¿Cómo detectar el software espía / keylogger? [duplicar]

Navega tus respuestas
8

Tengo cierta sospecha de que mi jefe instaló algún tipo de software espía. Tal vez un keylogger, captura de pantalla o algo para saber qué hago cuando no está en la oficina.

No tengo nada que ocultar, así que no sé si él no me dice nada porque no encontró nada fuera de lugar o porque estoy siendo paranoico y no me está espiando.

De cualquier manera, quiero estar seguro de si me están espiando porque:

  1. No quiero trabajar para alguien que no confía en mí.
  2. Es ilegal y no permitiré que nadie guarde mis contraseñas (sí accedo a mi correo electrónico personal, a mi sitio web y a mi cuenta de Facebook durante las pausas del almuerzo) e información personal.

Entonces ... ¿cómo puedo detectar software espía en un iMac con OS X 10.6.8? Tengo permisos de administrador completos lo sé.

Intenté escanear todas las carpetas de mi biblioteca del usuario y del sistema, pero no sonó ningún timbre, pero como creo que cualquiera de estos programas ocultaría la carpeta (ya sea por ubicación o nombre), no creo que encuentre una carpeta con el nombre Empleado de datos espía

También observé todos los procesos que se ejecutan en diferentes momentos con el Monitor de actividad, pero nuevamente ... no es como si el proceso se llamara SpyAgent Helper

¿Hay una lista de posibles carpetas / procesos conocidos para buscar?

¿Alguna otra forma de detectar?

    
pregunta Juan 31.07.2012 - 18:51

5 respuestas

10

Cualquier tipo de rootkit que valga la pena será casi indetectable en un sistema en ejecución porque se enganchan en el kernel y / o reemplazan los binarios del sistema para ocultarse. Básicamente, no se puede confiar en lo que estás viendo porque no se puede confiar en el sistema. Lo que debe hacer es apagar el sistema, conectar una unidad de inicio externa (no conectarlo al sistema en ejecución) y luego iniciar el sistema desde un disco externo y buscar programas sospechosos.

    
respondido por el Tyr 31.07.2012 - 21:39
2

Voy a hacer la hipótesis que ya ha comprobado a fondo todos los los RAT más comunes están apagados o muertos (todos los compartimientos, ARD, Skype, VNC ...).

  1. En una Mac externa y totalmente confiable que se ejecuta también en 10.6.8, instale uno (o ambos) de estos 2 detectores de rootkits:

    1. rkhunter este es un tgz tradicional para compilar & instalar

    2. chkrootkit que puede instalar a través de brew o macports , por ejemplo:

      port install chkrootkit

  2. Pruébalos en este Mac confiable.

  3. Guárdalos en una llave USB.

  4. Conecte su llave a su sistema sospechoso ejecutándose en modo normal con todo como de costumbre y ejecútalos.

respondido por el daniel Azuelos 12.12.2013 - 00:04
1

Una forma definitiva de ver si se está ejecutando algo sospechoso es abrir la aplicación Activity Monitor, que puede abrir con Spotlight o ir a Aplicaciones > Utilidades > Monitor de actividad . Una aplicación puede ocultarse a simple vista, pero si se ejecuta en la máquina, definitivamente se mostrará en el Monitor de actividad. Algunas cosas allí tendrán nombres graciosos, pero se supone que se están ejecutando; por lo tanto, si no está seguro de qué es, puede buscarlo en Google antes de hacer clic en Salir del proceso , o podría desactivar algo importante.

    
respondido por el woz 31.07.2012 - 20:27
0

Si has sido hackeado, el keylogger tiene que informar. Puede hacer esto inmediatamente o almacenarlo localmente y arrojarlo periódicamente a algún destino de la red.

Su mejor apuesta es buscar en una computadora portátil vieja, idealmente con 2 puertos Ethernet, o, en su defecto, con una tarjeta de red PCMCIA. Instale un sistema BSD o Linux en él. (Recomendaría OpenBSD, luego FreeBSD solo por una administración más sencilla)

Configure la computadora portátil para que actúe como un puente: todos los paquetes pasan. Ejecute tcpdump en el tráfico de ida y vuelta. Escribe todo en una unidad flash. Cambie periódicamente el disco, llévelo a casa y use etéreo o snort o similar para revisar el archivo de volcado y ver si encuentra algo extraño.

Está buscando tráfico a una combinación inusual de ip / puerto. Esto es dificil No conozco ninguna buena herramienta para ayudar a eliminar la paja.

Existe la posibilidad de que el spyware escriba en el disco local que cubre sus pistas. Puedes verificar esto arrancando desde otra máquina, arranca tu mac en modo objetivo (actúa como un dispositivo FireWire) Escanea el volumen, agarrando todos los detalles que puedas.

Compare dos ejecuciones de esto en días separados usando diff. Esto elimina el archivo que es el mismo en ambas ejecuciones. Esto no encontrará todo. P.ej. Una aplicación Blackhat puede crear un volumen de disco como un archivo. Esto no cambiará mucho si la aplicación Black puede hacer que las fechas no cambien.

El software puede ayudar: enlace AIDE Advanced Intrusion Detection Environment. Útil para ver los archivos / permisos cambiados. Dirigido a * ix, no estoy seguro de cómo maneja los atributos extendidos.

Espero que esto ayude.

    
respondido por el Sherwood Botsford 25.01.2016 - 04:06
-2

Para detectar y eliminar aplicaciones, puedes usar cualquier software de desinstalación para Macintosh (como CleanMyMac o MacKeeper).

    
respondido por el user63452 26.11.2013 - 22:15

Lea otras preguntas en las etiquetas

¿Cómo puedo copiar datos de un disco duro externo que está a punto de fallar? Abrir en casilla de verificación de baja resolución en Retina MacBook Pro activada y desactivada