Security rootkits check - wie?

Wegen den Tools musst du dir keine Sorgen machen. Ohne wirst du allerdings mal keine Möglichkeit bekommen dein System daraufhin zu prüfen.

Ok anders ausgedrückt die Tools sind zur freien Verfügung zb. Auf GitHub.
klar gibt es dort auch schwarze Schafe, aber ich wollte damit sagen die Tools hatte ich selbst schon in Verwendung und sie schaden nicht.
und ja ohne das du dir diese lädst wirst du keinen Check starten können.

Ich würde sogar noch weiter gehen, insofern du die Vermutung hast kompromittiert zu sein, installier dir ein Test System, darauf solche Tools, erstelle ein Image von deinem kompromittierten System und scanne das mit den Tools auf Herz und Nieren.

Zur Be(un)ruhigung: "OpenCore is an open-source, unconventional, first-in-class piece of software designed to intercept kernel loading to insert a highly advanced rootkit,[...]"

Quelle: https://github.com/khronokernel/OpenCore-Desktop-Guide

Eigentlich bräuchtest Du ein Tool, was Opencore auf deinem Hacky anmeckert.

rkhunter und chrootkit z.B suchen auch nur nach bekannten IOCs. Ähnlich ist es bei rootkit-detection-Frameworks für Smartphone-OS.

Rootkits sind m.E. eine andere Klasse von Malware, die generisch schwer erkennbar ist im Vergleich zu Malware, die aktiv z.B. lateral Movement, Persistenz, Verschlüsselung,RAT durchführen und dadurch vorhersagbarer in den Aktivitäten ist.

MacOS scheint offensichtlich kein Problem mit opencore zu haben.

Um Rootkits auszuschließen, geht m.E. nur der Weg über nahtlos verkette Vertrauensanker von Hardware, Bios, Bootloader, Betriebssystem.

talkinghead Weder OC noch Lilu sind Rootkits, weil sie die Privilegien anderer Software nicht bis kaum erweitern.