На Mac, как соединения (возможно, с помощью шпионских программ) устанавливаются к внешним интернет-адресам во время первоначального запуска?

Question

Я пытаюсь обезопасить Mac, обнаружив, что сетевые ссылки устанавливаются на некоторые нежелательные интернет-сайты.

Используя 'lsof -i' (список открытых 'файлов', Интернет), я увидел, что launchd, ntpd, firefox, dropbox и другие процессы либо "СЛУШАЮТ", либо имеют "УСТАНОВЛЕННЫЕ" ссылки на сайт или сайты, которые, как я подозреваю, должны делать со шпионским ПО. Я пытался найти файлы запуска и списки предпочтений, которые инициируют эти ссылки, но не могу их найти. Я мог бы легко переустановить ОС и восстановить данные из резервной копии, но я бы предпочел знать, как это исправить, поскольку у меня есть шесть компьютеров Mac, за которыми нужно ухаживать.

Спасибо...

Answer 1

Если вы достаточно обеспокоены, чтобы заплатить за решение, вам может понравиться Little Snitch, который является исходящим брандмауэром.

Answer 2

Хотя это и не тривиально, DTrace может помочь отследить, где установлено соединение, если вы хотите написать небольшой D-скрипт. Посмотрите анонимную трассировку, если вам нужно отслеживать, пока система запускается. Вы можете заставить его искать вызов для подключения к рассматриваемому адресу, а затем перехватывать, например, трассировку стека пользователя. (Возможно, вы захотите изменить адрес на 127.0.0.2 в вашей базе данных хостов, чтобы у вас был уникальный адрес для сопоставления.) Вы также можете отслеживать доступ к файлам, которые происходят до этого. Если это слишком много данных, спекулятивная трассировка DTrace позволит вам предварительно проследить каждый доступ к файлу и зафиксировать самые последние данные трассировки после установления соединения.

Если соединения устанавливаются шпионским ПО, такая информация, как имена хостов, может быть жестко запрограммирована в программе, а не в файле настроек. Это также, вероятно, будет запутано таким образом, чтобы его было трудно отследить.

Answer 3

Это один шаг удален, но все процессы, которые запускаются автоматически в OS X, запускаются launchd. Вы можете использовать инструмент командной строки launchctl, чтобы получить список задач, о которых он знает. В этой статье Apple о launchd перечислены каталоги конфигурации, в которых определены задачи.