如何在Windows、Linux和Mac上检测Rootkits？

如果您想学习如何在不同的操作系统上检测rootkit以及防止它们的方法，那么您来对地方了。

rootkit是黑客使用的一种隐秘而致命的链接，用于完全控制计算机或网络。使用rootkit，攻击者可以轻松操纵和窃取系统中的数据。

rootkit可能看起来像是一个单一的软件，但它们通常是一组工具，提供攻击者未经授权的管理访问目标系统，同时积极隐藏其存在。

一旦rootkit以某种方式被放入系统中，攻击者将能够执行远程文件并更改主机机器的系统配置。在系统或服务器中检测rootkit感染的最简单方法是运行rootkit扫描。

让我们开始吧。

如何在系统中检测rootkit？

在计算机或服务器上手动检测rootkit并不容易。rootkit总是伪装成另一个应用程序或文件的形式。因此，很难检测它们的存在。但是，有一些命令行工具，软件和方法可以自动检测各种操作系统中的rootkit。

Windows

对于Windows，没有命令行工具可以检测rootkit。但是，一个功能强大且详尽的扫描器应用程序名为GMER可以在Windows系统上非常有效地检测甚至删除rootkit。

该工具在整个系统中搜索隐藏的线程、注册表键和其他隐藏的进程。执行行为、签名和完整性检查等各种分析，以检测和删除rootkit。

此应用程序有助于检测诸如内核模式、应用程序、内存和引导加载程序rootkit等所有类型的rootkit。它适用于所有主要的Windows操作系统。

Linux和Mac OS

在所有Linux发行版和Mac OS中，您可以使用chkrootkit和rkhunter命令行工具轻松检测rootkit。

使用chkrootkit

chkrootkit在机器的二进制系统中深入搜索特洛伊木马、恶意软件和其他类型的恶意代码。它寻找rootkit在系统可执行二进制文件中进行的更改。chkrootkit未预装在Linux发行版中。

这个工具使用起来很简单，可以使用以下命令进行安装：

sudo apt-get install chkrootkit

或者您也可以通过克隆Git repository来安装它。

git clone https://github.com/Magentron/chkrootkit.git

然后，进入该目录并运行chkrootkit。

./chkrootkit

此命令开始在系统中搜索rootkit。您可以使用帮助命令获取有关此工具使用的更多指示。

┌──(root💀kali)-[/home/yaoweibin/chkrootkit]
└─# ./chkrootkit -help
Usage: ./chkrootkit [options] [test ...]
Options:
        -h                显示此帮助并退出
        -V                显示版本信息并退出
        -l                显示可用的测试选项并退出
        -d                调试
        -q                安静模式
        -x                专家模式
        -r dir            将dir用作根目录
        -p dir1:dir2:dirN chkrootkit使用的外部命令的路径
        -n                跳过NFS挂载的目录

此工具主要通过签名分析和完整性检查来在系统或服务器中追踪rootkit。

使用rkhunter

或者，还有另一个命令行工具可以在Linux发行版中查找rootkit。那就是rkhunter。此工具还可以检测系统中的远程利用和后门。只需使用以下命令安装此工具。

<code>$ sudo apt-get install rkhunter</code>

下一步是运行 rkhunter 来检测后门和 rootkits。

<code>$ rkhunter -c</code>

它会执行搜索，并默认给出状态。如果有任何问题，它将以红色指示。

这是一个完美的取证分析工具，因为它执行额外的网络测试、内核模块检查和其他 chrootkit 不具备的测试。

该工具通过行为分析、签名分析和不同介质引导的条件来检测 rootkit。

在执行扫描之前，始终确保更新 chkrootkit 和 rkhunter 工具的数据库。只有这样，才能检测到当前存在的最新 rootkit。要做到这一点，请确保使用以下命令使您的 Linux 系统与最新的补丁保持最新。

<code>$ sudo apt update && sudo apt upgrade</code>

Rootkits 移除工具

下面列出的 rootkit 移除应用程序和工具易于使用且有效。这些工具可以自动检测和删除系统中的 rootkit。

#1. Avast Rootkit Scanner tool 通过对系统签名进行扫描来强大地检测和删除 rootkit。内存转储分析和系统内存搜索是其中的一些功能。该程序还会跟踪导入的所有 DLL （动态链接库）库调用。

它有一个全面的报告系统，允许您查看当前和先前的扫描结果，并在每次扫描后发送电子邮件警报报告。

不仅仅是计算机，您还可以使用 Avast 从 Android 或 iOS 手机中删除 rootkit。

#2. Malware Bytes 可防止 rootkit、广告软件、间谍软件和其他威胁感染您的计算机。该程序会检查内核内存的完整性，并提醒用户可能存在的问题。它允许您仅需单击一次即可扫描系统中的 rootkit。这也能保护您在线安全，同时保持计算机的顺畅运行。

#3. Lynis 是一个适用于 Linux 和 BSD 系统的优秀安全审计工具。它详细审计了系统安全和配置的多个方面。Lynis 可以检测安全问题，如 rootkit 和后门，以及配置缺陷。

它不仅仅是识别缺陷，还提供解决方案，比如删除哪个文件以及如何避免再次感染。

#4. Malware fox 使用其基于云的 rootkit 库，检查系统是否存在各种类型的 rootkit。还可以检测高级 rootkit，如键盘记录器。它可以检测和删除所有类型的 rootkit，并关闭黑客可能利用的任何后门以获得对您计算机的访问权限。其数据库也定期更新，以确保最佳安全性。

#5. Sophos 是一个快速检测和删除 rootkit 的实用工具。此工具主要使用行为分析（检查每个文件和应用程序的行为），如果任何文件或程序的行为类似于 rootkit，则会立即删除它们。它甚至可以保护注册表键和文件位置免受再次感染。

结论

在计算机上安装先进而强大的 anti-malware software，并且在打开附件和未知电子邮件时始终保持警惕。只从可靠的来源下载文件和程序。对抗 rootkit 的最佳保护措施是设置自动且加密的备份过程以备份到云存储。

如果 rootkit 对您的系统产生了非常深远的影响，唯一的消除方法是重新安装操作系统。

您可能还对学习有关扫描 Linux servers for malware and security flaws 的工具感兴趣。