اگر مک^(Mac) شما به طرز عجیبی عمل می کند و به یک روت کیت مشکوک هستید، باید به کار دانلود و اسکن با چندین ابزار مختلف بپردازید. شایان ذکر است که شما می توانید یک روت کیت^(rootkit) نصب داشته باشید و حتی آن را ندانید.

اصلی‌ترین عامل متمایزکننده که یک روت کیت را خاص می‌کند این است که به شخصی بدون اطلاع شما به سرپرست کنترل از راه دور رایانه شما را می‌دهد. هنگامی که شخصی به رایانه شما دسترسی پیدا می کند، می تواند به سادگی از شما جاسوسی کند یا می تواند هر تغییری را که می خواهد در رایانه شما ایجاد کند. دلیل اینکه شما باید چندین اسکنر مختلف را امتحان کنید این است که شناسایی روت کیت ها بسیار سخت است.

رندر هنرمند Rootkit

برای من، اگر حتی مشکوک باشم که یک روت کیت روی یک کامپیوتر مشتری نصب شده است، فوراً از داده ها نسخه پشتیبان تهیه می کنم و یک نصب تمیز سیستم عامل را انجام می دهم. واضح است که گفتن این کار آسان تر از انجام آن است و این چیزی نیست که من به همه توصیه کنم انجام دهند. اگر مطمئن نیستید که روت کیت دارید، بهتر است از ابزارهای زیر به امید کشف روت کیت استفاده کنید. اگر با استفاده از چندین ابزار چیزی به دست نیامد، احتمالاً مشکلی ندارید.

اگر یک روت کیت پیدا شد، این شما هستید که تصمیم می گیرید که آیا حذف موفقیت آمیز بوده است یا اینکه باید فقط از یک صفحه تمیز شروع کنید. همچنین شایان ذکر است که از آنجایی که OS X مبتنی بر یونیکس^(UNIX) است، بسیاری از اسکنرها از خط فرمان استفاده می کنند و به دانش فنی بسیار کمی نیاز دارند. از آنجایی که این وبلاگ برای مبتدیان طراحی شده است، سعی می کنم به ساده ترین ابزارهایی که می توانید برای شناسایی روت کیت ها در مک^(Mac) خود استفاده کنید، پایبند باشم .

Malwarebytes برای مک

کاربرپسندترین برنامه ای که می توانید برای حذف روت کیت ها از مک خود استفاده کنید Malwarebytes ^(Mac)for Mac^{(Malwarebytes for Mac)} است . این فقط برای روت کیت ها نیست، بلکه برای هر نوع ویروس مک یا بدافزار نیز مناسب است.^(Mac)

پنجره Malwarebytes

می توانید نسخه آزمایشی رایگان را دانلود کنید و تا 30 روز از آن استفاده کنید. اگر می‌خواهید برنامه را بخرید و محافظت بی‌درنگ دریافت کنید، هزینه آن 40 دلار است. این ساده‌ترین برنامه برای استفاده است، اما احتمالاً یک روت کیت واقعاً سخت برای شناسایی پیدا نمی‌کند، بنابراین اگر بتوانید برای استفاده از ابزارهای خط فرمان زیر وقت بگذارید، ایده بسیار بهتری در مورد اینکه آیا یا شما روت کیت ندارید

Rootkit Hunter

Rootkit Hunter ابزار مورد علاقه من برای استفاده در مک^(Mac) برای یافتن روت کیت است. استفاده از آن نسبتاً آسان است و درک خروجی آن بسیار آسان است. ابتدا به صفحه دانلود رفته^{(download page)} و روی دکمه سبز رنگ دانلود کلیک کنید.

پنجره Rootkit Hunter

ادامه دهید و روی فایل tar.gz^(.tar.gz) دوبار کلیک کنید تا آن را باز کنید. سپس یک پنجره ترمینال^(Terminal) را باز کنید و با استفاده از دستور CD به آن دایرکتوری بروید.

با استفاده از دستور CD به دایرکتوری بروید

پس از آن، باید اسکریپت installer.sh را اجرا کنید. برای این کار از دستور زیر استفاده کنید:

sudo ./installer.sh – install

از شما خواسته می شود که رمز عبور خود را برای اجرای اسکریپت وارد کنید.

رمز عبور را در لحظه وارد کنید

اگر همه چیز خوب پیش رفت، باید چند خط در مورد شروع نصب و ایجاد دایرکتوری ها مشاهده کنید. در پایان باید بگوییم نصب کامل^{( Installation Complete)} شد.

