Jika Mac anda bertindak pelik dan anda mengesyaki rootkit, maka anda perlu mula bekerja memuat turun dan mengimbas menggunakan beberapa alatan yang berbeza. Perlu diingat bahawa anda boleh memasang rootkit dan tidak mengetahuinya.
Faktor membezakan utama yang menjadikan rootkit istimewa ialah ia memberikan seseorang pentadbir jauh kawalan ke atas komputer anda tanpa pengetahuan anda. Sebaik sahaja seseorang mempunyai akses kepada komputer anda, mereka hanya boleh mengintip anda atau mereka boleh membuat sebarang perubahan yang mereka mahukan pada komputer anda. Sebab mengapa anda perlu mencuba beberapa pengimbas yang berbeza ialah rootkit sangat sukar untuk dikesan.
Bagi saya, jika saya mengesyaki terdapat rootkit dipasang pada komputer pelanggan, saya segera membuat sandaran data dan melakukan pemasangan bersih sistem pengendalian. Ini jelas lebih mudah diucapkan daripada dilakukan dan ia bukan sesuatu yang saya cadangkan semua orang lakukan. Jika anda tidak pasti sama ada anda mempunyai rootkit, sebaiknya gunakan alatan berikut dengan harapan untuk menemui rootkit. Jika tiada apa-apa yang muncul menggunakan berbilang alatan, anda mungkin OK.
Jika rootkit ditemui, terpulang kepada anda untuk memutuskan sama ada pengalihan keluar itu berjaya atau sama ada anda perlu bermula dari senarai yang bersih. Perlu juga dinyatakan bahawa memandangkan OS X berasaskan UNIX, banyak pengimbas menggunakan baris arahan dan memerlukan sedikit pengetahuan teknikal. Memandangkan blog ini ditujukan kepada pemula, saya akan cuba menggunakan alat paling mudah yang boleh anda gunakan untuk mengesan rootkit pada Mac anda.
Malwarebytes untuk Mac
Atur cara paling mesra pengguna yang boleh anda gunakan untuk mengalih keluar sebarang rootkit daripada Mac anda ialah Malwarebytes untuk Mac. Ia bukan sahaja untuk rootkit, tetapi juga sebarang jenis virus Mac atau perisian hasad.
Anda boleh memuat turun percubaan percuma dan menggunakannya sehingga 30 hari. Kosnya ialah $40 jika anda ingin membeli program dan mendapatkan perlindungan masa nyata. Ia adalah program yang paling mudah untuk digunakan, tetapi ia juga mungkin tidak akan menemui rootkit yang sangat sukar untuk dikesan, jadi jika anda boleh meluangkan masa untuk menggunakan alat baris arahan di bawah, anda akan mendapat idea yang lebih baik sama ada atau bukan anda mempunyai rootkit.
Rootkit Hunter
Rootkit Hunter ialah alat kegemaran saya untuk digunakan pada Mac untuk mencari rootkit. Ia agak mudah untuk digunakan dan outputnya sangat mudah difahami. Mula-mula, pergi ke halaman muat turun dan klik pada butang muat turun berwarna hijau.
Teruskan dan klik dua kali pada fail .tar.gz untuk membongkarnya. Kemudian buka tetingkap Terminal dan navigasi ke direktori itu menggunakan arahan CD.
Sebaik sahaja, anda perlu menjalankan skrip installer.sh. Untuk melakukan ini, gunakan arahan berikut:
sudo ./installer.sh – install
Anda akan digesa untuk memasukkan kata laluan anda untuk menjalankan skrip.
Jika semuanya berjalan lancar, anda akan melihat beberapa baris tentang permulaan pemasangan dan direktori sedang dibuat. Pada penghujungnya, ia sepatutnya berkata Pemasangan Selesai.
Sebelum anda menjalankan pengimbas rootkit sebenar, anda perlu mengemas kini fail sifat. Untuk melakukan ini, anda perlu menaip arahan berikut:
sudo rkhunter – propupd
Anda sepatutnya mendapat mesej ringkas yang menunjukkan bahawa proses ini berjaya. Kini anda akhirnya boleh menjalankan semakan rootkit sebenar. Untuk melakukannya, gunakan arahan berikut:
sudo rkhunter – semak
Perkara pertama yang akan dilakukan ialah menyemak arahan sistem. Untuk sebahagian besar, kami mahu hijau OKs di sini dan sedikit merah Amaran yang mungkin. Setelah itu selesai, anda akan menekan Enter dan ia akan mula menyemak rootkit.
