스파이 / 키로거 소프트웨어를 탐지하는 방법? [복제]

9

상사가 일종의 스파이 소프트웨어를 설치했다는 의심이 듭니다. 키로거, 화면 캡처 또는 사무실에 없을 때 내가하는 일을 아는 정보 일 수 있습니다.

그가 숨길 게 없어서 그가 제자리를 찾지 못했거나 편집증 환자이고 나를 감시하지 않아서 아무 말도하지 않는지 모르겠습니다.

어느 쪽이든 내가 훔쳐보고 있는지 확인하고 싶습니다.

그가 나를 믿지 않는 사람을 위해 일하고 싶지 않아
불법이며 다른 사람이 내 비밀번호 (점심 시간 동안 개인 이메일, 홈뱅킹 및 Facebook 계정에 액세스 할 수 있음) 및 개인 정보를 저장할 수 없습니다.

그렇다면 ... OS X 10.6.8을 실행하는 iMac에서 스파이 소프트웨어를 어떻게 감지 할 수 있습니까? 전체 관리자 권한이 있습니다.

사용자 및 시스템 라이브러리의 모든 폴더를 스캔하려고 시도했지만 아무것도 울리지 않았습니다. 그러나이 소프트웨어 중 하나가 폴더를 숨길 것이라고 생각하기 때문에 (위치 또는 이름별로) Employeee Spy Data라는 폴더를 찾을 수 없다고 생각합니다

또한 Activity Monitor를 사용하여 다른 순간에 실행중인 모든 프로세스를 보았지만 다시 ... 프로세스가 SpyAgent 도우미라고하는 것은 아닙니다.

찾을 수있는 알려진 폴더 / 프로세스 목록이 있습니까?

다른 방법으로 감지 할 수 있습니까?

snow-leopard privacy

— 후안
소스

5

이것은 당신의 상사입니다. 내일 보자 아니, 농담이야 그가 얼마나 능숙한 지에 따라, Mac OS X 용으로 사용 가능한 해당 유형의 소프트웨어를 확인하고이를 활성화하는 키 입력 등을 시도하여 시작할 수 있습니다. 또한 암호 캡처를 제공하는 상용 솔루션을 찾지 못했습니다.

— 해롤드 캐 번디시

1

반드시 불법은 아니지만 고용 계약서의 내용에 따라 다르며 회사 소유의 장비를 사용하고 있기 때문에 합법적 일 수 있습니다.

— user151019

1

수퍼 유저와 비슷한 질문 입니다. Little Snitch 와 같은 응용 프로그램으로 네트워크 트래픽을 모니터링 할 수도 있습니다 .

— Lri

10

소금에 걸 맞는 모든 종류의 루트킷은 커널에 연결하거나 시스템 바이너리를 대체하여 숨기므로 실행중인 시스템에서 거의 감지 할 수 없습니다. 기본적으로 시스템을 신뢰할 수 없기 때문에보고있는 내용을 신뢰할 수 없습니다. 시스템을 끄고 외부 부팅 드라이브를 연결 한 후 (실행중인 시스템에 연결하지 마십시오) 외부 디스크에서 시스템을 부팅하고 의심스러운 프로그램을 찾으십시오.

— 티르
소스

2

나는 당신이 이미 가장 일반적인 RAT가 모두 꺼져 있거나 죽었 음을 철저히 확인한 가설을 세울 것입니다 (모든 공유, ARD, Skype, VNC…).

10.6.8을 실행하는 완전히 신뢰할 수있는 외부 Mac에는 다음 두 루트킷 탐지기 중 하나 (또는 둘 다)를 설치하십시오.
1. rkhunter 이것은 tgz빌드 및 설치 의 전통입니다
2. chkrootkit 당신을 통해 설치할 수 있습니다 brew또는 macports예를 들어 :
  
  port install chkrootkit
이 신뢰할 수있는 Mac에서 테스트하십시오.
USB 키에 저장하십시오.
평상시와 같이 모든 것을 정상 모드로 실행중인 것으로 의심되는 시스템에 키를 꽂고 실행하십시오.

— 단
소스

1

루트킷이 플래시에서 실행 파일의 작동을 감지 할 수 있으면 해당 동작을 숨길 수 있습니다. 대상 모드에서 의심스러운 Mac을 부팅 한 다음 신뢰할 수있는 Mac에서 스캔하는 것이 좋습니다.

