外部ルートキット検出ソフトウェア

ルートキット検出ソフトウェアの問題点は、ルートキットが本当に優れていれば、検出ソフトウェアから自分自身の痕跡を隠すように働くということです。

ルートキットは、感染している可能性のあるコンピュータから別のコンピュータに送信されるトラフィックを監視することによって、より確実に検出できると思います。何かのようなもの：

1. 感染したコンピュータへのすべてのトラフィックを（有線または無線で）ルーティングするように代替コンピュータを設定します（これを「監視コンピュータ」と呼びます）。
2. 監視コンピュータをゲートウェイまたはワイヤレスアクセスポイントとして使用するように感染したコンピュータを設定する
3. 監視コンピュータ上のソフトウェアには、感染を示す可能性のあるトラフィックの定義があります（ウイルスシグネチャ、IRCプロトコルパターン、送信スパムのSMTPパターンなど）
4. 監視コンピュータが問題を検出すると、問題を報告して疑わしいトラフィックをドロップします。
5. 無実のトラフィックはすべて前方にルーティングされます。

そのようなソフトウェアはプラットフォームに存在しますか？感染したコンピュータはWindowsを実行している可能性がありますが、監視コンピュータはルータとして機能しているため、どのOSも実行できます。

トラフィックを監視する方法は沢山あります。もしあなたがその間にコンピュータを置いていれば、あなたはそれをすべて解析することができます。あなたはEthereal（現在はWireshark）やSnort、あるいは地獄、さらにはIPTrafを使うことができます。無差別モードのハブがあれば、その間にマシンを持つ必要すらありません。

問題は2番目の部分に出てきます。どのようなトラフィックが悪意のあるもので、どのようなトラフィックがそうではないかを知る方法は？企業ネットワークで一般的に使用されている方法は、デフォルトですべてのポートをブロックし、特定の（通常は無害な）ポート上のトラフィックのみを許可することです。

できることの1つは、アクティビティを監視し、それが特定のしきい値を超えたときにドロップすることです。ただし、これはルートキットがネットワークをトラフィックであふれさせるのに十分なほどダムであることを前提としています。

私がしているのはその二つの組み合わせです。すべてのポートをブロックし、特定のトラフィックのみを許可します。また、上流のルーターにトラフィックレポートを毎日生成させ、以前のレポートと比較して感染の可能性を示します（ 鼻水 そして アーガス ... Ethereal / Wiresharkは、長期監視よりもアクティブテストに適しています。

このようなものが存在するかどうかはわかりませんが、自分で作るのはそれほど問題にならないはずです。最初の2つと最後の2つのステップはとても簡単です（ 実際のコンピュータを使用する必要すらないかもしれません、VMがあれば十分です 3番目のものに関しては、確かに存在しますが、私はいかなる種類のトラフィックスキャナも知りませんが、簡潔さのためにあなたはIPTableを使うことができます（ "ルーティング"コンピュータがLinuxを使うと仮定して）。
しかし、私はこれを専門としていません。 :)