Comment détecter les logiciels espions / enregistreurs de frappe? [dupliquer]

Je soupçonne sérieusement que mon patron a installé une sorte de logiciel espion. Peut-être un enregistreur de frappe, une capture d'écran ou quelque chose pour savoir ce que je fais quand il n'est pas au bureau.

Je n'ai rien à cacher donc je ne sais pas s'il ne me dit rien parce qu'il n'a rien trouvé de mal ou parce que je suis paranoïaque et qu'il ne m'espionne pas.

De toute façon, je veux être sûr si je suis espionné parce que:

1. Je ne veux pas travailler pour quelqu'un il ne me fait pas confiance moi
2. C'est illégal et je ne permettrai à personne de stocker mes mots de passe (j'accède à ma messagerie personnelle, à mon compte bancaire et à mon compte Facebook pendant les pauses déjeuner) et à mes informations personnelles.

Alors ... comment puis-je détecter les logiciels espions dans un iMac fonctionnant sous OS X 10.6.8? J'ai des autorisations d'administrateur complètes, je le sais.

J'ai essayé de numériser tous les dossiers de ma bibliothèque utilisateur et système, mais rien ne sonnait, mais comme je pense que l'un de ces logiciels cacherait le dossier (par emplacement ou par nom), je ne pense pas que je trouverai un dossier nommé Employeee Spy Data

J'ai également regardé tous les processus en cours d'exécution à différents moments avec Activity Monitor, mais encore une fois ... ce n'est pas comme si le processus s'appelait SpyAgent Helper

Existe-t-il une liste des dossiers / processus possibles connus à rechercher?

Une autre façon de détecter?

Tout type de rootkit digne de ce nom va être presque indétectable sur un système en cours d'exécution car il se connecte au noyau et / ou remplace les binaires du système pour se cacher. Fondamentalement, ce que vous voyez ne peut pas faire confiance car le système ne peut pas être approuvé. Ce que vous devez faire est d'éteindre le système, de connecter un lecteur de démarrage externe (ne le connectez pas au système en cours d'exécution), puis de démarrer le système à partir d'un disque externe et de rechercher les programmes suspects.

Je ferai l'hypothèse que vous avez déjà soigneusement vérifié que tous les RAT les plus courants sont éteints ou morts (tous les partages, ARD, Skype, VNC…).

1. Sur un Mac externe et entièrement fiable exécutant également 10.6.8, installez l'un (ou les deux) de ces 2 détecteurs de rootkits:

   1. rkhunter c'est une tradition tgzde construire et d'installer

   2. chkrootkit que vous pouvez installer via brewou macports, par exemple:

      port install chkrootkit

2. Testez-les sur ce Mac fiable.

3. Enregistrez-les sur une clé USB.

4. Branchez votre clé sur votre système suspect en cours d'exécution en mode normal avec tout comme d'habitude et exécutez-les.

Une façon définitive de voir si quelque chose de suspect est en cours d'exécution est d'ouvrir l'application Activity Monitor, que vous pouvez ouvrir avec Spotlight ou aller à Applications > Utilitaires > Activity Monitor . Une application peut être cachée, mais si elle fonctionne sur la machine, elle apparaîtra certainement dans le moniteur d'activité. Certaines choses là-bas auront des noms amusants, mais elles sont censées fonctionner; donc si vous n'êtes pas sûr de ce que c'est, peut-être Google avant de cliquer sur Quitter le processus , ou vous pouvez désactiver quelque chose d'important.

Si vous avez été piraté, l'enregistreur de frappe doit signaler. Il peut le faire immédiatement ou le stocker localement et le vomir périodiquement vers une destination réseau.

Votre meilleur pari est de récupérer un vieil ordinateur portable, idéalement avec 2 ports Ethernet, ou, à défaut, avec une carte réseau PCMCIA. Installez un système BSD ou Linux dessus. (Je recommanderais OpenBSD, puis FreeBSD juste pour une gestion plus facile)

Configurez l'ordinateur portable pour servir de pont - tous les paquets sont passés. Exécutez tcpdump sur le trafic dans les deux sens. Écrivez tout sur une clé USB. Changez périodiquement le lecteur, ramenez le lecteur rempli à la maison et utilisez éthéré ou snort ou similaire pour parcourir le fichier de vidage et voir si vous trouvez quelque chose d'étrange.

Vous recherchez du trafic vers une combinaison ip / port inhabituelle. C'est difficile. Je ne connais pas de bons outils pour aider à vaincre l'ivraie.

Il est possible que le logiciel espion écrit sur le disque local couvrant ses pistes. Vous pouvez vérifier cela en démarrant à partir d'une autre machine, démarrez votre mac en mode cible (il agit comme un périphérique firewire) Scannez le volume, en saisissant tous les détails que vous pouvez.

Comparez deux exécutions de cela sur des jours différents en utilisant diff. Cela élimine les fichiers identiques sur les deux exécutions. Cela ne trouvera pas tout. Par exemple, une application Blackhat peut créer un volume de disque sous forme de fichier. Cela ne changera pas grand-chose si l'application Black peut faire en sorte que les dates ne changent pas.

Le logiciel peut vous aider: http://aide.sourceforge.net/ AIDE Advanced Intrusion Detection Environment. Utile pour surveiller les fichiers / autorisations modifiés. Destiné à * ix, je ne sais pas comment il gère les attributs étendus.

J'espère que cela t'aides.

Pour détecter et supprimer des applications, vous pouvez utiliser n'importe quel logiciel de désinstallation pour Macintosh (comme CleanMyMac ou MacKeeper).