স্বাক্ষর ভিত্তিক রুটকিট স্ক্যানার?


20

বর্তমানে আমার জানা একমাত্র রুটকিট স্ক্যানারগুলি রুটকিটের আগে মেশিনে ইনস্টল করতে হবে যাতে তারা ফাইলের পরিবর্তনগুলি ইত্যাদির তুলনা করতে পারে (যেমন: chkrootkitএবং rkhunter), তবে আমার যা করা দরকার তা হল আমার মেশিন এবং অন্যান্য মেশিনগুলি স্ক্যান করতে সক্ষম হবেন লাইভ ইউএসবি থেকে কারণ যদি রুটকিটটি যথেষ্ট ভাল হয় তবে এটি রুটকিট সনাক্তকরণ প্রোগ্রামগুলিও গ্রহণ করতে পারে।

তবে উবুন্টু / লিনাক্সের জন্য কি একটি স্বাক্ষর ভিত্তিক রুটকিট স্ক্যানার রয়েছে যা আমি কেবল একটি লাইভ ইউএসবিতে ইনস্টল করতে পারি এবং নির্ভরযোগ্যতার সাথে মেশিনগুলিকে স্ক্যান করতে ব্যবহার করতে পারি এটির আচরণ পর্যবেক্ষণ করা বা পূর্ববর্তী তারিখগুলি থেকে ফাইলগুলি তুলনা না করেই আমি এটিকে প্লাগ ইন করতে পারি?


আপনার অবশ্যই নিশ্চিত সঠিক নামটি রয়েছে আপনার কম্পিউটারগুলি কি ইন্টারনেটে বন্যের মধ্যে রয়েছে, সম্পূর্ণ উন্মুক্ত?
এসডিসোলার

@ এসডসোলার: না, তবে আমি কেবল ব্যাকআপ পরিকল্পনা পছন্দ করি। এছাড়াও, আমি কোনও বন্ধুর মেশিনটি স্ক্যান করতে চাই এবং এটি যদি ইতিমধ্যে আপস করে থাকে তবে এর মতো কিছু ইনস্টল করা rkhunterসম্ভবত খুব ভাল কাজ করবে না। আসলে, যদি কোনও রুটকিট ইনস্টল করা থাকে তবে আমি rkhunterসঠিক ফলাফল দেওয়ার আর আশা করি না, তবে এটি কেবল আসল মেশিনে ইনস্টল হওয়া একটি সরঞ্জাম হতে পারে যা আপস হয়ে যায় a

আমি আপনার চলাচলের গতি কমিয়ে দিতে চাই না, তবে আমি মনে করি আপনি এমন একটি সরঞ্জামের জন্য জিজ্ঞাসা করছেন যা কম্পিউটার ফরেনসিক বিশেষজ্ঞদের একটি বড় অংশ তাদের চাকরি ছেড়ে দেবে এবং দ্রুত লক্ষ লক্ষ ডলার তৈরি করতে পারে। :-)
ক্যাটম্যান 21

@ পরানয়েড পান্ডা - সোফোসের লিনাক্সের ফ্রি স্ক্যানারে 12,5 মিলিয়নেরও বেশি স্বাক্ষর রয়েছে, তবে আমি যতটা জানি, তারা বলে - এটি কেবল ভাইরাসের জন্যই? তবে আমি অনুমান করি যে তারা "ভাইরাস" দ্বারা প্রান্তরে (এম $ ... এর) সব ধরণের ম্যালওয়্যার
দিয়েই বোঝায়

@ পরানয়েডপান্ডা: মনে হচ্ছে আপনি যা চান তা হ'ল আপনার পছন্দসই একটি রুটকিট স্ক্যানার নেওয়া, এমন একটি সিস্টেমে ইনস্টল করা যা আপনি নিশ্চিত clean যখন এটি একটি (সম্ভাব্য সমঝোতা) সিস্টেমটি স্ক্যান করছে। লক্ষ্য মেশিনটি পরীক্ষা করতে যে রেফারেন্স ফাইল / স্বাক্ষর ব্যবহার করে তা স্টিকটি দেখতে স্ক্যানারটিকে হ্যাক করতে হতে পারে। আপনি স্ক্যান করতে চান এমন প্রতিটি ওএস সংস্করণের জন্য আপনার পৃথক স্টিকের প্রয়োজনও থাকতে পারে।
টম ব্যারন

