Основанный на подписи сканер руткита?

Question 1

В настоящее время единственные сканеры руткита, о которых я знаю, должны быть установлены на машине перед руткитом так, чтобы они могли сравнить изменения файла и т.д. (например: chkrootkit и rkhunter), но то, что я действительно должен сделать, должно смочь просканировать мою машину и другие машины от LiveUSB, потому что, если руткит достаточно хорош затем, он примет программы обнаружения руткита также.

Так существует ли основанный на подписи сканер руткита для Ubuntu/Linux, которую я мог просто установить на LiveUSB и использовать для надежного сканирования машин, я включаю его без него имеющий необходимость контролировать поведение или сравнить файлы с предыдущих дат?

Question 2

ПОМОЩНИК (Усовершенствованное Обнаружение нарушителей Envionment) является заменой к tripwire упомянутый в другом ответе здесь. Из Википедии:

Усовершенствованная среда обнаружения проникновения (AIDE) была первоначально разработана как свободная замена для Растяжки, лицензируемой в соответствии с Генеральной общедоступной лицензией GNU (GPL).

Основных разработчиков называют как Rami Lehti и Pablo Virolainen, которые оба связаны с Технологическим университетом Тампере, вместе с Richard van den Berg, независимым голландским консультантом по безопасности. Проект используется во многих подобных Unix системах в качестве недорогого базового управления и системы обнаружения руткита.

Функциональность

ПОМОЩНИК берет "снимок" состояния системы, хешей регистра, время изменения и другие данные относительно файлов, определенных администратором. Этот "снимок" используется для создания базы данных, которая сохраняется и может быть сохранена на внешнем устройстве для сохранности.

Когда администратор хочет выполнить проверку целостности, администратор помещает ранее созданную базу данных в доступное место и управляет, чтобы ПОМОЩНИК сравнил базу данных с реальным состоянием системы. Если изменение произошло с компьютером между созданием снимка и тестом, ПОМОЩНИК обнаружит его и сообщит о нем администратору. С другой стороны, ПОМОЩНИК может быть настроен для работы изменений расписания и отчета, ежедневно использующих планирование технологий, таких как крон, который является поведением по умолчанию пакета 2 ПОМОЩНИКА Debian

Это главным образом полезно для целей безопасности, учитывая, что о любом злонамеренном изменении, которое, возможно, произошло в системе, сообщит ПОМОЩНИК.

Так как статья Википедии была написана, тогдашний текущий специалист по обслуживанию Richard van den Berg (2003-2010) был заменен новым обслуживающим Hannes von Haugwitz с 2010 для представления.

Домашняя страница ПОМОЩНИКА указывает, что Debian поддерживается, что означает, что приложение может быть установлено в человечности с predicatable:

sudo apt install aide

До мобильности и перьевой поддержки дисков USB продолжает домашняя страница:

Это создает базу данных из правил регулярного выражения, что это находит из файла (файлов) конфигурации. После того как эта база данных инициализируется, она может использоваться для проверки целостности файлов. Это имеет несколько алгоритмов выборки сообщений (см. ниже), которые используются для проверки целостности файла. Все обычные атрибуты файла могут также быть проверены на несоответствия. Это может считать базы данных из более старых или более новых версий. См. страницы руководства в рамках распределения для дальнейшей информации.

Это подразумевает мне, у Вас могла быть база данных подписи по Вашему перьевому диску наряду с приложением на живом USB персистентное устройство хранения данных. Я не уверен, что ПОМОЩНИК удовлетворяет Вашим потребностям, но поскольку это - замена к tripwire Ваш текущий фаворит это переносит изучение.

Question 3

Question 4

Напоминает мне о растяжке, которая создает криптографические контрольные суммы файлов, которые Вы указываете. Установите копию системы, которую Вы проверяете из известного хорошего источника (DVD, например), устанавливаете те же обновления целевой системы), имейте растяжку, создают файл контрольной суммы. Скопируйте файл контрольной суммы растяжки в целевую систему, имейте растяжку, сравнивают файл контрольной суммы с файлами целевой системы.

