1. 程式人生 > >19. Rootkit detectors (隱形工具包檢測器 5個)

19. Rootkit detectors (隱形工具包檢測器 5個)

實用程序 微軟 使用 註冊 一起 現在 als 幫助 mps

Sysinternals提供了許多小型Windows實用程序,對於低級別的Windows黑客攻擊來說非常有用。 一些是免費的和/或包括源代碼,而其他是專有的。 調查受訪者最喜歡:
ProcessExplorer 用於查看任何進程打開的文件和目錄(如UNIX上的lsof)。
Pstools 用於管理(執行,暫停,殺死,細化)本地和遠程進程。
Autoruns 用於發現在系統啟動或登錄期間可執行文件設置為自動運行。
RootkitRevealer 用於檢測標明可能存在用戶模式或內核模式rootkit的註冊表和文件系統API差異。
TCPView 用於查看每個進程使用的TCP和UDP流量端點(如UNIX上的Netstat)。
許多Sysinternals工具最初都附帶源代碼,甚至還有Linux版本。 Microsoft於2006年7月收購了Sysinternals,承諾“客戶將能夠繼續建立Sysinternals的高級實用程序,技術信息和源代碼”。 不到四個月後,微軟刪除了大部分的源代碼。


文件和目錄完整性檢查器。 Tripwire是一種工具,可幫助系統管理員和用戶監視指定的一組文件進行任何更改。 Tripwire可以通常(例如每日)與系統文件一起使用,可以通知系統管理員已損壞或被篡改的文件,因此可以及時采取損害控制措施。 習慣上是一種開源的工具,Tripwire公司現在專註於他們的商業企業配置控制產品。 SourceForge http://sourceforge.net/projects/tripwire/ 上仍然可以找到一個開源的Linux版本。 UNIX用戶可能還想考慮AIDE,它被設計為免費的Tripwire替換品。 或者您可能希望調查Radmind http://www.radmind.org/ ,rkhunter http://rkhunter.sourceforge.net/ 或chkrootkit http://www.chkrootkit.org/ 。 Windows用戶可能喜歡Sysinternals http://sectools.org/tool/sysinternals/ 的RootkitRevealer http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx 。

DumpSec是Microsoft Windows NT / XP / 200x的安全審核程序。 它以簡潔易讀的格式轉儲文件系統,註冊表,打印機和共享的權限(DACLs)和審核設置(SACLs),以便系統安全性中的漏洞顯而易見。 DumpSec還會轉儲用戶,組和回復信息


HijackThis檢查計算機的瀏覽器和操作系統設置,以生成其當前狀態的日誌文件。 它可以有選擇地刪除不需要的設置和文件 其主要重點是網頁瀏覽器劫持。 最初它是由Merijn Bellekom編寫的免費軟件,但現在由 Trend Micro發布。

AIDE(高級入侵檢測環境)是一個rootkit檢測器,Tripwire免費替代品。 它使重要系統文件的加密散列並將其存儲在數據庫中。 然後,它可以報告哪些文件已更改。

19. Rootkit detectors (隱形工具包檢測器 5個)