安装sda6以运行rkhunter会允许恶意软件激活吗？

Question

我想我的笔记本电脑里有恶意软件。你看，我在访问了一个躲闪网站后发现了可疑的光盘活动。

所以我要在笔记本电脑上用一根活生生的knoppix USB手柄运行rkhunter。

我的linux系统位于分区/dev/sda6 6上。想必我需要实际挂载sda6，以便在上面运行rkhunter (或者我错了)。但是，如果我安装它，这是否允许恶意软件变得活跃，并做一些讨厌的事情？

我刚刚开始了解恶意软件扫描器，并建议在笔记本电脑上运行以下程序: rkhunter、chkrootkit和clamtk或clamav。运行所有三个程序是否足以搜索恶意软件？

我在sda6上运行linux时获得了恶意软件，但是否也需要在其他分区上检查此恶意软件(sda1、sda2和sda3用于Windows，sda5是linux )？

比chkrootkit更好，反之亦然？

Answer 1

通常情况下，您通常是安全地安装疑似感染的分区，只要您的系统没有被设置为自动运行它们中的任何内容(假设恶意软件没有在文件系统驱动程序中使用bug，但这通常是一个安全的假设)。

至于扫描是否足够，如果您相当肯定存在恶意软件，则可能最好将数据从设备中取出，然后从头开始重新安装。扫描不是100%可靠的，它只能可靠地检测到扫描仪所知道的东西。对于一般扫描，我通常认为ClamAV对于离线扫描Windows系统是可靠的，我认为它在Linux上做得很好，但我从未在Linux系统上使用过它。rkhunter和chkrootkit实际上是为检查正在运行的系统而设计的，而不是脱机的(它们所有的启发式检查都只查看实时系统，因此它们只能检查已知的恶意软件)。

至于其他操作系统，您也应该检查这些，特别是如果您发现了任何东西。对于交换空间，只需擦除它(如果它位于SSD上，则为blkdiscard /dev/sda5；如果是硬盘，则为dd if=/dev/zero of=/dev/sda5 )并重新创建交换头。对于Windows端，如果您有WIndows引导它，并告诉Windows或其他用于运行完整扫描的AV软件(这将检查所有分区)。