หาก Mac ของคุณทำงานผิดปกติและคุณสงสัยว่าเป็นรูทคิท คุณจะต้องเริ่มดาวน์โหลดและสแกนด้วยเครื่องมือต่างๆ เป็นที่น่าสังเกตว่าคุณสามารถติดตั้งรูทคิทโดยไม่รู้ตัว
ปัจจัยหลักที่ทำให้รูทคิทมีความพิเศษคือการให้ผู้ดูแลระบบระยะไกลควบคุมคอมพิวเตอร์ของคุณโดยที่คุณไม่รู้ตัว เมื่อมีคนเข้าถึงคอมพิวเตอร์ของคุณ พวกเขาก็สามารถสอดแนมคุณหรือทำการเปลี่ยนแปลงใด ๆ ก็ตามที่พวกเขาต้องการในคอมพิวเตอร์ของคุณ เหตุผลที่คุณต้องลองใช้สแกนเนอร์หลายๆ ตัวก็เพราะรูทคิทตรวจจับได้ยาก
สำหรับฉัน ถ้าฉันสงสัยว่ามีรูทคิทติดตั้งอยู่ในคอมพิวเตอร์ไคลเอนต์ ฉันจะสำรองข้อมูลทันทีและทำการติดตั้งระบบปฏิบัติการใหม่ทั้งหมด เห็นได้ชัดว่าพูดง่ายกว่าทำและไม่ใช่สิ่งที่ฉันแนะนำให้ทุกคนทำ หากคุณไม่แน่ใจว่าคุณมีรูทคิทหรือไม่ วิธีที่ดีที่สุดคือใช้เครื่องมือต่อไปนี้โดยหวังว่าจะค้นพบรูทคิท ถ้าไม่มีอะไรเกิดขึ้นโดยใช้เครื่องมือหลายอย่าง คุณน่าจะโอเค
หากพบรูทคิท การตัดสินใจว่าการลบสำเร็จหรือไม่นั้นขึ้นอยู่กับคุณหรือว่าคุณควรเริ่มจากกระดานใหม่ทั้งหมด นอกจากนี้ยังควรกล่าวถึงด้วยว่า เนื่องจาก OS X ใช้ UNIX สแกนเนอร์จำนวนมากจึงใช้บรรทัดคำสั่งและต้องการความรู้ทางเทคนิคไม่น้อย เนื่องจากบล็อกนี้เหมาะสำหรับผู้เริ่มต้น ฉันจะพยายามใช้เครื่องมือที่ง่ายที่สุดที่คุณสามารถใช้เพื่อตรวจหารูทคิทบน Mac ของคุณ
Malwarebytes สำหรับ Mac
โปรแกรมที่เป็นมิตรต่อผู้ใช้มากที่สุดที่คุณสามารถใช้เพื่อลบรูทคิทออกจาก Mac ของคุณคือ Malwarebytes สำหรับ Mac ไม่ได้มีไว้สำหรับรูทคิทเท่านั้น แต่ยังรวมถึงไวรัส Mac หรือมัลแวร์ทุกชนิดด้วย
คุณสามารถดาวน์โหลดรุ่นทดลองใช้ฟรีและใช้งานได้สูงสุด 30 วัน ค่าใช้จ่ายคือ $40 หากคุณต้องการซื้อโปรแกรมและรับการป้องกันแบบเรียลไทม์ เป็นโปรแกรมที่ใช้ง่ายที่สุด แต่ก็อาจไม่พบรูทคิทที่ยากต่อการตรวจจับ ดังนั้น หากคุณสามารถใช้เวลาในการใช้เครื่องมือบรรทัดคำสั่งด้านล่าง คุณจะเข้าใจได้ดีขึ้นมากว่าหรือ คุณไม่มีรูทคิท
รูทคิทฮันเตอร์
Rootkit Hunter เป็นเครื่องมือที่ฉันโปรดปรานสำหรับใช้บน Mac เพื่อค้นหารูทคิท มันค่อนข้างใช้งานง่ายและผลลัพธ์ก็เข้าใจง่ายมาก ขั้นแรก ไปที่หน้าดาวน์โหลดและคลิกที่ปุ่มดาวน์โหลดสีเขียว
ไปข้างหน้าและดับเบิลคลิกที่ไฟล์ .tar.gz เพื่อคลายไฟล์ จากนั้นเปิดหน้าต่าง Terminal และนำทางไปยังไดเร็กทอรีนั้นโดยใช้คำสั่ง CD
เมื่อไปถึงที่นั่น คุณต้องเรียกใช้สคริปต์ installer.sh เมื่อต้องการทำเช่นนี้ ใช้คำสั่งต่อไปนี้:
sudo ./installer.sh – ติดตั้ง
คุณจะได้รับแจ้งให้ป้อนรหัสผ่านเพื่อเรียกใช้สคริปต์
หากทุกอย่างเรียบร้อยดี คุณจะเห็นบรรทัดเกี่ยวกับการเริ่มต้นการติดตั้งและไดเร็กทอรีที่กำลังสร้าง ในตอนท้ายควรพูดว่า Installation Complete.
