Máy quét rootkit dựa trên chữ ký?

Hiện tại máy quét rootkit duy nhất tôi biết phải được cài đặt trên máy trước rootkit để có thể so sánh các thay đổi tệp, v.v. (ví dụ: chkrootkitvà rkhunter), nhưng điều tôi thực sự cần làm là có thể quét máy của tôi và các máy khác từ LiveUSB bởi vì nếu rootkit đủ tốt thì nó cũng sẽ tiếp quản các chương trình phát hiện rootkit.

Vì vậy, có một trình quét rootkit dựa trên chữ ký cho Ubuntu / Linux mà tôi có thể chỉ cần cài đặt trên LiveUSB và sử dụng để quét các máy đáng tin cậy mà tôi cắm vào mà không cần phải theo dõi hành vi hoặc so sánh các tệp từ ngày trước không?

AIDE ( Một dvanced tôi ntruder D etection E nvionment) là một sự thay thế để tripwiređề cập trong câu trả lời khác ở đây. Từ wikipedia :

Môi trường phát hiện xâm nhập nâng cao (AIDE) ban đầu được phát triển dưới dạng thay thế miễn phí cho Tripwire được cấp phép theo các điều khoản của Giấy phép công cộng GNU (GPL).

Các nhà phát triển chính được đặt tên là Rami Lehti và Pablo Virolainen, cả hai đều liên kết với Đại học Công nghệ Tampere, cùng với Richard van den Berg, một nhà tư vấn bảo mật độc lập của Hà Lan. Dự án được sử dụng trên nhiều hệ thống giống Unix như một hệ thống phát hiện cơ sở và kiểm soát cơ bản không tốn kém.

Chức năng

AIDE có một "ảnh chụp nhanh" về trạng thái của hệ thống, đăng ký băm, thời gian sửa đổi và các dữ liệu khác liên quan đến các tệp được xác định bởi quản trị viên. "Ảnh chụp nhanh" này được sử dụng để xây dựng cơ sở dữ liệu được lưu và có thể được lưu trữ trên thiết bị bên ngoài để giữ an toàn.

Khi quản trị viên muốn chạy kiểm tra tính toàn vẹn, quản trị viên sẽ đặt cơ sở dữ liệu được xây dựng trước đó ở nơi có thể truy cập và ra lệnh AIDE để so sánh cơ sở dữ liệu với trạng thái thực của hệ thống. Nếu một sự thay đổi đã xảy ra với máy tính giữa việc tạo ảnh chụp nhanh và thử nghiệm, AIDE sẽ phát hiện nó và báo cáo cho quản trị viên. Ngoài ra, AIDE có thể được cấu hình để chạy theo lịch biểu và báo cáo các thay đổi hàng ngày bằng cách sử dụng các công nghệ lập lịch biểu như cron, đây là hành vi mặc định của gói Debian AIDE. 2

Điều này chủ yếu hữu ích cho các mục đích bảo mật, do bất kỳ thay đổi độc hại nào có thể xảy ra bên trong hệ thống sẽ được báo cáo bởi AIDE.

Kể từ khi bài viết trên wikipedia được viết, nhà bảo trì hiện tại Richard van den Berg (2003-2010) đã được thay thế bởi một người duy trì mới Hannes von Haugwitz từ năm 2010 đến nay.

Các trang web của AIDE khẳng định Debian được hỗ trợ có nghĩa là ứng dụng có thể được cài đặt trong ubuntu với predicatable:

sudo apt install aide

Theo như tính di động và ổ đĩa USB hỗ trợ trang chủ tiếp tục nói:

Nó tạo ra một cơ sở dữ liệu từ các quy tắc biểu thức chính quy mà nó tìm thấy từ (các) tệp cấu hình. Khi cơ sở dữ liệu này được khởi tạo, nó có thể được sử dụng để xác minh tính toàn vẹn của các tệp. Nó có một số thuật toán thông báo (xem bên dưới) được sử dụng để kiểm tra tính toàn vẹn của tệp. Tất cả các thuộc tính tệp thông thường cũng có thể được kiểm tra sự không nhất quán. Nó có thể đọc cơ sở dữ liệu từ các phiên bản cũ hơn hoặc mới hơn. Xem các trang hướng dẫn trong phân phối để biết thêm.