Из синхронизирующих обновлений / обновления / установки / система определенные конфигурационные файлы будут, конечно, отмечены / отмеченный, как изменено.

Обновление 06.05.2018:

Я должен также добавить, что целевая система должна быть проверена офлайн. Если цель была поставлена под угрозу, аппаратные средства, встроенное микропрограммное обеспечение начальной загрузки, ядро OS, драйверы ядра, системные библиотеки, двоичные файлы, возможно, уже были поставлены под угрозу и вмешиваются или возвращают ложные положительные стороны. Даже натыкание на сеть в целевую систему не могло бы быть безопасным, так как (поставленная под угрозу) целевая система будет обрабатывать сетевые пакеты, файловую систему, блочное устройство, и т.д. локально.

Наименьший сопоставимый сценарий, который приходит на ум, является смарт-картами (EMV, используемая в кредитных картах, PIV, используемая федеральным правительством, и т.д.). Игнорируя беспроводные интерфейсы и все hw/electrical/rf меры защиты, интерфейс контакта является по существу последовательным портом, тремя проводами или двумя проводами. API стандартизирован и белый упакованный, таким образом, все соглашаются, что это непроницаемо. Они защищали данные в пути, в памяти во время выполнения, в покое во флэш-памяти?

Но реализация является закрытым исходным кодом. Бэкдор может существовать в аппаратных средствах для копирования всей и флэш-памяти во время выполнения. Другие могут управлять данными в пути между аппаратными средствами и внутренними памятями, Смарт-картой ОС или ввод-вывод из/в карту. Даже если бы hw/fw/sw/compilers являются открытым исходным кодом, необходимо было бы контролировать все на каждом шаге, и тем не менее Вы могли пропустить что-то, о чем Вы/все остальные не думали. Паранойя может отправить Вас в белую резиновую комнату.

Извините за убегание на касательной паранойи. Серьезно, выньте целевые диски для тестирования. Только необходимо волноваться о целевом диске hw/fw затем. Еще лучше просто выньте диски жесткого диска / микросхемы флэш-памяти SSD для тестирования (предположение, что система тестирования является золотой).;)

WinEunuuchs2Unix · Accepted Answer · 23 November 2019 в 01:54

ПОМОЩНИК (Усовершенствованное Обнаружение нарушителей Envionment) является заменой к tripwire упомянутый в другом ответе здесь. Из Википедии:

Усовершенствованная среда обнаружения проникновения (AIDE) была первоначально разработана как свободная замена для Растяжки, лицензируемой в соответствии с Генеральной общедоступной лицензией GNU (GPL).

Основных разработчиков называют как Rami Lehti и Pablo Virolainen, которые оба связаны с Технологическим университетом Тампере, вместе с Richard van den Berg, независимым голландским консультантом по безопасности. Проект используется во многих подобных Unix системах в качестве недорогого базового управления и системы обнаружения руткита.

Функциональность

ПОМОЩНИК берет "снимок" состояния системы, хешей регистра, время изменения и другие данные относительно файлов, определенных администратором. Этот "снимок" используется для создания базы данных, которая сохраняется и может быть сохранена на внешнем устройстве для сохранности.

Когда администратор хочет выполнить проверку целостности, администратор помещает ранее созданную базу данных в доступное место и управляет, чтобы ПОМОЩНИК сравнил базу данных с реальным состоянием системы. Если изменение произошло с компьютером между созданием снимка и тестом, ПОМОЩНИК обнаружит его и сообщит о нем администратору. С другой стороны, ПОМОЩНИК может быть настроен для работы изменений расписания и отчета, ежедневно использующих планирование технологий, таких как крон, который является поведением по умолчанию пакета 2 ПОМОЩНИКА Debian

Это главным образом полезно для целей безопасности, учитывая, что о любом злонамеренном изменении, которое, возможно, произошло в системе, сообщит ПОМОЩНИК.