উত্তর:


3

সহায়তাকারী ( একটি dvanced আমি ntruder ডি etection nvionment) একটি প্রতিস্থাপন হয় tripwireএখানে অন্য উত্তর উল্লেখ করেছে। উইকিপিডিয়া থেকে :

অ্যাডভান্সড ইন্ট্রিউশন ডিটেকশন এনভায়রনমেন্ট (এইড) প্রথমে জিএনইউ জেনারেল পাবলিক লাইসেন্স (জিপিএল) এর শর্তাবলীতে লাইসেন্সপ্রাপ্ত ট্রিপওয়্যারের জন্য একটি মুক্ত প্রতিস্থাপন হিসাবে বিকাশ করা হয়েছিল।

প্রাথমিক বিকাশকারীদের নাম রাখা হয়েছে রামি লেহটি এবং পাবলো ভিরোলাইনেন, যারা দুজনেই টাম্পের ইউনিভার্সিটি অফ টেকনোলজির সাথে যুক্ত, পাশাপাশি একটি স্বাধীন ডাচ সুরক্ষা পরামর্শক রিচার্ড ভ্যান ডেন বার্গের সাথে রয়েছেন। প্রকল্পটি ইউনিক্সের মতো অনেক সিস্টেমে সস্তা ব্যাসলাইন নিয়ন্ত্রণ এবং রুটকিট সনাক্তকরণ সিস্টেম হিসাবে ব্যবহৃত হয়।


কার্যকারিতার

এইডস প্রশাসকের দ্বারা সংজ্ঞায়িত ফাইল সম্পর্কিত হ্যাশগুলি, পরিবর্তনের সময়গুলি এবং অন্যান্য ডেটাগুলি সিস্টেমের অবস্থার একটি "স্ন্যাপশট" নেয়। এই "স্ন্যাপশট" একটি ডেটাবেস তৈরি করতে ব্যবহার করা হয় যা সংরক্ষণ করা হয় এবং নিরাপদ রক্ষার জন্য কোনও বাহ্যিক ডিভাইসে সংরক্ষণ করা যেতে পারে।

প্রশাসক যখন অখণ্ডতা পরীক্ষা চালাতে চান, প্রশাসক পূর্ববর্তী নির্মিত ডাটাবেসটিকে একটি অ্যাক্সেসযোগ্য জায়গায় রাখে এবং সিস্টেমের আসল অবস্থার তুলনায় ডাটাবেসটির তুলনা করতে এইডকে নির্দেশ দেয়। স্ন্যাপশট তৈরি এবং পরীক্ষার মধ্যে কম্পিউটারে যদি কোনও পরিবর্তন ঘটে থাকে তবে এইডস এটি সনাক্ত করে প্রশাসকের কাছে এটি রিপোর্ট করবে। বিকল্পভাবে, এইডই একটি সময়সূচী চালানোর জন্য কনফিগার করা যায় এবং ক্রোন এর মতো সময় নির্ধারণকারী প্রযুক্তি ব্যবহার করে প্রতিদিন পরিবর্তনের প্রতিবেদন করা যায় যা ডেবিয়ান এইড প্যাকেজের ডিফল্ট আচরণ। 2

এটি সুরক্ষার উদ্দেশ্যে মূলত কার্যকর কারণ এই যে সিস্টেমের অভ্যন্তরে যে কোনও দূষিত পরিবর্তন ঘটতে পারে তার খবর এইডই দিয়ে দেবে given


উইকিপিডিয়া নিবন্ধটি যেহেতু তৎকালীন বর্তমান রক্ষণাবেক্ষণকারী রিচার্ড ভ্যান ডেন বার্গের (২০০৩-২০১০) লেখা হয়েছিল তার পরিবর্তে ২০১০ সাল থেকে নতুন রক্ষণাবেক্ষণকারী হ্যানস ভন হগউইটজ প্রতিস্থাপন করেছেন ।

এইডির হোমপেজটি জানিয়েছে যে দেবিয়ান সমর্থিত যার অর্থ হ'ল অ্যাপ্লিকেশনটি অনুমানযোগ্য সহ উবুন্টুতে ইনস্টল করা যেতে পারে:

sudo apt install aide

বহনযোগ্যতা এবং ইউএসবি পেন ড্রাইভ সমর্থন হিসাবে হোমপেজটি বলে:

