วิธีการตรวจจับซอฟต์แวร์สอดแนม / คีย์ล็อกเกอร์? [ซ้ำ]

9

ฉันสงสัยว่าหัวหน้าของฉันติดตั้งซอฟต์แวร์สอดแนมบางอย่าง อาจเป็นกุญแจล็อกเกอร์การจับภาพหน้าจอหรือสิ่งที่ต้องรู้ว่าฉันทำอะไรเมื่อเขาไม่ได้อยู่ที่ออฟฟิศ

ฉันไม่มีอะไรปิดบังดังนั้นฉันไม่รู้ว่าเขาไม่บอกอะไรฉันหรือเปล่าเพราะเขาไม่พบอะไรนอกสถานที่หรือเพราะฉันเป็นคนหวาดระแวงและเขาไม่ได้แอบดูฉัน

ทั้งสองวิธีที่ฉันต้องการแน่ใจว่าฉันถูกสอดแนมเพราะ:

  1. ฉันไม่ต้องการทำงานให้คนที่เขาไม่เชื่อใจฉัน
  2. มันผิดกฎหมายและฉันจะไม่อนุญาตให้ใครเก็บรหัสผ่านของฉัน (ฉันเข้าถึงอีเมลส่วนบุคคลบัญชีธนาคารและ Facebook ในช่วงพักเที่ยง) และข้อมูลส่วนบุคคล

ดังนั้น ... ฉันจะตรวจจับซอฟต์แวร์สอดแนมใน iMac ที่ใช้ OS X 10.6.8 ได้อย่างไร ฉันมีสิทธิ์ของผู้ดูแลระบบเต็มรูปแบบรู้หรือไม่

ฉันพยายามสแกนโฟลเดอร์ทั้งหมดในผู้ใช้ของฉันและห้องสมุดระบบ แต่ไม่มีอะไรดังเบลล์ แต่เนื่องจากฉันคิดว่าซอฟต์แวร์ใด ๆ นี้จะซ่อนโฟลเดอร์ (ไม่ว่าจะตามที่ตั้งหรือชื่อ) ฉันไม่คิดว่าจะหาโฟลเดอร์ชื่อ Employeee Spy Data

ฉันดูกระบวนการทั้งหมดที่ทำงานในช่วงเวลาที่แตกต่างกันด้วย Activity Monitor แต่อีกครั้ง ... มันไม่เหมือนกับกระบวนการที่เรียกว่า SpyAgent Helper

มีรายการของโฟลเดอร์ / กระบวนการที่เป็นไปได้ที่รู้จักที่จะมองหาหรือไม่?

วิธีอื่นในการตรวจจับ?

snow-leopard  privacy 
ฮวน
แหล่งที่มา
5
นี่คือหัวหน้าของคุณ มาเจอกันพรุ่งนี้ ไม่ได้ล้อเล่นนะ คุณสามารถเริ่มต้นด้วยการตรวจสอบซอฟต์แวร์ที่มีอยู่ในประเภทนั้นสำหรับ Mac OS X และลองใช้งานเช่นการกดแป้นที่เปิดใช้งาน นอกจากนี้ฉันยังไม่พบโซลูชันทางการค้าที่ให้การจับรหัสผ่าน
Harold Cavendish
1
ไม่จำเป็นต้องผิดกฎหมาย แต่ขึ้นอยู่กับสัญญาจ้างงานของคุณและฉันสงสัยว่าอาจถูกกฎหมายเพราะคุณกำลังใช้อุปกรณ์ของ บริษัท
user151019
1
คำถามที่ใกล้เคียงที่ Super User นอกจากนี้คุณยังสามารถลองตรวจสอบการจราจรเครือข่ายที่มีการประยุกต์ใช้เหมือนลิตเติ้ลสนิช
Lri

คำตอบ:

