如何找到被盗的Macbook

我的一个朋友刚把她的Macbook偷了。她的Dropbox帐户仍在Macbook上运行，因此每次Macbook联机时她都可以看到，并可以获得其IP地址。

她已将此信息提供给警察，警察说可能需要一个月的时间才能从IP地址获取真实位置。我想知道我们是否可以帮助找到笔记本电脑，因为随身携带的人现在可能因处理被盗的货物而被捕（否则他们可能会在警察抓获之前重新安装它）。

以下是有关被盗的Macbook的事实：

• 它正在运行OS X，但是我不确定确切的版本（尽管我会找到）。
• 只有一个用户帐户，没有密码，并且具有管理员权限。
• 原始所有者的Dropbox仍在同步，每次上线时都会为我们提供IP地址。
• 原始所有者不是技术人员，因此她不太可能打开任何远程控制功能，例如SSH，VNC等（我已通过电子邮件发送给她询问）。
• 她不使用iCloud或.Mac服务。

我当时正在考虑将诱人的文件推送到Dropbox中，以使用户单击它。我想我只能对此一枪了，所以想要一些关于最好的事情的想法。

到目前为止，我的想法是：

• 安装某种按键记录器，以将所有信息发送回所有者。有没有办法让用户不知情？
• 使该文件成为Shell脚本，以获取尽可能多的有用信息，例如浏览器历史记录，查找iPhone备份等。不过，我不确定发送此信息的最佳方法。听起来我可以使用mail命令（当然可以使用一个免费的电子邮件帐户）？
• 也许打开远程管理。有没有用户不接受安全弹出窗口的方法？

有人在这里有提示吗？我已经写了很多shell脚本，但是想知道其他OS X选项是否更好，例如Applescript？有没有人比将Dropbox文件推送到它更好的主意？

我知道这个问题基本上是关于编写某种形式的恶意软件的，但是我很希望能够从“ 当您窃取黑客的计算机 DEF CON时发生的事情”中模仿我的英雄。

在执行任何操作之前，我们将确保与警察进行核对，以确保我们不违反任何法律。

我记得看过Zoz博士的视频。好东西。

听起来您精通Shell脚本，只需要一个攻击载体即可。做与Zoz相似的操作的关键是获得SSH访问。与小偷正在使用拨号调制解调器的情况不同，几乎可以肯定的是，由于新的Mac不进行拨号，小偷正在使用宽带连接，并且在某种NAT路由器后面。

即使在计算机上启用了SSH，也必须在路由器上设置端口转发，才能从外部访问计算机的SSH侦听端口。宽带连接的好处是IP地址更改的频率几乎肯定比拨号更改的频率低。

如果我担任您的职务，并持有小偷的IP，则我将首先尝试登录其路由器的Web界面，然后查看在那里可以做什么。令人惊讶的是，有多少人将其默认路由器/调制解调器密码保留在适当的位置，并且在网上有列表可以找到大多数主要制造商的默认密码。

进入内部后，检查路由器上的DHCP客户端列表，然后查看是否可以找到MacBook。许多路由器会显示MAC（硬件）地址，分配的内部IP地址（最经常为192.168.1.x），最重要的是机器名称。

找出分配给MacBook的IP，然后在路由器的设置中设置转发给它的端口。使用22以外的某个外部端口（例如端口2222）并将其转发到MacBook IP的端口22。

许多路由器都启用了SSH访问，因此访问小偷的IP @端口22可能会使您进入路由器外壳而不是计算机外壳。现在，您应该在小偷的外部IP（从Dropbox获得）上有一个端口，它将直接带您到MacBook上应绑定的SSH端口。除了SSH尚未打开。

这部分需要小偷采取一些措施。我喜欢电子邮件的想法，但它要求您的朋友使用Apple Mail。更好的方法可能是将诱人的.app文件上载到Dropbox，这将打开SSH（远程登录）。

您可以通过外壳程序脚本执行此操作，但是可以通过Applescript进行操作，将Applescript保存为.app并给它一个漂亮的图标，这对愚弄您的标记并不会给您带来很大的麻烦。

