Come rilevare software spia / keylogger? [duplicare]

8

Sospetto seriamente che il mio capo abbia installato una specie di software spia. Forse un keylogger, screen capture o qualcosa per sapere cosa faccio quando non è in ufficio.

Non ho nulla da nascondere, quindi non so se non mi dice nulla perché non ha trovato nulla fuori posto o perché sono paranoico e non mi sta spiando.

In entrambi i casi voglio essere sicuro di essere spiato perché:

  1. Non voglio lavorare per qualcuno che non si fida di me
  2. È illegale e non consentirò a nessuno di memorizzare le mie password (accedo all'email personale, all'homebanking e all'account Facebook durante le pause pranzo) e alle informazioni personali.

Quindi ... come posso rilevare il software spia in un iMac con OS X 10.6.8? Ho le autorizzazioni di amministratore complete a saperlo.

Ho provato a eseguire la scansione di tutte le cartelle nella libreria del mio utente e del sistema, ma non ho suonato nessun campanello, ma dal momento che ritengo che uno qualsiasi di questi software possa nascondere la cartella (in base alla località o al nome) non penso che troverò una cartella denominata Employeee Spy Data

Ho anche guardato tutti i processi in esecuzione in momenti diversi con Activity Monitor ma ancora ... non è come se il processo si chiamasse SpyAgent Helper

Esiste un elenco di possibili cartelle / processi da cercare?

Qualsiasi altro modo per rilevare?

    
posta Juan 31.07.2012 - 18:51
fonte

5 risposte

10

Qualsiasi tipo di rootkit che valga la pena risiedere sarà quasi irrilevabile su un sistema in esecuzione perché si agganciano al kernel e / o sostituiscono i binari di sistema per nascondersi. Fondamentalmente quello che stai vedendo non può essere considerato attendibile perché il sistema non può essere considerato attendibile. Quello che devi fare è spegnere il sistema, connettere un'unità di avvio esterna (non collegarla al sistema in esecuzione) e quindi avviare il sistema da un disco esterno e cercare programmi sospetti.

    
risposta data 31.07.2012 - 21:39
fonte
2

Farò l'ipotesi che tu abbia già accuratamente controllato tutto il i RAT più comuni sono disattivati o morti (tutte le condivisioni, ARD, Skype, VNC ...).

  1. Su un Mac esterno e completamente affidabile che esegue anche 10.6.8, installa uno (o entrambi) di questi 2 rilevatori di rootkit:

    1. rkhunter questo è un tgz tradizionale per costruire & install
    2. chkrootkit che puoi installare tramite brew o macports , ad esempio:

      port install chkrootkit

  2. Provali su questo affidabile Mac.

  3. salvali su una chiave USB.

  4. Collega la chiave al tuo sistema sospetto in esecuzione in modalità normale con tutto come al solito e eseguirli.

risposta data 12.12.2013 - 00:04
fonte
1

Un modo preciso per vedere se qualcosa di sospetto è in esecuzione è aprire l'app Activity Monitor, che puoi aprire con Spotlight o andare su Applicazioni > Utility > Monitoraggio attività . Un'app può nascondersi da sola, ma se è in esecuzione sulla macchina, verrà visualizzata in Activity Monitor. Alcune cose in là avranno nomi divertenti, ma dovrebbero essere in esecuzione; quindi se non sei sicuro di cosa sia, forse Google lo fa prima di fare clic su Esci da processo oppure potresti disattivare qualcosa di importante.

    
risposta data 31.07.2012 - 20:27
fonte
0

Se sei stato hackerato, il keylogger deve segnalare. Può farlo immediatamente, o memorizzarlo localmente e periodicamente scaricarlo su qualche destinazione di rete.

La soluzione migliore è quella di scroccare un vecchio laptop, idealmente con 2 porte Ethernet o, in mancanza, con una scheda di rete PCMCIA. Installa un sistema BSD o Linux su di esso. (Raccomanderei OpenBSD, quindi FreeBSD solo per una gestione più semplice)

Imposta il laptop come ponte: tutti i pacchetti vengono passati. Esegui tcpdump sul traffico avanti e indietro. Scrivi tutto su un flash drive. Cambiare periodicamente l'unità, portare a casa il disco pieno e utilizzare etereo o snort o simile per scorrere il file di dump e vedere se trovi qualcosa di strano.

Stai cercando il traffico verso una combinazione ip / port insolita. Questo è difficile. Non conosco nessun buon strumento per aiutare a scoprire il loglio.

Esiste la possibilità che lo spyware scriva sul disco locale coprendone le tracce. Puoi verificarlo eseguendo il boot da un'altra macchina, avvia il tuo mac in modalità target (si comporta come un dispositivo firewire). Scansiona il volume, afferrando tutti i dettagli che puoi.

Confronta due esecuzioni di questo in giorni separati usando diff. Ciò elimina il file che è lo stesso in entrambe le esecuzioni. Questo non troverà tutto. Per esempio. Un'app Blackhat può creare un volume del disco come un file. Questo non cambierà molto se l'app Black può organizzare che le date non cambino.

Il software può aiutare: link AIDE Advanced Intrusion Detection Environment. Utile per la visione di file modificati / permessi. Rivolto a * ix, non sono sicuro di come gestisce gli attributi estesi.

Spero che questo aiuti.

    
risposta data 25.01.2016 - 04:06
fonte
-2

Per rilevare ed eliminare app puoi usare qualsiasi software di disinstallazione per Macintosh (come CleanMyMac o MacKeeper).

    
risposta data 26.11.2013 - 22:15
fonte

Leggi altre domande sui tag