Kuinka tarkistaa Macin rootkitit

Jos Macisi(Mac) toimii oudosti ja epäilet rootkitiä, sinun on ryhdyttävä lataamiseen ja skannaamiseen useilla eri työkaluilla. On syytä huomata, että sinulla voi olla rootkit asennettuna etkä edes tiedä sitä.

Tärkein erottuva tekijä, joka tekee rootkitista erityisen, on se, että se antaa jonkun etäjärjestelmänvalvojan hallita tietokonettasi tietämättäsi. Kun joku pääsee käyttämään tietokonettasi, hän voi yksinkertaisesti vakoilla sinua tai tehdä haluamansa muutokset tietokoneellesi. Syy siihen, miksi sinun täytyy kokeilla useita eri skannereita, on se, että rootkit-ohjelmia on tunnetusti vaikea havaita.

Rootkitin taiteilijan esitys

Jos epäilen, että asiakastietokoneeseen on asennettu rootkit, varmuuskopioin tiedot välittömästi ja suoritan käyttöjärjestelmän puhtaan asennuksen. Tämä on selvästikin helpommin sanottu kuin tehty, enkä suosittele sitä kaikille. Jos et ole varma, onko sinulla rootkit, on parasta käyttää seuraavia työkaluja rootkitin löytämisen toivossa. Jos mitään ei tule useiden työkalujen avulla, olet todennäköisesti kunnossa.

Jos rootkit löytyy, sinun on päätettävä, onnistuiko poistaminen vai pitäisikö sinun aloittaa puhtaalta pöydältä. On myös syytä mainita, että koska OS X perustuu UNIXiin(UNIX) , monet skannerit käyttävät komentoriviä ja vaativat melkoisen teknisen osaamisen. Koska tämä blogi on suunnattu aloittelijoille, yritän pitää kiinni helpoimmista työkaluista, joilla voit havaita rootkit-ohjelmiston Macissasi(Mac) .

Malwarebytes for Mac

Käyttäjäystävällisin ohjelma, jolla voit poistaa rootkitit Macistasi(Mac) , on Malwarebytes for Mac . Se ei ole vain rootkitille, vaan myös kaikille Mac - viruksille tai haittaohjelmille.

Malwarebytes-ikkuna

Voit ladata ilmaisen kokeiluversion ja käyttää sitä jopa 30 päivää. Hinta on 40 dollaria, jos haluat ostaa ohjelman ja saada reaaliaikaisen suojan. Se on helpoin käyttää ohjelmaa, mutta se ei myöskään todennäköisesti löydä todella vaikeasti havaittavaa rootkitiä, joten jos käytät aikaa alla olevien komentorivityökalujen käyttämiseen, saat paljon paremman käsityksen siitä, onko tai sinulla ei ole rootkitiä.

Rootkit Hunter

Rootkit Hunter on suosikkityökaluni, jota käytän Macissa(Mac) rootkittien etsimiseen. Se on suhteellisen helppokäyttöinen ja tulos on erittäin helppo ymmärtää. Siirry ensin lataussivulle(download page) ja napsauta vihreää latauspainiketta.

Rootkit Hunter -ikkuna

Pura .tar.gz(.tar.gz) - tiedosto kaksoisnapsauttamalla sitä. Avaa sitten Pääte(Terminal) -ikkuna ja siirry kyseiseen hakemistoon CD-komennolla.

Siirry hakemistoon CD-komennolla

Kun olet siellä, sinun on suoritettava installer.sh-skripti. Voit tehdä tämän käyttämällä seuraavaa komentoa:

sudo ./installer.sh – install

Sinua pyydetään antamaan salasanasi komentosarjan suorittamiseksi.

Anna salasana kehotteessa

Jos kaikki meni hyvin, sinun pitäisi nähdä joitakin rivejä asennuksen alkamisesta ja hakemistojen luomisesta. Lopussa pitäisi lukea Asennus valmis( Installation Complete) .

Asennus alkaa

Ennen kuin suoritat varsinaisen rootkit-skannerin, sinun on päivitettävä ominaisuustiedosto. Tätä varten sinun on kirjoitettava seuraava komento:

sudo rkhunter – propupd

Anna komento - propupd

Sinun pitäisi saada lyhyt viesti, joka osoittaa, että tämä prosessi toimi. Nyt voit vihdoin suorittaa varsinaisen rootkit-tarkistuksen. Voit tehdä sen käyttämällä seuraavaa komentoa:

sudo rkhunter – check

Anna komento - tarkista

Ensimmäinen asia, jonka se tekee, on tarkistaa järjestelmän komennot. Suurimmaksi osaksi haluamme vihreitä OK- merkkejä(OKs) ja mahdollisimman vähän punaisia ​​varoituksia(Warnings) . Kun tämä on valmis, paina Enter ja se alkaa etsiä rootkit-tiedostoja.