এটি কনফিগার ফাইল (গুলি) থেকে খুঁজে পাওয়া নিয়মিত প্রকাশের নিয়ম থেকে একটি ডাটাবেস তৈরি করে। এই ডাটাবেসটি শুরু হয়ে গেলে এটি ফাইলগুলির অখণ্ডতা যাচাই করতে ব্যবহৃত হতে পারে। এটিতে বেশ কয়েকটি বার্তা ডাইজেস্ট অ্যালগরিদম রয়েছে (নীচে দেখুন) যা ফাইলটির অখণ্ডতা পরীক্ষা করতে ব্যবহৃত হয়। সাধারণ ফাইলের সমস্ত বৈশিষ্ট্যও অসঙ্গতিগুলির জন্য পরীক্ষা করা যায়। এটি পুরানো বা নতুন সংস্করণ থেকে ডাটাবেসগুলি পড়তে পারে। আরও তথ্যের জন্য বিতরণের মধ্যে ম্যানুয়াল পৃষ্ঠাগুলি দেখুন।

এটি আমার কাছে বোঝায় যে আপনি লাইভ ইউএসবি ধ্রুব স্টোরেজটিতে অ্যাপ্লিকেশন সহ আপনার পেনড্রাইভে স্বাক্ষর ডাটাবেস পেতে পারেন। আমি নিশ্চিত নই যে এইড আপনার প্রয়োজনের সাথে খাপ খায় তবে এটি tripwireআপনার বর্তমান পছন্দের প্রতিস্থাপন হিসাবে দেখা যায়।


স্মার্ট উত্তর! :-)
ফ্যাবি

@ ফ্যাবি প্রশংসা করার জন্য ধন্যবাদ। বেশিরভাগ প্রতিষ্ঠানে এইডস সেটআপিন cron। আমি এটিকে কেবল রুটকিট সুরক্ষার জন্য নয়, বরং আমার নিজের খারাপ প্রোগ্রামিং থেকে রক্ষা করার জন্য বিবেচনা করতে পারি: পি এর পরে কী কী পরিবর্তন ঘটে তা দেখা শিক্ষামূলক হতে পারে apt get install
উইনউইউউকস

3

আমাকে ট্রিপওয়্যারের স্মরণ করিয়ে দেয় যা আপনার নির্দিষ্ট করা ফাইলগুলির ক্রিপ্টোগ্রাফিক চেকসাম তৈরি করে। আপনি পরিচিত ভাল উত্স (উদাহরণস্বরূপ ডিভিডি) থেকে পরীক্ষা করছেন এমন সিস্টেমের একটি অনুলিপি ইনস্টল করুন, টার্গেট সিস্টেমের একই আপডেটগুলি ইনস্টল করুন, ট্রিপওয়্যারের চেকসাম ফাইল তৈরি করুন। ট্রিপওয়্যারের চেকসাম ফাইলটি টার্গেট সিস্টেমে অনুলিপি করুন, ট্রিপওয়্যারের চেকসাম ফাইলকে টার্গেট সিস্টেমের ফাইলগুলির সাথে তুলনা করুন।

সিঙ্কের বাইরে আপডেট / আপগ্রেড / ইনস্টল / সিস্টেম নির্দিষ্ট কনফিগারেশন ফাইল অবশ্যই পতাকাঙ্কিত / পরিবর্তিত হিসাবে চিহ্নিত করা হবে।

আপডেট 2018-05-06:

আমার আরও যোগ করা উচিত যে টার্গেট সিস্টেমটি অবশ্যই অফলাইনে চেক করা উচিত। যদি লক্ষ্যটি আপোষ করা হয়ে থাকে তবে হার্ডওয়্যার, বুট ফার্মওয়্যার, ওএস কার্নেল, কার্নেল ড্রাইভার, সিস্টেম লাইব্রেরি, বাইনারিগুলি ইতিমধ্যে আপস করা হতে পারে এবং হস্তক্ষেপ বা মিথ্যা ইতিবাচক প্রত্যাবর্তন করতে পারে। এমনকি টার্গেট সিস্টেমে কোনও নেটওয়ার্ক জুড়ে চলা নিরাপদ নাও হতে পারে কারণ (আপোস করা) টার্গেট সিস্টেমটি নেটওয়ার্ক প্যাকেট, ফাইল সিস্টেম, ব্লক ডিভাইস ইত্যাদি স্থানীয়ভাবে প্রক্রিয়াজাত করবে।

সবচেয়ে ছোট তুলনামূলক দৃশ্য যা মনে আসে তা হ'ল স্মার্ট কার্ড (ক্রেডিট কার্ডগুলিতে ব্যবহৃত ইএমভি, ফেডারেল সরকার ব্যবহৃত পিআইভি ইত্যাদি)। ওয়্যারলেস ইন্টারফেস এবং সমস্ত এইচডাব্লু / বৈদ্যুতিক / আরএফ সুরক্ষা উপেক্ষা করে, যোগাযোগের ইন্টারফেসটি মূলত একটি সিরিয়াল বন্দর, তিনটি তার বা দুটি তারের হয়। এপিআই মানসম্মত এবং সাদা বক্সড তাই সকলেই সম্মতি দেয় যে এটি অভেদ্য। তারা কি ফ্ল্যাশ মেমরির বিশ্রামে, ট্রানজিটে, রানটাইম মেমরিতে, ডেটা সুরক্ষিত করে?

কিন্তু বাস্তবায়ন বন্ধ উত্স। পুরো রানটাইম এবং ফ্ল্যাশ মেমরি অনুলিপি করার জন্য হার্ডওয়্যারটিতে একটি ব্যাকডোর উপস্থিত থাকতে পারে। অন্যরা হার্ডওয়্যার এবং অভ্যন্তরীণ স্মৃতি, স্মার্ট কার্ড ওএস, বা কার্ড থেকে আই / ও এর মধ্যে ট্রানজিটে ডেটা ম্যানিপুলেট করতে পারে। এমনকি যদি hw / fw / sw / সংকলকগুলি ওপেন সোর্স হয় তবে আপনাকে প্রতিটি পদক্ষেপে সমস্ত কিছু নিরীক্ষণ করতে হবে এবং তারপরেও আপনি / আপনার প্রত্যেকে যা ভাবেননি এমন কিছু মিস করতে পারেন। প্যারানোইয়া আপনাকে একটি সাদা রাবার ঘরে পাঠাতে পারে।

একটি বিড়ম্বনার ছোঁয়া ছোঁয়া চালানোর জন্য দুঃখিত। গুরুত্ব সহকারে, লক্ষ্য ড্রাইভ পরীক্ষা করে দেখুন। আপনার কেবল তখনই টার্গেট ড্রাইভ hw / fw সম্পর্কে চিন্তা করতে হবে। আরও ভাল, পরীক্ষার জন্য কেবলমাত্র এইচডিডি প্লাটারগুলি / এসএসডি ফ্ল্যাশ চিপগুলি বের করে নিন (আপনার পরীক্ষার সিস্টেমটি সোনার বলে মনে করে)। ;)


হ্যাঁ উন্নত, তবে এটি আসলে সমস্যার খুব ভাল সমাধান! লিনাক্সের জন্য আর কোনও ভাল সমাধান বলে মনে হচ্ছে না বলে আমি এটি গ্রহণ করব। যদিও যদি অন্য উত্তর আসে যা পুরো সরবরাহ করে এবং প্রশ্নের সমাধানের জন্য জিজ্ঞাসা করে তবে আমাকে গ্রহণযোগ্য চিহ্নিতকারীটি সরিয়ে নিতে হবে। তবে আপনাকে অন্তত অস্থায়ী সমাধানের জন্য অনেক ধন্যবাদ!

দ্রষ্টব্য: কিছু এসএসডি প্রকৃতপক্ষে ফ্ল্যাশ মেমরির বিশ্রামে ডেটা এনক্রিপ্ট করে, তাই কেবল ফ্ল্যাশ চিপগুলি পরীক্ষায় সরিয়ে নিয়ে যাওয়ার বিষয়ে আমার মন্তব্য এই ক্ষেত্রে কার্যকর হবে না। কোনও সময়ে আপনাকে দীর্ঘশ্বাস ফেলতে হবে এবং সুরক্ষা এবং আপনার কম্পিউটিংয়ের কাজটি সম্পাদনের মধ্যে সমঝোতা গ্রহণ করতে হবে।
rcpa0
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.