हस्ताक्षर-आधारित रूटकिट स्कैनर?

वर्तमान में एकमात्र रूटकिट स्कैनर जो मुझे पता है कि मशीन को रूटकिट से पहले स्थापित किया जाना है ताकि वे फ़ाइल परिवर्तन आदि (जैसे: chkrootkitऔर rkhunter) की तुलना कर सकें , लेकिन मुझे वास्तव में क्या करना है कि मेरी मशीन और अन्य मशीनों को स्कैन करने में सक्षम होना चाहिए एक LiveUSB से क्योंकि अगर रूटकिट काफी अच्छा है तो यह रूटकिट डिटेक्शन प्रोग्रामों को भी संभाल लेगा।

तो क्या उबंटू / लिनक्स के लिए एक हस्ताक्षर-आधारित रूटकिट स्कैनर है जिसे मैं बस एक लाइवयूएसबी पर स्थापित कर सकता हूं और मज़बूती से स्कैन करने वाली मशीनों का उपयोग कर सकता हूं, मैं इसे बिना किसी निगरानी के या पिछली तारीखों की फाइलों की तुलना किए बिना इसमें प्लग कर सकता हूं?

सहयोगी ( एक dvanced मैं ntruder डी etection ई nvionment) एक प्रतिस्थापन के लिए है tripwireयहाँ एक और जवाब में बताया गया। से विकिपीडिया :

उन्नत इंट्रूज़न डिटेक्शन एनवायरनमेंट (AIDE) को शुरू में GNU जनरल पब्लिक लाइसेंस (GPL) की शर्तों के तहत लाइसेंस प्राप्त Tripwire के लिए एक मुफ्त प्रतिस्थापन के रूप में विकसित किया गया था।

प्राथमिक डेवलपर्स को रामी लेहती और पाब्लो विरोलेन के नाम से जाना जाता है, जो दोनों टेम्पर यूनिवर्सिटी ऑफ़ टेक्नोलॉजी के साथ जुड़े हुए हैं, साथ ही साथ रिचर्ड वैन डेन बर्ग, एक स्वतंत्र डच सुरक्षा सलाहकार हैं। परियोजना का उपयोग कई यूनिक्स जैसी प्रणालियों पर एक सस्ती बेसलाइन नियंत्रण और रूटकिट डिटेक्शन सिस्टम के रूप में किया जाता है।

कार्यक्षमता

AIDE सिस्टम की स्थिति का "स्नैपशॉट" लेता है, प्रशासक द्वारा परिभाषित फ़ाइलों के संबंध में हैश, संशोधन समय और अन्य डेटा रजिस्टर करता है। इस "स्नैपशॉट" का उपयोग एक डेटाबेस बनाने के लिए किया जाता है जिसे सहेजा जाता है और इसे सुरक्षित करने के लिए बाहरी डिवाइस पर संग्रहीत किया जा सकता है।

जब व्यवस्थापक एक अखंडता परीक्षण चलाना चाहता है, तो व्यवस्थापक पहले से निर्मित डेटाबेस को एक सुलभ स्थान पर रखता है और सिस्टम की वास्तविक स्थिति के खिलाफ डेटाबेस की तुलना करने के लिए AIDE को आदेश देता है। क्या स्नैपशॉट निर्माण और परीक्षण के बीच कंप्यूटर में कोई परिवर्तन हुआ है, AIDE इसका पता लगाएगा और इसे व्यवस्थापक को रिपोर्ट करेगा। वैकल्पिक रूप से, AIDE को शेड्यूल पर चलने के लिए कॉन्फ़िगर किया जा सकता है और क्रोन जैसी शेड्यूलिंग तकनीकों का उपयोग करके दैनिक परिवर्तन की रिपोर्ट करता है, जो कि डेबियन AIDE पैकेज का डिफ़ॉल्ट व्यवहार है। 2

यह सुरक्षा उद्देश्यों के लिए मुख्य रूप से उपयोगी है, यह देखते हुए कि सिस्टम के अंदर होने वाले किसी भी दुर्भावनापूर्ण परिवर्तन को एआईडीई द्वारा रिपोर्ट किया जाएगा।

चूंकि विकिपीडिया लेख को तत्कालीन अनुरक्षक रिचर्ड वैन डेन बर्ग (2003-2010) लिखा गया था, उन्हें 2010 से वर्तमान तक एक नए अनुचर हेंस वॉन हौगविट्ज़ द्वारा प्रतिस्थापित किया गया है ।

सहयोगी होमपेज पर कहा गया है डेबियन समर्थित है जिसका मतलब है कि आवेदन predicatable साथ ubuntu में स्थापित किया जा सकता है:

sudo apt install aide

जहां तक ​​पोर्टेबिलिटी और यूएसबी पेन ड्राइव का समर्थन है, होमपेज यह कहता है:

