Проверка на наличие кейлоггера / трояна / шпионского ПО в OS X
Я включил скрытые файлы, побежал netstat наблюдать активные соединения, и я бегу Clamxav. Кто-нибудь знает какие-нибудь другие хитрости или идеи, чтобы найти что-то скрывающее? Это машина клиента. Кажется, все будет хорошо. Просто хочу знать, могу ли я попробовать что-нибудь еще.
2 ответа
Посмотрите в приложении Activity Monitor, вероятно, в /Applications/Utilities/. Или используйте top в терминале. Но если все выглядит хорошо, что вы ищете?
OS X использует launchd контролировать системные и пользовательские сервисы. launchctl Команда соединяется с launchd для проверки и управления демонами, агентами и службами XPC. Увидеть man launchctl а также man launchd,
Есть места, где вы можете искать подозрительные файлы. Приложения устанавливают действующие сервисы. Вредоносное ПО могло установить вредоносный агент или службу.
Ищите необычные файлы в этих папках, особенно ~/Library/LaunchAgents потому что это доступно для записи пользователем. ~/Library/LaunchDaemons не должно существовать Если он присутствует, это подозрительно.
~ / Библиотека /LaunchAgents Предоставленные пользователем агенты / Библиотека / Агенты, запускаемые агентом LaunchAgents /Library/LaunchDaemons Предоставляемые администратором общесистемные демоны / Система / Библиотека /LaunchAgents OS X для пользовательских агентов / Система / Библиотека /LaunchDaemons OS X общесистемные демоны
Бежать launchctl list | sort -k3 и искать необычные предметы.
Бежать launchctl print system для подробного списка агентов и услуг.
Старый, устаревший метод до launchd было cron, Бежать crontab -l для пользователей и для рута. Увидеть man crontab а также man cron,
$ crontab -l crontab: нет crontab для пользователя $ sudo su # crontab -l crontab: нет crontab для root # выход