Я включил скрытые файлы, запустил netstatнаблюдение за активными соединениями и запустил Clamxav. Кто-нибудь знает какие-нибудь другие приемы или идеи, чтобы найти что-то скрывающееся? Это клиентская машина. Кажется, все в порядке. Просто хочу узнать, могу ли я попробовать что-нибудь еще.
решение1
Посмотрите в приложении Activity Monitor, вероятно, в /Applications/Utilities/. Или используйте top в Terminal. Но если все выглядит нормально, что вы ищете?
решение2
OS X использует launchdдля управления системными и пользовательскими службами. launchctlКоманда подключается к launchd для проверки и управления демонами, агентами и службами XPC. См. man launchctlи man launchd.
Есть места, где можно искать подозрительные файлы. Приложения устанавливают допустимые службы. Вредоносное ПО может установить вредоносный агент или службу.
Ищите необычные файлы в этих папках, особенно ~/Library/LaunchAgentsпотому, что они доступны для записи пользователем. ~/Library/LaunchDaemonsне должно существовать. Если он присутствует, это подозрительно.
~/Library/LaunchAgents Агенты, предоставляемые пользователем /Library/LaunchAgents Агенты, предоставляемые администратором /Library/LaunchDaemons Системные демоны, предоставляемые администратором /System/Library/LaunchAgents Агенты OS X для каждого пользователя /System/Library/LaunchDaemons Системные демоны OS X
Бегайте launchctl list | sort -k3и ищите необычные предметы.
Запросите launchctl print systemподробный список агентов и услуг.
Старый, устаревший метод launchdбыл cron. Запуск crontab -lдля пользователей и для root. Смотрите man crontabи man cron.
$ кронтаб -l crontab: нет crontab для пользователя $ судо су # кронтаб -l crontab: нет crontab для root # Выход