إذا كان جهاز Mac الخاص بك يتصرف بشكل غريب وتشك في وجود rootkit ، فستحتاج إلى العمل على التنزيل والمسح الضوئي باستخدام عدة أدوات مختلفة. تجدر الإشارة إلى أنه قد يكون لديك مجموعة rootkit مثبتة ولا تعرفها حتى.
العامل المميز الرئيسي الذي يميز الجذور الخفية هو أنه يمنح شخصًا ما تحكمًا عن بُعد في جهاز الكمبيوتر الخاص بك دون علمك. بمجرد وصول شخص ما إلى جهاز الكمبيوتر الخاص بك ، يمكنه ببساطة التجسس عليك أو يمكنه إجراء أي تغيير يريده على جهاز الكمبيوتر الخاص بك. السبب الذي يجعلك تضطر إلى تجربة العديد من الماسحات الضوئية المختلفة هو صعوبة اكتشاف الجذور الخفية.
بالنسبة لي ، حتى لو كنت أشك في وجود مجموعة rootkit مثبتة على جهاز كمبيوتر عميل ، فأنا أقوم على الفور بنسخ البيانات احتياطيًا وإجراء تثبيت نظيف لنظام التشغيل. من الواضح أن قول هذا أسهل من فعله وهو ليس شيئًا أوصي الجميع بفعله. إذا لم تكن متأكدًا مما إذا كان لديك rootkit ، فمن الأفضل استخدام الأدوات التالية على أمل اكتشاف rootkit. إذا لم يظهر شيء باستخدام أدوات متعددة ، فأنت على الأرجح بخير.
إذا تم العثور على rootkit ، فالأمر متروك لك لتقرير ما إذا كانت الإزالة ناجحة أم أنك يجب أن تبدأ من صفحة نظيفة. تجدر الإشارة أيضًا إلى أنه نظرًا لأن OS X يعتمد على UNIX ، فإن الكثير من الماسحات الضوئية تستخدم سطر الأوامر وتتطلب قدرًا كبيرًا من المعرفة الفنية. نظرًا لأن هذه المدونة موجهة للمبتدئين ، سأحاول الالتزام بأسهل الأدوات التي يمكنك استخدامها لاكتشاف برامج rootkits على جهاز Mac الخاص بك.
Malwarebytes لنظام التشغيل Mac
البرنامج الأكثر سهولة في الاستخدام الذي يمكنك استخدامه لإزالة أي برامج rootkits من جهاز Mac هو برنامج Malwarebytes لنظام التشغيل Mac. إنه ليس فقط للجذور الخفية ، ولكن أيضًا لأي نوع من فيروسات Mac أو البرامج الضارة.
يمكنك تنزيل الإصدار التجريبي المجاني واستخدامه لمدة تصل إلى 30 يومًا. تبلغ التكلفة 40 دولارًا إذا كنت ترغب في شراء البرنامج والحصول على الحماية في الوقت الفعلي. إنه أسهل برنامج للاستخدام ، ولكن من المحتمل أيضًا ألا يجد برنامج rootkit يصعب اكتشافه ، لذلك إذا كان بإمكانك تخصيص الوقت لاستخدام أدوات سطر الأوامر أدناه ، فستحصل على فكرة أفضل عما إذا كان أو ليس لديك روتكيت.
Rootkit Hunter
Rootkit Hunter هي أداتي المفضلة لاستخدامها على جهاز Mac للعثور على الجذور الخفية. إنه سهل الاستخدام نسبيًا والمخرجات سهلة الفهم للغاية. أولاً ، انتقل إلى صفحة التنزيل وانقر على زر التنزيل الأخضر
انطلق وانقر نقرًا مزدوجًا على ملف .tar.gz لتفريغه. ثم افتح نافذة طرفية وانتقل إلى هذا الدليل باستخدام أمر القرص المضغوط.
بمجرد الوصول إلى هناك ، تحتاج إلى تشغيل البرنامج النصي installer.sh. للقيام بذلك ، استخدم الأمر التالي:
sudo ./installer.sh - تثبيت
سيُطلب منك إدخال كلمة المرور لتشغيل البرنامج النصي.
إذا سارت الأمور على ما يرام ، سترى بعض الأسطر حول بدء التثبيت والأدلة قيد الإنشاء. في النهاية ، يجب أن تقولاكتمال التثبيت .
