Jeśli Twój Mac zachowuje się dziwnie i podejrzewasz rootkita, musisz zabrać się do pobierania i skanowania za pomocą kilku różnych narzędzi. Warto zauważyć, że możesz mieć zainstalowany rootkit i nawet o tym nie wiedzieć.

Głównym wyróżnikiem wyróżniającym rootkita jest to, że daje on zdalnemu administratorowi kontrolę nad Twoim komputerem bez Twojej wiedzy. Gdy ktoś uzyska dostęp do twojego komputera, może po prostu cię szpiegować lub może wprowadzić dowolne zmiany na twoim komputerze. Powodem, dla którego musisz wypróbować kilka różnych skanerów, jest fakt, że rootkity są niezwykle trudne do wykrycia.

Renderowanie artystyczne rootkita

Dla mnie, jeśli nawet podejrzewam, że na komputerze klienckim jest zainstalowany rootkit, natychmiast tworzę kopię zapasową danych i wykonuję czystą instalację systemu operacyjnego. Oczywiście łatwiej to powiedzieć niż zrobić i nie polecam tego wszystkim. Jeśli nie masz pewności, czy masz rootkita, najlepiej użyj następujących narzędzi w nadziei na odkrycie rootkita. Jeśli nic nie wyjdzie przy użyciu wielu narzędzi, prawdopodobnie wszystko jest w porządku.

Jeśli zostanie znaleziony rootkit, od Ciebie zależy, czy usunięcie się powiodło, czy też powinieneś zacząć od czystej karty. Warto również wspomnieć, że ponieważ OS X jest oparty na UNIX , wiele skanerów korzysta z wiersza poleceń i wymaga sporej wiedzy technicznej. Ponieważ ten blog jest skierowany do początkujących, postaram się pozostać przy najłatwiejszych narzędziach, których można użyć do wykrywania rootkitów na komputerze Mac .

Malwarebytes dla komputerów Mac

Najbardziej przyjaznym dla użytkownika programem do usuwania rootkitów z komputera Mac jest Malwarebytes for Mac . Dotyczy to nie tylko rootkitów, ale także wszelkiego rodzaju wirusów Mac lub złośliwego oprogramowania.

Okno Malwarebytes

Możesz pobrać bezpłatną wersję próbną i korzystać z niej przez maksymalnie 30 dni. Koszt to 40 USD, jeśli chcesz kupić program i uzyskać ochronę w czasie rzeczywistym. Jest to najłatwiejszy w użyciu program, ale prawdopodobnie nie znajdzie naprawdę trudnego do wykrycia rootkita, więc jeśli poświęcisz trochę czasu na skorzystanie z poniższych narzędzi wiersza poleceń, zorientujesz się, czy lub nie masz rootkita.

Łowca rootkitów

Rootkit Hunter to moje ulubione narzędzie do wyszukiwania rootkitów na Macu . ^(Mac)Jest stosunkowo łatwy w użyciu, a dane wyjściowe są bardzo łatwe do zrozumienia. Najpierw przejdź do strony pobierania^{(download page)} i kliknij zielony przycisk pobierania.

Okno Łowcy rootkitów

Śmiało i kliknij dwukrotnie plik .tar.gz , aby go rozpakować. Następnie otwórz okno Terminal i przejdź do tego katalogu za pomocą polecenia CD.

Przejdź do katalogu za pomocą polecenia CD

Tam musisz uruchomić skrypt installer.sh. Aby to zrobić, użyj następującego polecenia:

sudo ./installer.sh – install

Zostaniesz poproszony o podanie hasła w celu uruchomienia skryptu.

Wpisz hasło po wyświetleniu monitu

Jeśli wszystko poszło dobrze, powinieneś zobaczyć kilka wierszy o rozpoczęciu instalacji i tworzonych katalogach. Na końcu powinno być napisane Instalacja zakończona^{( Installation Complete)} .

