apa itu grup access_bpf?

27

Adakah yang tahu apa grup "access_bpf" itu / tidak. Saya perhatikan ketika saya masuk ke Preferensi> Pengguna & Grup.

Saya telah mencari-cari dan menemukan bahwa itu ada hubungannya dengan Wireshark, namun saya belum menginstal program di Mac saya jadi saya terlalu yakin bagaimana grup itu ditambahkan.

wireshark Andrew
sumber
2
pencarian yang bagus :) Wireshark lah yang membuat Grup itu. Karena Anda tidak ingat menginstalnya, itu mungkin orang lain.
Ruskes

Jawaban:

27

Pemasang Wireshark mengkonfigurasi sistem Anda sehingga pengguna yang melakukan instalasi dapat menangkap lalu lintas jaringan tanpa harus menjalankan program penangkapan sebagai root.

Cara melakukannya adalah dengan:

  • buat access_bpfgrup;
  • masukkan pengguna ke dalam grup itu;
  • instal StartupItem (dalam versi yang lebih lama) atau daemon peluncuran (dalam versi yang lebih baru) yang, ketika sistem di-boot, mengubah izin perangkat BPF ke rw-rw --- dan pemilik grup dari perangkat BPF ke access_bpf;
  • mengatur bahwa daemon StartupItem / launch dijalankan pada saat itu.

Catatan, BTW, bahwa ini juga memungkinkan Anda untuk menangkap lalu lintas dengan Wireshark (atau program TShark atau dumpcap Wireshark) tanpa harus menjalankannya sebagai root, juga memungkinkan Anda untuk menangkap lalu lintas dengan tcpdump tanpa harus menjalankannya sebagai root.


sumber
10

Pemasang untuk Wireshark akan membuat grup access_bpf! atau dalam kasus Anda siapa tahu :)

Karena Anda tidak ingat menginstal dan tidak menggunakannya maka hapus saja.

Untuk menghapus Wireshark dari mesin Anda, cari file-file berikut di Mac Anda dan hapus jika ada:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Hapus juga grup access_bpf

Ruskes
sumber
8

Buka Preferensi Sistem -> Pengguna & Grup -> Buka kunci sebagai Admin -> buka bidang Grup di bawah Pengguna -> pilih dan hapus.

Atau via terminal dengan

sudo dscl . -delete /Groups/access_bpf
leon
sumber
Ya, tetapi Anda tidak menjawab pertanyaan, yaitu untuk apa kelompok itu ... Yang lain juga melakukannya.
Motti Shneor
Kamu benar. Seharusnya komentar tentang cara menghapus, bukan jawaban. Bagaimanapun, posting asli saya menyebutkan itu adalah jawaban untuk poster sebelumnya, tetapi sudah banyak diedit, dan dua kali. Membuatnya lebih jelas.
leon
1

Ini juga bisa menjadi sisa-sisa dari Anda yang dipukul dengan drive java oleh serangan malware.

Dalam hal ini, bot akan mendapatkan akses root, membuat akun tamu (mungkin tersembunyi dengan baik) dan mulai melihat gantungan kunci Anda ..

jika Anda melihat mitmproxy di bawah sertifikat, segera hubungi apel atau kontak dukungan tepercaya lainnya.

mereka telah berbicara kepada saya melalui telepon seolah-olah mereka belum pernah mendengar masalah ini.

kenyataannya masih berdiri bahwa MacOS tidak sempurna. jika Anda masih membutuhkan bantuan, silakan menulis.

sering
sumber
1
Terima kasih untuk menjawab. Malware sering menyamarkan hal-hal dengan nama umum atau nama yang diharapkan. Saya mengedit sedikit. Anda mungkin mempertimbangkan laporan "mereka belum mendengar". Tentu saja dukungan profesional tidak akan mengungkapkan laporan orang lain kepada Anda, mereka berfokus pada masalah Anda dan Anda sendiri. Seperti yang telah Anda tunjukkan, satu kalimat yang mereka katakan akan sering diposting secara publik tanpa konteks percakapan yang lebih lama, sehingga mereka juga berusaha untuk berpegang pada fakta mengetahui bahwa mereka mungkin ada di halaman depan Reddit besok.
bmike
0

Grup ini juga akan dibuat dengan menginstal Debookee, alat penganalisa lalu lintas jaringan asli MacOS, yang menggunakan Wireshark tertanam.

https://debookee.com

Gummibando
sumber