Di sini anda ingin memastikan kesemuanya menyatakan Tidak Ditemui Jika ada yang muncul merah di sini, anda pasti mempunyai rootkit yang dipasang. Akhir sekali, ia akan melakukan beberapa semakan pada sistem fail, hos tempatan dan rangkaian.Pada penghujungnya, ia akan memberi anda ringkasan keputusan yang bagus.
Jika anda mahu butiran lanjut tentang amaran, taipkan cd /var/log dan kemudian taipkan sudo cat rkhunter.log untuk melihat keseluruhan fail log dan penjelasan untuk amaran. Anda tidak perlu terlalu risau tentang arahan atau mesej fail permulaan kerana ia biasanya OK. Perkara utama ialah tiada apa yang ditemui semasa menyemak rootkit.
chkrootkit
chkrootkit ialah alat percuma yang akan menyemak secara tempatan tanda-tanda kit akar. Ia kini menyemak kira-kira 69 rootkit yang berbeza. Pergi ke tapak, klik pada Muat Turun di bahagian atas dan kemudian klik pada chkrootkit tarball Sumber terkini untuk memuat turun fail tar.gz.
Pergi ke folder Muat Turun pada Mac anda dan klik dua kali pada fail tersebut. Ini akan menyahmampatkannya dan mencipta folder dalam Finder yang dipanggil chkrootkit-0.XX. Sekarang buka tetingkap Terminal dan navigasi ke direktori yang tidak dimampatkan.
Pada asasnya, anda cd ke dalam direktori Muat Turun dan kemudian ke dalam folder chkrootkit. Sebaik sahaja di sana, anda taip arahan untuk membuat program:
sudo masuk akal
Anda tidak perlu menggunakan perintah sudo di sini, tetapi kerana ia memerlukan keistimewaan root untuk dijalankan, saya telah memasukkannya. Sebelum arahan berfungsi, anda mungkin mendapat mesej yang mengatakan alat pembangun perlu dipasang untuk menggunakan perintah make.
Teruskan dan klik pada Pasang untuk memuat turun dan memasang arahan. Setelah selesai, jalankan arahan sekali lagi. Anda mungkin melihat sekumpulan amaran, dsb., tetapi abaikan sahaja. Akhir sekali, anda akan menaip arahan berikut untuk menjalankan program:
sudo ./chkrootkit
Anda sepatutnya melihat beberapa output seperti yang ditunjukkan di bawah:
Anda akan melihat satu daripada tiga mesej output: tidak dijangkiti, tidak diuji dan not found Tidak dijangkiti bermakna ia tidak menjumpai sebarang tandatangan rootkit, tidak dijumpai bermakna arahan yang akan diuji tidak tersedia dan tidak diuji bermakna ujian itu tidak dilakukan atas pelbagai sebab.
Semoga, semuanya keluar tidak dijangkiti, tetapi jika anda melihat sebarang jangkitan, maka mesin anda telah terjejas. Pembangun program menulis dalam fail README bahawa anda pada asasnya harus memasang semula OS untuk menyingkirkan rootkit, yang pada asasnya adalah apa yang saya juga cadangkan.
Pengesan Rootkit ESET
ESET Rootkit Detector ialah satu lagi program percuma yang lebih mudah digunakan, tetapi kelemahan utama ialah ia hanya berfungsi pada OS X 10.6, 10.7 dan 10.8. Memandangkan OS X hampir mencapai 10.13 sekarang, program ini tidak akan membantu kebanyakan orang.
Malangnya, tidak banyak program di luar sana yang menyemak rootkit pada Mac. Terdapat banyak lagi untuk Windows dan itu boleh difahami kerana pangkalan pengguna Windows adalah lebih besar. Walau bagaimanapun, dengan menggunakan alat di atas, anda diharapkan mendapat idea yang baik sama ada rootkit dipasang pada mesin anda atau tidak. Nikmati!