— Sherwood Botsford

모든 chkrootkit C 프로그램, 특히 "chkrootkit"스크립트의 소스 코드를 검토하여 루트킷 또는 키 로거로 컴퓨터를 감염시키지 않도록하는 사람은 누구입니까?

— Curt

1

의심스러운 항목이 실행 중인지 확인하는 확실한 방법 중 하나는 활동 모니터 앱을 여는 것입니다. 활동 앱은 Spotlight에서 열거 나 응용 프로그램 > 유틸리티 > 활동 모니터 로 이동할 수 있습니다 . 앱은 평범한 곳에서 숨길 수 있지만 컴퓨터에서 실행중인 경우 Activity Monitor에 확실히 표시됩니다. 거기에있는 어떤 것들은 재미있는 이름을 가질 것이지만, 그것들은 실행되고 있어야합니다. 프로세스 가 무엇인지 확실하지 않은 경우 프로세스 종료 를 클릭하기 전에 Google이 중요하거나 중요한 것을 끌 수 있습니다.

— 우즈
소스

2

일부 소프트웨어는 프로세스 테이블 루틴을 패치하고 숨길 수 있습니다. 간단한 프로그램과보다 안정적인 프로그램은 시스템의 낮은 수준을 수정하면 문제가 발생할 수 있기 때문에 프로세스 나 파일을 숨길 수 없습니다. 그러나 Activity Monitor 또는 프로세스 테이블 자체에 약간의 엔지니어링 작업을 패치하는 것이 쉽지 않기 때문에 모든 앱이 분명히 표시되는 것은 좋은 설명이 아닙니다.

— bmike

이것은 알려진 응용 프로그램에 대한 위험한 신뢰 입니다 ( Activity Monitor).

— dan

0

해킹당한 경우 키로거가보고해야합니다. 이 작업을 즉시 수행하거나 로컬에 저장하고 주기적으로 일부 네트워크 대상에 분산시킬 수 있습니다.

가장 좋은 방법은 2 개의 이더넷 포트를 사용하거나 PCMCIA 네트워크 카드를 사용하지 않는 오래된 랩톱을 청소하는 것입니다. BSD 또는 Linux 시스템을 설치하십시오. (관리가 쉬워 OpenBSD를 추천하고 FreeBSD를 추천합니다)

브리지 역할을하도록 랩탑을 설정하십시오. 모든 패킷이 통과됩니다. 트래픽에서 tcpdump를 실행하십시오. 모든 것을 플래시 드라이브에 씁니다. 주기적으로 드라이브를 교체하고, 채워진 드라이브를 집으로 가져 와서 미묘한 또는 코골이 또는 이와 유사한 것을 사용하여 덤프 파일을 살펴보고 이상한 것이 있는지 확인하십시오.

비정상적인 IP / 포트 조합에 대한 트래픽을 찾고 있습니다. 힘든 일입니다. 왕겨를 알아내는 데 도움이되는 좋은 도구를 모릅니다.

스파이웨어가 해당 트랙을 덮고있는 로컬 디스크에 쓸 가능성이 있습니다. 다른 컴퓨터에서 부팅하고 대상 모드에서 Mac을 부팅하여 (파이어 와이어 장치처럼 작동) 볼륨을 스캔하여 가능한 모든 세부 사항을 파악하여이를 확인할 수 있습니다.

diff를 사용하여 별도의 날에 두 번의 실행을 비교하십시오. 이렇게하면 두 실행에서 모두 동일한 파일이 제거됩니다. 모든 것을 찾을 수는 없습니다. 예를 들어 Blackhat 앱은 디스크 볼륨을 파일로 만들 수 있습니다. Black 앱이 날짜 변경을 주선 할 수있는 경우에는 크게 변하지 않습니다.

소프트웨어가 도움이 될 수 있습니다 : http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. 변경된 파일 / 권한을 보는 데 유용합니다. * ix를 목표로 확장 속성을 처리하는 방법을 모릅니다.

도움이 되었기를 바랍니다.

— 셔우드 보츠 포드
소스

-2

앱을 감지하고 삭제하려면 CleanMyMac 또는 MacKeeper와 같은 Macintosh 용 제거 소프트웨어를 사용할 수 있습니다.

— 사용자
소스

이 사람은 어떻게 제거 앱을 사용하기 전에 먼저 스파이웨어를 찾습니까?

— MK

mackeeper는 최악의 소프트웨어입니다

— Juan