Так как статья Википедии была написана, тогдашний текущий специалист по обслуживанию Richard van den Berg (2003-2010) был заменен новым обслуживающим Hannes von Haugwitz с 2010 для представления.

Домашняя страница ПОМОЩНИКА указывает, что Debian поддерживается, что означает, что приложение может быть установлено в человечности с predicatable:

sudo apt install aide

До мобильности и перьевой поддержки дисков USB продолжает домашняя страница:

Это создает базу данных из правил регулярного выражения, что это находит из файла (файлов) конфигурации. После того как эта база данных инициализируется, она может использоваться для проверки целостности файлов. Это имеет несколько алгоритмов выборки сообщений (см. ниже), которые используются для проверки целостности файла. Все обычные атрибуты файла могут также быть проверены на несоответствия. Это может считать базы данных из более старых или более новых версий. См. страницы руководства в рамках распределения для дальнейшей информации.

Это подразумевает мне, у Вас могла быть база данных подписи по Вашему перьевому диску наряду с приложением на живом USB персистентное устройство хранения данных. Я не уверен, что ПОМОЩНИК удовлетворяет Вашим потребностям, но поскольку это - замена к tripwire Ваш текущий фаворит это переносит изучение.

rcpa0 · Answer 2 · 23 November 2019 в 01:54

Напоминает мне о растяжке, которая создает криптографические контрольные суммы файлов, которые Вы указываете. Установите копию системы, которую Вы проверяете из известного хорошего источника (DVD, например), устанавливаете те же обновления целевой системы), имейте растяжку, создают файл контрольной суммы. Скопируйте файл контрольной суммы растяжки в целевую систему, имейте растяжку, сравнивают файл контрольной суммы с файлами целевой системы.

Из синхронизирующих обновлений / обновления / установки / система определенные конфигурационные файлы будут, конечно, отмечены / отмеченный, как изменено.

Обновление 06.05.2018:

Я должен также добавить, что целевая система должна быть проверена офлайн. Если цель была поставлена под угрозу, аппаратные средства, встроенное микропрограммное обеспечение начальной загрузки, ядро OS, драйверы ядра, системные библиотеки, двоичные файлы, возможно, уже были поставлены под угрозу и вмешиваются или возвращают ложные положительные стороны. Даже натыкание на сеть в целевую систему не могло бы быть безопасным, так как (поставленная под угрозу) целевая система будет обрабатывать сетевые пакеты, файловую систему, блочное устройство, и т.д. локально.

Наименьший сопоставимый сценарий, который приходит на ум, является смарт-картами (EMV, используемая в кредитных картах, PIV, используемая федеральным правительством, и т.д.). Игнорируя беспроводные интерфейсы и все hw/electrical/rf меры защиты, интерфейс контакта является по существу последовательным портом, тремя проводами или двумя проводами. API стандартизирован и белый упакованный, таким образом, все соглашаются, что это непроницаемо. Они защищали данные в пути, в памяти во время выполнения, в покое во флэш-памяти?

Но реализация является закрытым исходным кодом. Бэкдор может существовать в аппаратных средствах для копирования всей и флэш-памяти во время выполнения. Другие могут управлять данными в пути между аппаратными средствами и внутренними памятями, Смарт-картой ОС или ввод-вывод из/в карту. Даже если бы hw/fw/sw/compilers являются открытым исходным кодом, необходимо было бы контролировать все на каждом шаге, и тем не менее Вы могли пропустить что-то, о чем Вы/все остальные не думали. Паранойя может отправить Вас в белую резиновую комнату.

Извините за убегание на касательной паранойи. Серьезно, выньте целевые диски для тестирования. Только необходимо волноваться о целевом диске hw/fw затем. Еще лучше просто выньте диски жесткого диска / микросхемы флэш-памяти SSD для тестирования (предположение, что система тестирования является золотой).;)

Основанный на подписи сканер руткита?

2 ответа

Функциональность

Другие вопросы по тегам:

Похожие вопросы: