Existe um aplicativo, o Zoom, que depende de um software conhecido como ibus. Após a instalação, o ibus gosta de iniciar automaticamente. Não quero que o ibus seja iniciado automaticamente. Removi os arquivos de inicialização automática que iniciam o im-daemon em ~/.config/autostart e /etc/xdg/autostart, mas o aplicativo ainda inicia. Procurei por serviços do systemd e não encontrei nenhum que iniciasse o ibus. Se eu sair e entrar novamente, o aplicativo será iniciado novamente. Como posso encontrar a fonte e impedir a inicialização automática deste software de emulação de malware? Estou no Debian 10 Canela.
Atualmente, excluí o binário do im-daemon, o que faz com que o programa de inicialização automática falhe. No entanto, ainda quero saber como e por que este software se esforça para ocultar sua atividade do usuário.
Responder1
Presumo que você esteja falando sobre o aplicativo Zoom Meeting.
eu executei o comando
strace -o debug.txt -e trace=file -f ./ZoomLauncher
Isso foi mostrado em um ponto para executar libibusplatforminputcontextplugin.so, que faz parte do pacote zoom. Para adivinhar o que está acontecendo sem um mergulho completo no produto que executei:
strings ./platforminputcontexts/libibusplatforminputcontextplugin.so | grep -i ibus
Isso mostrou que existem várias strings que fazem referência ao ibus. Portanto, o aplicativo provavelmente precisa disso.
As soluções mais fáceis não são usar a variante gnome ou tentar executar o aplicativo no wine.
Se você quiser pará-lo diretamente, você pode tentar impedir que as mudanças aconteçam. Não estou executando o Cinnanmon, então estou supondo a solução, então você pode precisar de mais pesquisas. O arquivo de depuração anterior pode mostrar todos os arquivos acessados. A execução do seguinte pode mostrar uma lista limpa de acessos a arquivos.
cat debug.txt | grep -v "No such file or directory\|RDONLY\|exited\|unfinished\|\"/dev/" | grep "[0-9]* openat("
O Zoom parecia interessado no meu arquivo "/run/user/1000/dconf/user". Para ser claro (devido aos acontecimentos recentes nas notícias), não estou dizendo isso de forma maliciosa, estou dizendo que no meu sistema o tempo de modificação mudou ao mesmo tempo que quando eu estava executando o zoom. Minha falta de declaração se deve ao meu conhecimento atual do dconf ser baixo e pelo que sei existem muitos motivos legítimos para alterar um campo neste campo para qualquer aplicação amigável. Se estiver modificando as configurações do dconf, pode haver algo que esteja iniciando o ibus. Se essa for a solução, recomendo alterar as permissões desse arquivo para não permitir que seu usuário o altere.
chmod 400 /run/user/1000/dconf/user
ou o arquivo dconf em seu diretório inicial se o zoom o estiver modificando. É muito possível que isso cause um comportamento inadequado e inesperado, mas o tom questionador parece indicar que isso seria aceitável. Também existem opções para bloquear o dconf com as mesmas advertências. Bloqueando dconf