Если ваш Mac ведет себя странно, и вы подозреваете руткит, вам нужно приступить к загрузке и сканированию с помощью нескольких различных инструментов. Стоит отметить, что вы можете установить руткит^(rootkit) и даже не знать об этом.

Главный отличительный фактор, который делает руткит особенным, заключается в том, что он позволяет удаленному администратору управлять вашим компьютером без вашего ведома. Как только кто-то получит доступ к вашему компьютеру, он может просто шпионить за вами или внести любые изменения в ваш компьютер. Причина, по которой вам нужно попробовать несколько разных сканеров, заключается в том, что руткиты, как известно, трудно обнаружить.

Что касается меня, то, если я даже подозреваю, что на клиентском компьютере установлен руткит, я немедленно создаю резервную копию данных и выполняю чистую установку операционной системы. Очевидно, что это легче сказать, чем сделать, и я не рекомендую делать это всем. Если вы не уверены, есть ли у вас руткит, лучше всего использовать следующие инструменты в надежде обнаружить руткит. Если при использовании нескольких инструментов ничего не получается, вероятно, все в порядке.

Если руткит обнаружен, вам решать, было ли удаление успешным или вам следует начать с чистого листа. Также стоит упомянуть, что, поскольку OS X основана на UNIX , многие сканеры используют командную строку и требуют определенных технических знаний. Поскольку этот блог ориентирован на новичков, я постараюсь придерживаться самых простых инструментов, которые вы можете использовать для обнаружения руткитов на вашем Mac .

Malwarebytes для Mac

Самая удобная программа, которую вы можете использовать для удаления любых руткитов с вашего Mac , — это Malwarebytes для Mac^{(Malwarebytes for Mac)} . Это касается не только руткитов, но и любых вирусов или вредоносных программ для Mac .

Вы можете загрузить бесплатную пробную версию и использовать ее до 30 дней. Стоимость составляет 40 долларов США, если вы хотите приобрести программу и получить защиту в режиме реального времени. Это самая простая в использовании программа, но она также, вероятно, не найдет действительно трудно обнаруживаемый руткит, поэтому, если вы найдете время, чтобы использовать приведенные ниже инструменты командной строки, вы получите гораздо лучшее представление о том, не у вас есть руткит.

Охотник за руткитами

Rootkit Hunter — мой любимый инструмент для поиска руткитов на Mac . Он относительно прост в использовании, и вывод очень прост для понимания. Во-первых, перейдите на страницу загрузки^{(download page)} и нажмите зеленую кнопку загрузки.

Идите вперед и дважды щелкните файл .tar.gz , чтобы распаковать его. Затем откройте окно терминала^(Terminal) и перейдите в этот каталог с помощью команды CD.

Оказавшись там, вам нужно запустить скрипт installer.sh. Для этого используйте следующую команду:

sudo ./installer.sh – install

Вам будет предложено ввести пароль для запуска скрипта.

Если все прошло хорошо, вы должны увидеть несколько строк о запуске установки и создании каталогов. В конце должно быть написано Установка завершена^{( Installation Complete)} .

Перед запуском настоящего сканера руткитов необходимо обновить файл свойств. Для этого вам нужно ввести следующую команду:

sudo rkhunter – propupd

Вы должны получить короткое сообщение о том, что этот процесс сработал. Теперь вы, наконец, можете запустить настоящую проверку на наличие руткитов. Для этого используйте следующую команду:

sudo rkhunter – check

Первое, что он сделает, это проверит системные команды. По большей части нам нужны зеленые ОК^(OKs) и как можно меньше красных предупреждений^(Warnings) . Как только это будет завершено, вы нажмете Enter , и он начнет проверку на наличие руткитов.

Здесь вы хотите убедиться, что все они говорят Not Found . Если здесь что-то отображается красным, у вас определенно установлен руткит. Наконец, он проверит файловую систему, локальный хост и сеть. В самом конце, это даст вам хорошее резюме результатов.

