Bagaimana cara mendeteksi perangkat lunak mata-mata / keylogger? [duplikat]

9

Saya memiliki beberapa suspensi serius bahwa bos saya menginstal beberapa jenis perangkat lunak mata-mata. Mungkin keylogger, tangkapan layar atau sesuatu untuk mengetahui apa yang saya lakukan ketika dia tidak di kantor.

Saya tidak punya apa-apa untuk disembunyikan, jadi saya tidak tahu apakah dia tidak memberi tahu saya apa-apa karena dia tidak menemukan sesuatu yang salah atau karena saya paranoid dan dia tidak memata-matai saya.

Apa pun yang saya inginkan, saya ingin memastikan apakah saya dimata-matai karena:

  1. Saya tidak ingin bekerja untuk seseorang yang dia tidak percaya padaku
  2. Itu ilegal dan saya tidak akan mengizinkan siapa pun untuk menyimpan kata sandi saya (saya mengakses email pribadi, bank rumah dan akun Facebook saya saat istirahat makan siang) dan informasi pribadi.

Jadi ... bagaimana saya bisa mendeteksi perangkat lunak mata-mata di iMac yang menjalankan OS X 10.6.8? Saya punya izin admin penuh mengetahuinya.

Saya mencoba memindai semua folder di Perpustakaan pengguna dan sistem saya tetapi tidak ada yang membunyikan bel tetapi karena saya pikir salah satu dari perangkat lunak ini akan menyembunyikan folder (baik dengan lokasi atau nama) Saya tidak berpikir saya akan menemukan folder bernama Employeee Spy Data

Saya juga melihat semua proses yang berjalan pada saat yang berbeda dengan Activity Monitor tetapi sekali lagi ... tidak seperti proses yang akan disebut SpyAgent Helper

Apakah ada daftar folder / proses yang diketahui untuk dicari?

Adakah cara lain untuk mendeteksi?

Juan
sumber
5
Ini bosmu. Datang menemui saya besok. Nah, hanya bercanda. Bergantung pada seberapa terampilnya dia, Anda bisa mulai dengan memeriksa perangkat lunak yang tersedia untuk Mac OS X dan mencoba misalnya penekanan tombol yang mengaktifkannya. Juga, saya belum menemukan solusi komersial yang menawarkan pengambilan kata sandi.
Harold Cavendish
1
Ini tidak selalu ilegal tetapi tergantung pada apa yang dikatakan kontrak kerja Anda dan saya curiga bisa legal hanya karena Anda menggunakan peralatan yang dimiliki oleh perusahaan
user151019
1
Pertanyaan serupa di Super User . Anda juga dapat mencoba memonitor lalu lintas jaringan dengan aplikasi seperti Little Snitch .
Lri

Jawaban:

10

Setiap jenis rootkit yang bernilai garam akan hampir tidak terdeteksi pada sistem yang sedang berjalan karena mereka menghubungkan ke kernel dan / atau mengganti binari sistem untuk menyembunyikan dirinya. Pada dasarnya apa yang Anda lihat tidak dapat dipercaya karena sistem tidak dapat dipercaya. Yang perlu Anda lakukan adalah mematikan sistem, menghubungkan drive boot eksternal (jangan menghubungkannya ke sistem yang sedang berjalan) dan kemudian boot sistem dari disk eksternal dan cari program yang mencurigakan.

Tyr
sumber
2

Saya akan membuat hipotesis Anda sudah memeriksa secara menyeluruh semua RAT yang paling umum mati atau mati (semua berbagi, ARD, Skype, VNC ...).

  1. Pada Mac eksternal dan sepenuhnya tepercaya yang juga menjalankan 10.6.8, pasang satu (atau keduanya) dari 2 pendeteksi rootkit ini:

    1. rkhunter ini adalah tradisional tgzuntuk dibangun & dipasang
    2. chkrootkit yang dapat Anda instal melalui brewatau macports, misalnya:

      port install chkrootkit

  2. Uji mereka pada Mac yang tepercaya ini.

  3. Simpan di kunci USB.

  4. Tancapkan kunci Anda pada sistem Anda yang dicurigai berjalan dalam mode normal dengan semua seperti biasa dan jalankan.

