如何检测间谍/键盘记录器软件？[重复]

我有些怀疑我的老板安装了某种间谍软件。也许是键盘记录器，屏幕截图或一些其他东西，当他不在办公室时我该怎么办。

我没有什么可隐瞒的，所以我不知道他是否没有告诉我任何事情，因为他没有发现任何不适当的地方，或者因为我很偏执并且他没有在监视我。

无论哪种方式，我都想确定自己是否被监视，因为：

1. 我不想为一个他不信任我的人工作
2. 这是非法的，我不允许任何人存储我的密码（我在午休时间访问我的个人电子邮件，家庭银行和Facebook帐户）和个人信息。

那么...如何在运行OS X 10.6.8的iMac中检测间谍软件？我有完整的管理员权限知道这一点。

我尝试扫描用户和系统库中的所有文件夹，但没有任何反应，但是由于我认为该软件会隐藏该文件夹（按位置或名称），所以我认为找不到名为Employeee Spy Data的文件夹

我还使用Activity Monitor查看了所有在不同时刻运行的进程，但再次...这似乎不叫SpyAgent Helper

是否有要查找的已知文件夹/进程的列表？

还有其他检测方法吗？

在运行的系统上几乎无法检测到任何有价值的rootkit，因为它们挂接到内核和/或替换系统二进制文件以隐藏自身。基本上，您看到的内容无法信任，因为系统无法信任。您需要做的是关闭系统，连接外部启动驱动器（不要将其连接至正在运行的系统），然后从外部磁盘启动系统并查找可疑程序。

我将假设您已经彻底检查了所有最常见的RAT已关闭或失效（所有共享，ARD，Skype，VNC等）。

1. 在也运行10.6.8的外部且完全受信任的Mac上，安装以下2个rootkits检测器之一（或同时安装）：

   1. rkhunter 这是传统tgz的建造和安装方式

   2. 您可以通过brew或安装的chkrootkitmacports，例如：

      port install chkrootkit

2. 在此可信任的Mac上对其进行测试。

3. 将它们保存在USB闪存盘上。

4. 像往常一样，将您的钥匙插入以正常模式运行的可疑系统，然后运行它们。

一种确定是否正在运行任何可疑方法的明确方法是打开“活动监视器”应用程序，您可以使用Spotlight打开该应用程序，也可以转到“ 应用程序” >“ 实用程序” >“ 活动监视器”。应用程序可以从视线中隐藏，但是如果它在计算机上运行，​​则肯定会显示在活动监视器中。那里的一些东西会带有有趣的名字，但它们应该正在运行。因此，如果您不确定它是什么，可以在单击Quit Process之前先用Google对其进行搜索，否则您可以关闭一些重要的信息。

如果您被黑客入侵，则键盘记录程序必须报告。它既可以立即执行此操作，也可以在本地存储并定期将其发送到某个网络目标。

最好的选择是使用一台旧笔记本电脑，最好使用2个以太网端口，或者用PCMCIA网卡使它失效。在其上安装BSD或Linux系统。（我建议先使用OpenBSD，然后再推荐使用FreeBSD，这是因为它更易于管理）

设置便携式计算机作为网桥-所有数据包都通过。在来回的流量上运行tcpdump。将所有内容写入闪存驱动器。定期更换驱动器，将已装满的驱动器带回家，并使用空灵或打喷嚏或类似方法来查看转储文件，看是否发现任何异常。

您正在寻找流量到不寻常的IP /端口组合。这很难。不知道有什么好的工具可以帮助淘汰谷壳。

间谍软件可能会写入覆盖其磁道的本地磁盘。您可以通过从另一台计算机启动，在目标模式下启动Mac（其行为类似于火线设备）来检查此情况，扫描卷，获取所有详细信息。

使用diff比较不同日期的两次运行。这样就消除了两次运行都相同的文件。这不会找到一切。例如，Blackhat应用程序可以将磁盘卷创建为文件。如果Black应用程序可以安排日期不变，则不会有太大变化。

该软件可以帮助您： http: //aide.sourceforge.net/ AIDE高级入侵检测环境。用于查看更改的文件/权限。瞄准* ix，不确定如何处理扩展属性。

希望这可以帮助。

要检测和删除应用程序，您可以使用任何适用于Macintosh的卸载软件（例如CleanMyMac或MacKeeper）。