如何在 Windows、Linux 和 Mac 上檢測 Rootkit？

如果您想了解如何檢測不同操作系統上的 rootkit 以及防止它們的方法，那麼您來對地方了。

rootkit 是一種隱蔽且致命的惡意軟件，黑客利用它來完全控制計算機或網絡。 使用 Rootkit，攻擊者可以輕鬆地操縱和竊取系統中的數據。

Rootkit 可能表現為單個軟件，但它們通常是一組工具，可讓攻擊者對目標系統進行未經授權的管理訪問，同時主動隱藏其存在。

一旦 rootkit 以某種方式被放置在系統中，攻擊者將能夠執行遠程文件並更改主機的系統配置。 識別系統或服務器中的 rootkit 感染的最簡單方法是運行 rootkit 掃描。

讓我們開始吧。

如何檢測系統中的 Rootkit？

在計算機或服務器上手動檢測 rootkit 並不容易。 Rootkit 總是以另一個應用程序或文件的形式偽裝。 因此，檢測它們的存在具有挑戰性。 但是，有一些命令行工具、軟件和方法可以自動檢測各種操作系統中的 rootkit。

視窗

對於 Windows，沒有用於檢測 rootkit 的命令行工具。 然而，一個名為 GMER 的強大而詳盡的掃描程序應用程序可以非常有效地檢測甚至刪除 Windows 系統上的 rootkit。

該工具在整個系統中搜索隱藏線程、註冊表項和其他隱藏進程。 執行所有類型的分析，如行為、簽名和完整性檢查，以檢測和刪除 rootkit。

此應用程序有利於檢測所有類型的 rootkit，例如內核模式、應用程序、內存和引導加載程序 rootkit。 它適用於所有主要的 Windows 操作系統。

Linux 和 Mac 操作系統

在所有 Linux 發行版和 Mac OS 中，您都可以使用chkrootkit和rkhunter命令行工具輕鬆檢測 rootkit。

使用 chkrootkit

chkrootkit 在機器的二進制系統中深入搜索木馬、惡意軟件和其他類型的惡意代碼。 它查找 rootkit 在系統可執行二進製文件中所做的更改。 chkrootkit 未預裝在 Linux 發行版中。

該工具使用簡單，可以使用以下命令安裝：

 sudo apt-get install chkrootkit

或者您也可以通過克隆 Git 存儲庫來安裝它。

 git clone https://github.com/Magentron/chkrootkit.git

接下來，導航到該目錄並運行 chkrootkit。

 ./chkrootkit

此命令開始在系統中搜索 rootkit。 您可以使用 help 命令獲取有關此工具使用的更多說明。

 ┌──(rootkali)-[/home/geekflare/chkrootkit] └─# ./chkrootkit -help Usage: ./chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs

該工具主要用於簽名分析和完整性檢查，以追查系統或服務器中的rootkit。

使用 rkhunter

或者，還有另一個命令行工具可以在 Linux 發行版中查找 rootkit。 那是rkhunter 。 該工具還可以檢測系統中的遠程漏洞利用和後門。 只需使用以下命令安裝此工具。

 $ sudo apt-get install rkhunter

下一步是運行rkhunter來檢測後門和 rootkit。

 $ rkhunter -c

它執行搜索，默認情況下會給出狀態。 如果有任何問題，它會以紅色表示。

這是一個完美的取證分析工具，因為它執行額外的網絡測試、內核模塊檢查和其他chrootkit沒有的測試。

該工具適用於行為分析、簽名分析，並以在不同介質上啟動為條件來檢測 rootkit。

始終確保在執行掃描之前更新chkrootkit和rkhunter工具數據庫。 只有這樣，您才能檢測到當前已發布的最新 rootkit。 為此，請使用以下命令確保您的 Linux 系統使用最新的補丁程序是最新的。

 $ sudo apt update && sudo apt upgrade

Rootkit 刪除工具

下面列出的 rootkit 刪除應用程序和工具使用簡單且有效。 這些工具可以自動檢測並從系統中刪除 rootkit。

#1。 Avast Rootkit Scanner 工具功能強大，可在系統簽名掃描中檢測和刪除 Rootkit。 內存轉儲分析和系統內存搜索是其中的一些功能。 該程序還跟踪所有導入的 DLL（動態鏈接庫）庫調用。

它有一個全面的報告系統，允許您在每次掃描後查看當前和之前的掃描結果和電子郵件警報報告。

不僅是計算機，您還可以使用 Avast 從 Android 或 iOS 移動設備中刪除 rootkit。

#2。 Malware Bytes 可防止 rootkit、廣告軟件、間諜軟件和其他威脅感染您的計算機。 該程序檢查內核內存的完整性並提醒用戶注意任何潛在問題。 它使您只需單擊一下即可掃描系統中的 rootkit。 這也將保證您的在線安全，同時保持您的計算機順利運行。

#3。 Lynis 是一款出色的 Linux 和 BSD 系統安全審計工具。 它非常詳細地審核系統安全性和配置的幾個元素。 Lynis 可以檢測安全問題，例如 rootkit 和後門，以及配置缺陷。

它不僅可以簡單地識別缺陷，還提供了解決方案，例如要刪除哪個文件以及如何避免再次感染。

#4。 惡意軟件 fox 使用其基於雲的 rootkit 庫； 它會檢查系統中是否存在所有類型的 rootkit。 還可以檢測到高級rootkit ，例如鍵盤記錄程序。 它可以檢測和刪除各種 rootkit，並關閉黑客可能用來訪問您計算機的任何後門。 其數據庫也會定期更新，以確保最佳安全性。

#5。 Sophos 是一個方便的工具，可以快速檢測和刪除 rootkit。 該工具主要使用行為分析（檢查每個文件和應用程序的行為），如果任何文件或程序的行為與rootkits相似，它們將立即被刪除。 它甚至可以保護註冊表項和文件位置免受再次感染。

結論

在您的計算機上安裝複雜而強大的反惡意軟件，並在打開附件和未知電子郵件時始終保持專心。 僅從可靠來源下載文件和程序。 對 rootkit 的最大保護是為雲存儲設置一個自動和加密的備份過程。

如果 rootkit 已經非常嚴重地感染了您的系統，那麼刪除它的唯一方法是重新安裝操作系統。

您可能也有興趣了解掃描 Linux 服務器以查找惡意軟件和安全漏洞的工具。