İmza tabanlı rootkit tarayıcı?

Şu anda bildiğim tek rootkit tarayıcıları, rootkit'ten önce makineye kurulmaları gerekiyor, böylece dosya değişikliklerini vb. Karşılaştırabilirler (örneğin: chkrootkitve rkhunter), fakat gerçekten yapmam gereken, makinemi ve diğer makineleri tarayabilmem bir LiveUSB'den, eğer rootkit yeterince iyiyse, rootkit tespit programlarını da devralmış olacaktır.

Öyleyse Ubuntu / Linux için LiveUSB'ye yükleyebileceğim ve daha önce kullandığım davranışları izlemek veya dosyaları karşılaştırmak zorunda kalmadan taktığım makineleri güvenilir bir şekilde taramak için kullanabileceğim, imza tabanlı bir rootkit tarayıcısı var mı?

AIDE ( A dvanced ben ntruder D etection E nvionment) için yerine geçer tripwireburada başka bir cevapta belirtildiği. Gönderen wikipedia :

Gelişmiş İzinsiz Giriş Tespit Ortamı (AIDE), başlangıçta GNU Genel Kamu Lisansı (GPL) koşulları altında lisanslanan Tripwire'ın ücretsiz bir alternatifi olarak geliştirildi.

Başlıca geliştiriciler, bağımsız bir Hollandalı güvenlik danışmanı olan Richard van den Berg ile birlikte Tampere Teknoloji Üniversitesi ile bağlantılı olan Rami Lehti ve Pablo Virolainen olarak adlandırıldı. Proje, ucuz bir temel kontrol ve rootkit algılama sistemi olarak birçok Unix benzeri sistemde kullanılmaktadır.

İşlevsellik

AIDE, sistemin durumunun "anlık görüntüsünü" alır, hashları, değişiklik zamanlarını ve yönetici tarafından tanımlanan dosyalara ilişkin diğer verileri kaydeder. Bu "anlık görüntü", saklamak ve korunmak için harici bir cihaza depolanabilecek bir veritabanı oluşturmak için kullanılır.

Yönetici bir bütünlük testi yapmak istediğinde, yönetici önceden oluşturulmuş veritabanını erişilebilir bir yere yerleştirir ve veritabanını sistemin gerçek durumuyla karşılaştırmak için AIDE komutunu kullanır. Bilgisayarda anlık görüntü oluşturma ve test arasında bir değişiklik olursa, AIDE bunu algılar ve yöneticiye rapor eder. Alternatif olarak, AIDE, Debian AIDE paketinin varsayılan davranışı olan cron gibi programlama teknolojilerini kullanarak günlük olarak bir program üzerinde çalışacak ve değişiklikleri rapor edecek şekilde yapılandırılabilir. 2

Sistemin içinde olabilecek herhangi bir kötü amaçlı değişikliğin AIDE tarafından rapor edileceği göz önüne alındığında, bu güvenlik açısından özellikle yararlıdır.

Wikipedia makalesi yazıldıktan sonra şu anki koruyucu Richard van den Berg (2003-2010) 2010'dan günümüze yeni bir koruyucu Hannes von Haugwitz ile değiştirildi.

AIDE anasayfa Debian uygulama predicatable ile ubuntu kurulabilir yani desteklenmektedir devletler:

sudo apt install aide

Taşınabilirlik ve USB kalem sürücü desteği kadar ana sayfa söylemeye devam ediyor:

Config dosyasından / dosyalarından bulduğu düzenli ifade kurallarından bir veritabanı oluşturur. Bu veritabanı başlatıldıktan sonra, dosyaların bütünlüğünü doğrulamak için kullanılabilir. Dosyanın bütünlüğünü kontrol etmek için kullanılan birkaç mesaj özeti algoritmasına (aşağıya bakınız) sahiptir. Her zamanki dosya özniteliklerinin tümü de tutarsızlık için kontrol edilebilir. Daha eski veya daha yeni sürümlerden veritabanlarını okuyabilir. Daha fazla bilgi için dağıtımdaki kılavuz sayfalarına bakın.

Bu bana, canlı USB kalıcı depolama alanındaki uygulamanın yanı sıra kalem sürücünüzdeki imza veritabanına sahip olabileceğiniz anlamına gelir. AIDE'nin ihtiyaçlarınıza uygun olduğundan emin değilim, ancak tripwirearadığı en sevdiğiniz oyunun yerine geçiyor.

Belirttiğiniz dosyaların şifreli sağlama toplamlarını oluşturan tripwire'ı hatırlatıyor. Bildiğiniz iyi kaynaktan kontrol ettiğiniz sistemin bir kopyasını yükleyin (örneğin DVD), hedef sistemin aynı güncellemelerini yükleyin), tripwire'ın sağlama toplamı dosyasını oluşturmasını sağlayın. Tripwire'ın sağlama toplamı dosyasını hedef sisteme kopyalayın, tripwire'ın sağlama toplamı dosyasını hedef sistemin dosyaları ile karşılaştırın.

Senkronizasyon dışı güncellemeler / güncellemeler / kurulumlar / sisteme özgü konfigürasyon dosyaları elbette değiştirilmiş olarak işaretlenir / işaretlenir.

2018-05-06 güncellemesi:

Ayrıca hedef sistemin çevrimdışı kontrol edilmesi gerektiğini de eklemeliyim. Hedef tehlikeye atıldıysa, donanım, önyükleme yazılımı, işletim sistemi, çekirdek sürücüleri, sistem kitaplıkları, ikili dosyalar zaten tehlikeye girmiş olabilir ve yanlış pozitifleri engelleyebilir veya geri getirebilir. Bir ağ üzerinden hedef sistemde çalışmak bile güvenli olmayabilir, çünkü (tehlike altındaki) hedef sistem ağ paketlerini, dosya sistemini, blok cihazını vb. Yerel olarak işliyor olabilir.

Akla gelen en küçük karşılaştırılabilir senaryo akıllı kartlardır (kredi kartlarında kullanılan EMV, federal hükümet tarafından kullanılan PIV, vb.). Kablosuz arayüzleri ve tüm hw / elektrik / rf korumalarını göz ardı ederek, kontak arayüzü esas olarak bir seri port, üç tel veya iki teldir. API standardize ve beyaz kutuya sahiptir, böylece herkes geçirimsiz olduğunu kabul eder. Veri aktarım sırasında, çalışma zamanı belleğinde, flash bellekte bekletildi mi?

Ancak uygulama kapalı kaynaktır. Tüm çalışma zamanını ve flash belleği kopyalamak için donanımda bir arka kapı bulunabilir. Diğerleri, donanım ile dahili bellekler, Smart Card OS veya I / O arasında aktarılan verileri karta girip değiştirebilir. Hw / fw / sw / compilers açık kaynak olsa bile, her adımda her şeyi denetlemelisiniz ve hala sizin / herkesin düşünmediği bir şeyi özleyebiliyordunuz. Paranoya sizi beyaz bir kauçuk odaya gönderebilir.

Bir paranoya tanjantı için kaçtığım için üzgünüm. Cidden, hedef sürücüleri test etmek için çıkarın. Sadece hedef sürücü hw / fw hakkında endişelenmeniz gerekir. Daha da iyisi, test etmek için HDD plakalarını / SSD flaş çiplerini çıkarmanız yeterlidir (test sisteminizin altın olduğu varsayılarak). ;)