スパイ/キーロガーソフトウェアを検出する方法？[重複]

9

上司が何らかのスパイソフトウェアをインストールしたという深刻な疑いがあります。キーロガー、画面キャプチャ、または彼がオフィスにいないときに私が何をしているのかを知るための何かかもしれません。

私は隠すことは何もないので、彼が場違いなものを見つけなかったので、または私が偏執的で、彼が私をスパイしていないので、彼が何も言わないのかわかりません。

どちらの方法でも、スパイされているかどうかを確認したいのは、次の理由からです。

彼が私を信頼してくれない誰かのために働きたくない
これは違法であり、誰にも私のパスワード（昼休み中に個人の電子メール、ホームバンキング、およびFacebookアカウントにアクセスします）および個人情報を保存することを許可しません。

では、OS X 10.6.8を実行しているiMacでスパイソフトウェアを検出するにはどうすればよいですか？私はそれを知っている完全な管理者権限を持っています。

ユーザーとシステムライブラリのすべてのフォルダーをスキャンしてみましたが、何もベルは鳴りませんでしたが、このソフトウェアのいずれかがフォルダーを（場所または名前で）非表示にすると思うので、Employeee Spy Dataという名前のフォルダーは見つかりません

また、アクティビティモニターを使用して、さまざまな時点で実行されているすべてのプロセスを確認しましたが、ここでも、プロセスがSpyAgentヘルパーと呼ばれるようではありません。

検索する既知の可能なフォルダ/プロセスのリストはありますか？

検出する他の方法は？

snow-leopard privacy

— ファン
ソース

5

これはあなたの上司です。明日お会いしましょう。いや、冗談だよ。彼の熟練度にもよりますが、Mac OS Xで利用可能なそのタイプのソフトウェアを確認し、それをアクティブにするキーストロークなどを試すことから始めることができます。また、パスワードキャプチャを提供する商用ソリューションは見つかりませんでした。

— ハロルドキャベンディッシュ、

1

これは必ずしも違法であるとは限りませんが、雇用契約の内容によって異なります。会社が所有する機器を使用しているからといって合法である可能性があります

— user151019

1

スーパーユーザーで同様の質問。Little Snitchなどのアプリケーションを使用してネットワークトラフィックを監視することもできます。

— Lri

10

それらのカーネルにフックしたり、システムバイナリを置き換えて自分自身を隠したりするため、実行中のシステムでは、その価値のあるあらゆる種類のルートキットはほとんど検出されません。基本的に、システムは信頼できないため、表示されているものは信頼できません。あなたがする必要があるのは、システムの電源を切り、外付けのブートドライブを接続し（実行中のシステムに接続しないでください）、外付けディスクからシステムを起動して、疑わしいプログラムを探すことです。

— ティル
ソース

2

最も一般的なすべてのRATがオフまたはデッドであることを完全に確認したという仮説を立てます（すべての共有、ARD、Skype、VNCなど）。

10.6.8も実行している外部の完全に信頼できるMacに、これら2つのルートキット検出器の1つ（または両方）をインストールします。
1. rkhunter これはtgzビルドとインストールの伝統です
2. brewまたはを介してインストールできるchkrootkitmacports、たとえば：
  
  port install chkrootkit
この信頼できるMacでテストしてください。
USBキーに保存します。
通常モードで実行している疑わしいシステムにキーを差し込み、通常どおりすべてを実行します。

— 段
ソース

1

ルートキットがフラッシュ上の実行可能ファイルの操作を検出できる場合、そのアクションを隠すことができる場合があります。疑わしいMacをターゲットモードで起動してから、信頼できるMacからスキャンする方が良いでしょう。

— Sherwood Botsford 2016年

すべてのchkrootkit Cプログラムのソースコード、特にスクリプト「chkrootkit」を確認して、ルートキットやキーロガーがコンピューターに感染していないことを確認したのは誰ですか？

— Curt

1

不審なものが実行されているかどうかを確認する1つの明確な方法は、Spotlightで開くか、[ アプリケーション] > [ ユーティリティ] > [ アクティビティモニター]に移動できるアクティビティモニターアプリを開くことです。アプリは見えないところから隠すことができますが、マシンで実行している場合は、アクティビティモニターに確実に表示されます。そこには面白い名前が付いているものもありますが、それらは実行されているはずです。そのため、それが何かわからない場合は、[ Quit Process ]をクリックする前にGoogleで確認してください。

— ウォズ
ソース

2

一部のソフトウェアは、プロセステーブルルーチンにパッチを適用し、自分自身を隠すことができます。単純なプログラムやより信頼性を高めることを目的としたプログラム（システムの低レベルの変更は問題を引き起こす可能性があるため）は、それが残したプロセスやファイルを隠しません。ただし、すべてのアプリが確実に表示されることを断定的に述べることは、アクティビティモニターやプロセステーブル自体に簡単なエンジニアリング作業をパッチするのは簡単なことなので、良いことではありません。

— bmike

これは、嘘をつくのにそれほど難しくない既知のアプリケーション（）に対するリスクのある信頼Activity Monitorです。

— 段

0

ハッキングされた場合、キーロガーが報告する必要があります。これはすぐに実行することも、ローカルに保存して定期的にネットワークの宛先に送信することもできます。

あなたの最善の策は、理想的には2つのイーサネットポートを備えた古いラップトップを探すか、PCMCIAネットワークカードでそれを失敗させることです。BSDまたはLinuxシステムをインストールします。（私はOpenBSDをお勧めしますが、管理が簡単なためFreeBSDを推奨します）

ブリッジとして機能するようにラップトップをセットアップします-すべてのパケットが通過します。トラフィックでtcpdumpを前後に実行します。すべてをフラッシュドライブに書き込みます。ドライブを定期的に交換し、いっぱいになったドライブを家に持ち帰り、etherealまたはsnortなどを使用してダンプファイルを調べ、何かおかしなことを見つけます。

異常なIP /ポートの組み合わせへのトラフィックを探しています。これは難しいです。もみがらを取り除くのに役立つ良いツールを知らない。

スパイウェアが、そのトラックをカバーするローカルディスクに書き込む可能性があります。これを確認するには、別のマシンから起動し、Macをターゲットモードで起動します（Firewireデバイスのように機能します）ボリュームをスキャンして、可能な限り詳細を取得します。

diffを使用して、別々の日にこの2つの実行を比較します。これにより、両方の実行で同じファイルが削除されます。これではすべてが見つかりません。たとえば、Blackhatアプリはディスクボリュームをファイルとして作成できます。Blackアプリで日付が変更されないように調整できる場合、これはあまり変わりません。

ソフトウェアが役立ちます： http: //aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment。変更されたファイル/権限を監視するのに役立ちます。* ixを目的としていますが、拡張属性の処理方法がわかりません。

お役に立てれば。

— シャーウッドボッツフォード
ソース

-2

アプリを検出して削除するには、Macintosh用のアンインストールソフトウェア（CleanMyMacやMacKeeperなど）を使用できます。

— user63452
ソース

この人はどのようにして（アンインストールアプリを使用する前に）最初にスパイウェアを見つけますか？

— MK

mackeeperは史上最悪のソフトウェアです

— フアン