Saya memiliki beberapa suspensi serius bahwa bos saya menginstal beberapa jenis perangkat lunak mata-mata. Mungkin keylogger, tangkapan layar atau sesuatu untuk mengetahui apa yang saya lakukan ketika dia tidak di kantor.
Saya tidak punya apa-apa untuk disembunyikan, jadi saya tidak tahu apakah dia tidak memberi tahu saya apa-apa karena dia tidak menemukan sesuatu yang salah atau karena saya paranoid dan dia tidak memata-matai saya.
Apa pun yang saya inginkan, saya ingin memastikan apakah saya dimata-matai karena:
- Saya tidak ingin bekerja untuk seseorang yang dia tidak percaya padaku
- Itu ilegal dan saya tidak akan mengizinkan siapa pun untuk menyimpan kata sandi saya (saya mengakses email pribadi, bank rumah dan akun Facebook saya saat istirahat makan siang) dan informasi pribadi.
Jadi ... bagaimana saya bisa mendeteksi perangkat lunak mata-mata di iMac yang menjalankan OS X 10.6.8? Saya punya izin admin penuh mengetahuinya.
Saya mencoba memindai semua folder di Perpustakaan pengguna dan sistem saya tetapi tidak ada yang membunyikan bel tetapi karena saya pikir salah satu dari perangkat lunak ini akan menyembunyikan folder (baik dengan lokasi atau nama) Saya tidak berpikir saya akan menemukan folder bernama Employeee Spy Data
Saya juga melihat semua proses yang berjalan pada saat yang berbeda dengan Activity Monitor tetapi sekali lagi ... tidak seperti proses yang akan disebut SpyAgent Helper
Apakah ada daftar folder / proses yang diketahui untuk dicari?
Adakah cara lain untuk mendeteksi?
sumber
Jawaban:
Setiap jenis rootkit yang bernilai garam akan hampir tidak terdeteksi pada sistem yang sedang berjalan karena mereka menghubungkan ke kernel dan / atau mengganti binari sistem untuk menyembunyikan dirinya. Pada dasarnya apa yang Anda lihat tidak dapat dipercaya karena sistem tidak dapat dipercaya. Yang perlu Anda lakukan adalah mematikan sistem, menghubungkan drive boot eksternal (jangan menghubungkannya ke sistem yang sedang berjalan) dan kemudian boot sistem dari disk eksternal dan cari program yang mencurigakan.
sumber
Saya akan membuat hipotesis Anda sudah memeriksa secara menyeluruh semua RAT yang paling umum mati atau mati (semua berbagi, ARD, Skype, VNC ...).
Pada Mac eksternal dan sepenuhnya tepercaya yang juga menjalankan 10.6.8, pasang satu (atau keduanya) dari 2 pendeteksi rootkit ini:
tgz
untuk dibangun & dipasangchkrootkit yang dapat Anda instal melalui
brew
ataumacports
, misalnya:port install chkrootkit
Uji mereka pada Mac yang tepercaya ini.
Simpan di kunci USB.
Tancapkan kunci Anda pada sistem Anda yang dicurigai berjalan dalam mode normal dengan semua seperti biasa dan jalankan.
sumber
Salah satu cara pasti untuk melihat apakah sesuatu yang mencurigakan sedang berjalan adalah dengan membuka aplikasi Monitor Aktivitas, yang dapat Anda buka dengan Spotlight atau pergi ke Aplikasi > Utilitas > Monitor Aktivitas . Aplikasi dapat bersembunyi dari pandangan biasa, tetapi jika itu berjalan di mesin, itu pasti akan muncul di Activity Monitor. Beberapa hal di sana akan memiliki nama lucu, tetapi mereka seharusnya berjalan; jadi jika Anda tidak yakin apa itu, mungkin Google sebelum Anda mengklik Proses Berhenti , atau Anda bisa mematikan sesuatu yang penting.
sumber
Activity Monitor
) tidak terlalu sulit untuk berbohong.Jika Anda diretas, keylogger harus melaporkan. Ini dapat melakukan ini dengan segera, atau menyimpan secara lokal dan memuntahkannya secara berkala ke beberapa tujuan jaringan.
Taruhan terbaik Anda adalah mengemis laptop lama, idealnya dengan 2 port ethernet, atau, gagal dengan kartu jaringan PCMCIA. Instal sistem BSD atau Linux di atasnya. (Saya akan merekomendasikan OpenBSD, maka FreeBSD hanya karena manajemen yang lebih mudah)
Siapkan laptop untuk bertindak sebagai jembatan - semua paket dilewati. Jalankan tcpdump di lalu lintas bolak-balik. Tulis semuanya ke flash drive. Ubah drive secara berkala, bawa pulang drive yang diisi dan gunakan ethereal atau dengusan atau sejenisnya untuk menelusuri file dump dan lihat apakah Anda menemukan sesuatu yang aneh.
Anda mencari lalu lintas ke kombinasi ip / port yang tidak biasa. Ini sulit. Tidak tahu ada alat yang bagus untuk membantu menampi keluar sekam.
Ada kemungkinan bahwa spyware menulis ke disk lokal yang menutupi jejaknya. Anda dapat memeriksanya dengan mem-boot dari komputer lain, mem-boot mac Anda dalam mode target (berfungsi seperti perangkat firewire) Memindai volume, mengambil semua detail yang Anda bisa.
Bandingkan dua proses ini pada hari yang berbeda menggunakan diff. Ini menghilangkan file yang sama di kedua berjalan. Ini tidak akan menemukan segalanya. Misalnya aplikasi Blackhat dapat membuat volume disk sebagai file. Ini tidak akan banyak berubah jika aplikasi Hitam dapat mengatur agar tanggal tidak berubah.
Perangkat lunak dapat membantu: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Berguna untuk menonton file / izin yang diubah. Ditujukan pada * ix, tidak yakin bagaimana menangani atribut yang diperluas.
Semoga ini membantu.
sumber
Untuk mendeteksi dan menghapus aplikasi, Anda dapat menggunakan perangkat lunak penghapusan instalan untuk Macintosh (seperti CleanMyMac atau MacKeeper).
sumber