شروع نصب

قبل از اجرای اسکنر روت کیت واقعی، باید فایل خواص را به روز کنید. برای این کار باید دستور زیر را تایپ کنید:

sudo rkhunter – propupd

دستور را وارد کنید - propupd

شما باید یک پیام کوتاه دریافت کنید که نشان می دهد این فرآیند کار کرده است. اکنون می توانید در نهایت چک روت کیت واقعی را اجرا کنید. برای این کار از دستور زیر استفاده کنید:

sudo rkhunter – check

دستور را وارد کنید - بررسی کنید

اولین کاری که انجام می دهد این است که دستورات سیستم را بررسی کنید. در بیشتر موارد، ما در اینجا OK^(OKs) سبز و تا حد امکان هشدارهای^(Warnings) قرمز کمتری می خواهیم. پس از تکمیل، Enter را فشار دهید و شروع به بررسی روت کیت ها می کند.

پنجره چک کردن Rootkit با رنگ سبز یافت نشد

در اینجا می‌خواهید مطمئن شوید که همه آنها می‌گویند Not Found . اگر چیزی در اینجا قرمز شد، قطعا یک روت کیت نصب کرده اید. در نهایت، سیستم فایل، میزبان محلی و شبکه را بررسی می کند. در پایان، خلاصه خوبی از نتایج را به شما ارائه می دهد.

خلاصه چک های سیستم

اگر جزئیات بیشتری در مورد هشدارها می خواهید، cd /var/log را تایپ کنید و سپس sudo cat rkhunter.log را تایپ کنید تا کل فایل لاگ و توضیحات مربوط به هشدارها را ببینید. شما لازم نیست خیلی نگران دستورات یا پیام های فایل های راه اندازی باشید، زیرا آنها معمولاً مشکلی ندارند. نکته اصلی این است که هنگام بررسی روت کیت ها چیزی پیدا نشد.

chkrootkit

chkrootkit یک ابزار رایگان است که به صورت محلی نشانه های روت کیت را بررسی می کند. در حال حاضر حدود 69 روت کیت مختلف را بررسی می کند. برای دانلود فایل tar.gz به سایت مراجعه کنید، در بالا بر روی Download کلیک کنید و سپس بر روی chkrootkit latest Source tarball کلیک کنید.^{(chkrootkit latest Source tarball)}

پنجره دانلود chrootkit

به پوشه Downloads در ^(Downloads)مک^(Mac) خود بروید و روی فایل دوبار کلیک کنید. با این کار آن را از حالت فشرده خارج کرده^{(uncompress it)} و پوشه ای به نام chkrootkit-0.XX در ^{(chkrootkit-0.XX)}Finder ایجاد می کند. حالا یک پنجره ترمینال^(Terminal) باز کنید و به دایرکتوری فشرده نشده بروید.

دایرکتوری chrootkit

در اصل، شما به دایرکتوری Downloads و سپس به پوشه chkrootkit سی دی می زنید. پس از رسیدن به آنجا، دستور ایجاد برنامه را تایپ می کنید:

sudo make sense

در اینجا لازم نیست از دستور sudo استفاده کنید، اما از آنجایی که برای اجرا به حقوق ریشه نیاز دارد، من آن را اضافه کردم. قبل از اینکه دستور کار کند، ممکن است پیامی دریافت کنید که می گوید برای استفاده از دستور make^(make) ، ابزارهای توسعه دهنده باید نصب شوند .

گفتگوی ابزار توسعه دهنده را نصب کنید

ادامه دهید و روی Install کلیک کنید تا دستورات را دانلود و نصب کنید. پس از اتمام، دوباره دستور را اجرا کنید. ممکن است تعداد زیادی هشدار و غیره را ببینید، اما آنها را نادیده بگیرید. در آخر برای اجرای برنامه دستور زیر را تایپ می کنید:

sudo ./chkrootkit

باید خروجی هایی مانند آنچه در زیر نشان داده شده است را مشاهده کنید:

خروجی کروت کیت

یکی از سه پیام خروجی را خواهید دید: آلوده^{( not infected)} نشده ، آزمایش^{(not tested)} نشده و یافت نشد^{(not found)} . آلوده نبودن به این معنی است که هیچ امضای روت کیت را پیدا نکرد، یافت نشد به این معنی است که دستور مورد آزمایش در دسترس نیست و آزمایش نشده به این معنی است که آزمایش به دلایل مختلف انجام نشده است.