Если вам нужны дополнительные сведения о предупреждениях, введите cd /var/log а затем введите sudo cat rkhunter.log , чтобы увидеть весь файл журнала и пояснения к предупреждениям. Вам не нужно слишком беспокоиться о командах или сообщениях файлов запуска, поскольку они обычно в порядке. Главное, что при проверке на руткиты ничего не обнаружено.

chkrootkit

chkrootkit — это бесплатный инструмент, который локально проверяет наличие признаков руткита. В настоящее время он проверяет около 69 различных руткитов. Перейдите на сайт, нажмите « Загрузить^(Download) » вверху, а затем нажмите «Chkrootkit последний архив^{(chkrootkit latest Source tarball)} с исходным кодом» , чтобы загрузить файл tar.gz.

Перейдите в папку « Загрузки^(Downloads) » на вашем Mac и дважды щелкните файл. Это распакует его^{(uncompress it)} и создаст папку в Finder с именем chkrootkit-0.XX . Теперь откройте окно терминала^(Terminal) и перейдите в несжатый каталог.

По сути, вы переходите в каталог « Загрузки^(Downloads) », а затем в папку chkrootkit. Оказавшись там, вы вводите команду, чтобы сделать программу:

sudo make sense

Вам не нужно использовать здесь команду sudo , но, поскольку для ее запуска требуются привилегии root, я включил ее. Прежде чем команда сработает, вы можете получить сообщение о том, что для использования команды make необходимо установить инструменты разработчика .

Нажмите « Установить^(Install) » , чтобы загрузить и установить команды. После завершения снова запустите команду. Вы можете увидеть кучу предупреждений и т. д., но просто игнорируйте их. Наконец, вы наберете следующую команду для запуска программы:

sudo ./chkrootkit

Вы должны увидеть вывод, подобный показанному ниже:

Вы увидите одно из трех выходных сообщений: не заражено^{( not infected)} , не проверено^{(not tested)} и не найдено^{(not found)} . «Не заражен» означает, что сигнатуры руткита не обнаружены, «не найдено» означает, что тестируемая команда недоступна, а «не проверено» означает, что тест не был выполнен по разным причинам.

Будем надеяться^(Hopefully) , что все окажется не зараженным, но если вы увидите какую-либо инфекцию, значит, ваша машина скомпрометирована^{(machine has been compromised)} . Разработчик программы пишет в файле README , что вы должны в основном переустановить ОС, чтобы избавиться от руткита, что в принципе я и предлагаю.

Детектор руткитов ESET

ESET Rootkit Detector — еще одна бесплатная программа, которую гораздо проще использовать, но ее главный недостаток в том, что она работает только на OS X 10.6 , 10.7 и 10.8. Учитывая , что сейчас OS X почти до 10.13, эта программа не будет полезна для большинства людей.

К сожалению, существует не так много программ, которые проверяют наличие руткитов на Mac . Для Windows есть намного больше , и это понятно, поскольку пользовательская база Windows намного больше. Однако, используя описанные выше инструменты, вы, надеюсь, должны получить представление о том, установлен ли руткит на вашем компьютере. Наслаждаться!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rооtkit, then you’ll need to get to work downloading and scanning with several different toоls. It’s worth notіng that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Как предотвратить сон вашего Mac

• Как переназначить клавиши Fn на вашем Mac

• Некоторые клавиши на вашем Mac не работают должным образом?

• 5 способов принудительно закрыть приложения на вашем Mac

• Как создать символические ссылки на вашем Mac

• Как использовать камеру непрерывности на iOS и OS X

• Сделайте резервную копию вашего Mac с помощью Time Machine

• Как массово переименовывать файлы на вашем Mac

• Стоит ли обновлять свой Mac до Мохаве?

• Как сделать так, чтобы кому-то было сложнее взломать ваш Mac

• 10 лучших бесплатных игр для Mac, которые вы можете скачать прямо сейчас

• Как заменить и объединить файлы на Mac

• Как подключиться к удаленному или локальному серверу на Mac

• Как печатать в черно-белом режиме на Mac

• 20 советов, как максимально эффективно использовать Finder на Mac

• Изменить или подделать MAC-адрес в Windows или OS X

• Как редактировать файл hosts на Mac

• 15 советов, как продлить срок службы батареи на Mac

• Как найти и обновить 32-битные приложения на вашем Mac

• 5 приложений, которые выведут ваш новый Mac на новый уровень