dan
sumber
1
Jika rootkit dapat mendeteksi operasi yang dapat dieksekusi pada flash, itu mungkin bisa menyembunyikan tindakan itu. Lebih baik, untuk mem-boot mac yang dicurigai dalam mode target, kemudian memindai dari mac tepercaya.
Sherwood Botsford
Siapa yang telah meninjau kode sumber untuk semua program chkrootkit C, terutama skrip “chkrootkit”, untuk memastikan bahwa mereka tidak menginfeksi komputer kita dengan rootkit atau penebang kunci?
Curt
1

Salah satu cara pasti untuk melihat apakah sesuatu yang mencurigakan sedang berjalan adalah dengan membuka aplikasi Monitor Aktivitas, yang dapat Anda buka dengan Spotlight atau pergi ke Aplikasi > Utilitas > Monitor Aktivitas . Aplikasi dapat bersembunyi dari pandangan biasa, tetapi jika itu berjalan di mesin, itu pasti akan muncul di Activity Monitor. Beberapa hal di sana akan memiliki nama lucu, tetapi mereka seharusnya berjalan; jadi jika Anda tidak yakin apa itu, mungkin Google sebelum Anda mengklik Proses Berhenti , atau Anda bisa mematikan sesuatu yang penting.

woz
sumber
2
Beberapa perangkat lunak dapat menambal rutinitas tabel proses dan menyembunyikan diri. Program-program sederhana dan yang dimaksudkan agar lebih andal (karena modifikasi pada sistem tingkat rendah itu dapat menyebabkan masalah) tidak akan menyembunyikan proses atau file yang ditinggalkannya. Namun untuk mengatakan semua aplikasi pasti muncul bukan pernyataan yang baik karena itu sepele untuk menambal Monitor Aktivitas atau tabel proses itu sendiri dengan beberapa pekerjaan teknik ringan.
bmike
Ini adalah kepercayaan berisiko pada aplikasi yang dikenal ( Activity Monitor) tidak terlalu sulit untuk berbohong.
dan
0

Jika Anda diretas, keylogger harus melaporkan. Ini dapat melakukan ini dengan segera, atau menyimpan secara lokal dan memuntahkannya secara berkala ke beberapa tujuan jaringan.

Taruhan terbaik Anda adalah mengemis laptop lama, idealnya dengan 2 port ethernet, atau, gagal dengan kartu jaringan PCMCIA. Instal sistem BSD atau Linux di atasnya. (Saya akan merekomendasikan OpenBSD, maka FreeBSD hanya karena manajemen yang lebih mudah)

Siapkan laptop untuk bertindak sebagai jembatan - semua paket dilewati. Jalankan tcpdump di lalu lintas bolak-balik. Tulis semuanya ke flash drive. Ubah drive secara berkala, bawa pulang drive yang diisi dan gunakan ethereal atau dengusan atau sejenisnya untuk menelusuri file dump dan lihat apakah Anda menemukan sesuatu yang aneh.

Anda mencari lalu lintas ke kombinasi ip / port yang tidak biasa. Ini sulit. Tidak tahu ada alat yang bagus untuk membantu menampi keluar sekam.

Ada kemungkinan bahwa spyware menulis ke disk lokal yang menutupi jejaknya. Anda dapat memeriksanya dengan mem-boot dari komputer lain, mem-boot mac Anda dalam mode target (berfungsi seperti perangkat firewire) Memindai volume, mengambil semua detail yang Anda bisa.

Bandingkan dua proses ini pada hari yang berbeda menggunakan diff. Ini menghilangkan file yang sama di kedua berjalan. Ini tidak akan menemukan segalanya. Misalnya aplikasi Blackhat dapat membuat volume disk sebagai file. Ini tidak akan banyak berubah jika aplikasi Hitam dapat mengatur agar tanggal tidak berubah.

Perangkat lunak dapat membantu: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Berguna untuk menonton file / izin yang diubah. Ditujukan pada * ix, tidak yakin bagaimana menangani atribut yang diperluas.

Semoga ini membantu.

Sherwood Botsford
sumber
-2

Untuk mendeteksi dan menghapus aplikasi, Anda dapat menggunakan perangkat lunak penghapusan instalan untuk Macintosh (seperti CleanMyMac atau MacKeeper).

pengguna63452
sumber
Bagaimana orang ini menemukan spyware di tempat pertama (sebelum menggunakan aplikasi penghapusan instalasi)?
MK
mackeeper adalah perangkat lunak terburuk yang pernah ada
Juan