Mac上的Rootkit

Question

• 是否存在Mac的rootkits，请提供示例。
• 您推荐哪种软件来检测OS/X上的rootkit？
• 从软件开发人员的角度来看，您能提供关于如何在OS/X上手动检测rootkit的提示吗？例如，内核中是否有我可以查找的特定位置？Cocoa中是否有任何已知的函数或库可用于扫描或验证内核？您将如何编写shell脚本或本地C/Obj代码来扫描rootkit？

Answer 1

2004年就有了WeaponX，甚至还有一本关于如何自己开发这里的指南。由于OSX是Mach和BSD的组合，所以有专门针对Mach或Unix的rootkits，或者两者都开发。

我在我的Unix机器上使用Rkhunter，也有OSX的版本，所以我建议您看一看。

rootkit的问题是，有很多地方可以隐藏自己，而且它们往往很难被发现。它们可以提供虚假的过程信息。

我自己从来没有写过，但rkhunter是开源的，所以我建议你从那里开始。

另外，如果我没有弄错(但不确定)，它会对二进制文件和内核模块进行MD5散列，然后每隔一次检查一次。它会通知你什么改变了。可能是你做了更新。如果不是，那么您可能想去看看为什么二进制文件会被更改。

Answer 2

这篇博文来自F-secure Jan 16：http://www.f-secure.com/weblog/archives/00002300.html

不过，他们并没有提到“后门”的名字。