यह रेग्युलर एक्सप्रेशन रूल्स से एक डेटाबेस बनाता है जो इसे कॉन्फिग फाइल (एस) से मिलता है। एक बार जब यह डेटाबेस इनिशियलाइज़ हो जाता है तो इसका उपयोग फ़ाइलों की अखंडता को सत्यापित करने के लिए किया जा सकता है। इसमें कई संदेश डाइजेस्ट एल्गोरिदम हैं (नीचे देखें) जो फ़ाइल की अखंडता की जांच करने के लिए उपयोग किए जाते हैं। सभी सामान्य फ़ाइल विशेषताओं को विसंगतियों के लिए भी जांचा जा सकता है। यह पुराने या नए संस्करणों से डेटाबेस पढ़ सकता है। अधिक जानकारी के लिए वितरण के भीतर मैनुअल पेज देखें।

इसका मतलब है कि आपके पास लाइव यूएसबी परसेंटेज स्टोरेज पर एप्लिकेशन के साथ-साथ आपके पेन ड्राइव पर सिग्नेचर डेटाबेस भी हो सकता है। मुझे यकीन नहीं है कि AIDE आपकी आवश्यकताओं के अनुरूप है, लेकिन जैसा कि यह tripwireआपके वर्तमान पसंदीदा के लिए एक प्रतिस्थापन है जो इसे देखता है।

मुझे ट्रिपवायर की याद दिलाता है जो आपके द्वारा निर्दिष्ट फाइलों के क्रिप्टोग्राफिक चेकसम बनाता है। सिस्टम की एक कॉपी स्थापित करें जिसे आप ज्ञात अच्छे स्रोत (उदाहरण के लिए डीवीडी) से जाँच रहे हैं, लक्ष्य प्रणाली के समान अपडेट स्थापित करें), ट्रिपवायर चेकसम फाइल बनाएं। ट्रिपवायर के चेकसम फाइल को लक्ष्य प्रणाली में कॉपी करें, ट्रिपवायर को चेकसम फाइल की लक्ष्य प्रणाली की फाइलों से तुलना करें।

सिंक्रनाइज़ेशन अपडेट / अपग्रेड / इंस्टॉल्स / सिस्टम विशिष्ट कॉन्फ़िगरेशन फ़ाइलों में से निश्चित रूप से ध्वजांकित / परिवर्तित के रूप में चिह्नित किया जाएगा।

अपडेट 2018-05-06:

मुझे यह भी जोड़ना चाहिए कि लक्ष्य प्रणाली को ऑफ़लाइन जाँचना चाहिए। यदि लक्ष्य से समझौता किया गया है, तो हार्डवेयर, बूट फर्मवेयर, ओएस कर्नेल, कर्नेल ड्राइवर, सिस्टम लाइब्रेरी, बायनेरिज़ पहले से ही समझौता किए गए हैं और झूठे सकारात्मक को बाधित या वापस कर सकते हैं। यहां तक ​​कि लक्ष्य प्रणाली में एक नेटवर्क पर चलना सुरक्षित नहीं हो सकता है क्योंकि (समझौता किया गया) लक्ष्य प्रणाली स्थानीय स्तर पर नेटवर्क पैकेट, फाइल सिस्टम, ब्लॉक डिवाइस, आदि का प्रसंस्करण करेगी।

सबसे छोटा तुलनीय परिदृश्य जो दिमाग में आता है वह है स्मार्ट कार्ड (क्रेडिट कार्ड में इस्तेमाल की जाने वाली ईएमवी, संघीय सरकार द्वारा इस्तेमाल किया जाने वाला PIV)। वायरलेस इंटरफेस, और सभी hw / इलेक्ट्रिकल / आरएफ सुरक्षा की उपेक्षा, संपर्क इंटरफ़ेस अनिवार्य रूप से एक सीरियल पोर्ट, तीन तार, या दो तार है। एपीआई मानकीकृत और सफेद बॉक्सिंग है, जिससे हर कोई सहमत है कि यह अभेद्य है। क्या वे ट्रांसमिट में डेटा की रक्षा करते हैं, रनटाइम मेमोरी में, फ्लैश मेमोरी में आराम करते हैं?

लेकिन कार्यान्वयन बंद स्रोत है। पूरे रनटाइम को कॉपी करने और मेमोरी को फ्लैश आउट करने के लिए एक बैकडोर हार्डवेयर में मौजूद हो सकता है। अन्य लोग हार्डवेयर और आंतरिक यादों, स्मार्ट कार्ड ओएस, या I / O से कार्ड के बीच पारगमन में डेटा में हेरफेर कर सकते हैं। यहां तक ​​कि अगर hw / fw / sw / compilers खुला स्रोत हैं, तो आपको हर कदम पर सब कुछ ऑडिट करना होगा और फिर भी आप कुछ ऐसा याद कर सकते हैं जो आप / हर किसी ने नहीं सोचा था। व्यामोह आपको एक सफेद रबर के कमरे में भेज सकता है।

एक व्यामोह स्पर्शरेखा पर भागने के लिए क्षमा करें। गंभीरता से, परीक्षण करने के लिए लक्ष्य ड्राइव करें। आपको केवल लक्ष्य ड्राइव hw / fw के बारे में चिंता करनी होगी। बेहतर अभी तक, बस एचडीडी प्लेटर्स / एसएसडी फ्लैश चिप्स को परीक्षण करने के लिए बाहर ले जाएं (यह मानते हुए कि आपका परीक्षण सिस्टम सुनहरा है)। ;)