امیدوارم^(Hopefully) همه چیز آلوده نشده باشد، اما اگر عفونتی مشاهده کردید، دستگاه شما در معرض خطر قرار گرفته است^{(machine has been compromised)} . توسعه دهنده برنامه در فایل README می نویسد که شما اساساً باید سیستم عامل را مجدداً نصب کنید تا از شر روت کیت خلاص شوید، که اساساً همان چیزی است که من نیز پیشنهاد می کنم.

آشکارساز ESET Rootkit

ESET Rootkit Detector یکی دیگر از برنامه های رایگان است که استفاده از آن بسیار ساده تر است، اما نقطه ضعف اصلی این است که فقط روی OS X 10.6 ، 10.7 و 10.8 کار می کند. با توجه به اینکه OS X در حال حاضر تقریباً به 10.13 رسیده است، این برنامه برای اکثر افراد مفید نخواهد بود.

پنجره دانلود ESET Rootkit Detector

متأسفانه، برنامه‌های زیادی وجود ندارد که روت‌کیت‌ها را در مک^(Mac) بررسی کنند. موارد بسیار بیشتری برای ویندوز^(Windows) وجود دارد و این قابل درک است زیرا پایگاه کاربر ویندوز^(Windows) بسیار بزرگتر است. با این حال، با استفاده از ابزارهای بالا، امیدواریم که ایده مناسبی در مورد نصب یا عدم نصب روت کیت بر روی دستگاه خود داشته باشید. لذت بردن!

How to Check Your Mac for Rootkits

If your Mac is acting strangely and you suspect a rootkit, then you’ll neеd to get to work downloading and scanning with several different tools. It’s worth noting that you could have a rootkit installed and not even know it.

The main distinguishing factor that makes a rootkit special is that it gives someone remote administrator control over your computer without your knowledge. Once someone has access to your computer, they can simply spy on you or they can make any change they want to your computer. The reason why you have to try several different scanners is that rootkits are notoriously hard to detect.

Artist rendering of Rootkit

For me, if I even suspect there is a rootkit installed on a client computer, I immediately back up the data and perform a clean install of the operating system. This is obviously easier said than done and it’s not something I recommend everyone do. If you’re not sure if you have a rootkit, it’s best to use the following tools in the hopes of discovering the rootkit. If nothing comes up using multiple tools, you’re probably OK.

If a rootkit is found, it’s up to you to decide whether the removal was successful or whether you should just start from a clean slate. It’s also worth mentioning that since OS X is based on UNIX, a lot of the scanners use the command line and require quite a bit of technical know-how. Since this blog is geared towards beginners, I’m going to try to stick to the easiest tools that you can use to detect rootkits on your Mac.

Malwarebytes for Mac

The most user-friendly program you can use to remove any rootkits from your Mac is Malwarebytes for Mac. It’s not just for rootkits, but also any kind of Mac viruses or malware.

Malwarebytes window

You can download the free trial and use it for up to 30 days. The cost is $40 if you want to purchase the program and get real-time protection. It’s the easiest program to use, but it’s also probably not going to find a really hard-to-detect rootkit, so if you can take the time to use the command line tools below, you’ll get a much better idea of whether or not you have a rootkit.

Rootkit Hunter

Rootkit Hunter is my favorite tool to use on the Mac for finding rootkits. It’s relatively easy to use and the output is very easy to understand. Firstly, go to the download page and click on the green download button.

Rootkit Hunter window

Go ahead and double-click on the .tar.gz file to unpack it. Then open a Terminal window and navigate to that directory using the CD command.

Navigate to directory using CD command

Once there, you need to run the installer.sh script. To do this, use the following command:

sudo ./installer.sh – install

You’ll be prompted to enter your password to run the script.

Enter password at prompt

If all went well, you should see some lines about the installation starting and directories being created. At the end, it should say Installation Complete.

Installation starting

Before you run the actual rootkit scanner, you have to update the properties file. To do this, you need to type the following command:

sudo rkhunter – propupd

Enter command – propupd

You should get a short message indicating that this process worked. Now you can finally run the actual rootkit check. To do that, use the following command:

sudo rkhunter – check

Enter command – check

The first thing it’ll do is check the system commands. For the most part, we want green OKs here and as few red Warnings as possible. Once that is complete, you will press Enter and it’ll start checking for rootkits.

Rootkit checking window with green Not found

Here you want to ensure all of them say Not Found. If anything comes up red here, you definitely have a rootkit installed. Lastly, it’ll do some checks on the file system, local host, and network. At the very end, it’ll give you a nice summary of the results.

