Сканер руткита на основе подписи?

Question 1

В настоящее время только руткиты-сканеры, которые я знаю, должны быть установлены на компьютере до руткита, чтобы они могли сравнивать изменения файлов и т. д. (например: chkrootkit и rkhunter), но мне действительно нужно сделать, чтобы иметь возможность сканировать мою машину и другие машины из LiveUSB, потому что, если руткит достаточно хорош, он также возьмет на себя программы обнаружения руткитов.

Итак, есть сканер руткитов на основе подписи для Ubuntu / Linux, который я мог бы просто установить на LiveUSB и использовать для надежного сканирования компьютеров, я подключаю его без необходимости отслеживать поведение или сравнивать файлы с предыдущих дат?

Question 2

Напоминает мне о tripwire, который создает криптографические контрольные суммы указанных вами файлов. Установите копию системы, которую вы проверяете, из известного источника (например, DVD), установите те же обновления целевой системы), попробуйте создать файл контрольной суммы. Скопируйте файл контрольной суммы tripwire в целевую систему, попробуйте сравнить файл контрольной суммы с файлами целевой системы.

Исключительные обновления / обновления / установки / системные файлы конфигурации, конечно же, будут помечены / помечены как измененные. [ ! d1]

Обновление 2018-05-06:

Я также должен добавить, что целевую систему необходимо проверить в автономном режиме. Если цель была скомпрометирована, аппаратное обеспечение, загрузочная прошивка, ядро os, драйверы ядра, системные библиотеки, двоичные файлы, возможно, уже были скомпрометированы и мешают или возвращают ложные срабатывания. Даже работа по сети в целевой системе может быть небезопасной, поскольку (скомпрометированная) целевая система будет обрабатывать сетевые пакеты, файловую систему, блок-устройство и т. Д. Local.

Самый маленький сопоставимый сценарий, который приходит на ум - смарт-карты (EMV используется в кредитных карточках, PIV используется федеральным правительством и т. д.). Без учета беспроводных интерфейсов и всех защит hw / electric / rf контактный интерфейс представляет собой по существу последовательный порт, три провода или два провода. API стандартизирован и имеет белый цвет, поэтому все согласны с тем, что он непроницаем. Защитили ли они данные в пути во временной памяти во время работы во флэш-памяти?

Но реализация является закрытым источником. Бэкдор может существовать в аппаратном обеспечении, чтобы скопировать всю рабочую среду и флэш-память. Другие могут манипулировать данными, находящимися в пути между аппаратным обеспечением и внутренними памятью, операционной системой смарт-карт или ввода-выводами с / на карту. Даже если hw / fw / sw / составители с открытым исходным кодом, вам придется проверять все на каждом шагу, и все же вы можете пропустить что-то, о чем вы / все остальные не думали. Паранойя может отправить вас в белую резиновую комнату.

Извините за то, что вы сбежали на тангенсе паранойи. Серьезно, вытащите целевые диски для тестирования. Тогда вам нужно только беспокоиться о целевом диске hw / fw. Еще лучше, просто вытащите чипы HDD / SSD-флеш-чипы для тестирования (при условии, что ваша тестовая система золотая). ; [!d 6])

Question 3

Question 4

На самом деле то, что вы просите, это традиционный автономный антивирусный сканер linux - что-то, что нужно для перемещения каталогов и amp; проверять контрольные суммы файлов против известного списка вредоносных файлов, включая руткиты. Таким образом, большинство продуктов Linux AV будут работать для ваших нужд - после мгновенного поиска в Интернете, мне кажется, что Clam AV - хороший выбор по умолчанию.

Загрузитесь в систему USB, которая считается безопасной, монтирует жесткий привод и amp; сканируйте его. Если вы действительно параноик, сделайте это сначала, когда машина отключена от всех подключений к Интернету, после того, как первоначальное сканирование отрицательное, отключите питание, снова подключите беспроводные карты и т. Д., Загрузитесь снова с USB, подключитесь к Интернету, обновите антивирус и amp; отсканировать. это, вероятно, пустая трата времени, и это не принесет никакой пользы против противника, способного атаковать код прошивки системного режима или может заставить Intel предоставить обновление драйвера / прошивки для бэкдора на конкретной машине

rcpao · Answer 1 · 23 May 2018 в 08:38

Напоминает мне о tripwire, который создает криптографические контрольные суммы указанных вами файлов. Установите копию системы, которую вы проверяете, из известного источника (например, DVD), установите те же обновления целевой системы), попробуйте создать файл контрольной суммы. Скопируйте файл контрольной суммы tripwire в целевую систему, попробуйте сравнить файл контрольной суммы с файлами целевой системы.