这是打开远程登录功能的Applescript代码：

do shell script "sudo systemsetup setremotelogin on" user name "Friend's Username" password "Friend's Password" with administrator privileges

此代码位将返回带有机器序列号的字符串，如果您愿意，可以通过电子邮件将其发送给自己：

do shell script "sudo system_profiler |grep \"r (system)\"" user name "Friend's Username" password "Friend's Password" with administrator privileges

我会编写applescript，以便它打开“远程登录”，并执行您需要执行的其他任何操作。尽量不要为GUI或除外壳程序之外的任何应用程序编写脚本，因为这会引起怀疑。最后显示一条消息，提示“此应用程序无法在此Macintosh上运行”。使用“退出”按钮可以减少怀疑。脚本在AppleScript编辑器中运行后，将其另存为仅运行的.app文件。

尝试将.app伪装成流行游戏，植物大战僵尸或愤怒的小鸟之类的东西。您可以从真实游戏的.app中导出图标，并将其放入从Applescript导出的.app中。如果您的朋友对小偷有很好的了解，则可以在社交上对他/她进行概要分析，并将.app伪装成他们可能感兴趣的其他东西。

只要您可以设置端口转发（您的商标没有执行适当的安全措施），并且可以让他/她运行该应用程序，则您将拥有对计算机的完全SSH访问权限，并且可以继续寻找线索而无需立即放弃您的存在。这还要求商标不要厌倦Dropbox的低吼通知并退出它，因此，我建议您的朋友暂时停止将文件保存到她的Dropbox中。

注意：如果小偷从其ISP断开连接并重新连接，他们将获得一个新的外部IP。将文件添加到Dropbox并等待其同步。这应该为您提供更新的IP。

注意2：如果用户在一定时间内（通常为24小时）未与MacBook连接到路由器，则分配给MacBook的内部IP地址的DHCP租约将到期。除非下次将另一台设备引入网络，否则很有可能在下次连接时获得相同的IP地址。在这种情况下，您将必须手动重新登录到路由器并修改端口。

这不是唯一的攻击手段，但是这是我第二次意识到我仍然通过Dropbox更新IP的方式。祝好运！

编辑：每个“执行shell脚本”行末尾的“管理员特权”非常重要。如果您不包括内联的用户名和密码，系统将提示用户输入您朋友的管理员密码，脚本将失败。

向一位阿姨发送电子邮件，希望她生日快乐，并且该阿姨想给她发送Abercrombie＆Fitch +的生日礼物，但需要正确的地址。然后，要由这个低预算的尼日利亚骗局来骗小偷。

+或其他一些知名品牌

老实说，请与Apple联系。他们可能掌握有关如何跟踪计算机的信息。我确定您不是第一个被盗Mac的人。

编辑：我调查了Apple的支持页面，它实际上没有我想的那么有用。您可以尝试使用iCloud远程锁定Macbook。

Daniel Beck实际上对其进行了测试，并评论说：

“虽然它不是“秘密的Mac后门”，[尽管它]确实对真正恢复计算机没有帮助，但它可以很好地将人们拒之于Mac之外。您的评论促使我尝试使用它，并且确实给人留下了深刻的印象。屏幕变白，它关闭了计算机，并需要您之前通过iCloud指定的六位数代码来恢复正常的启动过程。”

这并不能直接帮助这种情况，但是对于将来以及所有其他拥有Macbook下载Prey的人来说，可以让您更好地追踪小偷。猎物会提供一份报告，其中包括小偷的位置和照片，而这与警察的帮助一起可以使您的笔记本电脑恢复原状。请注意，除非您丢失计算机后向警察提出被盗物品报告，否则许多警察部门都不会提供帮助。因此请尽快执行此操作。

给定IP地址，您可能可以确定它是通过哪个ISP或与之连接的。

转到：http : //remote.12dt.com/lookup.php

输入IP地址。

例如，假设ip地址为：203.97.37.85（这实际上是NZ中ISP的Web服务器地址）。

并且它可能显示公司或ISP域名。如果它看起来像是公司名称，那么您的确在快速缩小。但是，如果它是网络提供商的名称（在上述情况下为-TelstraClear NZ）。

