Casus / keylogger yazılımı nasıl tespit edilir? [çiftleme]

9

Patronumun bir tür casus yazılım yüklediği konusunda ciddi bir şüphem var. Belki bir keylogger, ekran görüntüsü veya ofiste olmadığında ne yaptığımı bilmek için bir şey.

Saklanacak hiçbir şeyim yok, bu yüzden bana bir şey söylemediğini bilmiyorum çünkü yerinde bir şey bulamadı veya paranoyak olduğum ve beni gözetlemediğinden.

Her iki şekilde de casusluk yaptığımdan emin olmak istiyorum çünkü:

  1. Bana güvenmediği biri için çalışmak istemiyorum
  2. Bu yasa dışıdır ve kimsenin şifreleri (öğle tatili sırasında kişisel e-postama, homebanking ve Facebook hesabına erişiyorum) ve kişisel bilgilerimi saklamasına izin vermeyeceğim.

Peki ... OS X 10.6.8 çalıştıran bir iMac'te casus yazılımı nasıl tespit edebilirim? Tam yönetici izinlerine sahibim.

Kullanıcının ve sistem Kütüphanemdeki tüm klasörleri taramayı denedim ama hiçbir şey herhangi bir çan çalmadı, ancak bu yazılımın herhangi birinin klasörü gizleyeceğini düşündüğümden (konuma veya ada göre) Çalışan Casus Verileri adlı bir klasör bulacağımı sanmıyorum

Ayrıca Etkinlik Monitörü ile farklı anlarda çalışan tüm süreçlere baktım ama yine ... bu işlem SpyAgent Helper olarak adlandırılacak gibi değil

Aranacak bilinen olası klasörlerin / işlemlerin bir listesi var mı?

Algılamanın başka bir yolu var mı?

snow-leopard  privacy 
Juan
kaynak
5
Bu senin patronun. Gel yarın görüşürüz. Hayır, şaka yapıyorum. Ne kadar yetenekli olduğuna bağlı olarak, Mac OS X için bu tür mevcut yazılımı kontrol ederek ve örneğin onu etkinleştiren tuş vuruşlarını deneyerek başlayabilirsiniz. Ayrıca, şifre yakalama sunan ticari bir çözüm bulamadım.
Harold Cavendish
1
Mutlaka yasadışı değildir, ancak iş sözleşmenizin söylediklerine bağlıdır ve sadece şirketin sahibi olduğu ekipmanı kullandığınızdan yasal olabileceğinden şüpheleniyorum
user151019
1
Süper Kullanıcı'da benzer bir soru . Little Snitch gibi bir uygulama ile ağ trafiğini izlemeyi de deneyebilirsiniz .
Lri

Yanıtlar:

10

Tuzuna değecek her türlü rootkit, çalışan bir sistemde neredeyse algılanamayacaktır, çünkü çekirdeğe bağlanırlar ve / veya kendini gizlemek için sistem ikili dosyalarını değiştirirler. Temelde gördüğünüz şeye güvenilemez çünkü sisteme güvenilemez. Yapmanız gereken, sistemi kapatmak, harici bir önyükleme sürücüsü bağlamak (çalışan sisteme bağlamayın) ve ardından sistemi harici bir diskten önyüklemek ve şüpheli programları aramaktır.

Tyr
kaynak
2

En yaygın RAT'ın tamamen kapalı veya ölü olduğunu (tüm paylaşımlar, ARD, Skype, VNC…) ​​iyice kontrol ettiğiniz hipotezini yapacağım.

  1. Ayrıca 10.6.8 çalıştıran harici ve tamamen güvenilir bir Mac'e, bu 2 rootkit dedektöründen birini (veya her ikisini) yükleyin:

    1. rkhunter bu bir gelenektir tgzinşa etmek ve yüklemek

    2. brewveya üzerinden yükleyebileceğiniz chkrootkitmacports , örneğin:

      port install chkrootkit

  2. Bu güvenilir Mac'te test edin.

  3. Bunları bir USB anahtarına kaydedin.

  4. Anahtarınızı her zamanki gibi normal modda çalışan şüpheli sisteminize takın ve çalıştırın.

dan
kaynak
1
Rootkit, bir flaşta yürütülebilir bir dosyanın çalışmasını algılayabilirse, eylemlerini gizleyebilir. Daha iyisi, şüpheli mac'u hedef modda önyüklemek için, ardından güvenilir mac'tan tarayın.
Sherwood Botsford
Tüm chkrootkit C programlarının, özellikle de “chkrootkit” komut dosyasının kaynak kodunu, bilgisayarlarımıza rootkit ya da key logger bulaşmadığından emin olmak için kim inceledi?
Curt
1

