กลุ่ม access_bpf คืออะไร

27

ไม่มีใครรู้ว่ากลุ่ม "access_bpf" คืออะไร / ไม่ ฉันสังเกตเห็นเมื่อฉันเข้าสู่การตั้งค่า> ผู้ใช้และกลุ่ม

ฉันค้นหาไปรอบ ๆ และพบว่ามีบางอย่างเกี่ยวกับ Wireshark แต่ฉันไม่ได้ติดตั้งโปรแกรมบน Mac ของฉันดังนั้นฉันจึงมั่นใจว่ากลุ่มจะเพิ่มได้อย่างไร

wireshark 
แอนดรู
แหล่งที่มา
2
การค้นหาที่ดี :) Wireshark เป็นสิ่งที่ทำให้กลุ่มนั้น เนื่องจากคุณจำไม่ได้ว่าติดตั้งมันอาจเป็นเพราะคนอื่น
Ruskes

คำตอบ:

27

ตัวติดตั้งของ Wireshark กำหนดค่าระบบของคุณเพื่อให้ผู้ใช้ที่ทำการติดตั้งสามารถจับภาพทราฟฟิกเครือข่ายโดยไม่ต้องใช้โปรแกรมจับภาพเพื่อรันเป็นรูท

วิธีการนี้คือ:

  • สร้างaccess_bpfกลุ่ม
  • นำผู้ใช้ไปไว้ในกลุ่มนั้น
  • ติดตั้ง StartupItem (ในเวอร์ชั่นที่เก่ากว่า) หรือ launch daemon (ในเวอร์ชั่นที่ใหม่กว่า) ซึ่งเมื่อระบบบู๊ตแล้วเปลี่ยนสิทธิ์ของอุปกรณ์ BPFเป็น rw-rw --- และเจ้าของกลุ่มของอุปกรณ์ BPF เป็นaccess_bpf;
  • จัดเรียงที่ StartupItem / launch daemon รันในเวลานั้น

หมายเหตุ BTW ว่าสิ่งนี้ยังช่วยให้คุณสามารถจับภาพการรับส่งข้อมูลด้วย Wireshark (หรือโปรแกรม TShark หรือ dumpcap ของ Wireshark) โดยไม่ต้องเรียกใช้เป็นรูท แต่ยังช่วยให้คุณสามารถจับภาพปริมาณการใช้งานด้วย tcpdump โดยไม่ต้องเรียกใช้

10

โปรแกรมติดตั้งสำหรับ Wireshark จะสร้างกลุ่ม access_bpf! หรือในกรณีของคุณที่รู้ :)

เนื่องจากคุณจำการติดตั้งและไม่ใช้งานได้ให้ลบมันทิ้งไป

ในการลบ Wireshark จากเครื่องของคุณให้ค้นหาไฟล์ต่อไปนี้บน Mac ของคุณและลบออกหากมีอยู่:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

ลบกลุ่ม access_bpf ด้วย

Ruskes
แหล่งที่มา
8

ไปที่การตั้งค่าระบบ -> ผู้ใช้ & กลุ่ม -> ปลดล็อคในฐานะผู้ดูแลระบบ -> เปิดฟิลด์กลุ่มภายใต้ผู้ใช้ -> เลือกและลบ

หรือผ่านทางเทอร์มินัลด้วย

sudo dscl . -delete /Groups/access_bpf
leon
แหล่งที่มา
ใช่ แต่คุณไม่ได้ตอบคำถามนั่นคือกลุ่มสำหรับ ... คนอื่นทำอะไร
Motti Shneor
คุณพูดถูก มันควรเป็นความคิดเห็นเกี่ยวกับวิธีการลบไม่ใช่คำตอบ อย่างไรก็ตามโพสต์ดั้งเดิมของฉันบอกว่ามันเป็นคำตอบสำหรับผู้โพสต์ก่อนหน้านี้ แต่มันได้รับการแก้ไขมากและสองครั้ง ทำให้ชัดเจนยิ่งขึ้น
ลีออน
1

สิ่งนี้อาจเป็นของคุณที่ถูกจู่โจมด้วยจาวาไดรฟ์จากการโจมตีของมัลแวร์

ในกรณีนี้บอทจะได้รับสิทธิ์ในการเข้าถึงรูทสร้างบัญชีแขก (อาจซ่อนได้ดี) และเริ่มมองหาพวงกุญแจของคุณ ..

ถ้าคุณเห็น mitmproxy ใต้ certs ให้โทรหา apple หรือติดต่อฝ่ายสนับสนุนที่เชื่อถือได้ทันที

พวกเขาคุยกับฉันทางโทรศัพท์ราวกับว่าพวกเขาไม่เคยได้ยินปัญหา

ความจริงยังคงยืนอยู่ที่ MacOS ไม่สมบูรณ์ หากคุณยังต้องการความช่วยเหลืออย่าลังเลที่จะเขียน

บ่อย
แหล่งที่มา
1
Thanis สำหรับการตอบรับ มัลแวร์มักจะปลอมตัวด้วยชื่อสามัญหรือชื่อที่คาดหวัง ฉันแก้ไขนิดหน่อย คุณอาจพิจารณารายงาน“ พวกเขาไม่เคยได้ยิน” แน่นอนว่าการให้การสนับสนุนอย่างมืออาชีพจะไม่เปิดเผยรายงานของผู้อื่นต่อคุณพวกเขามุ่งเน้นไปที่ปัญหาของคุณและของคุณคนเดียว ตามที่คุณแสดงประโยคใดประโยคหนึ่งที่พวกเขาพูดมักจะถูกโพสต์แบบสาธารณะโดยไม่มีบริบทของการสนทนาที่ยาวนานขึ้นดังนั้นพวกเขาจึงพยายามที่จะยึดข้อเท็จจริงที่ว่าพวกเขาอาจอยู่ในหน้าแรกของ Reddit ในวันพรุ่งนี้
bmike
0

กลุ่มนี้จะถูกสร้างขึ้นโดยการติดตั้ง Debookee เครื่องมือวิเคราะห์ปริมาณการใช้เครือข่ายของ macOS ซึ่งใช้ Wireshark ในตัว

https://debookee.com

Gummibando
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.