Če se vaš Mac obnaša nenavadno in sumite na rootkit, se boste morali lotiti prenosa in skeniranja z več različnimi orodji. Omeniti velja, da imate lahko nameščen rootkit in tega niti ne poznate.
Glavni razlikovalni dejavnik, zaradi katerega je rootkit poseben, je ta, da daje nekomu oddaljeni skrbniški nadzor nad vašim računalnikom brez vaše vednosti. Ko ima nekdo dostop do vašega računalnika, lahko preprosto vohuni za vami ali pa v vašem računalniku naredi kakršne koli spremembe. Razlog, zakaj morate preizkusiti več različnih skenerjev, je, da je rootkite znano težko zaznati.
Če sumim, da je na odjemalskem računalniku nameščen rootkit, takoj naredim varnostno kopijo podatkov in izvedem čisto namestitev operacijskega sistema. To je očitno lažje reči kot narediti in tega ne priporočam vsem. Če niste prepričani, ali imate rootkit, je najbolje, da uporabite naslednja orodja v upanju, da boste odkrili rootkit. Če se z več orodji ne prikaže nič, ste verjetno v redu.
Če je rootkit najden, se sami odločite, ali je bila odstranitev uspešna ali pa morate začeti od začetka. Prav tako je treba omeniti, da ker OS X temelji na UNIX-u, veliko optičnih bralnikov uporablja ukazno vrstico in zahteva precej tehničnega znanja. Ker je ta blog namenjen začetnikom, se bom poskušal držati najpreprostejših orodij, ki jih lahko uporabite za odkrivanje rootkitov v vašem Macu.
Malwarebytes za Mac
Uporabniku najbolj prijazen program, ki ga lahko uporabite za odstranitev rootkitov iz vašega Maca, je Malwarebytes for Mac. Ne velja samo za rootkite, ampak tudi za vse vrste virusov ali zlonamerne programske opreme Mac.
Lahko prenesete brezplačno preskusno različico in jo uporabljate do 30 dni. Cena je 40 USD, če želite kupiti program in pridobiti zaščito v realnem času. To je najlažji program za uporabo, vendar verjetno tudi ne bo našel rootkita, ki bi ga bilo težko zaznati, tako da če si lahko vzamete čas in uporabite spodnja orodja ukazne vrstice, boste dobili veliko boljšo predstavo o tem, ali nimaš rootkita.
Rootkit Hunter
Rootkit Hunter je moje najljubše orodje za iskanje rootkitov v računalniku Mac. Je razmeroma enostaven za uporabo in rezultat je zelo enostaven za razumevanje. Najprej pojdite na stran za prenos in kliknite zeleni gumb za prenos.
Nadaljujte in dvokliknite datoteko .tar.gz, da jo razpakirate. Nato odprite okno terminala in se pomaknite do tega imenika z ukazom CD.
Ko ste tam, morate zagnati skript installer.sh. Če želite to narediti, uporabite naslednji ukaz:
sudo ./installer.sh – namestitev
Pozvani boste, da vnesete geslo za zagon skripta.
Če je šlo vse dobro, bi morali videti nekaj vrstic o začetku namestitve in ustvarjanju imenikov. Na koncu bi moralo pisati Namestitev končana.
Preden zaženete dejanski optični bralnik rootkit, morate posodobiti datoteko lastnosti. Če želite to narediti, morate vnesti naslednji ukaz:
sudo rkhunter – propupd
Prejeti bi morali kratko sporočilo, ki nakazuje, da je ta postopek deloval. Zdaj lahko končno izvedete dejansko preverjanje rootkita. Če želite to narediti, uporabite naslednji ukaz:
sudo rkhunter – preveri
Prva stvar, ki jo bo naredil, je preverjanje sistemskih ukazov. Večinoma želimo zeleno OKs tukaj in čim manj rdečih Opozorila. Ko je to končano, boste pritisnili Enter in začelo se bo preverjanje rootkitov.
Tukaj želite zagotoviti, da bodo vsi povedali Ni najdeno Če se tukaj kaj pojavi rdeče, imate zagotovo nameščen rootkit. Nazadnje bo opravil nekaj pregledov datotečnega sistema, lokalnega gostitelja in omrežja.Čisto na koncu vam bo ponudil lep povzetek rezultatov.
Če želite več podrobnosti o opozorilih, vnesite cd /var/log in nato vnesite sudo cat rkhunter.log za ogled celotne dnevniške datoteke in razlag za opozorila. Ni vam treba preveč skrbeti za ukaze ali sporočila o zagonskih datotekah, saj so običajno v redu. Glavna stvar je, da pri preverjanju rootkitov ni bilo najdeno nič.
chkrootkit
chkrootkit je brezplačno orodje, ki bo lokalno preverjalo znake rootkita. Trenutno preverja približno 69 različnih rootkitov. Pojdite na spletno mesto, kliknite Prenos na vrhu in nato kliknite chkrootkit najnovejši izvorni arhiv za prenos datoteke tar.gz.
Pojdite v mapo Prenosi na vašem Macu in dvokliknite datoteko. S tem ga boste razpakirali in v Finderju ustvarili mapo z imenom chkrootkit-0.XX. Zdaj odprite terminalsko okno in se pomaknite do nestisnjenega imenika.
V bistvu greste v imenik Prenosi in nato v mapo chkrootkit. Ko ste tam, vnesete ukaz za izdelavo programa:
sudo ima smisel
Tukaj vam ni treba uporabiti ukaza sudo, a ker za izvajanje potrebuje korenske pravice, sem ga vključil. Preden bo ukaz deloval, boste morda prejeli sporočilo, da je treba namestiti orodja za razvijalce za uporabo ukaza make.
Nadaljujte in kliknite Namesti za prenos in namestitev ukazov. Ko končate, znova zaženite ukaz. Morda boste videli kup opozoril itd., vendar jih preprosto prezrite. Nazadnje boste vnesli naslednji ukaz za zagon programa:
sudo ./chkrootkit
Morali bi videti nekaj rezultatov, kot je prikazano spodaj:
Videli boste eno od treh izhodnih sporočil: ni okuženo, ni testirano in ni najden Ni okuženo pomeni, da ni našel nobenega podpisa rootkita, ni najdeno pomeni, da ukaz, ki ga želite preizkusiti, ni na voljo in ni testiran pomeni, da test ni bil izveden zaradi različnih razlogov.
Upajmo, da bo vse ostalo neokuženo, a če opazite kakršno koli okužbo, je vaš stroj ogrožen. Razvijalec programa v datoteki README piše, da bi morali v bistvu ponovno namestiti OS, da se znebite rootkita, kar v bistvu tudi predlagam.
ESET Rootkit Detector
ESET Rootkit Detector je še en brezplačen program, ki je veliko lažji za uporabo, vendar je glavna slabost ta, da deluje samo na OS X 10.6, 10.7 in 10.8. Glede na to, da je OS X trenutno skoraj na različici 10.13, ta program večini ljudi ne bo v pomoč.
Na žalost ni veliko programov, ki na Macu preverjajo rootkite. Obstaja veliko več za Windows in to je razumljivo, saj je baza uporabnikov sistema Windows veliko večja. Z uporabo zgornjih orodij pa upajmo, da boste dobili dostojno predstavo o tem, ali je rootkit nameščen na vašem računalniku ali ne. Uživajte!
