如何检测linux中的无文件内核危害

Question

是否有一种方法来检测Linux中的无文件内核妥协？

分析这类攻击的唯一方法是波动率。波动性是一个很好的产品，但不经常更新，特别是与现代内核(显然因为内核经常变化)，所以它提供假阳性。

有没有其他方法来检查正在运行的内核？

Answer 1

您确实有可能使用LKIM来动态度量内核的完整性。与使用包含签名的数据库的防病毒软件不同，LKIM将检查可能涉及恶意偏差的特定模式或行为。请注意，RHEL现在有了自己的核完整性子系统，使用类似的技术，您可以查看完整的文档这里。