Chkrootkit
Z Wikipedii
Chkrootkit - narzędzie służące do wykrywania oznak istnienia zainstalowanych w systemie rootkitów.
Program składa się ze skryptu głównego, oraz aplikacji pomocnicych, wykrywających określone problemy. Jego struktura to:
- chkrootkit: skrypt powłoki, który sprawdza binaria systemu w celu znalezienia modyfikacji wprowadzonych przez rootkita
- ifpromisc.c: sprawdza czy interfejs sieciowy działa w trybie mieszanym (ang. promiscuous)
- chklastlog.c: sprawdza czy usuwano informacje z pliku lastlog
- chkwtmp.c: sprawdza czy usuwano informacje z pliku wtmp
- check_wtmpx.c: sprawdza usunięcia wtmpx (tylko w systemie Solaris)
- chkproc.c: sprawdza obecność trojanów LKM
- chkdirs.c: szuka znaków trojanów LKM
- strings.c: szybka zamiana stringów
- chkutmp.c: sprawdza czy usuwano informacje z pliku utmp
Obecnie narzędzie poprzez analizę plików w systemie jest w stanie wykryć obecność ponad 60 koni trojańskich, robaków oraz złośliwych modułów jądra (LKM). Ze względu na działanie w oparciu o bazę sygnatur, program nie jest jednak w stanie wykrywać nowych i nieznanych zagrożeń. Do wyników przeprowadzonych testów należy podchodzić z pewnym sceptycyzmem, możliwe jest bowiem, że rootkit po stwierdzeniu obecności narzędzia odpowiednio wpłynie na jego działanie, uniemożliwiając swoje wykrycie.
chkrootkit znalazł się na liście stu najlepszych narzędzi związanych z bezpieczeństwem komputerowym, tworzonej przez Insecure.org.
