Come rilevare il software spia / keylogger? [duplicare]

9

Sospetto seriamente che il mio capo abbia installato una specie di software spia. Forse un keylogger, una cattura dello schermo o qualcosa per sapere cosa faccio quando non è in ufficio.

Non ho nulla da nascondere, quindi non so se non mi dice nulla perché non ha trovato nulla fuori posto o perché sono paranoico e non mi sta spiando.

Ad ogni modo, voglio essere sicuro di essere spiato perché:

  1. Non voglio lavorare per qualcuno che non si fida di me
  2. È illegale e non permetterò a nessuno di memorizzare le mie password (accedo alla mia e-mail personale, all'homebanking e all'account Facebook durante le pause pranzo) e alle informazioni personali.

Quindi ... come posso rilevare il software spia in un iMac con OS X 10.6.8? Ho i permessi di amministratore completi lo sanno.

Ho provato a scansionare tutte le cartelle nella mia libreria utente e di sistema ma niente ha suonato nessun campanello ma dal momento che penso che qualcuno di questo software nasconderebbe la cartella (per posizione o nome), non credo che troverò una cartella chiamata Employeee Spy Data

Ho anche guardato tutti i processi in esecuzione in diversi momenti con Activity Monitor ma di nuovo ... non è come se il processo si chiamasse SpyAgent Helper

Esiste un elenco di possibili cartelle / processi noti da cercare?

Qualche altro modo per rilevare?

snow-leopard  privacy 
Juan
fonte
5
Questo è il tuo capo. Vieni a trovarmi domani. No, sto solo scherzando. A seconda di quanto sia abile, potresti iniziare controllando il software disponibile di quel tipo per Mac OS X e provando ad esempio i tasti che lo attivano. Inoltre, non ho trovato una soluzione commerciale che offre l'acquisizione di password.
Harold Cavendish,
1
Non è necessariamente illegale, ma dipende da ciò che dice il tuo contratto di lavoro e sospetto che potrebbe essere legale solo perché stai utilizzando attrezzature di proprietà dell'azienda
user151019
1
Una domanda simile a Super User . Puoi anche provare a monitorare il traffico di rete con un'applicazione come Little Snitch .
Lri

Risposte:

10

Qualsiasi tipo di rootkit degno del suo sale sarà quasi inosservabile su un sistema in esecuzione perché si agganciano al kernel e / o sostituiscono i binari di sistema per nascondersi. Fondamentalmente ciò che stai vedendo non può essere considerato attendibile perché il sistema non può essere considerato attendibile. Quello che devi fare è spegnere il sistema, collegare un'unità di avvio esterna (non collegarla al sistema in esecuzione) e quindi avviare il sistema da un disco esterno e cercare programmi sospetti.

Tyr
fonte
2

Farò l'ipotesi che tu abbia già accuratamente verificato che tutti i RAT più comuni siano disattivati ​​o morti (tutte le condivisioni, ARD, Skype, VNC ...).

  1. Su un Mac esterno e completamente affidabile che esegue anche 10.6.8, installa uno (o entrambi) di questi 2 rilevatori di rootkit:

    1. rkhunter questo è un tradizionale tgzda costruire e installare

    2. chkrootkit che è possibile installare tramite brewo macports, ad esempio:

      port install chkrootkit

  2. Provali su questo Mac affidabile.

  3. Salvali su una chiave USB.

  4. Collegare la chiave sul sistema sospetto in esecuzione in modalità normale con tutto come al solito ed eseguirli.

dan
fonte
1
Se il rootkit è in grado di rilevare il funzionamento di un eseguibile su un flash, potrebbe essere in grado di nascondere le sue azioni. Meglio, avviare il mac sospetto in modalità target, quindi scansionare dal mac fidato.
Sherwood Botsford il
Chi ha esaminato il codice sorgente di tutti i programmi C di chkrootkit, in particolare lo script "chkrootkit", per assicurarsi che non infettassero i nostri computer con rootkit o key logger?
Curt,
1

Un modo preciso per vedere se è in esecuzione qualcosa di sospetto è aprire l'app Activity Monitor, che puoi aprire con Spotlight o andare su Applicazioni > Utilità > Activity Monitor . Un'app può nascondersi alla vista, ma se è in esecuzione sul computer, verrà sicuramente visualizzata in Activity Monitor. Alcune cose avranno nomi divertenti, ma dovrebbero funzionare; quindi se non sei sicuro di cosa si tratti, magari cercalo su Google prima di fare clic su Esci da processo o potresti disattivare qualcosa di importante.

woz
fonte
2
Alcuni software possono correggere le routine della tabella dei processi e nascondersi. Programmi semplici e quelli che intendono essere più affidabili (poiché una modifica di quel livello basso del sistema possono causare problemi) non nasconderanno i processi o i file che si lasciano alle spalle. Tuttavia, dire categoricamente che tutte le app sicuramente visualizzate non è una buona affermazione poiché è banale patchare Activity Monitor o la tabella dei processi stessa con un po 'di lavoro di ingegneria leggera.
bmike
Questa è una fiducia rischiosa su un'applicazione nota ( Activity Monitor) non troppo difficile da mentire.
dan
0

Se sei stato violato, il keylogger deve segnalare. Può farlo immediatamente o archiviare localmente e periodicamente vomitare in qualche destinazione di rete.

La soluzione migliore è scroccare un vecchio laptop, idealmente con 2 porte Ethernet o, in mancanza di ciò con una scheda di rete PCMCIA. Installa un sistema BSD o Linux su di esso. (Consiglierei OpenBSD, quindi FreeBSD solo per una gestione più semplice)

Imposta il laptop in modo che funga da bridge: tutti i pacchetti vengono passati. Esegui tcpdump sul traffico avanti e indietro. Scrivi tutto su un'unità flash. Cambia periodicamente l'unità, porta l'unità piena a casa e usa etereo o sbuffo o simile per passare attraverso il file di dump e vedere se trovi qualcosa di strano.

Stai cercando il traffico verso una insolita combinazione ip / porta. Questo è difficile. Non conosco alcun buon strumento per aiutare a riconoscere la paglia.

Esiste la possibilità che lo spyware scriva sul disco locale coprendo le sue tracce. Puoi verificarlo avviando da un'altra macchina, avvia il tuo mac in modalità target (si comporta come un dispositivo firewire) Scansiona il volume, catturando tutti i dettagli che puoi.

Confronta due serie di questo in giorni separati usando diff. Ciò elimina il file che è lo stesso su entrambe le esecuzioni. Questo non troverà tutto. Ad esempio, un'app Blackhat può creare un volume del disco come file. Questo non cambierà molto se l'app Black può far sì che le date non cambino.

Il software può essere d'aiuto: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Utile per guardare file / permessi modificati. Rivolto a * ix, non sono sicuro di come gestisce gli attributi estesi.

Spero che sia di aiuto.

Sherwood Botsford
fonte
-2

Per rilevare ed eliminare app è possibile utilizzare qualsiasi software di disinstallazione per Macintosh (come CleanMyMac o MacKeeper).

user63452
fonte
In che modo questa persona trova lo spyware in primo luogo (prima di utilizzare l'app di disinstallazione)?
MK,
mackeeper è il peggior software di sempre
Juan
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.