《倚天屠龍記》中明教四大護法技藝超群,給我們留下了深刻印象,
“四大護法”助你讓Rootkit難逃“法”網(wǎng)
。今天我們也要談對付rootkit的四大護法。還記得前幾天筆者在賽迪網(wǎng)上發(fā)表了一篇《》的小文,其中談到了檢測技術(shù)和防御方法。不過,對我們一般用戶而言,最實惠的當(dāng)然是如何有效地檢測這種惡意代碼了。下面談得是對付rootkit的四個非常有效的工具: 護法一:Sysinternals
Sysinternals提供了許多小巧的Windows實用程序,這對于對付低層的攻擊特別有用。其中的一些軟件是免費的,也有一些開源軟件和私有軟件,F(xiàn)在普遍看好的有:
ProcessExplorer:它可以監(jiān)視由任何一個程序(如UNIX中的LSoF)打開的文件和目錄。
PsTools:可以管理(執(zhí)行、掛起、清除)本地和遠程的過程。
Autoruns:可以發(fā)現(xiàn)在系統(tǒng)啟動期間有哪些程序被運行了。
RootkitRevealer:可以檢測注冊表和文件系統(tǒng)的API差異,這些差異指明了某個用戶模式或內(nèi)核模式rootkit的存在。
TCPView:可以查看由每一個過程(如UNIX中的Netstat)使用的TCP和UDP通信點。
微軟在2006年7月把Sysinternals搞到手后,向用戶承諾將能夠支持Sysinternals的高級組件、技術(shù)信息和源代碼,
電腦資料
《“四大護法”助你讓Rootkit難逃“法”網(wǎng)》(http://www.ishadingyu.com)。不過,還不到四個月,微軟就清除了幾乎所有的源代碼。因此,其未來的產(chǎn)品方向還不確定。 護法二:Tripwire
這是一款重量級的文件和目錄集成檢查程序。Tripwire可以幫助系統(tǒng)管理員和用戶監(jiān)視指定文件的任何改變。與系統(tǒng)文件結(jié)合使用,Tripwire可以通知系統(tǒng)管理員受損的或被篡改的文件,從而便于及時采取應(yīng)對措施。用戶可以從Tripwire.Org的站點下載免費的(適用于Linux)開源版本。UNIX用戶可以考慮使用AIDE,這是一個可被認(rèn)為是替代Tripwire的免費版本。或者你還可以考慮Radmind, RKHunter, 或者 chkrootkit。Windows用戶可以考慮使用如RootkitRevealer等系統(tǒng)。
護法三:RKHunter:一個UNIX的Rootkit檢測程序
RKHunter可以檢查用戶系統(tǒng)上多種惡意軟件的跡象,如rootkit,后門程序和本地的漏洞利用程序。它可以運行多種測試,包括MD5 HASH(哈希)比較、rootkit使用的默認(rèn)文件名、錯誤的二進制文件許可,以及在LKM和KLD模塊中的可疑字符串。
護法四:chkrootkit
Chkrootkit可以在本地檢查一個rootkit的跡象。Chkrootkit是一個靈活的便攜式工具,它可以檢查基于UNIX系統(tǒng)的rootkit入侵的許多跡象。其特性包括:檢測二進制的改變、檢測對utmp/wtmp/lastlog的修改、檢測惡意的內(nèi)核模塊等。