10

รูทคิทชนิดใดก็ตามที่มีค่าเกลือจะเกือบจะตรวจไม่พบบนระบบที่กำลังรันอยู่เพราะมันเชื่อมต่อกับเคอร์เนลและ / หรือแทนที่ไบนารีของระบบเพื่อซ่อนตัวเอง โดยทั่วไปสิ่งที่คุณเห็นไม่สามารถเชื่อถือได้เพราะระบบไม่สามารถเชื่อถือได้ สิ่งที่คุณต้องทำคือปิดระบบเชื่อมต่อไดรฟ์สำหรับบู๊ตภายนอก (อย่าเชื่อมต่อกับระบบที่กำลังรัน) จากนั้นบู๊ตระบบจากดิสก์ภายนอกและค้นหาโปรแกรมที่น่าสงสัย

เทอร์
แหล่งที่มา
2

ฉันจะทำให้สมมติฐานที่คุณได้ตรวจสอบอย่างละเอียดแล้วว่าหนูที่พบมากที่สุดนั้นปิดหรือตายแล้ว (การโจมตีทั้งหมด, ARD, Skype, VNC …)

  1. ใน Mac ที่ทำงานภายนอกและเชื่อถือได้อย่างเต็มที่ที่ใช้งาน 10.6.8 ให้ติดตั้งหนึ่ง (หรือทั้งสองอย่าง) ของเครื่องตรวจจับรูทคิท 2 ตัวดังต่อไปนี้:

    1. rkhunter นี่เป็นประเพณีที่tgzจะสร้างและติดตั้ง

    2. chkrootkit ซึ่งคุณสามารถติดตั้งผ่านbrewหรือmacportsตัวอย่างเช่น:

      port install chkrootkit

  2. ทดสอบกับ Mac ที่ไว้วางใจได้นี้

  3. บันทึกไว้ในคีย์ USB

  4. เสียบกุญแจของคุณบนระบบที่สงสัยว่าทำงานในโหมดปกติกับทุกอย่างตามปกติแล้วเปิดใช้งาน

แดน
แหล่งที่มา
1
หากรูทคิทสามารถตรวจจับการทำงานของไฟล์ที่เรียกใช้งานได้บนแฟลชอาจจะซ่อนการทำงานของมันได้ ดีกว่าหากต้องการบูต mac suspect ในโหมดเป้าหมายจากนั้นสแกนจาก mac ที่เชื่อถือได้
Sherwood Botsford
ใครได้ตรวจสอบซอร์สโค้ดสำหรับโปรแกรม chkrootkit C ทั้งหมดโดยเฉพาะสคริปต์“ chkrootkit” เพื่อให้แน่ใจว่าพวกเขาไม่ได้ติดไวรัสคอมพิวเตอร์ของเราด้วยรูทคิทหรือตัวบันทึกคีย์
Curt
1

วิธีการหนึ่งที่ชัดเจนเพื่อดูว่าอะไรที่น่าสงสัยกำลังทำงานคือการเปิดแอปพลิเคกิจกรรมการตรวจสอบซึ่งคุณสามารถเปิดกับ Spotlight หรือไปประยุกต์ใช้งาน > ยูทิลิตี้ > กิจกรรมการตรวจสอบ แอปสามารถซ่อนตัวจากการมองเห็นธรรมดา แต่ถ้ามันทำงานบนเครื่องมันจะแสดงใน Activity Monitor แน่นอน บางสิ่งในนั้นจะมีชื่อตลก แต่พวกเขาควรจะทำงาน ดังนั้นหากคุณไม่แน่ใจว่ามันคืออะไรบางที Google ก่อนที่คุณจะคลิกQuit Processหรือคุณสามารถปิดบางสิ่งที่สำคัญ

Woz
แหล่งที่มา
2
ซอฟต์แวร์บางตัวสามารถแก้ไขรูทีนตารางกระบวนการและซ่อนตัวเองได้ โปรแกรมและโปรแกรมอย่างง่ายที่มีความน่าเชื่อถือมากกว่า (เนื่องจากการแก้ไขระดับต่ำของระบบอาจทำให้เกิดปัญหา) จะไม่ซ่อนกระบวนการหรือไฟล์ที่ทิ้งไว้ อย่างไรก็ตามการพูดอย่างชัดเจนว่าแอปทั้งหมดแสดงขึ้นอย่างแน่นอนไม่ได้เป็นคำสั่งที่ดีเนื่องจากเป็นเรื่องง่ายที่จะแก้ไขการตรวจสอบกิจกรรมหรือตารางกระบวนการด้วยตัวเองบางงานวิศวกรรมเบา
bmike
นี่เป็นความเสี่ยงที่เชื่อถือได้ในแอปพลิเคชันที่รู้จัก ( Activity Monitor) ไม่ยากเกินกว่าจะโกหก
แดน
0

