Linux内核3+系统调用表修改检测

Question

是否有任何可用的工具可以检查内核3+系统调用表进行修改？

另外，我想知道，是否有任何自动通用工具来检查Linux中未知的rootkits？不像rkhunter等主要是基于签名的，我想要类似于Linux的GMER，检查代码修改，内核挂钩，函数钩子等等。

Answer 1

从系统内部检测内核修改是不可能的。无论你使用什么rootkit探测器，rootkit都可以被编程来欺骗它。如果有人控制了你的内核，那么他们就控制了你的系统，而不是你，故事结束了。GMER也有这个缺陷，这是工作原理中固有的:它只找到不善于隐藏的根目录包。

从外部检测内核修改是可能的。实现这一目的的一种常见技术是TPM，它是一种硬件。这比“检查系统调用表进行修改”要复杂一些，因为系统调用表只是内核的一小部分，任何其他地方的修改都可能产生类似的影响。TPM的工作方式是不时获取系统的快照，并将这些快照与参考快照进行比较。TPM只存储散列，而不是存储整个内存映像，因此快照必须逐位匹配。加载模块会改变内核，所以您需要一组固定的模块以及一个固定的内核版本。

只有在有地方报告内核修改时，才能检测到它。TPM不能告诉用户，因为它没有用户界面。利用TPM的方法是使用计算机对远程服务进行身份验证。TPM发送您的PC的测量，远程服务将其与参考值进行比较，并决定您的PC是否处于已知的良好状态。未知状态可能是版本升级或妥协，远程服务无法知道，因此使用TPM需要更多的基础设施来管理升级。

您可以在管理程序中实现类似的功能，而不是硬件TPM。这不需要特殊的硬件，但当然意味着您的系统在虚拟机中运行。