หากMac ของคุณ ทำงานผิดปกติและคุณสงสัยว่าเป็นรูทคิต คุณจะต้องเริ่มดาวน์โหลดและสแกนด้วยเครื่องมือต่างๆ เป็นที่น่าสังเกตว่าคุณสามารถ ติดตั้งรูท คิ^(rootkit) ตโดยที่คุณ ไม่รู้ตัว

ปัจจัยหลักที่ทำให้รูทคิตมีความพิเศษคือช่วยให้ผู้ดูแลระบบระยะไกลสามารถควบคุมคอมพิวเตอร์ของคุณโดยที่คุณไม่รู้ตัว เมื่อมีคนเข้าถึงคอมพิวเตอร์ของคุณ พวกเขาสามารถสอดแนมคุณหรือพวกเขาสามารถเปลี่ยนแปลงสิ่งที่พวกเขาต้องการกับคอมพิวเตอร์ของคุณได้ เหตุผลที่คุณต้องลองใช้เครื่องสแกนหลายๆ ตัวเพราะรูทคิทนั้นยากต่อการตรวจพบ

สำหรับฉัน หากฉันสงสัยว่ามีรูทคิตติดตั้งอยู่ในคอมพิวเตอร์ไคลเอนต์ ฉันจะสำรองข้อมูลทันที และทำการติดตั้งระบบปฏิบัติการใหม่ทั้งหมด เห็นได้ชัดว่าพูดง่ายกว่าทำ และไม่ใช่สิ่งที่ฉันแนะนำให้ทุกคนทำ หากคุณไม่แน่ใจว่ามีรูทคิตหรือไม่ วิธีที่ดีที่สุดคือใช้เครื่องมือต่อไปนี้โดยหวังว่าจะค้นพบรูทคิต หากไม่มีอะไรเกิดขึ้นโดยใช้หลายเครื่องมือ คุณก็ไม่เป็นไร

หากพบรูทคิต คุณจะตัดสินใจว่าการลบสำเร็จหรือไม่ หรือคุณควรเริ่มต้นจากแถบสเลทใหม่ทั้งหมด นอกจากนี้ยังควรกล่าวด้วยว่าเนื่องจากOS Xนั้นใช้UNIXสแกนเนอร์จำนวนมากจึงใช้บรรทัดคำสั่งและต้องใช้ความรู้ด้านเทคนิคเล็กน้อย เนื่องจากบล็อกนี้เหมาะสำหรับผู้เริ่มต้น ฉันจะพยายามใช้เครื่องมือที่ง่ายที่สุดที่คุณสามารถใช้เพื่อตรวจหารูทคิตบนMacของ คุณ

Malwarebytes สำหรับ Mac

โปรแกรมที่ใช้งานง่ายที่สุดที่คุณสามารถใช้เพื่อลบรูทคิทออกจากMacของ คุณ คือMalwarebytes for Mac ไม่ใช่แค่สำหรับรูทคิทเท่านั้น แต่ยังรวมถึงไวรัสหรือมัลแวร์Mac ทุกประเภท^(Mac)

คุณสามารถดาวน์โหลดรุ่นทดลองใช้ฟรีและใช้งานได้นานถึง 30 วัน ค่าใช้จ่ายคือ $40 หากคุณต้องการซื้อโปรแกรมและรับการป้องกันแบบเรียลไทม์ เป็นโปรแกรมที่ใช้งานง่ายที่สุด แต่ก็อาจไม่พบรูทคิตที่ตรวจจับยากนัก ดังนั้นหากคุณสามารถใช้เวลาในการใช้เครื่องมือบรรทัดคำสั่งด้านล่าง คุณก็จะมีความคิดที่ดีขึ้นมากว่าหรือ ไม่ใช่คุณมีรูทคิท

รูทคิทฮันเตอร์

Rootkit Hunterเป็นเครื่องมือที่ฉันโปรดปรานสำหรับใช้บนMacในการค้นหารูทคิท มันค่อนข้างใช้งานง่ายและผลลัพธ์ที่ได้ก็เข้าใจง่ายมาก ขั้นแรก ไปที่หน้าดาวน์โหลด^{(download page)}และคลิกที่ปุ่มดาวน์โหลดสีเขียว

ไปข้างหน้าและดับเบิลคลิกที่ ไฟล์ .tar.gzเพื่อคลายไฟล์ จากนั้นเปิด หน้าต่าง Terminalและไปที่ไดเร็กทอรีนั้นโดยใช้คำสั่ง CD

