我已启用隐藏文件,运行netstat
以观察活动连接,并且正在运行 Clamxav。有人知道其他技巧或想法来找到隐藏的东西吗?这是客户的机器。它看起来没问题。只是想知道我还可以尝试其他什么。
答案1
查看活动监视器应用程序,可能位于 /Applications/Utilities/。或者在终端中使用 top。但如果一切正常,您还要查找什么?
答案2
OS X 用于launchd
控制系统和用户服务。该launchctl
命令与 launchd 连接以检查和管理守护进程、代理和 XPC 服务。请参阅man launchctl
和man launchd
。
您可以在以下位置查找可疑文件。应用程序安装有效的服务。恶意软件可能安装了恶意代理或服务。
在这些文件夹中查找异常文件,尤其是~/Library/LaunchAgents
因为它是用户可写的。~/Library/LaunchDaemons
不应该存在。如果存在,则很可疑。
~/Library/LaunchAgents 用户提供的代理 /Library/LaunchAgents 管理员提供的代理 /Library/LaunchDaemons 管理员提供的系统范围守护进程 /System/Library/LaunchAgents OS X 每个用户代理 /System/Library/LaunchDaemons OS X 系统范围的守护进程
奔跑launchctl list | sort -k3
并寻找不寻常的物品。
运行launchctl print system
以获取代理商和服务的详细列表。
之前较旧、传统的方法launchd
是cron
。crontab -l
对于用户和 root 运行 。请参阅man crontab
和man cron
。
$ crontab -l crontab:用户没有 crontab $ sudo su # crontab -l crontab:root 没有 crontab # 出口