基于签名的rootkit扫描程序？

目前，我所知道的唯一的rootkit扫描程序必须在rootkit之前安装在计算机上，以便它们可以比较文件更改等（例如：chkrootkit和rkhunter），但是我真正需要做的是能够扫描我的计算机和其他计算机从LiveUSB中获取，因为如果rootkit足够好，那么它也将接管rootkit检测程序。

那么，是否存在适用于Ubuntu / Linux的基于签名的rootkit扫描程序，我可以将其安装在LiveUSB上并用于可靠地扫描插入的计算机，而不必监视行为或比较以前的文件？

AIDE（一个先进适用的我 ntruder d etection ê nvionment）是替换tripwire在另一个答复中提到在这里。来自维基百科：

先进入侵检测环境（AIDE）最初是作为根据GNU通用公共许可（GPL）条款获得许可的Tripwire的免费替代产品而开发的。

主要开发人员分别名为Rami Lehti和Pablo Virolainen，与坦佩雷工业大学都有关系，他们分别是荷兰独立安全顾问Richard Van den Berg。该项目在许多类Unix系统上用作廉价的基线控制和rootkit检测系统。

功能性

AIDE会“快照”系统状态，注册哈希，修改时间以及有关管理员定义的文件的其他数据。此“快照”用于构建已保存的数据库，可以将其存储在外部设备上以进行安全保存。

当管理员想要运行完整性测试时，管理员将先前构建的数据库放在可访问的位置，并命令AIDE将数据库与系统的实际状态进行比较。如果在快照创建和测试之间对计算机进行了更改，则AIDE将对其进行检测并将其报告给管理员。或者，可以将AIDE配置为按时间表运行，并使用诸如cron之类的调度技术每天报告更改，这是Debian AIDE软件包的默认行为。2

鉴于系统内部可能发生的任何恶意更改都将由AIDE报告，因此这主要出于安全目的。

自从写了维基百科文章以来，从2010年至今，新任维护者Hannes von Haugwitz取代了当时的维护者Richard van den Berg（2003-2010）。

该AIDE主页指出Debian的支持，这意味着该应用程序可以安装在Ubuntu与可预测，：

sudo apt install aide

至于可移植性和USB笔式驱动器支持，主页继续说：

它根据从配置文件中找到的正则表达式规则创建数据库。初始化该数据库后，就可以用来验证文件的完整性。它具有几种消息摘要算法（请参阅下文），用于检查文件的完整性。还可以检查所有通常的文件属性是否存在不一致。它可以读取旧版本或更新版本的数据库。有关更多信息，请参见发行版中的手册页。

对我而言，这意味着您可以将签名数据库与应用程序一起存储在实时USB持久存储中。我不确定AIDE是否适合您的需求，但是它可以替代tripwire您目前最喜欢的产品。

让我想起tripwire，它会为您指定的文件创建加密校验和。从已知的可靠来源（例如DVD）安装要检查的系统的副本，安装目标系统的相同更新），让tripwire创建校验和文件。将tripwire的校验和文件复制到目标系统，让tripwire将校验和文件与目标系统的文件进行比较。

不同步的更新/升级/安装/系统特定的配置文件当然会被标记/标记为已更改。

更新2018-05-06：

我还应该补充一点，必须离线检查目标系统。如果目标已受到攻击，则硬件，启动固件，操作系统内核，内核驱动程序，系统库，二进制文件可能已经受到攻击，并干扰或返回误报。甚至跨网络运行到目标系统中也可能是不安全的，因为（受损的）目标系统将在本地处理网络数据包，文件系统，块设备等。

我想到的最小的可比较方案是智能卡（信用卡中使用的EMV，联邦政府使用的PIV等）。不管无线接口以及所有硬件/电气/射频保护，接触接口本质上都是串行端口，三线或两线。该API是标准化的，并以白框显示，因此每个人都同意它是不可渗透的。他们是否在保护运行中的数据，运行时的内存以及闪存中的静态数据？

但是实现是封闭的。硬件中可能存在一个后门，用于复制整个运行时和闪存。其他人可能会在硬件与内部存储器，智能卡操作系统或卡之间的I / O之间传输数据。即使hw / fw / sw / compilers是开源的，您也必须在每一步都对所有内容进行审核，但仍然可能会错过您/其他人没有想到的内容。妄想症会使您进入白色橡胶房。

很抱歉跑偏执切线。认真地，将目标驱动器取出进行测试。然后，您只需要担心目标驱动器的硬件/固件即可。更好的是，只需取出HDD盘片/ SSD闪存芯片进行测试（假设您的测试系统是金色的）。;）