현재 내가 아는 유일한 루트킷 스캐너는 루트킷 이전에 컴퓨터에 설치되어 파일 변경 등을 비교할 수 있지만 (예 : chkrootkit및 rkhunter), 실제로 필요한 것은 내 컴퓨터와 다른 컴퓨터를 스캔 할 수 있다는 것입니다. 루트킷이 충분하면 루트킷 감지 프로그램도 대신 사용하기 때문에 LiveUSB에서.
Ubuntu / Linux 용 시그니처 기반 루트킷 스캐너가있어 LiveUSB에 설치하고 동작을 모니터링하거나 이전 날짜의 파일을 비교할 필요없이 플러그를 꽂는 시스템을 안정적으로 스캔 할 수 있습니까?
답변
보좌관 ( dvanced I ntruder D 금 속 탐 E nvionment는)에 대한 대체 다른 대답을 여기에 언급했다. 에서 위키 피 디아 :tripwire
AIDE (Advanced Intrusion Detection Environment)는 처음에 GNU General Public License (GPL)의 조건에 따라 라이센스가 부여 된 Tripwire의 무료 대체품으로 개발되었습니다.
주요 개발자의 이름은 Rami Lehti와 Pablo Virolainen으로, Tampere University of Technology와 독립적 인 네덜란드 보안 컨설턴트 인 Richard van den Berg와 함께 있습니다. 이 프로젝트는 많은 유닉스 계열 시스템에서 저렴한 기본 제어 및 루트킷 탐지 시스템으로 사용됩니다.
기능성
AIDE는 시스템 상태의 “스냅 샷”, 등록 해시, 수정 시간 및 관리자가 정의한 파일과 관련된 기타 데이터를 가져옵니다. 이 “스냅 샷”은 데이터베이스를 저장하는 데 사용되며 보관을 위해 외부 장치에 저장 될 수 있습니다.
관리자가 무결성 테스트를 실행하려는 경우 관리자는 이전에 빌드 된 데이터베이스를 액세스 가능한 위치에 놓고 AIDE에 명령하여 데이터베이스를 시스템의 실제 상태와 비교합니다. 스냅 샷 생성과 테스트 사이에 컴퓨터가 변경되면 AIDE는이를 감지하여 관리자에게보고합니다. 또는 데비안 AIDE 패키지의 기본 동작 인 cron과 같은 스케줄링 기술을 사용하여 AIDE를 스케줄에 따라 실행하고 매일 변경 사항을보고하도록 구성 할 수 있습니다. 2
이것은 시스템 내부에서 발생할 수있는 악의적 인 변경이 AIDE에 의해보고 될 수 있기 때문에 보안 목적에 주로 유용합니다.
위키피디아 기사가 작성된 이래로 현재 관리자 인 Richard van den Berg (2003-2010)는 2010 년부터 현재까지 새로운 관리자 Hannes von Haugwitz 로 교체되었습니다 .
보좌관 홈페이지는 데비안 응용 프로그램이 predicatable와 우분투에 설치 될 수 있다는 뜻 지원 상태 :
sudo apt install aide
휴대 성과 USB 펜 드라이브가 지원하는 한 홈페이지는 다음과 같이 말합니다.
구성 파일에서 찾은 정규식 규칙에서 데이터베이스를 작성합니다. 이 데이터베이스가 초기화되면 파일의 무결성을 확인하는 데 사용할 수 있습니다. 파일의 무결성을 검사하는 데 사용되는 몇 가지 메시지 요약 알고리즘 (아래 참조)이 있습니다. 불일치가 있는지 모든 일반적인 파일 속성을 확인할 수도 있습니다. 이전 또는 최신 버전의 데이터베이스를 읽을 수 있습니다. 자세한 내용은 배포판의 매뉴얼 페이지를 참조하십시오.
이것은 라이브 USB 영구 저장 장치의 응용 프로그램과 함께 펜 드라이브의 서명 데이터베이스를 가질 수 있음을 의미합니다. AIDE가 귀하의 요구에 맞는지는 확실하지 않지만 tripwire현재 선호 하는 제품을 대체하기 때문에 찾고 있습니다.
답변
지정한 파일의 암호화 체크섬을 생성하는 tripwire를 상기시킵니다. 알려진 정상 소스 (예 : DVD)에서 확인중인 시스템의 사본을 설치하고 대상 시스템의 동일한 업데이트를 설치하십시오) tripwire가 체크섬 파일을 작성하도록하십시오. tripwire의 체크섬 파일을 대상 시스템에 복사하고, tripwire가 체크섬 파일과 대상 시스템의 파일을 비교하도록하십시오.
동기화되지 않은 업데이트 / 업그레이드 / 설치 / 시스템 특정 구성 파일은 물론 플래그가 지정 / 변경된 것으로 표시됩니다.
2018-05-06 업데이트 :
또한 대상 시스템을 오프라인으로 확인해야한다고 추가해야합니다. 대상이 손상되면 하드웨어, 부팅 펌웨어, os 커널, 커널 드라이버, 시스템 라이브러리, 바이너리가 이미 손상되어 오 탐지를 방해하거나 반환 할 수 있습니다. (손상된) 대상 시스템이 네트워크 패킷, 파일 시스템, 블록 장치 등을 로컬로 처리하기 때문에 네트워크를 통해 대상 시스템으로 실행하더라도 안전하지 않을 수 있습니다.
가장 작은 비교 가능한 시나리오는 스마트 카드 (신용 카드에 사용되는 EMC, 연방 정부에 의해 사용되는 PIV 등)입니다. 무선 인터페이스와 모든 hw / electrical / rf 보호를 무시하고 접점 인터페이스는 기본적으로 직렬 포트, 3 선 또는 2 선입니다. API는 표준화되고 화이트 박스 처리되어 있으므로 모든 사람이 불 침투성이라는 데 동의합니다. 런타임 메모리에서 전송중인 데이터를 플래시 메모리에 저장하여 보호 했습니까?
그러나 구현은 비공개입니다. 전체 런타임 및 플래시 메모리를 복사하기 위해 하드웨어에 백도어가 존재할 수 있습니다. 다른 사람들은 하드웨어와 내부 메모리, 스마트 카드 OS 또는 카드 간 I / O간에 전송되는 데이터를 조작 할 수 있습니다. hw / fw / sw / compilers가 오픈 소스 인 경우에도 모든 단계에서 모든 것을 감사해야하지만 다른 사람이 생각하지 못한 것을 놓칠 수 있습니다. 편집증은 흰 고무 방으로 당신을 보낼 수 있습니다.
편집증 탄젠트에서 뛰어 내려서 죄송합니다. 목표 드라이브를 꺼내 테스트하십시오. 그러면 대상 드라이브 hw / fw에 대해서만 걱정하면됩니다. 더 나은 방법은 테스트 할 HDD 플래터 / SSD 플래시 칩을 꺼내는 것입니다 (테스트 시스템이 황금빛이라고 가정). 😉