Jak wykryć oprogramowanie szpiegowskie / keylogger? [duplikować]

Mam poważne podejrzenia, że ​​mój szef zainstalował oprogramowanie szpiegowskie. Może keylogger, zrzut ekranu lub coś, żeby wiedzieć, co robię, kiedy nie ma go w biurze.

Nie mam nic do ukrycia, więc nie wiem, czy nic mi nie powie, bo nie znalazł niczego nie na miejscu, albo dlatego, że jestem paranoikiem, a on mnie nie szpieguje.

Tak czy inaczej chcę być pewien, czy ktoś mnie śledzi, ponieważ:

1. Nie chcę pracować dla kogoś, kto mi nie ufa
2. Jest to nielegalne i nie zezwalam nikomu na przechowywanie moich haseł (podczas przerw na lunch uzyskuję dostęp do mojego osobistego adresu e-mail, bankowości domowej i konta na Facebooku) oraz danych osobowych.

Więc ... jak mogę wykryć oprogramowanie szpiegowskie w komputerze iMac z systemem OS X 10.6.8? Mam pełne uprawnienia administratora, wiem o tym.

Próbowałem skanować wszystkie foldery w bibliotece użytkownika i systemu, ale nic nie zadzwoniło, ale ponieważ uważam, że którekolwiek z tych programów ukryłoby folder (według lokalizacji lub nazwy), nie sądzę, że znajdę folder o nazwie Employeee Spy Data

Patrzyłem też na wszystkie procesy uruchomione w różnych momentach za pomocą Monitora aktywności, ale znowu ... to nie tak, że proces nazywałby się SpyAgent Helper

Czy istnieje lista znanych możliwych folderów / procesów do wyszukania?

Jakikolwiek inny sposób na wykrycie?

Każdy rodzaj rootkita wartego jego soli będzie prawie niewykrywalny w działającym systemie, ponieważ zaczepiają się o jądro i / lub zastępują binaria systemowe, aby się ukryć. Zasadniczo nie można ufać temu, co widzisz, ponieważ nie można ufać systemowi. Co musisz zrobić, to wyłączyć system, podłączyć zewnętrzny dysk rozruchowy (nie podłączać go do działającego systemu), a następnie uruchomić system z zewnętrznego dysku i poszukać podejrzanych programów.

Zrobię hipotezę, że już dokładnie sprawdziłeś, że wszystkie najczęstsze RAT są wyłączone lub martwe (wszystkie udostępnienia, ARD, Skype, VNC…).

1. Na zewnętrznym iw pełni zaufanym komputerze Mac z systemem 10.6.8 zainstaluj jeden (lub oba) z tych detektorów rootkitów:

   1. rkhunter to tradycyjny program tgzdo budowy i instalacji

   2. chkrootkit, który możesz zainstalować za pomocą brewlub macportsna przykład:

      port install chkrootkit

2. Przetestuj je na tym zaufanym komputerze Mac.

3. Zapisz je na kluczu USB.

4. Podłącz swój klucz do podejrzanego systemu działającego w trybie normalnym ze wszystkim, co zwykle, i uruchom je.

Jednym z określonych sposobów sprawdzenia, czy działa coś podejrzanego, jest otwarcie aplikacji Monitor aktywności, którą można otworzyć za pomocą Spotlight lub przejść do Aplikacje > Narzędzia > Monitor aktywności . Aplikacja może ukryć się przed wzrokiem, ale jeśli działa na komputerze, na pewno pojawi się w monitorze aktywności. Niektóre rzeczy będą miały śmieszne nazwy, ale powinny działać; więc jeśli nie masz pewności, co to jest, może Google go przed kliknięciem Zakończ proces lub możesz wyłączyć coś ważnego.

Jeśli zostałeś zhakowany, keylogger musi się zgłosić. Może to zrobić albo natychmiast, albo przechowywać lokalnie i okresowo wyrzucać do jakiegoś miejsca w sieci.

Najlepszym rozwiązaniem jest przeglądanie starego laptopa, najlepiej z 2 portami ethernetowymi lub, jeśli nie, z kartą sieciową PCMCIA. Zainstaluj na nim system BSD lub Linux. (Polecam OpenBSD, a następnie FreeBSD tylko ze względu na łatwiejsze zarządzanie)

Skonfiguruj laptopa, aby działał jak most - wszystkie pakiety są przekazywane. Uruchom tcpdump w ruchu tam iz powrotem. Napisz wszystko na dysk flash. Od czasu do czasu zmieniaj dysk, zabieraj napełniony dysk do domu i używaj eterycznego, snortowania lub podobnego, aby przeglądać plik zrzutu i sprawdzać, czy znajdziesz coś dziwnego.

Szukasz ruchu do nietypowej kombinacji adresu IP / portu. To trudne. Nie znam żadnych dobrych narzędzi, które pomogłyby pozbyć się plewy.

Istnieje możliwość, że oprogramowanie szpiegujące zapisuje na dysku lokalnym, pokrywając ślady. Możesz to sprawdzić, uruchamiając z innej maszyny, uruchamiając komputer Mac w trybie docelowym (działa jak urządzenie firewire). Skanuj wolumin, chwytając wszystkie szczegóły, jakie możesz.

Porównaj dwie serie tego w różne dni, używając diff. To eliminuje plik, który jest taki sam na obu uruchomieniach. To nie znajdzie wszystkiego. Np. Aplikacja Blackhat może utworzyć wolumin dysku jako plik. Nie zmieni to wiele, jeśli aplikacja Black może ustawić daty, które nie ulegną zmianie.

Oprogramowanie może pomóc: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Przydatne do oglądania zmienionych plików / uprawnień. Skierowany na * ix, nie jestem pewien, jak obsługuje rozszerzone atrybuty.

Mam nadzieję że to pomoże.

Aby wykryć i usunąć aplikacje, możesz użyć dowolnego oprogramowania do odinstalowywania dla komputerów Macintosh (takiego jak CleanMyMac lub MacKeeper).