คุณต้องเรียกใช้สคริปต์ installer.sh เมื่อต้องการทำเช่นนี้ ใช้คำสั่งต่อไปนี้:

sudo ./installer.sh – install

คุณจะได้รับแจ้งให้ป้อนรหัสผ่านเพื่อเรียกใช้สคริปต์

หากทุกอย่างเป็นไปด้วยดี คุณควรเห็นบางบรรทัดเกี่ยวกับการเริ่มต้นการติดตั้งและไดเร็กทอรีที่ถูกสร้างขึ้น ในตอนท้ายควรระบุว่าInstallation Complete^{( Installation Complete)}

ก่อนที่คุณจะรันเครื่องสแกนรูทคิตจริง คุณต้องอัพเดตไฟล์คุณสมบัติ ในการดำเนินการนี้ คุณต้องพิมพ์คำสั่งต่อไปนี้:

sudo rkhunter – propupd

คุณควรได้รับข้อความสั้น ๆ ที่ระบุว่ากระบวนการนี้ใช้ได้ผล ตอนนี้คุณสามารถเรียกใช้การตรวจสอบรูทคิตจริงได้แล้ว ในการทำเช่นนั้น ใช้คำสั่งต่อไปนี้:

sudo rkhunter – check

สิ่งแรกที่จะทำคือตรวจสอบคำสั่งของระบบ โดยส่วนใหญ่ เราต้องการ OK สีเขียวและ^(OKs)คำเตือน^(Warnings)สีแดงน้อยที่สุด เมื่อเสร็จแล้ว คุณจะต้องกดEnterและมันจะเริ่มตรวจหารูทคิท

ที่นี่คุณต้องการให้แน่ใจว่าพวกเขาทั้งหมดบอกว่าไม่พบ ^{(Not Found)}หากมีสิ่งใดขึ้นเป็นสีแดง แสดงว่าคุณได้ติดตั้งรูทคิตไว้อย่างแน่นอน สุดท้ายนี้ มันจะทำการตรวจสอบระบบไฟล์ โลคัลโฮสต์ และเครือข่าย ในตอนท้าย จะให้สรุปผลลัพธ์ที่ดีแก่คุณ

หากคุณต้องการรายละเอียดเพิ่มเติมเกี่ยวกับคำเตือน ให้พิมพ์cd /var/logจากนั้นพิมพ์sudo cat rkhunter.logเพื่อดูไฟล์บันทึกทั้งหมดและคำอธิบายสำหรับคำเตือน คุณไม่ต้องกังวลกับคำสั่งหรือข้อความของไฟล์เริ่มต้นมากเกินไป เนื่องจากปกติแล้วจะไม่มีปัญหา สิ่งสำคัญคือไม่พบสิ่งใดเมื่อตรวจสอบรูทคิท

chkrootkit

chkrootkitเป็นเครื่องมือฟรีที่จะตรวจสอบสัญญาณของรูทคิตในเครื่อง ขณะนี้กำลังตรวจสอบรูทคิทที่แตกต่างกันประมาณ 69 รายการ ไปที่ไซต์ คลิกดาวน์โหลด^(Download)ที่ด้านบนสุด จากนั้นคลิกที่chkrootkit tarball ล่าสุด^{(chkrootkit latest Source tarball)}เพื่อดาวน์โหลดไฟล์ tar.gz

ไปที่ โฟลเดอร์ ดาวน์โหลด^(Downloads)บนMac ของคุณ และดับเบิลคลิกที่ไฟล์ การดำเนินการนี้จะคลายการบีบอัด^{(uncompress it)}และสร้างโฟลเดอร์ในFinderชื่อchkrootkit-0.XX ตอนนี้เปิด หน้าต่าง Terminalและไปที่ไดเร็กทอรีที่ไม่บีบอัด

โดยพื้นฐานแล้ว คุณ cd ลงในไดเร็กทอรีDownloads จากนั้นไปที่โฟลเดอร์ chkrootkit ^(Downloads)เมื่อมีคุณพิมพ์คำสั่งเพื่อสร้างโปรแกรม:

sudo make sense

คุณไม่จำเป็นต้องใช้ คำสั่ง sudoที่นี่ แต่เนื่องจากต้องใช้สิทธิ์ของรูทในการทำงาน ฉันจึงรวมไว้ด้วย ก่อนที่คำสั่งจะทำงาน คุณอาจได้รับข้อความแจ้งว่าจำเป็นต้องติดตั้งเครื่องมือสำหรับนักพัฒนาเพื่อใช้คำสั่งmake

