Как обнаружить шпионское / кейлоггерное программное обеспечение? [Дубликат]

У меня есть серьезное подозрение, что мой босс установил какое-то шпионское программное обеспечение. Может быть, кейлоггер, снимок экрана или что-то, чтобы узнать, что я делаю, когда его нет в офисе.

Мне нечего скрывать, поэтому я не знаю, говорит ли он мне что-нибудь, потому что он не нашел ничего неуместного или потому что я параноик и он не шпионит за мной.

В любом случае, я хочу быть уверен, что меня шпионят, потому что:

1. Я не хочу работать на кого-то, он мне не доверяет
2. Это незаконно, и я не позволю никому хранить мои пароли (я получаю доступ к своей личной электронной почте, домашнему банку и учетной записи Facebook во время перерывов на обед) и личной информации.

Итак ... как я могу обнаружить шпионское программное обеспечение в iMac под управлением OS X 10.6.8? Я имею полные права администратора знаю это.

Я попытался отсканировать все папки в моей пользовательской и системной библиотеке, но ничего не прозвучало, но, поскольку я думаю, что любое из этого программного обеспечения скрыло бы папку (либо по местоположению, либо по имени), я не думаю, что найду папку с именем Employeee Spy Data

Я также просмотрел все процессы, запущенные в разные моменты, с помощью Activity Monitor, но опять же ... процесс не будет называться SpyAgent Helper

Есть ли список известных возможных папок / процессов для поиска?

Любой другой способ обнаружить?

Любой вид руткита, достойного своей соли, будет почти не обнаружим в работающей системе, потому что он подключается к ядру и / или заменяет системные двоичные файлы, чтобы скрыть себя. По сути, тому, что вы видите, нельзя доверять, потому что системе нельзя доверять. Вам нужно выключить систему, подключить внешний загрузочный диск (не подключайте его к работающей системе), а затем загрузить систему с внешнего диска и найти подозрительные программы.

Я выдвину гипотезу, что вы уже тщательно проверили, все наиболее распространенные RAT отключены или мертвы (все разделы, ARD, Skype, VNC…).

1. На внешнем и полностью надежном Mac с 10.6.8 установите один (или оба) из этих двух детекторов руткитов:

   1. rkhunter это традиционно собиратьtgz и устанавливать

   2. chkrootkit, который вы можете установить через brewили macports, например:

      port install chkrootkit

2. Проверьте их на этом надежном Mac.

3. Сохраните их на USB-ключ.

4. Подключите ключ к вашей предполагаемой системе, работающей в обычном режиме, со всем, как обычно, и запустите их.

Один определенный способ проверить, запущено ли что-либо подозрительное, - это открыть приложение «Монитор активности», которое можно открыть с помощью Spotlight, или « Приложения» > « Утилиты» > « Монитор активности» . Приложение может скрыться от глаз, но если оно работает на компьютере, оно обязательно появится в Activity Monitor. У некоторых вещей там будут забавные имена, но они должны быть запущены; так что, если вы не уверены, что это такое, возможно, Google, прежде чем нажать Quit Process , или вы можете отключить что-то важное.

Если вас взломали, кейлоггер должен сообщить. Он может сделать это либо сразу, либо сохранить локально и периодически извергать его в какой-либо сетевой пункт назначения.

Лучше всего отыскать старый ноутбук, в идеале с 2 портами Ethernet, или, если это не удастся, с помощью сетевой карты PCMCIA. Установите на него систему BSD или Linux. (Я бы порекомендовал OpenBSD, затем FreeBSD только из-за более простого управления)

Настройте ноутбук в качестве моста - все пакеты передаются через. Запустите tcpdump для трафика туда и обратно. Запишите все на флешку. Периодически меняйте диск, берите заполненный диск домой и используйте ethereal, snort или аналогичный, чтобы просмотреть файл дампа и посмотреть, не найдете ли вы что-нибудь странное

Вы ищете трафик на необычную комбинацию ip / port. Это сложно. Не знаю каких-либо хороших инструментов, которые помогут избавиться от мякины.

Существует вероятность того, что шпионское программное обеспечение записывает на локальный диск, покрывая его треки. Вы можете проверить это, загрузившись с другого компьютера, загрузив свой Mac в целевом режиме (он действует как устройство FireWire). Сканирование тома, захватывая все детали, которые вы можете.

Сравните два прогона этого в отдельные дни, используя diff. Это устраняет файлы, которые являются одинаковыми на обоих запусках. Это не все найдет. Например, приложение Blackhat может создать том диска в виде файла. Это не сильно изменится, если приложение Black сможет организовать даты, чтобы они не менялись.

Программное обеспечение может помочь: http://aide.sourceforge.net/ AIDE Усовершенствованная среда обнаружения вторжений. Полезно для просмотра измененных файлов / разрешений. Направленный на * ix, не уверен, как он обрабатывает расширенные атрибуты.

Надеюсь это поможет.

Для обнаружения и удаления приложений вы можете использовать любое программное обеспечение для удаления для Macintosh (например, CleanMyMac или MacKeeper).