“四大护法”助你让Rootkit难逃“法”网
.倚天屠龙记.中明教四大护法技能超群,给我们留下了深入印象。今天咱们也要谈凑合rootkit的四大护法。还记得前多少天笔者在赛迪网上发表了一篇.简略小办法让你阔别来自Rootkit的要挟.的小文,其中谈到了检测泛亚娱乐技术:yuan01.bc88.info/fei和防备方式。不过,对我们个别用户而言,最实惠确当然是如何有效地检测这种恶意代码了。下面谈得是应付rootkit的四个十分有效的工具:
护法一:Sysinternals
Sysinternals供给了许多玲珑的Windows适用程序,这对对付低层的攻打特殊有用。其中的一些软件是免费的,也有一些开源软件和私有软件。当初广泛看好的有:
ProcessExplorer:它可以监视由任何一个程序如UNIX中的LSoF翻开的文件和目录。
PsTools:可以管理履行、挂起、扫除本地和远程的过程。
Autoruns:可以发明在系统启动期间有哪些程序被运行了。
RootkitRevealer:可以检测注册表和文件系统的API差异,这些差别指明了某个用户模式或内核模式rootkit的存在。
TCPView:可以查看由每一个进程如UNIX中的Netstat使用的TCP和UDP通讯点。
微软在2006年7月把Sysinternals搞得手后,向用户许诺将可能支撑Sysinternals的高等组件、技巧信息跟源代码。不外,还不到四个月,微软就肃清了简直所有的源代码。因而,其将来的产品方向还不断定。
护法二:Tripwire
这是一款分量级的文件和目录集成检查程序。Tripwire可以辅助系统治理员和用户监督指定文件的任何转变。与系统文件联合使用,Tripwire可以告诉系统管理员受损的或被改动的文件,从而便于及时采用应答办法。用户可以从Tripwire.Org的站点下载免费的实用于Linux开源版本。UNIX用户可以斟酌使用AIDE,这是一个可被以为是替换Tripwire的免费版本。或者你还可以考虑Radmind, RKHunter, 或者 chkrootkit。Windows用户可以考虑使用如RootkitRevealer等系统。
护法三:RKHunter:一个UNIX的Rootkit检测程序
RKHunter能够检讨用户体系上多种歹意软件的迹象,如rootkit,后门程序和本地的破绽应用程序。它可以运行多种测试,包含MD5 HASH(哈希)比拟、rootkit应用的默认文件名、过错的二进制文件允许,以及在LKM和KLD模块中的可疑字符串。
护法四:chkrootkit
Chkrootkit可以在本地检查一个rootkit的迹象。Chkrootkit是一个机动的便携式工具,它可以检查基于UNIX系统的rootkit入侵的很多迹象。其特征包括:检测二进制的改变、检测对utmp/wtmp/lastlog的修正、检测恶意的内核模块等。