечения этого типа для Mac OS X и, например, попробовать нажатия клавиш, которые его активируют. Кроме того, я не нашел коммерческого решения, предлагающего захват пароля.
Гарольд Кавендиш
1
Это не обязательно незаконно, но зависит от того, что говорится в вашем трудовом договоре, и я подозреваю, что это может быть законно, потому что вы используете оборудование, принадлежащее компании
user151019
1
Аналогичный вопрос у Super User . Вы также можете попробовать отслеживать сетевой трафик с помощью приложения вроде Little Snitch .
LRI

Ответы:

10

Любой вид руткита, достойного своей соли, будет почти не обнаружим в работающей системе, потому что он подключается к ядру и / или заменяет системные двоичные файлы, чтобы скрыть себя. По сути, тому, что вы видите, нельзя доверять, потому что системе нельзя доверять. Вам нужно выключить систему, подключить внешний загрузочный диск (не подключайте его к работающей системе), а затем загрузить систему с внешнего диска и найти подозрительные программы.

Tyr
источник
2

Я выдвину гипотезу, что вы уже тщательно проверили, все наиболее распространенные RAT отключены или мертвы (все разделы, ARD, Skype, VNC…).

  1. На внешнем и полностью надежном Mac с 10.6.8 установите один (или оба) из этих двух детекторов руткитов:

    1. rkhunter это традиционно собиратьtgz и устанавливать
    2. chkrootkit, который вы можете установить через brewили macports, например:

      port install chkrootkit

  2. Проверьте их на этом надежном Mac.

  3. Сохраните их на USB-ключ.

  4. Подключите ключ к вашей предполагаемой системе, работающей в обычном режиме, со всем, как обычно, и запустите их.

Дан
источник
1
Если руткит может обнаружить работу исполняемого файла на флэш-памяти, он может скрыть свои действия. Лучше загрузить подозрительный компьютер Mac в целевом режиме, а затем выполнить сканирование с доверенного компьютера Mac.
Шервуд Ботсфорд
Кто проверял исходный код всех программ chkrootkit на C, особенно сценария chkrootkit, чтобы убедиться, что они не заражают наши компьютеры руткитами или регистраторами ключей?
Курт
1

Один определенный способ проверить, запущено ли что-либо подозрительное, - это открыть приложение «Монитор активности», которое можно открыть с помощью Spotlight, или « Приложения» > « Утилиты» > « Монитор активности» . Приложение может скрыться от глаз, но если оно работает на компьютере, оно обязательно появится в Activity Monitor. У некоторых вещей там будут забавные имена, но они должны быть запущены; так что, если вы не уверены, что это такое, возможно, Google, прежде чем нажать Quit Process , или вы можете отключить что-то важное.

Воз
источник
2
Некоторые программы могут исправлять подпрограммы таблицы процессов и скрывать себя. Простые программы и программы, предназначенные для повышения надежности (поскольку изменение этого низкого уровня системы может вызвать проблемы) не будут скрывать процессы или файлы, которые она оставляет. Однако категорически утверждать, что все приложения определенно появляются, не является хорошим утверждением, поскольку тривиально исправлять Activity Monitor или саму таблицу процессов с помощью некоторой светотехнической работы.
bmike
Это рискованное доверие известному приложению ( Activity Monitor), не слишком сложное, чтобы лгать.
дан
0

Если вас взломали, кейлоггер должен сообщить. Он может сделать это либо сразу, либо сохранить локально и периодически извергать его в какой-либо сетевой пункт назначения.

Лучше всего отыскать старый ноутбук, в идеале с 2 портами Ethernet, или, если это не удастся, с помощью сетевой карты PCMCIA. Установите на него систему BSD или Linux. (Я бы порекомендовал OpenBSD, затем FreeBSD только из-за более простого управления)

Настройте ноутбук в качестве моста - все пакеты передаются через. Запустите tcpdump для трафика туда и обратно. Запишите все на флешку. Периодически меняйте диск, берите заполненный диск домой и используйте ethereal, snort или аналогичный, чтобы просмотреть файл дампа и посмотреть, не найдете ли вы что-нибудь странное

Вы ищете трафик на необычную комбинацию ip / port. Это сложно. Не знаю каких-либо хороших инструментов, которые помогут избавиться от мякины.

Существует вероятность того, что шпионское программное обеспечение записывает на локальный диск, покрывая его треки. Вы можете проверить это, загрузившись с другого компьютера, загрузив свой Mac в целевом режиме (он действует как устройство FireWire). Сканирование тома, захватывая все детали, которые вы можете.

Сравните два прогона этого в отдельные дни, используя diff. Это устраняет файлы, которые являются одинаковыми на обоих запусках. Это не все найдет. Например, приложение Blackhat может создать том диска в виде файла. Это не сильно изменится, если приложение Black сможет организовать даты, чтобы они не менялись.

Программное обеспечение может помочь: http://aide.sourceforge.net/ AIDE Усовершенствованная среда обнаружения вторжений. Полезно для просмотра измененных файлов / разрешений. Направленный на * ix, не уверен, как он обрабатывает расширенные атрибуты.

Надеюсь это поможет.

Шервуд Ботсфорд
источник
-2

Для обнаружения и удаления приложений вы можете использовать любое программное обеспечение для удаления для Macintosh (например, CleanMyMac или MacKeeper).

user63452
источник
Как этот человек в первую очередь найдет шпионское ПО (до использования приложения для удаления)?
MK
mackeeper - худшее программное обеспечение в мире
Хуан