ไปข้างหน้าและคลิกที่ติดตั้ง^(Install)เพื่อดาวน์โหลดและติดตั้งคำสั่ง เมื่อเสร็จแล้วให้รันคำสั่งอีกครั้ง คุณอาจเห็นคำเตือนมากมาย ฯลฯ แต่อย่าสนใจเลย สุดท้าย คุณจะต้องพิมพ์คำสั่งต่อไปนี้เพื่อเรียกใช้โปรแกรม:

sudo ./chkrootkit

คุณควรเห็นผลลัพธ์บางอย่างดังที่แสดงด้านล่าง:

คุณจะเห็นข้อความส่งออกหนึ่งในสามข้อความ: ไม่ติดไวรัส^{( not infected)}ไม่ได้ทดสอบ^{(not tested)}และไม่พบ ^{(not found)}ไม่ติดเชื้อหมายความว่าไม่พบลายเซ็นรูทคิตใด ๆ ไม่พบหมายความว่าคำสั่งที่จะทดสอบไม่พร้อมใช้งานและไม่ได้ทดสอบหมายความว่าไม่ได้ทำการทดสอบเนื่องจากสาเหตุหลายประการ

หวังว่า^(Hopefully)ทุกอย่างจะไม่ติดเชื้อ แต่ถ้าคุณเห็นการติดเชื้อใดๆ แสดงว่า เครื่อง ของ คุณ ถูกบุกรุก ^{(machine has been compromised)}ผู้พัฒนาโปรแกรมเขียนในไฟล์ README^(README)ว่าโดยพื้นฐานแล้วคุณควรติดตั้งระบบปฏิบัติการใหม่เพื่อกำจัดรูทคิต ซึ่งโดยพื้นฐานแล้วเป็นสิ่งที่ผมแนะนำด้วย

ตัวตรวจจับรูทคิตของ ESET

ESET Rootkit Detectorเป็นโปรแกรมฟรีอีกโปรแกรมหนึ่งที่ใช้งานง่ายกว่ามาก แต่ข้อเสียหลักคือใช้งานได้กับOS X 10.6 , 10.7 และ 10.8 เท่านั้น เมื่อพิจารณาว่าOS Xเกือบจะเป็น 10.13 ในขณะนี้ โปรแกรมนี้จะไม่เป็นประโยชน์สำหรับคนส่วนใหญ่

ขออภัย มีโปรแกรมไม่กี่โปรแกรมที่ตรวจหารูทคิต บน Mac มีอีกมากสำหรับWindowsและนั่นเป็นที่เข้าใจได้เนื่องจาก ฐานผู้ใช้ Windowsมีขนาดใหญ่กว่ามาก อย่างไรก็ตาม การใช้เครื่องมือด้านบนนี้ หวังว่าคุณจะเข้าใจดีว่ามีการติดตั้งรูทคิทในเครื่องของคุณหรือไม่ สนุก!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then you’ll need to get to work downloading and scanning wіth several dіfferent tools. It’s worth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• วิธีป้องกัน Mac ของคุณไม่ให้หลับ

• วิธีทำการแมปคีย์ Fn บน Mac ของคุณใหม่

• ปุ่มบางปุ่มบน Mac ของคุณทำงานไม่ถูกต้องใช่ไหม

• 5 วิธีในการบังคับปิดแอปบน Mac ของคุณ

• วิธีสร้าง Symlinks บน Mac ของคุณ

• 10 เกม Mac ฟรีที่ดีที่สุดที่คุณสามารถดาวน์โหลดได้ตอนนี้

• การใช้ยูทิลิตี้ดิสก์เพื่อสำรองข้อมูล Mac ของคุณ

• วิธีสร้างอิมเมจดิสก์ที่เข้ารหัสใน OS X

• วิธีถ่ายภาพหน้าจอบน Mac OS ด้วยแป้นพิมพ์ลัด

• วิธีฮาร์ดรีเซ็ตคอมพิวเตอร์ Mac OS X และติดตั้ง OS ใหม่

• 5 แอพที่จะนำ Mac เครื่องใหม่ของคุณไปสู่อีกระดับ

• วิธีการแทนที่และรวมไฟล์บน Mac

• วิธีย้ายไฟล์ใน Mac OS X

• วิธีส่งอีเมลที่เข้ารหัสจาก Mac ของคุณ

• แอพที่ดีที่สุดสำหรับ Mac ในปี 2020

• แป้นพิมพ์ลัดของ Mac เมื่อ Mac ของคุณค้าง

• วิธีบังคับถังขยะเปล่าบน Mac

• 20 เคล็ดลับในการใช้ประโยชน์สูงสุดจาก Finder บน Mac

• วิธีอัปเดตแอป Mac OS X และ Mac จาก Terminal

• วิธีเปลี่ยนชื่อไฟล์จำนวนมากบน Mac ของคุณ