如果您的 Mac 运行异常并且您怀疑存在 Rootkit,那么您将需要开始下载并使用多种不同的工具进行扫描。值得注意的是,您可能已经安装了 Rootkit,甚至自己都不知道。
rootkit 的主要区别在于它可以让某人在您不知情的情况下远程管理员控制您的计算机。一旦有人访问了您的计算机,他们就可以简单地监视您,或者他们可以对您的计算机进行任何他们想要的更改。您必须尝试多种不同扫描仪的原因是众所周知,rootkit 很难检测到。
对我来说,如果我什至怀疑客户端计算机上安装了rootkit,我会立即备份数据并执行操作系统的全新安装。这显然说起来容易做起来难,我不建议每个人都这样做。如果您不确定自己是否有 Rootkit,最好使用以下工具来发现 Rootkit。如果使用多种工具都没有出现任何问题,那么您可能没问题。
如果发现rootkit,则由您决定删除是否成功,或者您是否应该从头开始。还值得一提的是,由于 OS X 是基于 UNIX 的,所以很多扫描仪都使用命令行,需要相当多的技术知识。由于此博客面向初学者,因此我将尝试坚持使用可用于检测 Mac 上的 Rootkit 的最简单工具。
Malwarebytes for Mac
Malwarebytes for Mac 是您可以用来从 Mac 中删除任何 rootkit 的最人性化的程序。它不仅针对 Rootkit,还针对任何类型的 Mac 病毒或恶意软件。
您可以下载免费试用版并使用长达30 天。如果您想购买该程序并获得实时保护,费用为 40 美元。这是最容易使用的程序,但它也可能不会找到真正难以检测的 Rootkit,因此如果您能花时间使用下面的命令行工具,您将更好地了解是否或不是你有rootkit。
Rootkit Hunter
Rootkit Hunter 是我最喜欢在Mac 上用于查找rootkit 的工具。它相对容易使用,输出也很容易理解。首先,进入下载页面,点击绿色的下载按钮。
继续并双击.tar.gz 文件将其解压缩。然后打开终端窗口并使用 CD 命令导航到该目录。
在那里,您需要运行installer.sh 脚本。为此,请使用以下命令:
sudo ./installer.sh – 安装
系统将提示您输入密码以运行脚本。
如果一切顺利,您应该会看到一些关于安装开始和正在创建的目录的行。最后应该说安装完成.
在运行实际的rootkit 扫描程序之前,您必须更新属性文件。为此,您需要键入以下命令:
sudo rkhunter – propupd
您应该收到一条短消息,表明此过程有效。现在您终于可以运行实际的 rootkit 检查了。为此,请使用以下命令:
sudo rkhunter – 检查
它要做的第一件事是检查系统命令。在大多数情况下,我们希望此处为绿色OKs,尽可能少地使用红色Warnings。完成后,您将按Enter,它将开始检查rootkit。
在这里你要确保他们都说Not Found 如果这里出现红色,你肯定安装了rootkit。最后,它会对文件系统、本地主机和网络进行一些检查。最后,它会给你一个很好的结果总结。
如果您需要有关警告的更多详细信息,请输入cd /var/log,然后输入 sudo cat rkhunter.log 查看整个日志文件和警告的解释。您不必太担心命令或启动文件消息,因为这些通常都可以。主要是检查rootkit的时候什么也没发现
chkrootkit
chkrootkit 是一款免费工具,可在本地检查rootkit 的迹象。它目前检查大约 69 种不同的 Rootkit。转到站点,单击顶部的“下载”,然后单击chkrootkit 最新源代码包 下载tar.gz 文件。
转到Mac 上的“下载”文件夹并双击该文件。这将解压缩它并在 Finder 中创建一个名为chkrootkit-0.XX 的文件夹。现在打开终端窗口并导航到未压缩的目录。
基本上,您进入下载目录,然后进入chkrootkit 文件夹。在那里,您输入命令来制作程序:
sudo有意义
这里可以不用sudo命令,但由于它需要root权限才能运行,所以我把它包括在内。在命令运行之前,您可能会收到一条消息,说明需要安装开发人员工具才能使用make 命令。
继续并点击Install下载并安装命令。完成后,再次运行命令。您可能会看到一堆警告等,但请忽略它们。最后,您将键入以下命令来运行该程序:
sudo ./chkrootkit
您应该看到如下所示的输出:
您将看到三个输出消息之一: not infected, not tested和not found Not infected表示没有找到任何rootkit签名,not found表示要测试的命令不可用且未测试表示由于各种原因没有进行测试。
希望一切都没有被感染,但如果你确实看到任何感染,那么你的机器已经受到威胁。程序的开发者在README文件中写道,你基本上应该重新安装操作系统以摆脱rootkit,这基本上也是我的建议。
ESET Rootkit 检测器
ESET Rootkit Detector 是另一个更易于使用的免费程序,但主要缺点是它只能在 OS X 10.6、10.7 和 10.8 上运行。考虑到OS X现在快到10.13了,这个程序对大多数人没有帮助。
不幸的是,在 Mac 上检查 rootkit 的程序并不多。 Windows 有更多功能,这是可以理解的,因为 Windows 用户群要大得多。但是,使用上面的工具,您应该对您的计算机上是否安装了 rootkit 有了一个不错的了解。享受!