Es gibt eine Anwendung namens Zoom, die von einer Software namens ibus abhängt. Nach der Installation startet ibus gerne automatisch. Ich möchte nicht, dass ibus automatisch startet. Ich habe Autostart-Dateien, die im-daemon starten, aus ~/.config/autostart und /etc/xdg/autostart entfernt, aber die Anwendung startet trotzdem. Ich habe nach systemd-Diensten gesucht und keine gefunden, die ibus starten. Wenn ich mich ab- und wieder anmelde, startet die Anwendung erneut. Wie kann ich die Quelle finden und den automatischen Start dieser Malware-emulierenden Software verhindern? Ich verwende Debian 10 Cinnamon.
Derzeit habe ich die Binärdatei für im-daemon gelöscht, wodurch das Autostart-Programm fehlschlägt. Ich möchte jedoch immer noch wissen, wie und warum diese Software versucht, ihre Aktivität vor dem Benutzer zu verbergen.
Antwort1
Ich gehe davon aus, dass Sie von der Anwendung „Zoom Meeting“ sprechen.
Ich habe den Befehl ausgeführt
strace -o debug.txt -e trace=file -f ./ZoomLauncher
Dies zeigte an einem Punkt, dass libibusplatforminputcontextplugin.so ausgeführt werden muss, das Teil des Zoom-Pakets ist. Um zu erraten, was passiert, ohne mich eingehend mit dem Produkt befasst zu haben, das ich ausgeführt habe:
strings ./platforminputcontexts/libibusplatforminputcontextplugin.so | grep -i ibus
Dies hat gezeigt, dass es mehrere Zeichenfolgen gibt, die auf ibus verweisen. Die Anwendung benötigt es also wahrscheinlich.
Die einfacheren Lösungen bestehen darin, keine Gnome-Variante zu verwenden oder zu versuchen, die Anwendung in Wine auszuführen.
Wenn Sie es direkt stoppen möchten, können Sie versuchen, die Änderungen zu verhindern. Ich verwende Cinnanmon nicht, daher kann ich nur raten, was die Lösung ist. Möglicherweise müssen Sie noch mehr recherchieren. Die Debug-Datei von vorhin kann alle aufgerufenen Dateien anzeigen. Wenn Sie Folgendes ausführen, können Sie eine bereinigte Liste der Dateizugriffe anzeigen.
cat debug.txt | grep -v "No such file or directory\|RDONLY\|exited\|unfinished\|\"/dev/" | grep "[0-9]* openat("
Zoom schien an meiner Datei „/run/user/1000/dconf/user“ interessiert zu sein. Um es klarzustellen (aufgrund der jüngsten Ereignisse in den Nachrichten), ich sage nicht, dass dies böswillig ist. Ich sage nur, dass sich auf meinem System die Änderungszeit zur gleichen Zeit geändert hat, als ich Zoom ausgeführt habe. Dass ich keine Aussage mache, liegt daran, dass mein aktuelles Wissen über dconf gering ist und meines Wissens gibt es viele legitime Gründe, ein Feld in diesem Feld für eine benutzerfreundliche Anwendung zu ändern. Wenn es die dconf-Einstellungen ändert, könnte etwas darin sein, das ibus startet. Wenn das die Lösung ist, würde ich empfehlen, die Berechtigungen für diese Datei zu ändern, damit Ihr Benutzer sie nicht ändern kann.
chmod 400 /run/user/1000/dconf/user
oder die dconf-Datei in Ihrem Home-Verzeichnis, wenn Zoom sie ändert. Dies kann sehr wahrscheinlich zu schlechtem und unerwartetem Verhalten führen, aber der Frageton scheint darauf hinzudeuten, dass dies akzeptabel wäre. Es gibt auch Optionen zum Sperren von dconf mit denselben Vorbehalten. Dconf sperren