工具一:Sysinternals
Sysinternals提供了许多小巧的Windows实用程序,这对于对付底层的攻击效果显著,其所提供的的部分软件是免费的,包括一些开源软件及私有软件。被最广泛使用的有:
ProcessExplorer:它可以监视由任一个程序打开的文件和目录。
PsTools:可以管理本地和远程的过程。
Autoruns:可以发现在系统启动期间有哪些程序被运行。
RootkitRevealer:可以检测注册表和文件系统的API变化情况,这些变化指明了某个用户模式或内核模式rootkit的存在。
TCPView:可以查看由每一个过程使用的TCP和UDP通信点。
工具二:Tripwire
这是一款重量级的文件和目录集成检测工具。Tripwire可以帮助系统管理员和用户监视指定文件的任何改变。与系统文件结合使用,Tripwire可以通知系统管理员文件变动情况,从而便于及时采取应对措施。用户可以从Tripwire.Org的站点下载免费的(适用于Linux)开源版本。UNIX用户可以考虑使用AIDE,AIDE被认为是替代Tripwire的免费版本。当然还可以考虑Radmind、RKHunter以及chkrootkit.Windows用户可以考虑使用如RootkitRevealer等系统。
工具三:RKHunter
RKHunter是为UNIX设计的Rootkit检测程序,可检查用户系统上多种恶意软件行为,如rootkit、后门程序以及利用本地漏洞的程序。它可以运行多种测试,包括MD5、HASH比较、rootkit默认文件名、二进制文件许可,以及在LKM和KLD模块中的可疑字符串。
工具四:chkrootkit
Chkrootkit可以在本地检查一个rootkit的迹象。Chkrootkit是一个灵活的便携式工具,它可以检查基于UNIX系统的rootkit入侵的行为。其特性包括:检测二进制的改变、检测对文件utmp/wtmp/lastlog的修改、检测恶意的内核模块等。
当然还有很多优秀的rootkit检测工具,用户可以根据自己的需求去选择它,但笔者以为只有通过养成良好的使用习惯,才是最好的安全预防手段。