Rozpoczęcie instalacji

Zanim uruchomisz właściwy skaner rootkitów, musisz zaktualizować plik właściwości. Aby to zrobić, musisz wpisać następujące polecenie:

sudo rkhunter – propupd

Wpisz polecenie – propupd

Powinieneś otrzymać krótką wiadomość informującą, że ten proces zadziałał. Teraz możesz wreszcie uruchomić właściwy test rootkita. Aby to zrobić, użyj następującego polecenia:

sudo rkhunter – check

Wpisz polecenie – sprawdź

Pierwszą rzeczą, jaką zrobi, jest sprawdzenie poleceń systemowych. W większości chcemy tutaj zielonych OK^(OKs) i jak najmniej czerwonych ostrzeżeń^(Warnings) . Po zakończeniu naciśniesz Enter i rozpocznie się sprawdzanie rootkitów.

Okno sprawdzania rootkitów z zielonym Nie znaleziono

Tutaj chcesz się upewnić, że wszyscy mówią Nie znaleziono^{(Not Found)} . Jeśli coś pojawi się tutaj na czerwono, na pewno masz zainstalowany rootkit. Na koniec sprawdzi system plików, lokalny host i sieć. Na sam koniec da ci ładne podsumowanie wyników.

Podsumowanie kontroli systemu

Jeśli chcesz uzyskać więcej informacji na temat ostrzeżeń, wpisz cd /var/log , a następnie wpisz sudo cat rkhunter.log , aby zobaczyć cały plik dziennika i wyjaśnienia ostrzeżeń. Nie musisz się zbytnio martwić o polecenia lub komunikaty o plikach startowych, ponieważ są one normalnie w porządku. Najważniejsze jest to, że podczas sprawdzania rootkitów nic nie znaleziono.

chkrootkit

chkrootkit to darmowe narzędzie, które lokalnie sprawdza obecność rootkita. Obecnie sprawdza około 69 różnych rootkitów. Przejdź do witryny, kliknij Pobierz^(Download) u góry, a następnie kliknij chkrootkit najnowszy tarball źródłowy^{(chkrootkit latest Source tarball)} , aby pobrać plik tar.gz.

okno pobierania chrootkit

Przejdź do folderu Pobrane na komputerze ^(Downloads)Mac i kliknij dwukrotnie plik. Spowoduje to dekompresję^{(uncompress it)} i utworzenie w Finderze^(Finder) folderu o nazwie chkrootkit-0.XX . Teraz otwórz okno Terminal i przejdź do nieskompresowanego katalogu.

katalog chrootkit

Zasadniczo, cd do katalogu Pobrane^(Downloads) , a następnie do folderu chkrootkit. Tam wpisujesz polecenie, aby utworzyć program:

sudo make sense

Nie musisz używać tutaj polecenia sudo , ale ponieważ wymaga ono uprawnień roota, dołączyłem je. Zanim polecenie zadziała, możesz otrzymać komunikat informujący, że narzędzia programistyczne muszą zostać zainstalowane, aby użyć polecenia make .

Okno dialogowe instalacji narzędzi programistycznych

Śmiało i kliknij Zainstaluj^(Install) , aby pobrać i zainstalować polecenia. Po zakończeniu uruchom ponownie polecenie. Możesz zobaczyć kilka ostrzeżeń itp., Ale po prostu je zignoruj. Na koniec wpiszesz następujące polecenie, aby uruchomić program:

sudo ./chkrootkit

Powinieneś zobaczyć jakieś dane wyjściowe, takie jak pokazano poniżej:

wyjście chrootkita

Zobaczysz jeden z trzech komunikatów wyjściowych: niezainfekowany^{( not infected)} , nieprzetestowany^{(not tested)} i nie znaleziony^{(not found)} . Niezainfekowany oznacza, że nie znaleziono żadnej sygnatury rootkita, nie znaleziono oznacza, że testowane polecenie jest niedostępne, a nietestowane oznacza, że test nie został wykonany z różnych powodów.

Miejmy nadzieję^(Hopefully) , że wszystko nie jest zainfekowane, ale jeśli zauważysz jakąkolwiek infekcję, oznacza to, że Twój komputer został naruszony^{(machine has been compromised)} . Twórca programu pisze w pliku README , że należy zasadniczo ponownie zainstalować system operacyjny, aby pozbyć się rootkita, co w zasadzie również sugeruję.

