Nếu máy Mac^(Mac) của bạn hoạt động không bình thường và bạn nghi ngờ có bộ rootkit, thì bạn sẽ cần phải bắt đầu tải xuống và quét bằng một số công cụ khác nhau. Cần lưu ý rằng bạn có thể đã cài đặt rootkit và thậm chí không biết về nó.

Yếu tố phân biệt chính khiến rootkit trở nên đặc biệt là nó cung cấp cho ai đó quyền quản trị viên từ xa kiểm soát máy tính của bạn mà bạn không biết. Khi ai đó có quyền truy cập vào máy tính của bạn, họ có thể chỉ cần theo dõi bạn hoặc họ có thể thực hiện bất kỳ thay đổi nào họ muốn đối với máy tính của bạn. Lý do tại sao bạn phải thử nhiều trình quét khác nhau là rootkit nổi tiếng là khó phát hiện.

Đối với tôi, nếu tôi thậm chí nghi ngờ có bộ rootkit được cài đặt trên máy khách, tôi ngay lập tức sao lưu dữ liệu và thực hiện cài đặt sạch hệ điều hành. Điều này rõ ràng là nói dễ hơn làm và nó không phải là điều tôi khuyên mọi người nên làm. Nếu bạn không chắc mình có rootkit hay không, tốt nhất bạn nên sử dụng các công cụ sau với hy vọng khám phá rootkit. Nếu không có gì xuất hiện khi sử dụng nhiều công cụ, có lẽ bạn vẫn ổn.

Nếu tìm thấy bộ rootkit, bạn quyết định việc xóa thành công hay chỉ nên bắt đầu từ một phương tiện chặn sạch. Cũng cần nhắc lại rằng vì OS X dựa trên UNIX , rất nhiều máy quét sử dụng dòng lệnh và yêu cầu khá nhiều bí quyết kỹ thuật. Vì blog này hướng đến người mới bắt đầu, tôi sẽ cố gắng bám sát các công cụ dễ dàng nhất mà bạn có thể sử dụng để phát hiện rootkit trên máy Mac^(Mac) của mình .

Malwarebytes dành cho Mac

Chương trình thân thiện với người dùng nhất mà bạn có thể sử dụng để xóa mọi rootkit khỏi máy Mac^(Mac) của mình là Malwarebytes cho Mac^{(Malwarebytes for Mac)} . Nó không chỉ dành cho rootkit mà còn với bất kỳ loại vi-rút hoặc phần mềm độc hại nào của Mac .

Bạn có thể tải xuống bản dùng thử miễn phí và sử dụng nó trong tối đa 30 ngày. Chi phí là $ 40 nếu bạn muốn mua chương trình và được bảo vệ theo thời gian thực. Đây là chương trình dễ sử dụng nhất, nhưng cũng có thể sẽ không tìm thấy rootkit thực sự khó phát hiện, vì vậy nếu bạn có thể dành thời gian sử dụng các công cụ dòng lệnh bên dưới, bạn sẽ hiểu rõ hơn về việc có hoặc không phải bạn có rootkit.

Thợ săn Rootkit

Rootkit Hunter là công cụ yêu thích của tôi để sử dụng trên Mac để tìm rootkit. Nó tương đối dễ sử dụng và đầu ra rất dễ hiểu. Đầu tiên, hãy truy cập trang tải xuống^{(download page)} và nhấp vào nút tải xuống màu xanh lá cây.

Tiếp tục và nhấp đúp vào tệp .tar.gz để giải nén. Sau đó, mở cửa sổ Terminal và điều hướng đến thư mục đó bằng lệnh CD.

Khi đó, bạn cần chạy tập lệnh installer.sh. Để thực hiện việc này, hãy sử dụng lệnh sau:

sudo ./installer.sh – install

Bạn sẽ được nhắc nhập mật khẩu của mình để chạy tập lệnh.

Nếu mọi việc suôn sẻ, bạn sẽ thấy một số dòng về việc bắt đầu cài đặt và các thư mục đang được tạo. Ở cuối, nó sẽ thông báo Cài đặt Hoàn tất^{( Installation Complete)} .

Trước khi chạy trình quét rootkit thực tế, bạn phải cập nhật tệp thuộc tính. Để thực hiện việc này, bạn cần gõ lệnh sau:

sudo rkhunter – propupd

Bạn sẽ nhận được một thông báo ngắn cho biết rằng quá trình này đã hoạt động. Bây giờ cuối cùng bạn có thể chạy kiểm tra rootkit thực tế. Để làm điều đó, hãy sử dụng lệnh sau:

sudo rkhunter – check

Điều đầu tiên nó sẽ làm là kiểm tra các lệnh hệ thống. Đối với hầu hết các phần, chúng tôi muốn OK màu xanh lá cây ở^(OKs) đây và càng ít Cảnh báo^(Warnings) màu đỏ càng tốt. Sau khi hoàn tất, bạn sẽ nhấn Enter và nó sẽ bắt đầu kiểm tra rootkit.

Ở đây bạn muốn đảm bảo rằng tất cả chúng đều nói Không tìm thấy^{(Not Found)} . Nếu bất kỳ thứ gì xuất hiện màu đỏ ở đây, bạn chắc chắn đã cài đặt rootkit. Cuối cùng, nó sẽ thực hiện một số kiểm tra trên hệ thống tệp, máy chủ cục bộ và mạng. Cuối cùng, nó sẽ cung cấp cho bạn một bản tóm tắt tốt đẹp về kết quả.

Nếu bạn muốn biết thêm chi tiết về các cảnh báo, hãy nhập cd /var/log và sau đó nhập sudo cat rkhunter.log để xem toàn bộ tệp nhật ký và giải thích cho các cảnh báo. Bạn không phải lo lắng quá nhiều về các lệnh hoặc thông báo tệp khởi động vì những thông báo đó bình thường là OK. Điều chính là không tìm thấy gì khi kiểm tra rootkit.

chkrootkit

chkrootkit là một công cụ miễn phí sẽ kiểm tra cục bộ các dấu hiệu của rootkit. Nó hiện đang kiểm tra khoảng 69 rootkit khác nhau. Truy cập trang web, nhấp vào Tải xuống^(Download) ở trên cùng và sau đó nhấp vào chkrootkit Nguồn tarball mới nhất^{(chkrootkit latest Source tarball)} để tải xuống tệp tar.gz.

Chuyển đến thư mục Tải xuống^(Downloads) trên máy Mac^(Mac) của bạn và nhấp đúp vào tệp. Thao tác này sẽ giải nén nó^{(uncompress it)} và tạo một thư mục trong Finder có tên chkrootkit-0.XX . Bây giờ, hãy mở cửa sổ Terminal và điều hướng đến thư mục không nén.

Về cơ bản, bạn cd vào thư mục Downloads và sau đó vào thư mục chkrootkit. Khi đó, bạn gõ lệnh để tạo chương trình:

sudo make sense

Bạn không phải sử dụng lệnh sudo^(sudo) ở đây, nhưng vì nó yêu cầu quyền root để chạy, tôi đã đưa nó vào. Trước khi lệnh hoạt động, bạn có thể nhận được thông báo cho biết các công cụ dành cho nhà phát triển cần được cài đặt để sử dụng lệnh make .

Tiếp tục và nhấp vào Cài đặt^(Install) để tải xuống và cài đặt các lệnh. Sau khi hoàn tất, hãy chạy lại lệnh. Bạn có thể thấy một loạt cảnh báo, v.v., nhưng hãy bỏ qua những cảnh báo đó. Cuối cùng, bạn sẽ gõ lệnh sau để chạy chương trình:

sudo ./chkrootkit

Bạn sẽ thấy một số đầu ra giống như những gì được hiển thị bên dưới:

Bạn sẽ thấy một trong ba thông báo đầu ra: không bị nhiễm^{( not infected)} , không được kiểm tra^{(not tested)} và không tìm thấy^{(not found)} . Không bị nhiễm có nghĩa là nó không tìm thấy bất kỳ chữ ký rootkit nào, không tìm thấy có nghĩa là lệnh được kiểm tra không khả dụng và không được kiểm tra có nghĩa là kiểm tra không được thực hiện do nhiều lý do khác nhau.

Hy vọng rằng^(Hopefully) mọi thứ xuất hiện đều không bị nhiễm, nhưng nếu bạn thấy bất kỳ sự lây nhiễm nào, thì máy của bạn đã bị xâm phạm^{(machine has been compromised)} . Nhà phát triển của chương trình viết trong tệp README rằng về cơ bản bạn nên cài đặt lại hệ điều hành để thoát khỏi rootkit, về cơ bản đây là điều tôi cũng đề xuất.

ESET Rootkit Detector

ESET Rootkit Detector là một chương trình miễn phí khác dễ sử dụng hơn nhiều, nhưng nhược điểm chính là nó chỉ hoạt động trên OS X 10.6 , 10.7 và 10.8. Xem xét OS X gần như lên 10.13 ngay bây giờ, chương trình này sẽ không hữu ích cho hầu hết mọi người.

Thật không may, không có nhiều chương trình kiểm tra rootkit trên Mac . Có rất nhiều thứ khác dành cho Windows và điều đó có thể hiểu được vì cơ sở người dùng Windows lớn hơn rất nhiều. Tuy nhiên, bằng cách sử dụng các công cụ trên, hy vọng bạn sẽ biết được liệu rootkit có được cài đặt trên máy của mình hay không. Vui thích!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then уou’ll need to get to work downloading аnd scanning with several different tools. It’s worth noting that you cоuld haνe a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Cách ngăn máy Mac của bạn ngủ

• Cách sửa lại các phím Fn trên máy Mac của bạn

• Một số phím trên máy Mac của bạn không hoạt động bình thường?

• 5 cách buộc thoát ứng dụng trên máy Mac của bạn

• Cách tạo liên kết biểu tượng trên máy Mac của bạn

• Cách thay thế và hợp nhất tệp trên máy Mac

• Xem mật khẩu Wi-Fi (WPA, WEP) đã lưu trên OS X

• Khắc phục “Không thể cài đặt phần mềm cho máy in” trên OS X

• Cách bật và sử dụng chế độ 'Ảnh trong ảnh' trên máy Mac của bạn

• Cách bật khóa kích hoạt trên máy tính Mac của bạn

• Cách quét bằng tính năng Chụp ảnh trên Mac

• Cách gửi email được mã hóa từ máy Mac của bạn

• Cách định dạng thẻ SD trên máy Mac

• 15 mẹo để kéo dài thời lượng pin trên máy Mac

• Sử dụng Disk Utility để sao lưu máy Mac của bạn

• 5 lựa chọn thay thế công cụ cắt tốt nhất cho Mac

• Cách kết nối với máy chủ từ xa hoặc cục bộ trên máy Mac

• Cách sử dụng Máy ảnh liên tục trên iOS và OS X

• Thay đổi hoặc giả mạo địa chỉ MAC trong Windows hoặc OS X

• Sử dụng đầu vào âm thanh dòng trên máy Mac