Was ist die Gruppe access_bpf?

27

Weiß jemand, was die Gruppe "access_bpf" ist / tut. Ich habe es bemerkt, als ich in den Einstellungen> Benutzer & Gruppen ging.

Ich habe mich umgesehen und festgestellt, dass es etwas mit Wireshark zu tun hat. Ich habe das Programm jedoch nicht auf meinem Mac installiert, daher bin ich mir zu sicher, wie die Gruppe hinzugefügt wurde.

Andrew
quelle
2
Gute Suche :) Der Wireshark ist derjenige, der diese Gruppe macht. Da Sie sich nicht daran erinnern, es installiert zu haben, könnte es sich um eine andere Person handeln.
Ruskes

Antworten:

27

Das Installationsprogramm von Wireshark konfiguriert Ihr System so, dass der Benutzer, der die Installation durchführt, den Netzwerkverkehr erfassen kann, ohne dass das Erfassungsprogramm als Root ausgeführt werden muss.

Dies geschieht folgendermaßen:

  • eine access_bpfGruppe bilden;
  • stelle den Benutzer in diese Gruppe;
  • Installieren Sie ein StartupItem (in älteren Versionen) oder einen Start-Daemon (in neueren Versionen), der beim Booten des Systems die Berechtigungen der BPF-Geräte in rw-rw --- und den Gruppeneigentümer der BPF-Geräte in ändert access_bpf.
  • Legt fest, dass der StartupItem / launch-Daemon zu diesem Zeitpunkt ausgeführt wird.

Übrigens können Sie auf diese Weise auch Datenverkehr mit Wireshark (oder TShark- oder Dumpcap-Programmen von Wireshark) erfassen, ohne diese als Root ausführen zu müssen. Außerdem können Sie Datenverkehr mit tcpdump erfassen, ohne sie als Root ausführen zu müssen.


quelle
10

Das Installationsprogramm für Wireshark erstellt die Gruppe access_bpf! oder in deinem Fall wer weiß :)

Da Sie sich nicht erinnern, es installiert und nicht verwendet zu haben, entfernen Sie es einfach.

Um Wireshark von Ihrem Computer zu entfernen, suchen Sie auf Ihrem Mac nach folgenden Dateien und entfernen Sie diese, falls vorhanden:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Entfernen Sie auch die Gruppe access_bpf

Ruskes
quelle
8

Navigieren Sie zu Systemeinstellungen -> Benutzer & Gruppen -> Als Admin entsperren -> öffnen Sie das Feld Gruppen unter Benutzer -> Auswählen und Löschen.

Oder über Terminal mit

sudo dscl . -delete /Groups/access_bpf
Leon
quelle
Ja, aber Sie haben die Frage nicht beantwortet, dh wofür ist diese Gruppe?
Motti Shneor
Du hast recht. Es hätte ein Kommentar zum Löschen sein sollen, keine Antwort. Wie auch immer, mein ursprünglicher Post erwähnte, dass es eine Antwort auf ein vorheriges Poster war, aber es wurde viel und zweimal bearbeitet. Klarer machen.
Leon
1

Dies könnten auch die Überreste von Ihnen sein, die von einem Java-Laufwerk von einer Malware-Attacke getroffen wurden.

In diesem Fall erhält ein Bot Root-Zugriff, erstellt ein Gastkonto (möglicherweise gut versteckt) und beginnt, Ihre Schlüsselbunde zu durchsuchen.

Wenn mitmproxy unter Zertifikaten angezeigt wird, rufen Sie sofort Apple oder einen anderen vertrauenswürdigen Support-Ansprechpartner an.

Sie haben mit mir telefoniert, als hätten sie noch nie von dem Problem gehört.

Fakt ist immer noch, dass MacOS nicht perfekt ist. Wenn Sie noch Hilfe benötigen, können Sie gerne schreiben.

häufig
quelle
1
Vielen Dank für die Beantwortung. Malware verschleiert häufig Dinge mit gemeinsamen oder erwarteten Namen. Ich habe ein bisschen bearbeitet. Sie könnten den Bericht „Sie haben noch nichts gehört“ in Betracht ziehen. Natürlich wird der professionelle Support die Berichte anderer Personen nicht an Sie weitergeben, sie konzentrieren sich auf Ihr Problem und nur auf Ihr Problem. Wie Sie gezeigt haben, wird jeder einzelne Satz, den sie sagen, oft ohne den Kontext einer längeren Unterhaltung öffentlich veröffentlicht. Daher versuchen sie auch, sich an die Fakten zu halten, da sie wissen, dass sie morgen möglicherweise auf der Titelseite von Reddit stehen.
bmike
0

Diese Gruppe wird auch durch die Installation von Debookee erstellt, einem nativen Netzwerkverkehrsanalysetool für MacOS, das einen eingebetteten Wireshark verwendet.

https://debookee.com

Gummibando
quelle