检查 OS X 上的键盘记录程序/木马/间谍软件

检查 OS X 上的键盘记录程序/木马/间谍软件

我已启用隐藏文件,运行netstat以观察活动连接,并且正在运行 Clamxav。有人知道其他技巧或想法来找到隐藏的东西吗?这是客户的机器。它看起来没问题。只是想知道我还可以尝试其他什么。

答案1

查看活动监视器应用程序,可能位于 /Applications/Utilities/。或者在终端中使用 top。但如果一切正常,您还要查找什么?

答案2

OS X 用于launchd控制系统和用户服务。该launchctl命令与 launchd 连接以检查和管理守护进程、代理和 XPC 服务。请参阅man launchctlman launchd

您可以在以下位置查找可疑文件。应用程序安装有效的服务。恶意软件可能安装了恶意代理或服务。

在这些文件夹中查找异常文件,尤其是~/Library/LaunchAgents因为它是用户可写的。~/Library/LaunchDaemons不应该存在。如果存在,则很可疑。

~/Library/LaunchAgents 用户提供的代理
/Library/LaunchAgents 管理员提供的代理
/Library/LaunchDaemons 管理员提供的系统范围守护进程
/System/Library/LaunchAgents OS X 每个用户代理
/System/Library/LaunchDaemons OS X 系统范围的守护进程

奔跑launchctl list | sort -k3并寻找不寻常的物品。

运行launchctl print system以获取代理商和服务的详细列表。

之前较旧、传统的方法launchdcroncrontab -l对于用户和 root 运行 。请参阅man crontabman cron

$ crontab -l
crontab:用户没有 crontab
$ sudo su
# crontab -l
crontab:root 没有 crontab
# 出口

相关内容