Chkrootkit - narzędzie służące do wykrywania oznak istnienia zainstalowanych w systemie rootkitów w systemach uniksowych.

Program znalazł się na liście stu najlepszych narzędzi związanych z bezpieczeństwem komputerowym, tworzonej przez Insecure.org.

Działanie

edytuj

Program składa się ze skryptu głównego, oraz aplikacji pomocniczych, wykrywających określone problemy. Jego struktura to:

  • chkrootkit: skrypt powłoki, który sprawdza binaria systemu w celu znalezienia modyfikacji wprowadzonych przez rootkita
  • ifpromisc.c: sprawdza czy interfejs sieciowy działa w trybie mieszanym (ang. promiscuous)
  • chklastlog.c: sprawdza czy usuwano informacje z pliku lastlog
  • chkwtmp.c: sprawdza czy usuwano informacje z pliku wtmp
  • check_wtmpx.c: sprawdza usunięcia wtmpx (tylko w systemie Solaris)
  • chkproc.c: sprawdza obecność trojanów LKM
  • chkdirs.c: szuka znaków trojanów LKM
  • strings.c: szybka zamiana stringów
  • chkutmp.c: sprawdza czy usuwano informacje z pliku utmp

Obecnie narzędzie poprzez analizę plików w systemie jest w stanie wykryć obecność ponad 60 koni trojańskich, robaków oraz złośliwych modułów jądra (LKM). Ze względu na działanie w oparciu o bazę sygnatur, program nie jest jednak w stanie wykrywać nowych i nieznanych zagrożeń. Do wyników przeprowadzonych testów należy podchodzić z pewnym sceptycyzmem, możliwe jest bowiem, że rootkit po stwierdzeniu obecności narzędzia odpowiednio wpłynie na jego działanie, uniemożliwiając swoje wykrycie.

Zobacz też

edytuj

Linki zewnętrzne

edytuj