Основанный на подписи сканер руткитов?

В настоящее время единственные известные мне сканеры руткитов должны быть установлены на компьютере перед руткитом, чтобы они могли сравнивать изменения файлов и т. Д. (Например, chkrootkitи rkhunter), но мне действительно нужно иметь возможность сканировать мою машину и другие машины. из LiveUSB, потому что, если руткит достаточно хорош, то он также перехватит и программы обнаружения руткитов.

Так есть ли сигнатурный сканер руткитов для Ubuntu / Linux, который я мог бы просто установить на LiveUSB и использовать для надежного сканирования компьютеров, к которым я подключен, без необходимости отслеживать поведение или сравнивать файлы с предыдущих дат?

AIDE ( dvanced I ntruder D etection E nvionment) является заменой упоминалось в другой ответ здесь. Из википедии :tripwire

Усовершенствованная среда обнаружения вторжений (AIDE) изначально была разработана в качестве бесплатной замены для Tripwire, лицензированной в соответствии с условиями GNU General Public License (GPL).

Первичных разработчиков называют Рами Лехти и Пабло Виролайнен, которые оба связаны с Технологическим университетом Тампере вместе с Ричардом ван ден Бергом, независимым голландским консультантом по безопасности. Проект используется во многих Unix-подобных системах как недорогая базовая система контроля и обнаружения руткитов.

функциональность

AIDE делает «снимок» состояния системы, регистрирует хэши, время модификации и другие данные, относящиеся к файлам, определенным администратором. Этот «снимок» используется для создания базы данных, которая сохраняется и может храниться на внешнем устройстве для безопасного хранения.

Когда администратор хочет выполнить тест на целостность, он помещает ранее созданную базу данных в доступное место и дает команду AIDE для сравнения базы данных с реальным состоянием системы. Если на компьютере произошли изменения между созданием моментального снимка и тестом, AIDE обнаружит его и сообщит об этом администратору. В качестве альтернативы, AIDE может быть настроен для запуска по расписанию и ежедневного отчета об изменениях, используя технологии планирования, такие как cron, который является поведением по умолчанию пакета Debian AIDE. 2

Это в основном полезно в целях безопасности, поскольку AIDE сообщает о любых злонамеренных изменениях, которые могли произойти внутри системы.

С тех пор как была написана статья в Википедии, нынешний сопровождающий Ричард ван ден Берг (2003-2010) был заменен новым сопровождающим Ханнесом фон Хаугвицем с 2010 года по настоящее время.

На домашней странице AIDE указано, что Debian поддерживается, что означает, что приложение может быть установлено в Ubuntu с помощью предиката:

sudo apt install aide

Что касается переносимости и поддержки USB-накопителя, домашняя страница продолжает:

Он создает базу данных из правил регулярных выражений, которые он находит из файла (ов) конфигурации. После инициализации этой базы данных ее можно использовать для проверки целостности файлов. Он имеет несколько алгоритмов дайджеста сообщений (см. Ниже), которые используются для проверки целостности файла. Все обычные атрибуты файла также можно проверить на несоответствия. Он может читать базы данных из старых или более новых версий. Смотрите справочные страницы в дистрибутиве для получения дополнительной информации.

Это означает, что вы можете иметь базу данных сигнатур на своем флеш-накопителе вместе с приложением на постоянном USB-накопителе. Я не уверен, что AIDE удовлетворяет вашим потребностям, но, поскольку он заменяет tripwireваш текущий любимый, он заслуживает изучения.

Напоминает мне tripwire, которая создает криптографические контрольные суммы файлов, которые вы указали. Установите копию системы, которую вы проверяете, из известного надежного источника (например, DVD), установите те же самые обновления целевой системы), попросите tripwire создать файл контрольной суммы. Скопируйте файл контрольной суммы tripwire в целевую систему, используйте файл контрольной суммы tripwire для сравнения с файлами целевой системы.

Несинхронизированные обновления / обновления / установки / системные файлы конфигурации, разумеется, будут помечены / помечены как измененные.

Обновление 2018-05-06:

Я также должен добавить, что целевая система должна быть проверена в автономном режиме. Если цель была скомпрометирована, аппаратное обеспечение, загрузочное микропрограммное обеспечение, ядро ​​os, драйверы ядра, системные библиотеки, двоичные файлы уже могли быть скомпрометированы и создавать помехи или возвращать ложные срабатывания. Даже запуск через сеть в целевую систему может быть небезопасным, поскольку (скомпрометированная) целевая система будет обрабатывать сетевые пакеты, файловую систему, блочное устройство и т. Д. Локально.

Наименьший сопоставимый сценарий, который приходит на ум, - это смарт-карты (EMV, используемый в кредитных картах, PIV, используемый федеральным правительством и т. Д.). Независимо от беспроводных интерфейсов и всех защит hw / electric / rf, контактный интерфейс по сути является последовательным, трехпроводным или двухпроводным. API-интерфейс стандартизирован и помещен в белый квадрат, поэтому все согласны с тем, что он непроницаем Защищали ли они данные при передаче, во время выполнения, в покое во флэш-памяти?

Но реализация с закрытым исходным кодом. В оборудовании может существовать бэкдор для копирования всей среды выполнения и флэш-памяти. Другие могут манипулировать данными, передаваемыми между оборудованием и внутренней памятью, ОС Smart Card или вводом / выводом с карты на карту. Даже если hw / fw / sw / compilers имеют открытый исходный код, вам придется проверять все на каждом этапе, и все же вы можете пропустить то, о чем вы / все остальные не подумали. Паранойя может отправить тебя в белую резиновую комнату.

Извините за побег по касательной паранойи. Серьезно, возьмите целевые диски для тестирования. Вам остается только беспокоиться о целевом диске hw / fw. А еще лучше, просто извлеките жесткие диски с жесткими дисками / флэш-накопители SSD для тестирования (при условии, что ваша тестовая система является золотой). ;)