¿Cómo detectar software spy/keylogger?

Cualquier tipo de rootkit que se precie va a ser casi imperceptible en un sistema en funcionamiento porque enganche en el núcleo o reemplazar archivos binarios del sistema para ocultarse. Básicamente lo que estás viendo no se puede confiar porque el sistema no se puede confiar. Lo que tienes que hacer es apagar el sistema, conectar un disco de arranque externo (no se conectan al sistema de corriente) y luego arrancar el sistema desde un disco externo y busque programas sospechosos.

Voy a hacer la hipótesis de que ya han comprobado todos los más comunes de la RATA están apagados o muertos (todos los intercambios, ARD, Skype, VNC...).

1. En un externo y totalmente confiable para los Mac también 10.6.8, instalar una (o ambas) de estas 2 detectores de rootkits:

   1. rkhunter este es un tradicional tgz para construir e instalar

   2. chkrootkit los que se puede instalar a través de la brew o macports, por ejemplo:

      port install chkrootkit

2. Prueba de ellos en esta y confiable para Mac.

3. Guardarlos en una memoria USB.

4. Conecte su clave en su sospecha de sistema se ejecuta en modo normal con todo como de costumbre y los ejecute.

Una forma definitiva para ver si hay algo sospechoso se está ejecutando es para abrir el Monitor de Actividad de la aplicación, que se puede abrir con Spotlight o vaya a Aplicaciones > Utilidades > Monitor de Actividad. Una aplicación puede ocultar de la vista, pero si se está ejecutando en la máquina, definitivamente se muestran en el Monitor de Actividad. Algunas cosas no tienen nombres divertidos, pero se supone que se ejecuta; por lo que si usted no está seguro de lo que es, tal vez Google antes de hacer clic en el Proceso de Cierre, o usted puede desactivar algo importante.

Si usted ha sido hackeado, el keylogger tiene que informar. Se puede hacer esto ya sea inmediatamente o almacenar de forma local y periódicamente se lanzan a la red de destino.

Su mejor apuesta es capturar un viejo ordenador portátil, idealmente con 2 puertos ethernet, o, en su defecto con una tarjeta de red PCMCIA. Instalar BSD o Linux. (Yo recomendaría OpenBSD, FreeBSD solo por ser de más fácil manejo)

Configurar el portátil para actuar como un puente-todos los paquetes que pasan a través. Ejecutar tcpdump en el tráfico de ida y vuelta. Escribir todo en una unidad flash. Cambiar periódicamente la unidad, tome el llenado de la unidad de la casa y el uso etéreo o snort o similar para ir a través del archivo de volcado y ver si encuentra algo extraño.

Estás buscando el tráfico a una inusual ip/puerto combinación. Esto es duro. No conozco a ningún buen herramientas para ayudar a desterrar la paja.

Existe una posibilidad de que el spyware se escribe en el disco local que cubre sus pistas. Usted puede comprobar esto por arrancar desde otra máquina, arranque el mac en modo de destino (que actúa como un dispositivo firewire) Escanear el volumen, captando todos los detalles que usted puede.

Comparar dos carreras de este en días separados uso de diff. Esto elimina el archivo que son el mismo en ambas pistas. Esto no va a encontrar de todo. E. g. Un Blackhat aplicación puede crear un volumen de disco como un archivo. Esto no va a cambiar mucho si el Negro de la aplicación puede organizar las fechas para no cambiar.

El Software puede ayudarle a: http://aide.sourceforge.net/ AYUDANTE Avanzado de Detección de intrusos medio Ambiente. Útil para la observación de los cambios de los archivos/permisos. Dirigido a *ix, no está seguro de cómo maneja los atributos extendidos.

Espero que esto ayude.

Para detectar y eliminar aplicaciones que puede utilizar cualquier desinstalar software para Macintosh (como CleanMyMac o MacKeeper).