Singkat cerita, seorang teman saya menerima peringatan "login berhasil IP tidak dikenal" pada akun email Microsoft yang dimilikinya. Kondisi "peretasan" (waktu, kata sandi yang digunakan dll) sedemikian rupa sehingga satu-satunya pilihan selain peringatan "false positive" (yang masih sangat mungkin) adalah bahwa kata sandi itu entah bagaimana dicuri dari klien - iMac digunakan untuk membuat akun dalam rentang waktu yang sangat singkat (tanggal "kompromi" hanya 5 menit setelah pembuatan akun asli) - jika suka, Anda dapat menemukan detail lebih lanjut dalam pertanyaan tentang Keamanan Informasi ini .
Pokoknya, intinya adalah itu jika ada kompromi, maka harus ada keylogger atau malware serupa di mesin. Saya melakukan pencarian dasar tetapi tidak menemukan apa pun. Juga mencoba menginstal Little Snitch, tetapi filter jaringan tidak menunjukkan sesuatu yang mencurigakan.
Yang mengatakan, karena saya tidak dapat menemukan infeksi untuk dihapus atau saya dapat yakin bahwa peringatan yang diterima teman saya adalah positif palsu, saya berencana untuk "mengembalikan / menginstal ulang / memformat" mesin, bahkan jika itu berarti mengorbankan semua data yang terkandung di dalamnya. Tetapi saya harus mengakui ketidaktahuan saya ... bahkan jika saya juga memiliki iMac, saya tidak pernah perlu mengembalikannya setelah beberapa kompromi, jadi saya tidak benar-benar tahu bagaimana harus melanjutkan.
Karena itu saya meminta saran tentang pendekatan terbaik di sini. Saya berasumsi saya harus mengunduh iso sistem operasi di suatu tempat di situs Apple dan kemudian menggunakannya untuk memulihkan sistem tetapi saya tidak yakin. Halaman ini tampaknya menunjukkan bahwa saya harus memasukkan "Restore Mode" dan bekerja dari sana .... tapi ... apakah itu berarti bahwa komponen "restore" masih terikat dengan OS yang saat ini diinstal dan bisa saja dikompromikan juga dengan cara yang dapat memberikan infeksi kemampuan untuk bertahan hidup "menghapus"?
Maaf jika pertanyaan-pertanyaan itu tampaknya sedikit membingungkan atau paranoid, tetapi setelah tidak menemukan jejak dugaan infeksi, saya sekarang mulai mengevaluasi segala kemungkinan.
/Volumes/Recovery HD/com.apple.recovery.boot/BaseSystem.dmg
. Dalam Mode Pemulihan Internet, ini adalah gambar netboot yang serupa ("diunduh" dari Akamai / Apple).Jawaban:
Berikut cara mendeteksi keyloggers:
Jalankan perintah ini di terminal:
kextstat
Sesuatu seperti ini akan muncul:
Jadi 143 pertama saya kexts semua dimulai dengan
com.apple
, jadi mereka harus aman (kecuali seseorang menggunakan id bundel Apple, jadi perhatikan baik-baik masing-masing dan lihat apakah ada yang salah dengan namanya) dan saya telah menginstal paralelnya, jadi harus aman juga.Selanjutnya, periksa apakah salah satu ekstensi tautan terhadap sesuatu yang tidak masuk akal, seperti ekstensi audio yang menghubungkan dengan perpustakaan jaringan. Anda dapat melihat apa yang mereka tautkan dengan melihat ke dalam kurung sudut & lt; & gt ;. Misalnya, item 114 (
com.parallels.virtualhid
) tautan ke item 1, yaitucom.apple.kpi.bsd
. karena 1 berada di dalam kurung sudut (<37 5 4 3 1>
)Jika Anda menemukan sesuatu yang mencurigakan, hapus itu, tetapi sebelum Anda pergi pastikan Anda memiliki ekstensi kernel yang tepat. Menonaktifkan ekstensi kernel yang salah dapat membuat hidup sangat sulit. Mereka biasanya ditemukan di
System/Library/Extensions
dan akhiri dengan ekstensi.kext
.Sekarang jika Anda benar-benar ingin menginstal ulang macOS, ikuti langkah berikut:
Matikan komputer Anda, lalu nyalakan saat memegang Perintah - R .
Pilih "Disk Utility" dari menu
Klik Hapus dan konfirmasikan dialog (Mungkin perlu beberapa saat untuk menghapus)
Pilih "instal ulang macOS"
Ikuti instruksinya
Perhatikan bahwa penginstalan mungkin memakan waktu lama, terutama ketika koneksi internet Anda lambat karena sebenarnya mengunduh OS dari internet.
sumber