Wykrywacz rootkitów ESET

ESET Rootkit Detector to kolejny darmowy program, który jest znacznie łatwiejszy w użyciu, ale główną wadą jest to, że działa tylko w systemach OS X 10.6^{(OS X 10.6)} , 10.7 i 10.8. Biorąc pod uwagę , że OS X jest teraz prawie 10.13, ten program nie będzie pomocny dla większości ludzi.

Okno pobierania programu ESET Rootkit Detector

Niestety, nie ma wielu programów, które sprawdzają obecność rootkitów na Macu^(Mac) . W systemie Windows^(Windows) jest o wiele więcej i jest to zrozumiałe, ponieważ baza użytkowników systemu Windows^(Windows) jest znacznie większa. Jednak korzystając z powyższych narzędzi, powinieneś mieć dobre pojęcie o tym, czy na twoim komputerze jest zainstalowany rootkit. Cieszyć się!

How to Check Your Mac for Rootkits

If уour Mac is acting strangely and you suspect a rootkit, then уou’ll need to get to work downloading and scanning with several different tools. It’s worth noting that you coυld have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

Artist rendering of Rootkit

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

Malwarebytes window

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Rootkit Hunter window

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Navigate to directory using CD command

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

Enter password at prompt

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Installation starting

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

Enter command – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

Enter command – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Rootkit checking window with green Not found

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

System checks summary

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

chrootkit download window

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

chrootkit directory

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Install developer tools dialog

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

output of chrootkit

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

ESET Rootkit Detector download window

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Hanna Szymczak

About the author

Jestem web developerem i inżynierem dźwięku z ponad 10-letnim doświadczeniem. Specjalizuję się w tworzeniu aplikacji Chrome/Web Audio, a także aplikacji Discord. Moje umiejętności w obu dziedzinach pozwalają mi tworzyć produkty wysokiej jakości, które są łatwe w obsłudze i utrzymaniu. Ponadto jestem doświadczonym użytkownikiem Discorda i pracuję nad aplikacją od ponad dwóch lat.

Jak sprawdzić komputer Mac pod kątem rootkitów

Malwarebytes dla komputerów Mac

Łowca rootkitów

chkrootkit

Wykrywacz rootkitów ESET

How to Check Your Mac for Rootkits

Malwarebytes for Mac

Rootkit Hunter

chkrootkit

ESET Rootkit Detector

Hanna Szymczak

About the author

Related posts

Jak zapobiec spaniu komputera Mac?

Jak zmienić przypisanie klawiszy Fn na komputerze Mac?

Niektóre klawisze na komputerze Mac nie działają prawidłowo?

5 sposobów na wymuszenie zamknięcia aplikacji na komputerze Mac

Jak tworzyć dowiązania symboliczne na komputerze Mac?

Jak zbiorczo zmienić nazwy plików na komputerze Mac?

Czy powinieneś zaktualizować komputer Mac do Mojave?

Co to jest inna pamięć masowa na komputerze Mac i jak ją wyczyścić?

Jak nagrać ekran na komputerze Mac?

Jak edytować plik Hosts na komputerze Mac?

Jak wysyłać zaszyfrowane wiadomości e-mail z komputera Mac?

Jak naprawić przeciąganie i upuszczanie, które nie działa na komputerze Mac?

Jak utrudnić komuś włamanie się do komputera Mac?

Mysz ciągle znika na Macu? 10 rzeczy do wypróbowania

Jak robić zrzuty ekranu w systemie Mac OS za pomocą skrótów klawiaturowych

Jak wyłączyć iMessage na Macu?

Najlepsze skróty klawiaturowe w systemie Mac OS X

Zapora Mac: jak ją włączyć i skonfigurować

Jak połączyć się ze zdalnym lub lokalnym serwerem na komputerze Mac?

Jak znaleźć i uaktualnić 32-bitowe aplikacje na komputerze Mac?