除了上述内容外，我还要进行Whois查找。使用一种在线whois查找工具。

http://networking.ringofsaturn.com/Tools/whois.php

而且您会获得很多信息。但是您可以看到它是TelstraClear网络中的地址。

#
# Query terms are ambiguous.  The query is assumed to be:
#     "n 203.97.37.85"
#
# Use "?" to get help.
#

#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=203.97.37.85?showDetails=true&showARIN=false&ext=netref2
#

NetRange:       203.0.0.0 - 203.255.255.255
CIDR:           203.0.0.0/8
OriginAS:
NetName:        APNIC-203
NetHandle:      NET-203-0-0-0-1
Parent:
NetType:        Allocated to APNIC
Comment:        This IP address range is not registered in the ARIN database.
Comment:        For details, refer to the APNIC Whois Database via
Comment:        WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:        ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:        for the Asia Pacific region. APNIC does not operate networks
Comment:        using this IP address range and is not able to investigate
Comment:        spam or abuse reports relating to these addresses. For more
Comment:        help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:        1994-04-05
Updated:        2010-08-02
Ref:            http://whois.arin.net/rest/net/NET-203-0-0-0-1

OrgName:        Asia Pacific Network Information Centre
OrgId:          APNIC
Address:        PO Box 2131
City:           Milton
StateProv:      QLD
PostalCode:     4064
Country:        AU
RegDate:
Updated:        2011-09-24
Ref:            http://whois.arin.net/rest/org/APNIC

ReferralServer: whois://whois.apnic.net

OrgAbuseHandle: AWC12-ARIN
OrgAbuseName:   APNIC Whois Contact
OrgAbusePhone:  +61 7 3858 3188
OrgAbuseEmail:  search-apnic-not-arin@apnic.net
OrgAbuseRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net
OrgTechRef:    http://whois.arin.net/rest/poc/AWC12-ARIN

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.97.0.0 - 203.97.127.255
netname:      TELSTRACLEAR-NZ
descr:        TelstraClear Ltd
country:      NZ
admin-c:      TAC3-AP
tech-c:       TTC7-AP
notify:       apnic.changes@team.telstraclear.co.nz
mnt-by:       APNIC-HM
mnt-lower:    MAINT-NZ-TELSTRACLEAR
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 19960101
changed:      netobjs@clear.net.nz 20010624
changed:      hm-changed@apnic.net 20041214
changed:      hm-changed@apnic.net 20050216
source:       APNIC

role:         TelstraClear Administrative Contact
address:      TelstraClear Limited
address:      Network Planning
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       apnic.changes@team.telstraclear.co.nz
phone:        +64 9 912 5205
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TAC3-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

role:         TelstraClear Technical Contact
address:      TelstraClear Limited
address:      Customer Help
address:      Private Bag 92143
address:      Auckland
country:      NZ
e-mail:       list.admin@team.telstraclear.co.nz
phone:        +64 9 912 5161
trouble:      For network abuse contact:
trouble:      list.admin@team.telstraclear.co.nz
trouble:      +64 9 912 5161
trouble:      For 24/7 after-hours NOC contact:
trouble:      +64 9 912 4482
notify:       apnic.changes@team.telstraclear.co.nz
tech-c:       TTC7-AP
admin-c:      TAC3-AP
nic-hdl:      TTC7-AP
mnt-by:       MAINT-NZ-TELSTRACLEAR
changed:      hm-changed@apnic.net 20041125
source:       APNIC

那时这将是警察的事。我怀疑ISP会告诉您那时谁在登录。

如果确实要拿回笔记本电脑，或者最终要购买一台新笔记本电脑，请在其上安装preyproject。它将使事情变得更简单。您甚至可以给违者拍照：)

您可以做很多事情，我强烈建议您什么都不做。让警察完成工作，将其逮捕。

这不是一个聪明的答案，而是正确的答案，恕我直言。

-尤其重要的是，如果您远程使用它，并且他们认为您正在使用它们，他们可能会将笔记本电脑粉碎成碎片。