System checks summary

If you want more details about the warnings, type in cd /var/log and then type in sudo cat rkhunter.log to see the entire log file and the explanations for the warnings. You don’t have to worry too much about the commands or startup files messages as those are normally OK. The main thing is that nothing was found when checking for rootkits.

chkrootkit

chkrootkit is a free tool that will locally check for signs of a rootkit. It currently checks for about 69 different rootkits. Go to the site, click on Download at the top and then click on chkrootkit latest Source tarball to download the tar.gz file.

chrootkit download window

Go to the Downloads folder on your Mac and double-click on the file. This will uncompress it and create a folder in Finder called chkrootkit-0.XX. Now open a Terminal window and navigate to the uncompressed directory.

chrootkit directory

Basically, you cd into the Downloads directory and then into the chkrootkit folder. Once there, you type in the command to make the program:

sudo make sense

You don’t have to use the sudo command here, but since it requires root privileges to run, I have included it. Before the command will work, you might get a message saying the developer tools need to be installed in order to use the make command.

Install developer tools dialog

Go ahead and click on Install to download and install the commands. Once complete, run the command again. You may see a bunch of warnings, etc., but just ignore those. Lastly, you will type the following command to run the program:

sudo ./chkrootkit

You should see some output like what is shown below:

output of chrootkit

You’ll see one of three output messages: not infected, not tested and not found. Not infected means it didn’t find any rootkit signature, not found means the command to be tested is not available and not tested means the test was not performed due to various reasons.

Hopefully, everything comes out not infected, but if you do see any infection, then your machine has been compromised. The developer of the program writes in the README file that you should basically reinstall the OS in order to get rid of the rootkit, which is basically what I also suggest.

ESET Rootkit Detector

ESET Rootkit Detector is another free program that is much easier to use, but the main downside is that it only works on OS X 10.6, 10.7 and 10.8. Considering OS X is almost to 10.13 right now, this program won’t be helpful for most people.

ESET Rootkit Detector download window

Unfortunately, there aren’t many programs out there that check for rootkits on Mac. There are a lot more for Windows and that’s understandable since the Windows user base is so much larger. However, using the tools above, you should hopefully get a decent idea of whether or not a rootkit is installed on your machine. Enjoy!

برزویه باستانی

About the author

من یک مهندس نرم افزار و وبلاگ نویس با نزدیک به 10 سال تجربه در این زمینه هستم. من در ایجاد بررسی ابزارها و آموزش‌ها برای پلتفرم‌های مک و ویندوز، و همچنین ارائه نظرات تخصصی درباره موضوعات توسعه نرم‌افزار تخصص دارم. من همچنین یک سخنران و مدرس حرفه ای هستم و در کنفرانس های فناوری در سراسر جهان ارائه کرده ام.

چگونه مک خود را برای روت کیت بررسی کنیم

Malwarebytes برای مک

Rootkit Hunter

chkrootkit

آشکارساز ESET Rootkit

How to Check Your Mac for Rootkits

Malwarebytes for Mac

Rootkit Hunter

chkrootkit

ESET Rootkit Detector

برزویه باستانی

About the author

Related posts

چگونه از خوابیدن مک خود جلوگیری کنیم

نحوه نگاشت مجدد کلیدهای Fn در مک

کلیدهای خاصی در مک شما به درستی کار نمی کنند؟

5 راه برای ترک اجباری برنامه ها در مک شما

نحوه ایجاد پیوندهای نمادین در مک خود

با استفاده از Time Machine از مک خود نسخه پشتیبان تهیه کنید

20 نکته برای استفاده بیشتر از Finder در مک

نحوه اسکن کردن با Image Capture در مک

از ورودی صوتی Line In در مک استفاده کنید

نحوه یافتن و ارتقاء برنامه های 32 بیتی در مک

نحوه خاموش کردن iMessage در مک

نحوه رفع عدم همگام سازی گوگل درایو در مک

نحوه جایگزینی و ادغام فایل ها در مک

مشاهده رمزهای عبور ذخیره شده Wi-Fi (WPA، WEP) در OS X

بهترین میانبرهای صفحه کلید Mac OS X

بهترین میانبرهای صفحه کلید مک برای یادگیری

نحوه ایجاد یک تصویر دیسک رمزگذاری شده در OS X

فضای ذخیره‌سازی دیگر در مک چیست و چگونه آن را پاک کنیم

4 روش برای حذف برنامه ها در مک

APFS در مقابل Mac OS Extended – کدام فرمت دیسک مک بهترین است؟