Nếu máy Mac của bạn hoạt động lạ và bạn nghi ngờ có rootkit, thì bạn cần bắt đầu tải xuống và quét bằng một số công cụ khác nhau. Cần lưu ý rằng bạn có thể đã cài đặt rootkit mà thậm chí không biết.
Yếu tố phân biệt chính khiến rootkit trở nên đặc biệt là nó cung cấp cho ai đó quyền quản trị viên từ xa đối với máy tính của bạn mà bạn không hề hay biết. Khi ai đó có quyền truy cập vào máy tính của bạn, họ có thể chỉ cần theo dõi bạn hoặc họ có thể thực hiện bất kỳ thay đổi nào họ muốn đối với máy tính của bạn. Lý do tại sao bạn phải thử một số máy quét khác nhau là rootkit nổi tiếng là khó phát hiện.
Đối với tôi, nếu tôi nghi ngờ có rootkit được cài đặt trên máy khách, tôi lập tức sao lưu dữ liệu và thực hiện cài đặt sạch hệ điều hành. Điều này rõ ràng là nói dễ hơn làm và đó không phải là điều tôi khuyên mọi người nên làm. Nếu bạn không chắc mình có rootkit hay không, tốt nhất bạn nên sử dụng các công cụ sau với hy vọng phát hiện ra rootkit. Nếu sử dụng nhiều công cụ mà không có gì xuất hiện, có thể bạn không sao.
Nếu tìm thấy rootkit, bạn sẽ quyết định xem quá trình xóa có thành công hay không hay bạn chỉ nên bắt đầu từ một phương tiện chặn sạch. Điều đáng nói nữa là vì OS X dựa trên UNIX nên nhiều trình quét sử dụng dòng lệnh và yêu cầu khá nhiều bí quyết kỹ thuật. Vì blog này hướng đến người mới bắt đầu, nên tôi sẽ cố gắng sử dụng các công cụ đơn giản nhất mà bạn có thể sử dụng để phát hiện rootkit trên máy Mac của mình.
Malwarebytes dành cho Mac
Chương trình thân thiện với người dùng nhất mà bạn có thể sử dụng để xóa mọi rootkit khỏi máy Mac của mình là Malwarebytes dành cho Mac. Nó không chỉ dành cho rootkit mà còn dành cho bất kỳ loại vi-rút hoặc phần mềm độc hại nào trên Mac.
Bạn có thể tải xuống bản dùng thử miễn phí và sử dụng trong tối đa 30 ngày. Chi phí là $40 nếu bạn muốn mua chương trình và được bảo vệ theo thời gian thực. Đây là chương trình dễ sử dụng nhất, nhưng cũng có thể sẽ không tìm thấy rootkit thực sự khó phát hiện, vì vậy nếu bạn có thể dành thời gian sử dụng các công cụ dòng lệnh bên dưới, bạn sẽ biết rõ hơn nhiều về việc có hay không. không phải bạn có rootkit.
Rootkit Hunter
Rootkit Hunter là công cụ yêu thích của tôi để sử dụng trên máy Mac để tìm rootkit. Nó tương đối dễ sử dụng và đầu ra rất dễ hiểu. Đầu tiên, hãy truy cập trang tải xuống và nhấp vào nút tải xuống màu xanh lục.
Hãy tiếp tục và nhấp đúp vào tệp .tar.gz để giải nén tệp. Sau đó, mở cửa sổ Terminal và điều hướng đến thư mục đó bằng lệnh CD.
Sau đó, bạn cần chạy tập lệnh installer.sh. Để thực hiện việc này, hãy sử dụng lệnh sau:
sudo ./installer.sh – cài đặt
Bạn sẽ được nhắc nhập mật khẩu để chạy tập lệnh.
Nếu mọi việc suôn sẻ, bạn sẽ thấy một số dòng về việc bắt đầu cài đặt và các thư mục được tạo. Ở cuối, nó sẽ hiện Cài đặt hoàn tất.
Trước khi chạy trình quét rootkit thực tế, bạn phải cập nhật tệp thuộc tính. Để thực hiện việc này, bạn cần gõ lệnh sau:
sudo rkhunter – propupd
Bạn sẽ nhận được một thông báo ngắn cho biết rằng quy trình này đã hoạt động. Bây giờ bạn có thể chạy kiểm tra rootkit thực tế. Để làm điều đó, sử dụng lệnh sau:
sudo rkhunter – check
Điều đầu tiên nó sẽ làm là kiểm tra các lệnh hệ thống. Đối với hầu hết các phần, chúng tôi muốn màu xanh lá cây OKs ở đây và càng ít màu đỏ Warnings càng tốt. Sau khi hoàn tất, bạn sẽ nhấn Enter và nó sẽ bắt đầu kiểm tra rootkit.