Điều này ngụ ý với tôi rằng bạn có thể có cơ sở dữ liệu chữ ký trên ổ đĩa bút cùng với ứng dụng lưu trữ liên tục USB trực tiếp. Tôi không chắc AIDE phù hợp với nhu cầu của bạn nhưng vì nó là sự thay thế cho tripwiremục yêu thích hiện tại mà bạn đang tìm kiếm.

Nhắc nhở tôi về tripwire tạo tổng kiểm tra mật mã của các tệp bạn chỉ định. Cài đặt một bản sao của hệ thống mà bạn đang kiểm tra từ nguồn tốt đã biết (ví dụ DVD), cài đặt các bản cập nhật tương tự của hệ thống đích), có tripwire tạo tệp tổng kiểm tra. Sao chép tệp tổng kiểm tra của tripwire vào hệ thống đích, có tệp kiểm tra so sánh tripwire với các tệp của hệ thống đích.

Tất nhiên các bản cập nhật đồng bộ / nâng cấp / cài đặt / tệp cấu hình cụ thể của hệ thống sẽ được gắn cờ / đánh dấu là đã thay đổi.

Cập nhật 2018-05-06:

Tôi cũng nên thêm rằng hệ thống đích phải được kiểm tra ngoại tuyến. Nếu mục tiêu đã bị xâm phạm, phần cứng, phần sụn khởi động, nhân os, trình điều khiển kernel, thư viện hệ thống, tệp nhị phân có thể đã bị xâm phạm và can thiệp hoặc trả về dương tính giả. Ngay cả việc chạy trên một mạng vào hệ thống đích có thể không an toàn vì hệ thống đích (bị xâm nhập) sẽ xử lý các gói mạng, hệ thống tệp, thiết bị khối, v.v.

Kịch bản so sánh nhỏ nhất xuất hiện trong đầu là thẻ thông minh (EMV được sử dụng trong thẻ tín dụng, PIV được sử dụng bởi chính phủ liên bang, v.v.). Bỏ qua các giao diện không dây và tất cả các bảo vệ hw / điện / rf, giao diện tiếp xúc thực chất là một cổng nối tiếp, ba dây hoặc hai dây. API được chuẩn hóa và đóng hộp màu trắng để mọi người đồng ý rằng nó không thấm nước. Có phải họ bảo vệ dữ liệu quá cảnh, trong bộ nhớ thời gian chạy, phần còn lại trong bộ nhớ flash?

Nhưng việc thực hiện là nguồn đóng. Một cửa hậu có thể tồn tại trong phần cứng để sao chép toàn bộ thời gian chạy và bộ nhớ flash ra. Những người khác có thể thao tác dữ liệu chuyển tiếp giữa phần cứng và bộ nhớ trong, Hệ điều hành thẻ thông minh hoặc I / O từ / đến thẻ. Ngay cả khi hw / fw / sw / trình biên dịch là nguồn mở, bạn sẽ phải kiểm toán mọi thứ ở mọi bước và bạn vẫn có thể bỏ lỡ điều gì đó mà bạn / mọi người khác không nghĩ tới. Sự hoang tưởng có thể đưa bạn vào một căn phòng cao su màu trắng.

Xin lỗi vì đã chạy trên một tiếp tuyến hoang tưởng. Nghiêm túc, lấy các ổ đĩa mục tiêu ra để kiểm tra. Bạn chỉ phải lo về ổ đĩa đích hw / fw rồi. Tốt hơn nữa, chỉ cần lấy ra đĩa cứng / chip flash SSD để kiểm tra (giả sử hệ thống kiểm tra của bạn là vàng). ;)