Làm thế nào để phát hiện phần mềm gián điệp / keylogger? [bản sao]

Tôi có một số nghi ngờ nghiêm trọng rằng ông chủ của tôi đã cài đặt một số loại phần mềm gián điệp. Có thể là một keylogger, chụp màn hình hoặc một cái gì đó để biết những gì tôi làm khi anh ta không ở văn phòng.

Tôi không có gì để che giấu vì vậy tôi không biết liệu anh ta có nói gì với tôi không vì anh ta không tìm thấy điều gì ở ngoài hoặc vì tôi bị hoang tưởng và anh ta không theo dõi tôi.

Dù bằng cách nào tôi cũng muốn chắc chắn nếu tôi bị theo dõi bởi vì:

1. Tôi không muốn làm việc cho một người mà anh ấy không tin tưởng tôi
2. Điều đó là bất hợp pháp và tôi sẽ không cho phép bất kỳ ai lưu trữ mật khẩu của mình (tôi truy cập email cá nhân, mua nhà và tài khoản Facebook trong giờ nghỉ trưa) và thông tin cá nhân.

Vậy ... làm cách nào tôi có thể phát hiện phần mềm gián điệp trong iMac chạy OS X 10.6.8? Tôi có quyền quản trị đầy đủ biết điều đó.

Tôi đã thử quét tất cả các thư mục trong Thư viện hệ thống và người dùng của mình nhưng không có tiếng chuông nào nhưng vì tôi nghĩ bất kỳ phần mềm nào này sẽ ẩn thư mục (theo vị trí hoặc tên) Tôi không nghĩ rằng mình sẽ tìm thấy một thư mục có tên là Employeee Spy Data

Tôi cũng đã xem tất cả các quy trình đang chạy ở các thời điểm khác nhau với Trình giám sát hoạt động nhưng một lần nữa ... không giống như quy trình sẽ được gọi là Trình trợ giúp SpyAgent

Có một danh sách các thư mục / quy trình có thể tìm được không?

Bất kỳ cách nào khác để phát hiện?

Bất kỳ loại rootkit nào có giá trị muối của nó sẽ gần như không thể phát hiện được trên một hệ thống đang chạy vì chúng móc vào kernel và / hoặc thay thế các nhị phân hệ thống để ẩn chính nó. Về cơ bản những gì bạn nhìn thấy không thể tin cậy được vì hệ thống không thể tin cậy được. Những gì bạn cần làm là tắt hệ thống, kết nối ổ đĩa khởi động ngoài (không kết nối nó với hệ thống đang chạy) và sau đó khởi động hệ thống từ một đĩa bên ngoài và tìm kiếm các chương trình đáng ngờ.

Tôi sẽ đưa ra giả thuyết bạn đã kiểm tra kỹ tất cả các RAT phổ biến nhất đã tắt hoặc đã chết (tất cả các phần chia, ARD, Skype, VNC chế).

1. Trên máy Mac bên ngoài và hoàn toàn đáng tin cậy cũng chạy 10.6.8, hãy cài đặt một (hoặc cả hai) của 2 trình phát hiện rootkit này:

   1. rkhunter đây là một truyền thống tgzđể xây dựng và cài đặt

   2. chkrootkit mà bạn có thể cài đặt thông qua brewhoặc macports, ví dụ:

      port install chkrootkit

2. Kiểm tra chúng trên máy Mac đáng tin cậy này.

3. Lưu chúng trên một khóa USB.

4. Cắm chìa khóa của bạn vào hệ thống bị nghi ngờ đang chạy ở chế độ bình thường với mọi thứ như bình thường và chạy chúng.

Một cách chắc chắn để xem có gì đáng ngờ đang chạy hay không là mở ứng dụng Trình giám sát hoạt động, bạn có thể mở bằng Spotlight hoặc đi tới Ứng dụng > Tiện ích > Trình giám sát hoạt động . Một ứng dụng có thể ẩn khỏi tầm nhìn rõ ràng, nhưng nếu nó chạy trên máy, nó chắc chắn sẽ hiển thị trong Activity Monitor. Một số thứ trên đó sẽ có những cái tên ngộ nghĩnh, nhưng chúng được cho là đang chạy; vì vậy nếu bạn không chắc chắn đó là gì, có thể Google nó trước khi bạn nhấp vào Thoát quy trình hoặc bạn có thể tắt một cái gì đó quan trọng.

Nếu bạn đã bị hack, keylogger phải báo cáo. Nó có thể thực hiện việc này ngay lập tức hoặc lưu trữ cục bộ và định kỳ đưa nó đến một số đích mạng.

Đặt cược tốt nhất của bạn là để tranh giành một máy tính xách tay cũ, lý tưởng là có 2 cổng ethernet, hoặc, không thành công với thẻ mạng PCMCIA. Cài đặt hệ thống BSD hoặc Linux trên nó. (Tôi muốn giới thiệu OpenBSD, sau đó FreeBSD chỉ vì quản lý dễ dàng hơn)

Thiết lập máy tính xách tay để hoạt động như một cây cầu - tất cả các gói được truyền qua. Chạy tcpdump trên giao thông qua lại. Viết mọi thứ vào ổ đĩa flash. Định kỳ thay đổi ổ đĩa, mang ổ đĩa đầy về nhà và sử dụng ethereal hoặc snort hoặc tương tự để đi qua tệp kết xuất và xem nếu bạn tìm thấy bất cứ điều gì kỳ lạ.

Bạn đang tìm kiếm lưu lượng truy cập cho một kết hợp ip / cổng bất thường. Đây là khó khăn. Không biết bất kỳ công cụ tốt nào để giúp winnow thoát ra.

Có khả năng phần mềm gián điệp ghi vào đĩa cục bộ bao gồm các bản nhạc của nó. Bạn có thể kiểm tra điều này bằng cách khởi động từ máy khác, khởi động máy mac của bạn ở chế độ đích (nó hoạt động như một thiết bị firewire) Quét âm lượng, lấy tất cả các chi tiết bạn có thể.

So sánh hai lần chạy này vào những ngày riêng biệt bằng cách sử dụng diff. Điều này giúp loại bỏ các tập tin giống nhau trên cả hai lần chạy. Điều này sẽ không tìm thấy mọi thứ. Ví dụ: Ứng dụng Blackhat có thể tạo một ổ đĩa dưới dạng tệp. Điều này sẽ không thay đổi nhiều nếu ứng dụng Đen có thể sắp xếp ngày không thay đổi.

Phần mềm có thể giúp: http://aide.sourceforge.net/ AIDE Môi trường phát hiện xâm nhập nâng cao. Hữu ích để xem các tập tin / quyền thay đổi. Nhằm vào * ix, không chắc nó xử lý các thuộc tính mở rộng như thế nào.

Hi vọng điêu nay co ich.

Để phát hiện và xóa ứng dụng, bạn có thể sử dụng bất kỳ phần mềm gỡ cài đặt nào cho Macintosh (như CleanMyMac hoặc MacKeeper).