我已啟用隱藏文件,運行netstat以觀察活動連接,並且正在運行 Clamxav。有人知道其他技巧或想法來找到隱藏的東西嗎?這是客戶的機器。看來還好。只是想知道我是否還可以嘗試其他方法。
答案1
查看“活動監視器”應用程序,可能位於 /Applications/Utilities/ 中。或在終端機中使用 top。但如果一切看起來都很好,你在尋找什麼?
答案2
OS X 用於launchd控制系統和使用者服務。該launchctl命令與 launchd 連接以檢查和管理守護程序、代理程式和 XPC 服務。參見man launchctl和man launchd。
您可以在某些地方找到可疑文件。應用程式安裝有效的服務。惡意軟體可能安裝了惡意代理或服務。
在這些資料夾中尋找異常文件,特別是~/Library/LaunchAgents因為它是使用者可寫入的。~/Library/LaunchDaemons不應該存在。如果它存在,那就值得懷疑。
~/Library/LaunchAgents 用戶提供的代理 /Library/LaunchAgents 管理員提供的代理 /Library/LaunchDaemons 管理員提供的系統範圍守護程序 /System/Library/LaunchAgents OS X 每用戶代理 /System/Library/LaunchDaemons OS X 系統範圍的守護進程
跑過去launchctl list | sort -k3尋找不尋常的物品。
運行launchctl print system以取得代理和服務的詳細清單。
之前較舊的遺留方法launchd是cron.crontab -l為使用者和 root運行。參見man crontab和man cron。
$ crontab -l crontab:沒有使用者的 crontab $ 須藤蘇 # crontab -l crontab:root 沒有 crontab # 出口