Я включил скрытые файлы, запустил netstat для наблюдения за активными подключениями и запускаю Clamxav. Кто-нибудь знает какие-нибудь другие хитрости или идеи, чтобы найти что-то скрывающее? Это машина клиента. Кажется, все будет хорошо. Просто хочу знать, могу ли я попробовать что-нибудь еще.

2 ответа2

1

Посмотрите в приложении Activity Monitor, вероятно, в /Applications /Utilities /. Или используйте top в терминале. Но если все выглядит хорошо, что вы ищете?

0

OS X использует launchd для управления системой и пользовательскими службами. Команда launchctl соединяется с launchd для проверки и управления демонами, агентами и службами XPC. Смотрите man launchctl и man launchd .

Есть места, где вы можете искать подозрительные файлы. Приложения устанавливают действующие сервисы. Вредоносное ПО могло установить вредоносный агент или службу.

Ищите необычные файлы в этих папках, особенно ~/Library/LaunchAgents потому что они доступны для записи пользователем. ~/Library/LaunchDaemons не должно существовать. Если он присутствует, это подозрительно.

~/Library/LaunchAgents         User-provided agents
/Library/LaunchAgents          Administrator-provided agents
/Library/LaunchDaemons         Administrator-provided system-wide daemons
/System/Library/LaunchAgents   OS X per-user agents
/System/Library/LaunchDaemons  OS X system-wide daemons

Запустить launchctl list | sort -k3 и ищите необычные предметы.

Запустите launchctl print system для получения подробного списка агентов и служб.

Более старый, устаревший метод до launchd был cron . Запустите crontab -l для пользователей и для пользователя root. Посмотрите на man crontab и man cron .

$ crontab -l
crontab: no crontab for user
$ sudo su
# crontab -l
crontab: no crontab for root
# exit

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .