Ако се ваш Мац понаша чудно и сумњате на рооткит, мораћете да се бавите преузимањем и скенирањем помоћу неколико различитих алата. Вреди напоменути да бисте могли да имате инсталиран руткит, а да га не знате.
Главни фактор разликовања који руткит чини посебним је то што некоме даје контролу над вашим рачунаром без вашег знања. Једном када неко има приступ вашем рачунару, може једноставно да вас шпијунира или може да изврши било коју промену на вашем рачунару. Разлог зашто морате да испробате неколико различитих скенера је тај што је рооткит-е изузетно тешко открити.
За мене, ако уопште сумњам да је рооткит инсталиран на клијентском рачунару, одмах направим резервну копију података и извршим чисту инсталацију оперативног система. Ово је очигледно лакше рећи него учинити и није нешто што препоручујем свима. Ако нисте сигурни да ли имате рооткит, најбоље је да користите следеће алате у нади да ћете открити рооткит. Ако се ништа не појави коришћењем више алата, вероватно сте у реду.
Ако се пронађе рооткит, на вама је да одлучите да ли је уклањање било успешно или треба да почнете са чистог листа. Такође је вредно напоменути да пошто је ОС Кс заснован на УНИКС-у, многи скенери користе командну линију и захтевају доста техничког знања. Пошто је овај блог намењен почетницима, покушаћу да се држим најједноставнијих алата које можете да користите за откривање рооткита на свом Мац-у.
Малваребитес за Мац
Најприлагођенији програм који можете користити за уклањање руткита са свог Мац-а је Малваребитес фор Мац. Није само за рутките, већ и за било коју врсту Мац вируса или малвера.
Можете преузети бесплатну пробну верзију и користити је до 30 дана. Цена је 40 долара ако желите да купите програм и добијете заштиту у реалном времену. То је најлакши програм за коришћење, али такође вероватно неће пронаћи рооткит који је заиста тешко открити, тако да ако одвојите време да користите алатке командне линије у наставку, добићете много бољу представу о томе да ли или немате руткит.
Рооткит Хунтер
Рооткит Хунтер је мој омиљени алат који користим на Мац-у за проналажење руткита. Релативно је једноставан за употребу, а резултат је веома лак за разумевање. Прво идите на страницу за преузимање и кликните на зелено дугме за преузимање.
Само напред и двапут кликните на .тар.гз датотеку да бисте је распаковали. Затим отворите прозор терминала и идите до тог директоријума користећи ЦД команду.
Када тамо, потребно је да покренете инсталлер.сх скрипту. Да бисте то урадили, користите следећу команду:
судо ./инсталлер.сх – инсталл
Од вас ће бити затражено да унесете лозинку да бисте покренули скрипту.
Ако је све прошло добро, требало би да видите неке редове о покретању инсталације и креирању директоријума. На крају треба да пише Инсталација је завршена.
Пре него што покренете прави рооткит скенер, морате да ажурирате датотеку са својствима. Да бисте то урадили, потребно је да откуцате следећу команду:
судо ркхунтер – пропупд
Требало би да добијете кратку поруку која показује да је овај процес успео. Сада коначно можете покренути стварну проверу рооткита. Да бисте то урадили, користите следећу команду:
судо ркхунтер – провера
Прва ствар коју ће урадити је да провери системске команде. Углавном желимо зелено ОКс овде и што мање црвених Упозорења. Када се то заврши, притисните Ентер и почеће провера руткита.
Овде желите да се уверите да сви кажу Није пронађен Ако се овде нешто појави црвено, дефинитивно имате инсталиран рооткит. На крају, извршиће неке провере система датотека, локалног хоста и мреже.На самом крају, то ће вам дати леп резиме резултата.
Ако желите више детаља о упозорењима, откуцајте цд /вар/лог, а затим укуцајте судо цат ркхунтер.лог да бисте видели целу датотеку евиденције и објашњења за упозорења. Не морате превише да бринете о порукама о командама или датотекама за покретање јер су оне обично у реду. Главна ствар је да ништа није пронађено приликом провере руткита.
цхкрооткит
цхкрооткит је бесплатна алатка која ће локално проверити да ли има знакова руткита. Тренутно проверава око 69 различитих руткита. Идите на сајт, кликните на Преузми на врху, а затим кликните на цхкрооткит најновији изворни тарбалл да преузмете тар.гз датотеку.
Идите у фасциклу Преузимања на свом Мац-у и двапут кликните на датотеку. Ово ће га декомпримовати и креирати фасциклу у Финдеру под називом цхкрооткит-0.КСКС. Сада отворите прозор терминала и идите до некомпримованог директоријума.
У суштини, ЦД у директоријум Преузимања, а затим у директоријум цхкрооткит. Када сте тамо, укуцајте команду да направите програм:
судо има смисла
Овде не морате да користите команду судо, али пошто захтева роот привилегије за покретање, укључио сам је. Пре него што команда проради, можда ћете добити поруку у којој се каже да је потребно инсталирати алатке за програмере да бисте користили команду маке.
Само напред и кликните на Инсталл да преузмете и инсталирате команде. Када завршите, покрените команду поново. Можда ћете видети гомилу упозорења итд., али их само игноришите. На крају, укуцаћете следећу команду да бисте покренули програм:
судо ./цхкрооткит
Требало би да видите неки излаз као што је приказано испод:
Видећете једну од три излазне поруке: није заражен, није тестирано и нот фоунд Није заражен значи да није пронашао никакав руткит потпис, није пронађен значи да команда коју треба тестирати није доступна и није тестирана значи да тест није обављен из различитих разлога.
Надајмо се да је све испало незаражено, али ако видите било какву инфекцију, онда је ваша машина компромитована. Програмер програма пише у РЕАДМЕ датотеци да би у суштини требало да поново инсталирате ОС да бисте се решили руткита, што је у суштини оно што и ја предлажем.
ЕСЕТ Рооткит Детецтор
ЕСЕТ Рооткит Детецтор је још један бесплатни програм који је много лакши за коришћење, али главна мана је то што ради само на ОС Кс 10.6, 10.7 и 10.8. С обзиром да је ОС Кс тренутно скоро до 10.13, овај програм неће бити од помоћи већини људи.
Нажалост, нема много програма који проверавају рутките на Мац-у. Постоји много више за Виндовс и то је разумљиво јер је база корисника Виндовс-а много већа. Међутим, користећи горе наведене алате, требало би да добијете пристојну идеју о томе да ли је рооткит инсталиран на вашој машини или не. Уживати!