Исключительные обновления / обновления / установки / системные файлы конфигурации, конечно же, будут помечены / помечены как измененные. [ ! d1]

Обновление 2018-05-06:

Я также должен добавить, что целевую систему необходимо проверить в автономном режиме. Если цель была скомпрометирована, аппаратное обеспечение, загрузочная прошивка, ядро os, драйверы ядра, системные библиотеки, двоичные файлы, возможно, уже были скомпрометированы и мешают или возвращают ложные срабатывания. Даже работа по сети в целевой системе может быть небезопасной, поскольку (скомпрометированная) целевая система будет обрабатывать сетевые пакеты, файловую систему, блок-устройство и т. Д. Local.

Самый маленький сопоставимый сценарий, который приходит на ум - смарт-карты (EMV используется в кредитных карточках, PIV используется федеральным правительством и т. д.). Без учета беспроводных интерфейсов и всех защит hw / electric / rf контактный интерфейс представляет собой по существу последовательный порт, три провода или два провода. API стандартизирован и имеет белый цвет, поэтому все согласны с тем, что он непроницаем. Защитили ли они данные в пути во временной памяти во время работы во флэш-памяти?

Но реализация является закрытым источником. Бэкдор может существовать в аппаратном обеспечении, чтобы скопировать всю рабочую среду и флэш-память. Другие могут манипулировать данными, находящимися в пути между аппаратным обеспечением и внутренними памятью, операционной системой смарт-карт или ввода-выводами с / на карту. Даже если hw / fw / sw / составители с открытым исходным кодом, вам придется проверять все на каждом шагу, и все же вы можете пропустить что-то, о чем вы / все остальные не думали. Паранойя может отправить вас в белую резиновую комнату.

Извините за то, что вы сбежали на тангенсе паранойи. Серьезно, вытащите целевые диски для тестирования. Тогда вам нужно только беспокоиться о целевом диске hw / fw. Еще лучше, просто вытащите чипы HDD / SSD-флеш-чипы для тестирования (при условии, что ваша тестовая система золотая). ; [!d 6])

Импровизированное да, но на самом деле это очень хорошее решение проблемы! Я соглашусь с этим, поскольку, похоже, для Linux нет другого хорошего решения. Хотя, если приходит еще один ответ, который дает полную информацию и требует разрешения вопроса, тогда мне придется переместить маркер принятия. Но большое спасибо за это, по крайней мере, временное решение! — Paranoid Panda, 5 May 2018 в 13:28
Примечание. Некоторые SSD фактически шифруют данные в покое во флэш-памяти, поэтому мой комментарий о перемещении только фишек для тестирования не будет работать в этом случае. В какой-то момент вам нужно вздохнуть и принять компромисс между безопасностью и выполнить свою вычислительную задачу. — rcpao, 6 May 2018 в 18:57

Nathan Smith · Answer 2 · 23 May 2018 в 08:38

На самом деле то, что вы просите, это традиционный автономный антивирусный сканер linux - что-то, что нужно для перемещения каталогов и amp; проверять контрольные суммы файлов против известного списка вредоносных файлов, включая руткиты. Таким образом, большинство продуктов Linux AV будут работать для ваших нужд - после мгновенного поиска в Интернете, мне кажется, что Clam AV - хороший выбор по умолчанию.

Загрузитесь в систему USB, которая считается безопасной, монтирует жесткий привод и amp; сканируйте его. Если вы действительно параноик, сделайте это сначала, когда машина отключена от всех подключений к Интернету, после того, как первоначальное сканирование отрицательное, отключите питание, снова подключите беспроводные карты и т. Д., Загрузитесь снова с USB, подключитесь к Интернету, обновите антивирус и amp; отсканировать. это, вероятно, пустая трата времени, и это не принесет никакой пользы против противника, способного атаковать код прошивки системного режима или может заставить Intel предоставить обновление драйвера / прошивки для бэкдора на конкретной машине

ClamAV не сканирует руткиты. Фактически, это в основном просто сканирование на вредоносное ПО Windows, которое никак не повлияет на Linux. Если в его сканировании были включены руткиты, это было бы здорово. — Paranoid Panda, 2 March 2018 в 14:35

Сканер руткита на основе подписи?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: