Om din Mac beter sig konstigt och du misstänker ett rootkit, måste du börja arbeta med att ladda ner och skanna med flera olika verktyg. Det är värt att notera att du kan ha ett rootkit installerat och inte ens veta det.

Den främsta utmärkande faktorn som gör ett rootkit speciellt är att det ger någon fjärradministratör kontroll över din dator utan din vetskap. När någon har tillgång till din dator kan de helt enkelt spionera på dig eller så kan de göra vilken ändring de vill på din dator. Anledningen till att du måste prova flera olika skannrar är att rootkits är notoriskt svåra att upptäcka.

För mig, om jag ens misstänker att det finns ett rootkit installerat på en klientdator, säkerhetskopierar jag omedelbart data och utför en ren installation av operativsystemet. Detta är uppenbarligen lättare sagt än gjort och det är inget jag rekommenderar alla att göra. Om du inte är säker på om du har ett rootkit är det bäst att använda följande verktyg i hopp om att upptäcka rootkit. Om inget dyker upp med flera verktyg är du förmodligen OK.

Om ett rootkit hittas är det upp till dig att bestämma om borttagningen lyckades eller om du bara ska börja från ett rent blad. Det är också värt att nämna att eftersom OS X är baserat på UNIX , använder många av skannrarna kommandoraden och kräver en hel del tekniskt kunnande. Eftersom den här bloggen är inriktad på nybörjare, ska jag försöka hålla mig till de enklaste verktygen som du kan använda för att upptäcka rootkits på din Mac .

Malwarebytes för Mac

Det mest användarvänliga programmet du kan använda för att ta bort eventuella rootkits från din Mac är Malwarebytes för Mac^{(Malwarebytes for Mac)} . Det är inte bara för rootkits, utan också alla typer av Mac -virus eller skadlig kod.

Du kan ladda ner den kostnadsfria testversionen och använda den i upp till 30 dagar. Kostnaden är $40 om du vill köpa programmet och få realtidsskydd. Det är det enklaste programmet att använda, men det kommer förmodligen inte heller att hitta ett riktigt svårt att upptäcka rootkit, så om du kan ta dig tid att använda kommandoradsverktygen nedan får du en mycket bättre uppfattning om huruvida eller inte du har ett rootkit.

Rootkit Hunter

Rootkit Hunter är mitt favoritverktyg att använda på Mac för att hitta rootkits. Det är relativt lätt att använda och resultatet är mycket lätt att förstå. Gå först till nedladdningssidan^{(download page)} och klicka på den gröna nedladdningsknappen.

Fortsätt och dubbelklicka på .tar.gz -filen för att packa upp den. Öppna sedan ett terminalfönster^(Terminal) och navigera till den katalogen med CD-kommandot.

Väl där måste du köra installer.sh-skriptet. För att göra detta, använd följande kommando:

sudo ./installer.sh – install

Du kommer att bli ombedd att ange ditt lösenord för att köra skriptet.

Om allt gick bra bör du se några rader om installationsstart och kataloger som skapas. I slutet bör det stå Installation Complete .

Innan du kör själva rootkit-skannern måste du uppdatera egenskapsfilen. För att göra detta måste du skriva följande kommando:

sudo rkhunter – propupd

Du bör få ett kort meddelande som indikerar att denna process fungerade. Nu kan du äntligen köra själva rootkit-kontrollen. För att göra det, använd följande kommando:

sudo rkhunter – check

Det första det kommer att göra är att kontrollera systemkommandona. För det mesta vill vi ha gröna OK^(OKs) här och så få röda varningar^(Warnings) som möjligt. När det är klart trycker du på Enter och det börjar leta efter rootkits.

Här vill du se till att alla säger Not Found . Om något dyker upp rött här har du definitivt ett rootkit installerat. Slutligen kommer det att göra några kontroller på filsystemet, den lokala värden och nätverket. I slutet kommer det att ge dig en bra sammanfattning av resultaten.

Om du vill ha mer information om varningarna, skriv in cd /var/log och skriv sedan in sudo cat rkhunter.log för att se hela loggfilen och förklaringarna till varningarna. Du behöver inte oroa dig för mycket om kommandon eller meddelanden om startfiler eftersom de normalt är OK. Huvudsaken är att ingenting hittades när man letade efter rootkits.

chkrootkit

chkrootkit är ett gratis verktyg som lokalt kommer att leta efter tecken på ett rootkit. Den söker för närvarande efter cirka 69 olika rootkits. Gå till webbplatsen, klicka på Ladda ner^(Download) högst upp och klicka sedan på chkrootkit senaste källkod tarball^{(chkrootkit latest Source tarball)} för att ladda ner filen tar.gz.

Gå till mappen Nedladdningar^(Downloads) på din Mac och dubbelklicka på filen. Detta kommer att komprimera den^{(uncompress it)} och skapa en mapp i Finder som heter chkrootkit-0.XX . Öppna nu ett terminalfönster^(Terminal) och navigera till den okomprimerade katalogen.

I grund och botten, du cd till nedladdningskatalogen^(Downloads) och sedan till mappen chkrootkit. Väl där skriver du in kommandot för att skapa programmet:

sudo make sense

Du behöver inte använda kommandot sudo här, men eftersom det kräver root-privilegier för att köras har jag inkluderat det. Innan kommandot kommer att fungera kan du få ett meddelande som säger att utvecklarverktygen måste installeras för att kunna använda kommandot make .

Gå vidare och klicka på Installera^(Install) för att ladda ner och installera kommandona. När du är klar, kör kommandot igen. Du kan se ett gäng varningar, etc., men ignorera dem. Slutligen skriver du följande kommando för att köra programmet:

sudo ./chkrootkit

Du bör se lite utdata som det som visas nedan:

Du kommer att se ett av tre utgående meddelanden: inte infekterad^{( not infected)} , inte testad^{(not tested)} och inte hittad^{(not found)} . Inte infekterad betyder att den inte hittade någon rootkit-signatur, inte hittad betyder att kommandot som ska testas inte är tillgängligt och inte testat betyder att testet inte utfördes på grund av olika anledningar.

Förhoppningsvis^(Hopefully) kommer allt ut inte infekterat, men om du ser någon infektion har din maskin äventyrats^{(machine has been compromised)} . Utvecklaren av programmet skriver i README -filen att du i princip bör installera om OS för att bli av med rootkit, vilket i princip är vad jag också föreslår.

ESET Rootkit Detektor

ESET Rootkit Detector är ett annat gratisprogram som är mycket lättare att använda, men den största nackdelen är att det bara fungerar på OS X 10.6 , 10.7 och 10.8. Med tanke på att OS X är nästan till 10.13 just nu, kommer det här programmet inte att vara användbart för de flesta.

Tyvärr finns det inte många program där ute som söker efter rootkits på Mac . Det finns mycket mer för Windows och det är förståeligt eftersom Windows -användarbasen är så mycket större. Men med hjälp av verktygen ovan bör du förhoppningsvis få en bra uppfattning om huruvida ett rootkit är installerat på din maskin eller inte. Njut av!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then yoυ’ll need to gеt to work downloading and scanning with several dіfferent tools. It’s worth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

Related posts

• Hur du förhindrar din Mac från att sova

• Hur man mappar om Fn-tangenter på din Mac

• Vissa tangenter på din Mac fungerar inte som de ska?

• 5 sätt att tvinga bort appar på din Mac

• Hur man skapar symboliska länkar på din Mac

• Fortsätter musen att försvinna på Mac? 10 saker att prova

• Hur du aktiverar och använder "Bild i bild"-läge på din Mac

• 20 tips för att få ut det mesta av Finder på Mac

• Fixa "Kan inte installera programvaran för skrivaren" på OS X

• Så här fixar du att Google Drive inte synkroniseras på Mac

• Vad är annan lagring på Mac och hur man städar upp den

• Hur man ansluter till en fjärrserver eller lokal server på en Mac

• Använd Line In Audio Input på en Mac

• Hur man skannar med bildtagning på Mac

• Visa sparade Wi-Fi-lösenord (WPA, WEP) på OS X

• Mac-tangentbordsgenvägar för när din Mac fryser

• Säkerhetskopiera din Mac med Time Machine

• 15 tips för att förlänga batteritiden på Mac

• 10 bästa gratis Mac-spel du kan ladda ner nu

• Hur man skärminspelning på Mac