ก่อนที่คุณจะรันสแกนเนอร์รูทคิท คุณต้องอัพเดตไฟล์คุณสมบัติก่อน ในการทำเช่นนี้ คุณต้องพิมพ์คำสั่งต่อไปนี้:
sudo rkhunter – propupd
คุณควรได้รับข้อความสั้นๆ ที่ระบุว่ากระบวนการนี้ได้ผล ตอนนี้คุณสามารถเรียกใช้การตรวจสอบรูทคิทที่แท้จริงได้แล้ว ในการทำเช่นนั้น ใช้คำสั่งต่อไปนี้:
sudo rkhunter – ตรวจสอบ
สิ่งแรกที่จะทำคือตรวจสอบคำสั่งของระบบ ส่วนใหญ่เราต้องการสีเขียว ตกลง ที่นี่ และสีแดงให้น้อยที่สุด คำเตือน มากที่สุดเท่าที่จะเป็นไปได้ เมื่อดำเนินการเสร็จสิ้น คุณจะกด Enter และจะเริ่มตรวจหารูทคิท
ที่นี่ คุณต้องการให้แน่ใจว่าพวกเขาทั้งหมดพูดว่า ไม่พบ หากมีอะไรเกิดขึ้นสีแดงที่นี่ แสดงว่าคุณได้ติดตั้งรูทคิทแล้ว สุดท้าย จะทำการตรวจสอบระบบไฟล์ โลคัลโฮสต์ และเครือข่ายในตอนท้าย จะเป็นการสรุปผลลัพธ์ที่ดีให้กับคุณ
หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับคำเตือน พิมพ์ cd /var/log แล้วพิมพ์ sudo cat rkhunter.log เพื่อดูไฟล์บันทึกทั้งหมดและคำอธิบายสำหรับคำเตือน คุณไม่ต้องกังวลมากเกินไปเกี่ยวกับคำสั่งหรือข้อความไฟล์เริ่มต้นเนื่องจากเป็นเรื่องปกติ สิ่งสำคัญคือไม่พบสิ่งใดเลยเมื่อตรวจหารูทคิท
chkrootkit
chkrootkit เป็นเครื่องมือฟรีที่จะตรวจสอบสัญญาณของรูทคิทในเครื่อง ขณะนี้ตรวจสอบประมาณ 69 รูทคิทที่แตกต่างกัน ไปที่ไซต์ คลิกดาวน์โหลดที่ด้านบน จากนั้นคลิก chkrootkit ล่าสุด Source tarball เพื่อดาวน์โหลดไฟล์ tar.gz
ไปที่โฟลเดอร์ดาวน์โหลดบน Mac ของคุณแล้วดับเบิลคลิกที่ไฟล์ สิ่งนี้จะคลายการบีบอัดและสร้างโฟลเดอร์ใน Finder ชื่อ chkrootkit-0.XX ตอนนี้เปิดหน้าต่างเทอร์มินัลแล้วไปที่ไดเร็กทอรีที่ไม่มีการบีบอัด
โดยทั่วไป คุณซีดีลงในไดเร็กทอรี Downloads จากนั้นลงในโฟลเดอร์ chkrootkit ให้คุณพิมพ์คำสั่งเพื่อสร้างโปรแกรม:
sudo เข้าท่า
คุณไม่จำเป็นต้องใช้ sudo คำสั่งที่นี่ แต่เนื่องจากต้องใช้สิทธิ์ root ในการรัน ฉันจึงรวมไว้ ก่อนที่คำสั่งจะทำงาน คุณอาจได้รับข้อความแจ้งว่าจำเป็นต้องติดตั้งเครื่องมือสำหรับนักพัฒนาเพื่อใช้ make คำสั่ง
ไปข้างหน้าและคลิกที่ Install เพื่อดาวน์โหลดและติดตั้งคำสั่ง เสร็จแล้วรันคำสั่งอีกครั้ง คุณอาจเห็นคำเตือนมากมาย ฯลฯ แต่ไม่ต้องสนใจสิ่งเหล่านั้น สุดท้าย คุณจะพิมพ์คำสั่งต่อไปนี้เพื่อเรียกใช้โปรแกรม:
sudo ./chkrootkit
คุณควรเห็นผลลัพธ์บางอย่างเช่นที่แสดงด้านล่าง:
คุณจะเห็นหนึ่งในสามข้อความ:ไม่ติดไวรัส, ไม่ผ่านการทดสอบ และ ไม่พบ ไม่ติดหมายความว่าไม่พบลายเซ็นรูทคิท ไม่พบหมายความว่าไม่มีคำสั่งที่จะทดสอบและไม่ได้ทดสอบ หมายถึงไม่ได้ทำการทดสอบเนื่องจากสาเหตุหลายประการ
หวังว่าทุกอย่างที่ออกมาจะไม่ติดไวรัส แต่ถ้าคุณเห็นการติดไวรัส แสดงว่าเครื่องของคุณถูกบุกรุก ผู้พัฒนาโปรแกรมเขียนในไฟล์ README ว่าโดยทั่วไปแล้วคุณควรติดตั้งระบบปฏิบัติการใหม่เพื่อกำจัดรูทคิท ซึ่งเป็นสิ่งที่ฉันแนะนำโดยทั่วไป
ESET Rootkit Detector
ESET Rootkit Detector เป็นโปรแกรมฟรีอีกโปรแกรมหนึ่งที่ใช้งานง่ายกว่ามาก แต่ข้อเสียหลักคือใช้งานได้บน OS X 10.6, 10.7 และ 10.8 เท่านั้น เมื่อพิจารณาว่า OS X เกือบเป็น 10.13 แล้วในขณะนี้ โปรแกรมนี้จะไม่เป็นประโยชน์สำหรับคนส่วนใหญ่
น่าเสียดายที่มีโปรแกรมไม่มากนักที่ตรวจหารูทคิทบน Mac มีอีกมากมายสำหรับ Windows และเป็นเรื่องที่เข้าใจได้เนื่องจากฐานผู้ใช้ Windows มีขนาดใหญ่กว่ามาก อย่างไรก็ตาม การใช้เครื่องมือด้านบน หวังว่าคุณน่าจะทราบดีว่ามีการติดตั้งรูทคิทในเครื่องของคุณหรือไม่ สนุก!
