19. Rootkit detectors (隐形工具包检测器 5个)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了19. Rootkit detectors (隐形工具包检测器 5个)相关的知识,希望对你有一定的参考价值。

Sysinternals提供了许多小型Windows实用程序,对于低级别的Windows黑客攻击来说非常有用。 一些是免费的和/或包括源代码,而其他是专有的。 调查受访者最喜欢:
ProcessExplorer 用于查看任何进程打开的文件和目录(如UNIX上的lsof)。
Pstools 用于管理(执行,暂停,杀死,细化)本地和远程进程。
Autoruns 用于发现在系统启动或登录期间可执行文件设置为自动运行。
RootkitRevealer 用于检测标明可能存在用户模式或内核模式rootkit的注册表和文件系统API差异。
TCPView 用于查看每个进程使用的TCP和UDP流量端点(如UNIX上的Netstat)。
许多Sysinternals工具最初都附带源代码,甚至还有Linux版本。 Microsoft于2006年7月收购了Sysinternals,承诺“客户将能够继续建立Sysinternals的高级实用程序,技术信息和源代码”。 不到四个月后,微软删除了大部分的源代码。

 

 

 

 

 


文件和目录完整性检查器。 Tripwire是一种工具,可帮助系统管理员和用户监视指定的一组文件进行任何更改。 Tripwire可以通常(例如每日)与系统文件一起使用,可以通知系统管理员已损坏或被篡改的文件,因此可以及时采取损害控制措施。 习惯上是一种开源的工具,Tripwire公司现在专注于他们的商业企业配置控制产品。 SourceForge http://sourceforge.net/projects/tripwire/ 上仍然可以找到一个开源的Linux版本。 UNIX用户可能还想考虑AIDE,它被设计为免费的Tripwire替换品。 或者您可能希望调查Radmind http://www.radmind.org/ ,rkhunter http://rkhunter.sourceforge.net/ 或chkrootkit http://www.chkrootkit.org/ 。 Windows用户可能喜欢Sysinternals http://sectools.org/tool/sysinternals/ 的RootkitRevealer http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx 。

 

DumpSec是Microsoft Windows NT / XP / 200x的安全审核程序。 它以简洁易读的格式转储文件系统,注册表,打印机和共享的权限(DACLs)和审核设置(SACLs),以便系统安全性中的漏洞显而易见。 DumpSec还会转储用户,组和回复信息


HijackThis检查计算机的浏览器和操作系统设置,以生成其当前状态的日志文件。 它可以有选择地删除不需要的设置和文件 其主要重点是网页浏览器劫持。 最初它是由Merijn Bellekom编写的免费软件,但现在由 Trend Micro发布。

 

AIDE(高级入侵检测环境)是一个rootkit检测器,Tripwire免费替代品。 它使重要系统文件的加密散列并将其存储在数据库中。 然后,它可以报告哪些文件已更改。

 









以上是关于19. Rootkit detectors (隐形工具包检测器 5个)的主要内容,如果未能解决你的问题,请参考以下文章

Linux内核Rootkit样本[关闭]

rootkit后门检测工具

rootkit后门检测工具chkrootkit

rootkit后门检查工具RKHunter

为GHOST木马添加ROOTKIT功能

rootkit后门检测工具RKHunter