Jak wykryć oprogramowanie szpiegowskie / keylogger? [duplikować]

9

Mam poważne podejrzenia, że ​​mój szef zainstalował oprogramowanie szpiegowskie. Może keylogger, zrzut ekranu lub coś, żeby wiedzieć, co robię, kiedy nie ma go w biurze.

Nie mam nic do ukrycia, więc nie wiem, czy nic mi nie powie, bo nie znalazł niczego nie na miejscu, albo dlatego, że jestem paranoikiem, a on mnie nie szpieguje.

Tak czy inaczej chcę być pewien, czy ktoś mnie śledzi, ponieważ:

  1. Nie chcę pracować dla kogoś, kto mi nie ufa
  2. Jest to nielegalne i nie zezwalam nikomu na przechowywanie moich haseł (podczas przerw na lunch uzyskuję dostęp do mojego osobistego adresu e-mail, bankowości domowej i konta na Facebooku) oraz danych osobowych.

Więc ... jak mogę wykryć oprogramowanie szpiegowskie w komputerze iMac z systemem OS X 10.6.8? Mam pełne uprawnienia administratora, wiem o tym.

Próbowałem skanować wszystkie foldery w bibliotece użytkownika i systemu, ale nic nie zadzwoniło, ale ponieważ uważam, że którekolwiek z tych programów ukryłoby folder (według lokalizacji lub nazwy), nie sądzę, że znajdę folder o nazwie Employeee Spy Data

Patrzyłem też na wszystkie procesy uruchomione w różnych momentach za pomocą Monitora aktywności, ale znowu ... to nie tak, że proces nazywałby się SpyAgent Helper

Czy istnieje lista znanych możliwych folderów / procesów do wyszukania?

Jakikolwiek inny sposób na wykrycie?

snow-leopard privacy Juan
źródło
5
To jest twój szef. Przyjdź do mnie jutro. Nie, żartuję. W zależności od jego umiejętności możesz zacząć od sprawdzenia dostępnego oprogramowania tego typu dla Mac OS X i wypróbowania np. Naciśnięć klawiszy, które go aktywują. Ponadto nie znalazłem komercyjnego rozwiązania oferującego przechwytywanie hasła.
Harold Cavendish
1
To niekoniecznie jest nielegalne, ale zależy od tego, co mówi twoja umowa o pracę i podejrzewam, że może być legalne, ponieważ używasz sprzętu będącego własnością firmy
użytkownik151019
1
Podobne pytanie w Super User . Możesz także spróbować monitorować ruch w sieci za pomocą aplikacji takiej jak Little Snitch .
Lri

Odpowiedzi:

10

Każdy rodzaj rootkita wartego jego soli będzie prawie niewykrywalny w działającym systemie, ponieważ zaczepiają się o jądro i / lub zastępują binaria systemowe, aby się ukryć. Zasadniczo nie można ufać temu, co widzisz, ponieważ nie można ufać systemowi. Co musisz zrobić, to wyłączyć system, podłączyć zewnętrzny dysk rozruchowy (nie podłączać go do działającego systemu), a następnie uruchomić system z zewnętrznego dysku i poszukać podejrzanych programów.

Tyr
źródło
2

Zrobię hipotezę, że już dokładnie sprawdziłeś, że wszystkie najczęstsze RAT są wyłączone lub martwe (wszystkie udostępnienia, ARD, Skype, VNC…).

  1. Na zewnętrznym iw pełni zaufanym komputerze Mac z systemem 10.6.8 zainstaluj jeden (lub oba) z tych detektorów rootkitów:

    1. rkhunter to tradycyjny program tgzdo budowy i instalacji

    2. chkrootkit, który możesz zainstalować za pomocą brewlub macportsna przykład:

      port install chkrootkit

  2. Przetestuj je na tym zaufanym komputerze Mac.

  3. Zapisz je na kluczu USB.

  4. Podłącz swój klucz do podejrzanego systemu działającego w trybie normalnym ze wszystkim, co zwykle, i uruchom je.

dan
źródło
1
Jeśli rootkit wykryje działanie pliku wykonywalnego we flashu, może ukryć jego działania. Lepiej, aby uruchomić podejrzanego Maca w trybie docelowym, a następnie skanować z zaufanego Maca.
Sherwood Botsford,
Kto sprawdził kod źródłowy wszystkich programów chkrootkit C, a zwłaszcza skrypt „chkrootkit”, aby upewnić się, że nie infekują one naszych komputerów rootkitami lub rejestratorami kluczy?
Curt
1