Rootkit-tarkistusikkuna vihreällä Ei löydy

Tässä haluat varmistaa, että ne kaikki sanovat Ei löydy(Not Found) . Jos tässä tulee jotain punaista, sinulla on varmasti rootkit asennettuna. Lopuksi se tarkistaa tiedostojärjestelmän, paikallisen isäntäkoneen ja verkon. Aivan lopussa se antaa sinulle mukavan yhteenvedon tuloksista.

Järjestelmän tarkistusten yhteenveto

Jos haluat lisätietoja varoituksista, kirjoita cd /var/log ja kirjoita sitten sudo cat rkhunter.log nähdäksesi koko lokitiedoston ja varoitusten selitykset. Sinun ei tarvitse huolehtia liikaa komentojen tai käynnistystiedostojen viesteistä, sillä ne ovat normaalisti kunnossa. Pääasia on, että mitään ei löytynyt rootkit-tarkistuksen yhteydessä.

chkrootkit

chkrootkit on ilmainen työkalu, joka tarkistaa paikallisesti merkkejä rootkitistä. Tällä hetkellä se tarkistaa noin 69 erilaista rootkitiä. Siirry sivustolle, napsauta yläreunassa olevaa Lataa(Download) -painiketta ja lataa tar.gz-tiedosto napsauttamalla chkrootkit viimeisintä lähdekoodia .(chkrootkit latest Source tarball)

chrootkit-latausikkuna

Siirry Macin (Mac)Lataukset(Downloads) - kansioon ja kaksoisnapsauta tiedostoa. Tämä purkaa sen(uncompress it) ja luo Finderiin(Finder) kansion nimeltä chkrootkit-0.XX . Avaa nyt Pääte(Terminal) -ikkuna ja siirry pakkaamattomaan hakemistoon.

chrootkit-hakemisto

Pohjimmiltaan asetat CD-levyn Lataukset(Downloads) - hakemistoon ja sitten chkrootkit-kansioon. Kun olet siellä, kirjoitat komennon tehdäksesi ohjelman:

sudo make sense

Sinun ei tarvitse käyttää sudo - komentoa tässä, mutta koska sen suorittaminen vaatii pääkäyttäjän oikeudet, olen sisällyttänyt sen. Ennen kuin komento toimii, saatat saada viestin, jossa sanotaan, että kehittäjätyökalut on asennettava make - komennon käyttämiseksi.

Asenna kehittäjätyökalut -valintaikkuna

Siirry eteenpäin ja napsauta Asenna(Install) ladataksesi ja asentaaksesi komennot. Kun olet valmis, suorita komento uudelleen. Saatat nähdä joukon varoituksia jne., mutta jätä ne huomiotta. Lopuksi kirjoitat seuraavan komennon käynnistääksesi ohjelman:

sudo ./chkrootkit

Sinun pitäisi nähdä tuloste, kuten alla on esitetty:

chrootkit-tulostus

Näet yhden kolmesta lähtöviestistä: ei tartunnan saanut( not infected) , ei testattu(not tested) ja ei löydy(not found) . Ei tartunnanvarainen tarkoittaa, että se ei löytänyt rootkit-allekirjoitusta, ei löytynyt tarkoittaa, että testattava komento ei ole saatavilla ja ei testattu tarkoittaa, että testiä ei suoritettu useista syistä.

Toivottavasti(Hopefully) kaikki tulee ulos ilman tartuntaa, mutta jos näet tartunnan, koneesi on vaarantunut(machine has been compromised) . Ohjelman kehittäjä kirjoittaa README - tiedostoon, että sinun pitäisi periaatteessa asentaa käyttöjärjestelmä uudelleen päästäksesi eroon rootkitistä, mitä periaatteessa myös ehdotan.

ESET Rootkit Detector

ESET Rootkit Detector on toinen ilmainen ohjelma, jota on paljon helpompi käyttää, mutta suurin haittapuoli on, että se toimii vain käyttöjärjestelmissä OS X 10.6(OS X 10.6) , 10.7 ja 10.8. Koska OS X on juuri nyt 10.13, tämä ohjelma ei ole hyödyllinen useimmille ihmisille.

ESET Rootkit Detector -latausikkuna

Valitettavasti siellä ei ole monia ohjelmia, jotka tarkistavat rootkit-ohjelmiston Macissa(Mac) . Windowsille(Windows) on paljon enemmän, ja se on ymmärrettävää, koska Windowsin(Windows) käyttäjäkunta on niin paljon suurempi. Yllä olevia työkaluja käyttämällä sinun pitäisi kuitenkin toivottavasti saada kunnollinen käsitys siitä, onko koneellesi asennettu rootkit vai ei. Nauttia!



Olivia Mella

About the author

Olen laitteisto- ja ohjelmistokehityksen asiantuntija. Minulla on kokemusta työskentelystä sekä Applen tuotteiden (ios) että Googlen Android-alustojen kanssa. Olen myös vahva Edge computing -tekniikan puolestapuhuja, joka on verkko- ja mobiiliteknologian uusin trendi. Taitoni näillä alueilla tekevät minusta ihanteellisen nopeiden, turvallisten ja tehokkaiden sovellusten kehittämiseen.


Related posts