署名ベースのルートキットスキャナーですか？

現在、私が知っている唯一のルートキットスキャナーは、ファイルの変更などを比較できるようにルートキットの前にマシンにインストールする必要がchkrootkitあります（例：およびrkhunter）。なぜなら、ルートキットが十分に良ければ、ルートキット検出プログラムも引き継いでしまうからです。

それでは、Ubuntu / Linux用のシグネチャベースのルートキットスキャナーをLiveUSBにインストールして、動作を監視したり、以前の日付のファイルを比較したりせずに、プラグインしたマシンを確実にスキャンできますか？

AIDE（A dvanced I ntruder D etection E nvionmentは）に交換されtripwire、ここで別の答えに言及しました。ウィキペディアから：

Advanced Intrusion Detection Environment（AIDE）は当初、GNU General Public License（GPL）の条件の下でライセンスされたTripwireの無料の代替として開発されました。

主な開発者の名前はRami LehtiとPablo Virolainenであり、どちらもタンペレ工科大学に所属し、独立したオランダのセキュリティコンサルタントであるRichard van den Bergとともにいます。このプロジェクトは、安価なベースラインコントロールおよびルートキット検出システムとして、多くのUnixライクシステムで使用されています。

機能性

AIDEは、システムの状態の「スナップショット」を取得し、管理者が定義したファイルに関するハッシュ、変更時間、およびその他のデータを登録します。この「スナップショット」は、保存され、保管のために外部デバイスに保存されるデータベースを構築するために使用されます。

管理者が整合性テストを実行する場合、管理者は以前に構築したデータベースをアクセス可能な場所に配置し、AIDEにコマンドを実行してデータベースをシステムの実際のステータスと比較します。スナップショットの作成とテストの間にコンピューターに変更が発生した場合、AIDEはそれを検出し、管理者に報告します。または、AIDEは、cronなどのスケジューリングテクノロジーを使用して、スケジュールに従って実行し、変更を毎日報告するように構成できます。cronは、Debian AIDEパッケージのデフォルトの動作です。2

システムの内部で発生する可能性のある悪意のある変更がAIDEによって報告される場合、これは主にセキュリティの目的に役立ちます。

ウィキペディアの記事が書かれてから、当時のメンテナーであるリチャード・ファン・デン・バーグ（2003-2010）は、2010年から現在まで、新しいメンテナーのHannes von Haugwitzに置き換えられました。

AIDEのホームページには、 Debianは、アプリケーションがpredicatableでのUbuntuにインストールすることができることを意味サポートされています状態：

sudo apt install aide

携帯性とUSBペンドライブのサポートに関する限り、ホームページは次のように述べています。

構成ファイルから検出した正規表現ルールからデータベースを作成します。このデータベースを初期化すると、ファイルの整合性を検証するために使用できます。ファイルの整合性をチェックするために使用されるいくつかのメッセージダイジェストアルゴリズム（以下を参照）があります。通常のすべてのファイル属性も、矛盾がないかチェックできます。古いバージョンまたは新しいバージョンのデータベースを読み取ることができます。詳細については、ディストリビューション内のマニュアルページを参照してください。

これは、ライブUSB永続ストレージのアプリケーションとともに、ペンドライブに署名データベースを保持できることを意味します。AIDEがあなたのニーズに合っているかどうかはわかりませんがtripwire、現在のお気に入りの代替品であるため、AIDEが検討しています。

指定したファイルの暗号化チェックサムを作成するtripwireを思い出します。既知の正常なソース（DVDなど）からチェックしているシステムのコピーをインストールし、ターゲットシステムの同じ更新をインストールします）、tripwireにチェックサムファイルを作成させます。tripwireのチェックサムファイルをターゲットシステムにコピーし、tripwireでチェックサムファイルをターゲットシステムのファイルと比較します。

同期されていない更新/アップグレード/インストール/システム固有の構成ファイルには、もちろんフラグが付けられ/変更済みとしてマークされます。

更新2018-05-06：

ターゲットシステムをオフラインでチェックする必要があることも追加する必要があります。ターゲットが侵害された場合、ハードウェア、ブートファームウェア、OSカーネル、カーネルドライバー、システムライブラリ、バイナリが既に侵害されており、誤検知を妨害または返す可能性があります。（侵害された）ターゲットシステムがネットワークパケット、ファイルシステム、ブロックデバイスなどをローカルで処理するため、ネットワークを介してターゲットシステムに実行することでさえ安全ではない場合があります。

頭に浮かぶ最小の比較可能なシナリオは、スマートカード（クレジットカードで使用されるEMV、連邦政府で使用されるPIVなど）です。ワイヤレスインターフェイス、およびすべてのhw / electrical / rf保護を無視すると、コンタクトインターフェイスは基本的にシリアルポート、3線、または2線です。APIは標準化され、ホワイトボックス化されているため、不浸透性であることに全員が同意します。転送中、ランタイムメモリ、フラッシュメモリに保存されているデータを保護しましたか？

しかし、実装はクローズドソースです。ランタイム全体とフラッシュメモリをコピーするために、ハードウェアにバックドアが存在する場合があります。他の人は、ハードウェアと内部メモリ、スマートカードOS、またはカードとの間のI / Oの間で転送中のデータを操作する場合があります。hw / fw / sw / compilersがオープンソースであっても、すべてのステップですべてを監査する必要がありますが、それでも他の誰も考えもしなかった何かを見逃す可能性があります。パラノイアは、あなたを白いゴムの部屋に送り込むことができます。

パラノイア接線で逃げてすみません。真剣に、ターゲットドライブを取り出してテストします。その場合、ターゲットドライブのhw / fwについて心配するだけです。さらに良いのは、テストするためにHDDプラッタ/ SSDフラッシュチップを取り出すだけです（テストシステムが黄金色であると仮定）。;）