Jednym z określonych sposobów sprawdzenia, czy działa coś podejrzanego, jest otwarcie aplikacji Monitor aktywności, którą można otworzyć za pomocą Spotlight lub przejść do Aplikacje > Narzędzia > Monitor aktywności . Aplikacja może ukryć się przed wzrokiem, ale jeśli działa na komputerze, na pewno pojawi się w monitorze aktywności. Niektóre rzeczy będą miały śmieszne nazwy, ale powinny działać; więc jeśli nie masz pewności, co to jest, może Google go przed kliknięciem Zakończ proces lub możesz wyłączyć coś ważnego.

woz
źródło
2
Niektóre programy mogą łatać procedury tabeli procesów i się ukrywać. Proste programy i te, które mają być bardziej niezawodne (ponieważ modyfikacja tego niskiego poziomu systemu może powodować problemy), nie ukrywają procesów ani plików, które pozostawiają. Jednak kategoryczne stwierdzenie, że wszystkie aplikacje zdecydowanie się wyświetlają, nie jest dobrym stwierdzeniem, ponieważ łatanie Monitora aktywności lub samej tabeli procesów przy pomocy lekkich prac inżynieryjnych jest banalne.
bmike
Jest to ryzykowne zaufanie do znanej aplikacji ( Activity Monitor), która nie jest zbyt trudna do kłamstwa.
dn
0

Jeśli zostałeś zhakowany, keylogger musi się zgłosić. Może to zrobić albo natychmiast, albo przechowywać lokalnie i okresowo wyrzucać do jakiegoś miejsca w sieci.

Najlepszym rozwiązaniem jest przeglądanie starego laptopa, najlepiej z 2 portami ethernetowymi lub, jeśli nie, z kartą sieciową PCMCIA. Zainstaluj na nim system BSD lub Linux. (Polecam OpenBSD, a następnie FreeBSD tylko ze względu na łatwiejsze zarządzanie)

Skonfiguruj laptopa, aby działał jak most - wszystkie pakiety są przekazywane. Uruchom tcpdump w ruchu tam iz powrotem. Napisz wszystko na dysk flash. Od czasu do czasu zmieniaj dysk, zabieraj napełniony dysk do domu i używaj eterycznego, snortowania lub podobnego, aby przeglądać plik zrzutu i sprawdzać, czy znajdziesz coś dziwnego.

Szukasz ruchu do nietypowej kombinacji adresu IP / portu. To trudne. Nie znam żadnych dobrych narzędzi, które pomogłyby pozbyć się plewy.

Istnieje możliwość, że oprogramowanie szpiegujące zapisuje na dysku lokalnym, pokrywając ślady. Możesz to sprawdzić, uruchamiając z innej maszyny, uruchamiając komputer Mac w trybie docelowym (działa jak urządzenie firewire). Skanuj wolumin, chwytając wszystkie szczegóły, jakie możesz.

Porównaj dwie serie tego w różne dni, używając diff. To eliminuje plik, który jest taki sam na obu uruchomieniach. To nie znajdzie wszystkiego. Np. Aplikacja Blackhat może utworzyć wolumin dysku jako plik. Nie zmieni to wiele, jeśli aplikacja Black może ustawić daty, które nie ulegną zmianie.

Oprogramowanie może pomóc: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Przydatne do oglądania zmienionych plików / uprawnień. Skierowany na * ix, nie jestem pewien, jak obsługuje rozszerzone atrybuty.

Mam nadzieję że to pomoże.

Sherwood Botsford
źródło
-2

Aby wykryć i usunąć aplikacje, możesz użyć dowolnego oprogramowania do odinstalowywania dla komputerów Macintosh (takiego jak CleanMyMac lub MacKeeper).

użytkownik63452
źródło
Jak ta osoba w pierwszej kolejności znalazłaby oprogramowanie szpiegujące (przed użyciem aplikacji do odinstalowywania)?
MK
mackeeper to najgorsze oprogramowanie w historii
Juan