Ở đây bạn muốn đảm bảo rằng tất cả chúng đều hiển thị Không tìm thấy Nếu bất cứ điều gì xuất hiện màu đỏ ở đây, bạn chắc chắn đã cài đặt rootkit. Cuối cùng, nó sẽ thực hiện một số kiểm tra trên hệ thống tệp, máy chủ cục bộ và mạng.Cuối cùng, nó sẽ cung cấp cho bạn một bản tóm tắt hay về kết quả.
Nếu bạn muốn biết thêm chi tiết về các cảnh báo, hãy nhập cd /var/log rồi nhập sudo cat rkhunter.log để xem toàn bộ tệp nhật ký và giải thích cho các cảnh báo. Bạn không phải lo lắng quá nhiều về các lệnh hoặc thông báo tệp khởi động vì chúng thường ổn. Vấn đề chính là không tìm thấy gì khi kiểm tra rootkit.
chkrootkit
chkrootkit là một công cụ miễn phí sẽ kiểm tra cục bộ các dấu hiệu của rootkit. Nó hiện đang kiểm tra khoảng 69 rootkit khác nhau. Truy cập trang web, nhấp vào Tải xuống ở trên cùng rồi nhấp vào chkrootkit latest Source tarball để tải xuống tệp tar.gz.
Chuyển tới thư mục Tải xuống trên máy Mac của bạn và nhấp đúp vào tệp. Thao tác này sẽ giải nén nó và tạo một thư mục trong Finder có tên chkrootkit-0.XX. Bây giờ hãy mở cửa sổ Terminal và điều hướng đến thư mục giải nén.
Về cơ bản, bạn cd vào thư mục Downloads rồi vào thư mục chkrootkit. Khi đó, bạn gõ lệnh để thực hiện chương trình:
sudo có ý nghĩa
Bạn không cần phải sử dụng lệnh sudo ở đây, nhưng vì nó yêu cầu quyền root để chạy nên tôi đã đưa vào. Trước khi lệnh hoạt động, bạn có thể nhận được thông báo cho biết cần cài đặt công cụ dành cho nhà phát triển để sử dụng lệnh make lệnh.
Hãy tiếp tục và nhấp vào Install để tải xuống và cài đặt các lệnh. Sau khi hoàn tất, hãy chạy lại lệnh. Bạn có thể thấy một loạt các cảnh báo, v.v., nhưng hãy bỏ qua chúng. Cuối cùng, bạn gõ lệnh sau để chạy chương trình:
sudo ./chkrootkit
Bạn sẽ thấy một số đầu ra giống như hình bên dưới:
Bạn sẽ thấy một trong ba thông báo đầu ra: không bị nhiễm, not tests and not found Không bị nhiễm có nghĩa là nó không tìm thấy bất kỳ chữ ký rootkit nào, không tìm thấy có nghĩa là lệnh cần kiểm tra không có sẵn và không được kiểm tra có nghĩa là bài kiểm tra không được thực hiện vì nhiều lý do.
Hy vọng rằng mọi thứ không bị nhiễm virus, nhưng nếu bạn thấy bất kỳ sự lây nhiễm nào, thì máy của bạn đã bị xâm nhập. Nhà phát triển chương trình viết trong tệp README rằng về cơ bản, bạn nên cài đặt lại hệ điều hành để loại bỏ rootkit, về cơ bản đây cũng là điều tôi đề xuất.
ESET Rootkit Detector
ESET Rootkit Detector là một chương trình miễn phí khác dễ sử dụng hơn nhiều, nhưng nhược điểm chính là nó chỉ hoạt động trên OS X 10.6, 10.7 và 10.8. Vì OS X hiện đã gần đến 10.13 nên chương trình này sẽ không hữu ích với hầu hết mọi người.
Thật không may, không có nhiều chương trình kiểm tra rootkit trên máy Mac. Có rất nhiều thứ khác dành cho Windows và điều đó có thể hiểu được vì cơ sở người dùng Windows lớn hơn rất nhiều. Tuy nhiên, bằng cách sử dụng các công cụ trên, hy vọng bạn sẽ biết được liệu rootkit có được cài đặt trên máy của mình hay không. Vui thích!
