nhóm access_bpf là gì?

27

Có ai biết nhóm "access_bpf" là gì không. Tôi nhận thấy nó khi tôi vào Tùy chọn> Người dùng & Nhóm.

Tôi đã tìm kiếm xung quanh và thấy rằng nó có liên quan đến Wireshark, tuy nhiên tôi chưa cài đặt chương trình trên máy Mac của mình nên tôi rất chắc chắn làm thế nào nhóm được thêm vào.

wireshark

— Andrew
nguồn

2

tìm kiếm tốt :) Wireshark là người tạo ra Nhóm đó. Vì bạn không nhớ cài đặt nó, nó có thể là một người khác.

— Ruskes

27

Trình cài đặt của Wireshark định cấu hình hệ thống của bạn để người dùng thực hiện cài đặt có thể nắm bắt lưu lượng mạng mà không cần chương trình chụp phải chạy bằng root.

Cách thức thực hiện việc này là:

tạo một access_bpfnhóm;
đưa người dùng vào nhóm đó;
cài đặt StartupItem (trong các phiên bản cũ hơn) hoặc trình nền khởi chạy (trong các phiên bản mới hơn), khi hệ thống được khởi động, sẽ thay đổi quyền của các thiết bị BPF thành rw-rw --- và chủ sở hữu nhóm của các thiết bị BPF thành access_bpf;
sắp xếp rằng daemon StartupItem / launch chạy vào thời điểm đó.

Lưu ý, BTW, điều này cũng cho phép bạn nắm bắt lưu lượng truy cập với Wireshark (hoặc các chương trình TShark hoặc dumpcap của Wireshark) mà không phải chạy chúng dưới quyền root, nó cũng cho phép bạn nắm bắt lưu lượng truy cập với tcpdump mà không phải chạy nó dưới quyền root.

10

Trình cài đặt cho Wireshark sẽ tạo nhóm access_bpf! hoặc trong trường hợp của bạn ai biết :)

Vì bạn không nhớ cài đặt và không sử dụng nó nên chỉ cần gỡ bỏ nó.

Để xóa Wireshark khỏi máy của bạn, hãy tìm các tệp sau trên máy Mac của bạn và xóa chúng nếu chúng tồn tại:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Đồng thời xóa nhóm access_bpf

— Rắc rối
nguồn

8

Điều hướng đến Tùy chọn hệ thống -> Người dùng & Nhóm -> Mở khóa dưới dạng Quản trị viên -> mở trường Nhóm trong Người dùng -> chọn và xóa.

Hoặc thông qua thiết bị đầu cuối với

sudo dscl . -delete /Groups/access_bpf

— leon
nguồn

Có, nhưng bạn đã không trả lời câu hỏi, tức là nhóm đó để làm gì ... Những người khác đã làm.

— Motti Shneor

Bạn đúng rồi. Nó nên là một bình luận cho cách xóa, không phải là một câu trả lời. Dù sao, bài viết gốc của tôi đã đề cập đến nó là một câu trả lời cho một poster trước đó, nhưng nó đã được chỉnh sửa rất nhiều, và hai lần. Làm cho nó rõ ràng hơn, mặc dù.

— leon

1

Đây cũng có thể là tàn dư của bạn bị tấn công bằng ổ java do tấn công phần mềm độc hại.

Trong trường hợp này, một bot sẽ có quyền truy cập root, tạo một tài khoản khách (có thể được ẩn tốt) và bắt đầu nhìn vào móc khóa của bạn ..

nếu bạn thấy mitmproxy dưới certs, hãy gọi cho apple hoặc liên hệ hỗ trợ đáng tin cậy khác ngay lập tức.

họ đã nói chuyện với tôi qua điện thoại như thể họ chưa bao giờ nghe về vấn đề này.

sự thật vẫn là MacOS không hoàn hảo. nếu bạn vẫn cần giúp đỡ, hãy viết.

— thường xuyên
nguồn

1

Thanis để trả lời. Phần mềm độc hại thường ngụy trang những thứ có tên phổ biến hoặc dự kiến. Tôi chỉnh sửa một chút. Bạn có thể xem xét các báo cáo mà họ chưa từng nghe báo cáo. Tất nhiên, bộ phận hỗ trợ chuyên nghiệp sẽ không tiết lộ báo cáo của người khác cho bạn, họ chỉ tập trung vào vấn đề của bạn và của bạn. Như bạn đã trình bày, bất kỳ câu nào họ nói thường sẽ được đăng công khai mà không có ngữ cảnh của một cuộc trò chuyện dài hơn, vì vậy họ cũng cố gắng bám sát sự thật biết rằng họ có thể ở trên trang nhất của Reddit vào ngày mai.

— bmike

0

Nhóm này cũng sẽ được tạo bằng cách cài đặt Debookee, một công cụ phân tích lưu lượng truy cập mạng gốc macOS, sử dụng Wireshark nhúng.

https://debookee.com

— Gummibando
nguồn