قبل تشغيل الماسح الضوئي rootkit ، يجب عليك تحديث ملف الخصائص. للقيام بذلك ، تحتاج إلى كتابة الأمر التالي:
sudo rkhunter - Propupd
ستصلك رسالة قصيرة تشير إلى نجاح هذه العملية. الآن يمكنك أخيرًا تشغيل فحص rootkit الفعلي. للقيام بذلك ، استخدم الأمر التالي:
sudo rkhunter - تحقق
أول شيء ستقوم به هو التحقق من أوامر النظام. بالنسبة للجزء الأكبر ، نريد اللون الأخضرOKsباللون الأحمرتحذيراتقدر الإمكان. بمجرد اكتمال ذلك ، ستضغط علىأدخلوسيبدأ البحث عن الجذور الخفية.
هنا تريد التأكد من أن جميعهم يقولونغير موجودإذا ظهر أي شيء باللون الأحمر هنا ، فلديك بالتأكيد مجموعة rootkit مثبتة. أخيرًا ، ستقوم ببعض عمليات الفحص على نظام الملفات والمضيف المحلي والشبكة.في النهاية ، سيقدم لك ملخصًا رائعًا للنتائج.
إذا كنت تريد المزيد من التفاصيل حول التحذيرات ، فاكتبcd / var / logثم اكتب sudo cat rkhunter.logلرؤية ملف السجل بالكامل وتفسيرات التحذيرات. لا داعي للقلق كثيرًا بشأن الأوامر أو رسائل ملفات بدء التشغيل لأن هذه الرسائل لا بأس بها في العادة. الشيء الرئيسي هو أنه لم يتم العثور على أي شيء عند البحث عن ملفات rootkits.
chkrootkit
chkrootkit هي أداة مجانية ستتحقق محليًا من علامات الجذر. يقوم حاليًا بالبحث عن حوالي 69 مجموعة من برامج rootkits المختلفة. انتقل إلى الموقع ، وانقر فوق تنزيل في الجزء العلوي ، ثم انقر فوقchkrootkit أحدث تاربل المصدرلتنزيل ملف tar.gz.
انتقل إلى مجلد التنزيلات على جهاز Mac الخاص بك وانقر نقرًا مزدوجًا على الملف. سيؤدي ذلك إلى فك ضغطه وإنشاء مجلد في Finder يسمىchkrootkit-0.XX . افتح الآن نافذة طرفية وانتقل إلى الدليل غير المضغوط.
بشكل أساسي ، يمكنك إدخال القرص المضغوط في دليل التنزيلات ثم إلى مجلد chkrootkit. بمجرد الوصول إلى هناك ، تكتب الأمر لجعل البرنامج:
sudo له معنى
ليس عليك استخدام الأمرsudoهنا ، ولكن نظرًا لأنه يتطلب امتيازات الجذر للتشغيل ، فقد قمت بتضمينه. قبل أن يعمل الأمر ، قد تتلقى رسالة تفيد بأن أدوات المطور تحتاج إلى التثبيت من أجل استخدام الأمر
انطلق وانقر علىتثبيتلتنزيل الأوامر وتثبيتها. بمجرد الانتهاء ، قم بتشغيل الأمر مرة أخرى. قد ترى مجموعة من التحذيرات ، وما إلى ذلك ، ولكن تجاهلها فقط. أخيرًا ، ستكتب الأمر التالي لتشغيل البرنامج:
sudo ./chkrootkit
يجب أن ترى بعض المخرجات مثل ما هو موضح أدناه:
سترى واحدة من ثلاث رسائل إخراج:غير مصاب،لم يتم اختباره وغير موجودغير مصاب يعني أنه لم يعثر على أي توقيع للجذور الخفية ، غير موجود يعني أن الأمر المراد اختباره غير متوفر ولم يتم اختباره يعني أن الاختبار لم يتم لأسباب مختلفة.
نأمل أن يخرج كل شيء غير مصاب ، ولكن إذا رأيت أي إصابة ، فهذا يعني أن جهازك قد تعرض للخطر. يكتب مطور البرنامج في ملف README أنه يجب عليك إعادة تثبيت نظام التشغيل بشكل أساسي للتخلص من rootkit ، وهو ما أقترحه أيضًا.
ESET Rootkit Detector
ESET Rootkit Detector هو برنامج مجاني آخر أسهل في الاستخدام ، ولكن الجانب السلبي الرئيسي هو أنه يعمل فقط على OS X 10.6 و 10.7 و 10.8. بالنظر إلى أن OS X تقترب من 10.13 في الوقت الحالي ، فلن يكون هذا البرنامج مفيدًا لمعظم الناس.
للأسف ، لا توجد العديد من البرامج التي تتحقق من وجود rootkits على Mac. هناك الكثير لنظام التشغيل Windows وهذا أمر مفهوم نظرًا لأن قاعدة مستخدمي Windows أكبر بكثير. ومع ذلك ، باستخدام الأدوات المذكورة أعلاه ، نأمل أن تحصل على فكرة جيدة حول ما إذا تم تثبيت rootkit على جهازك أم لا. يتمتع!