หากคุณถูกแฮ็ก keylogger จะต้องรายงาน มันสามารถทำสิ่งนี้ได้ทันทีหรือเก็บไว้ในเครื่องและพ่นออกไปยังปลายทางเครือข่ายเป็นระยะ ๆ

ทางออกที่ดีที่สุดของคุณคือการขโมยแล็ปท็อปเครื่องเก่าโดยเฉพาะอย่างยิ่งกับ 2 พอร์ตอีเธอร์เน็ตหรือหากไม่มีการ์ดเครือข่าย PCMCIA ติดตั้งระบบ BSD หรือ Linux บน (ฉันอยากจะแนะนำ OpenBSD แล้ว FreeBSD เพียงเพราะการจัดการที่ง่ายขึ้น)

ตั้งค่าแล็ปท็อปให้ทำหน้าที่เป็นบริดจ์แพ็กเก็ตทั้งหมดจะถูกส่งผ่าน รัน tcpdump กับทราฟฟิกไปมา เขียนทุกอย่างลงในแฟลชไดรฟ์ เปลี่ยนไดรฟ์เป็นระยะนำไดรฟ์ที่กรอกข้อมูลกลับบ้านและใช้ไม่มีตัวตนหรือ snort หรือคล้ายกันเพื่อผ่านแฟ้มการถ่ายโอนข้อมูลและดูว่าคุณพบอะไรแปลก ๆ

คุณกำลังมองหาทราฟฟิกไปยังชุด ip / พอร์ตที่ผิดปกติ นี่เป็นเรื่องยาก ไม่ทราบว่ามีเครื่องมือที่ดีใด ๆ ที่จะช่วยกำจัดแกลบ

มีความเป็นไปได้ที่สปายแวร์จะเขียนลงดิสก์ภายในที่ครอบคลุมแทร็กของมัน คุณสามารถตรวจสอบสิ่งนี้ได้ด้วยการบูทจากเครื่องอื่นบูตเครื่องแม็คในโหมดเป้าหมาย (มันทำหน้าที่เหมือนอุปกรณ์ firewire) สแกนระดับเสียงคว้ารายละเอียดทั้งหมดที่คุณทำได้

เปรียบเทียบสองวิ่งนี้ในวันที่แยกต่างหากโดยใช้ diff สิ่งนี้จะกำจัดไฟล์ที่เหมือนกันในการรันทั้งสอง สิ่งนี้จะไม่พบทุกสิ่ง เช่นแอป Blackhat สามารถสร้างดิสก์ไดรฟ์เป็นไฟล์ได้ สิ่งนี้จะไม่เปลี่ยนแปลงมากนักหากแอป Black สามารถจัดให้มีวันที่ไม่เปลี่ยนแปลง

ซอฟต์แวร์สามารถช่วยได้: http://aide.sourceforge.net/ สภาพแวดล้อมการตรวจจับการบุกรุกขั้นสูง AIDE มีประโยชน์สำหรับการดูไฟล์ / สิทธิ์ที่เปลี่ยนแปลง มุ่งเป้าไปที่ * ix ไม่แน่ใจว่าจะจัดการแอตทริบิวต์เพิ่มเติมได้อย่างไร

หวังว่านี่จะช่วยได้

Sherwood Botsford
แหล่งที่มา
-2

ในการตรวจจับและลบแอพคุณสามารถใช้ซอฟต์แวร์ถอนการติดตั้งสำหรับ Macintosh (เช่น CleanMyMac หรือ MacKeeper)

user63452
แหล่งที่มา
บุคคลนี้จะค้นหาสปายแวร์ได้อย่างไรตั้งแต่แรก (ก่อนใช้แอปถอนการติดตั้ง)
MK
mackeeper เป็นซอฟต์แวร์ที่แย่ที่สุด
Juan
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.