Şüpheli bir şeyin çalışıp çalışmadığını görmenin kesin bir yolu, Spotlight ile açabileceğiniz veya Uygulamalar > Yardımcı Programlar > Etkinlik Monitörü'ne gidebileceğiniz Etkinlik Monitörü uygulamasını açmaktır . Bir uygulama düz görüşten gizlenebilir, ancak makinede çalışıyorsa, kesinlikle Etkinlik Monitörü'nde görünecektir. Orada bazı şeylerin komik isimleri olacak, ama koşmaları gerekiyordu; bu yüzden ne olduğundan emin değilseniz, İşlemden Çık'ı tıklamadan önce Google'ı kullanabilirsiniz veya önemli bir şeyi kapatabilirsiniz.

woz
kaynak
2
Bazı yazılımlar işlem tablosu rutinlerini yayabilir ve kendilerini gizleyebilir. Basit programlar ve daha güvenilir olması amaçlananlar (sistemin düşük seviyesinin değiştirilmesi sorunlara neden olabileceğinden) geride bıraktığı işlemleri veya dosyaları gizlemez. Bununla birlikte, kategorik olarak tüm uygulamaların kesinlikle ortaya çıktığını söylemek iyi bir ifade değildir çünkü Etkinlik Monitörünü veya süreç tablosunu hafif bir mühendislik çalışmasıyla yamalamak önemsizdir.
bmike
Bu yalan söylemek çok zor değil bilinen bir uygulama ( ) riskli bir güvenActivity Monitor .
dan
0

Saldırıya uğradıysanız, keylogger rapor vermek zorundadır. Bunu hemen yapabilir veya yerel olarak depolayabilir ve belirli bir ağ hedefine periyodik olarak yayabilir.

En iyi seçeneğiniz, ideal olarak 2 ethernet bağlantı noktasına sahip eski bir dizüstü bilgisayarı taramak veya PCMCIA ağ kartıyla başarısız olmaktır. Üzerine bir BSD veya Linux sistemi kurun. (Daha kolay yönetim nedeniyle OpenBSD'yi, ardından FreeBSD'yi öneririm)

Dizüstü bilgisayarı köprü görevi görecek şekilde ayarlayın - tüm paketler aktarılır. Trafikte ileri geri tcpdump komutunu çalıştırın. Her şeyi bir flash sürücüye yazın. Sürücüyü periyodik olarak değiştirin, dolu sürücüyü eve götürün ve döküm dosyasından geçmek için eterik veya snort veya benzeri kullanın ve garip bir şey bulup bulmadığınızı görün.

Alışılmadık bir ip / port kombinasyonuna trafik arıyorsunuz. Bu zor. Samanı yok etmeye yardımcı olacak iyi araçlar bilmiyorum.

Casus yazılımın izlerini kapsayan yerel diske yazma olasılığı vardır. Bunu başka bir makineden önyükleme yaparak, mac'unuzu hedef modda önyükleyerek kontrol edebilirsiniz (bir firewire cihazı gibi davranır) Birimi tarayın, yapabileceğiniz tüm ayrıntıları yakalayın.

Farklı günlerde bunun iki çalışmasını diff. Bu, her iki çalıştırmada da aynı olan dosyayı ortadan kaldırır. Bu her şeyi bulamaz. Bir Blackhat uygulaması dosya olarak bir disk birimi oluşturabilir. Black uygulaması tarihlerin değişmemesi için düzenleme yapabilirse bu fazla değişmeyecektir.

Yazılım yardımcı olabilir: http://aide.sourceforge.net/ AIDE Gelişmiş Saldırı Tespit Ortamı. Değişen dosyaları / izinleri izlemek için kullanışlıdır. * İx'i hedefleyen, genişletilmiş özellikleri nasıl işlediğinden emin değil.

Bu yardımcı olur umarım.

Sherwood Botsford
kaynak
-2

Uygulamaları algılamak ve silmek için Macintosh için herhangi bir kaldırma yazılımını kullanabilirsiniz (CleanMyMac veya MacKeeper gibi).

user63452
kaynak
Bu kişi casus yazılımı ilk etapta (kaldırma uygulamasını kullanmadan önce) nasıl bulur?
MK
uskumru şimdiye kadarki en kötü yazılım
Juan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.