我认为我的笔记本电脑上有恶意软件。你看,我在访问一个可疑的网站后发现了可疑的光盘活动。
因此,我将通过实时 knoppix USB 记忆棒在笔记本电脑上运行 rkhunter。
我的 Linux 系统位于 /dev/sda6 分区。想必我需要实际安装 sda6 才能在其上运行 rkhunter (或者我错了)。但如果我安装它,这是否会让恶意软件变得活跃并做一些令人讨厌的事情?
我才刚刚开始了解恶意软件扫描程序,并建议在笔记本电脑上运行以下程序:rkhunter、chkrootkit 和 clamtk 或 clamav。运行所有 3 个程序足以搜索恶意软件吗?
我在 sda6 上运行 linux 时获取了该恶意软件,但是我是否也需要在其他分区上检查此恶意软件(sda1、sda2 和 sda3 用于 Windows,sda5 用于 Linux 交换)?
rkhunter 比 chkrootkit 更好还是反之亦然?
答案1
作为一般规则,你是通常只要您的系统未设置为自动运行其中的任何内容(并假设恶意软件没有使用文件系统驱动程序中的错误,但这通常是一个安全的假设),就可以安全安装怀疑被感染的分区。
至于扫描的充分程度,如果您相当确定存在恶意软件,那么您最好从设备中提取数据,然后从头开始重新安装。扫描并不是 100% 可靠,它只能可靠地检测扫描仪知道的内容。对于一般扫描,我通常发现 ClamAV 对于 Windows 系统的离线扫描来说是可靠的,我认为它在 Linux 上也能很好地工作,但我从未在 Linux 系统上使用过它。 rkhunter 和 chkrootkit 实际上是为检查正在运行的系统而设计的,而不是离线的(它们所有的启发式检查只查看实时系统,因此它们只能检查已知的恶意软件)。
至于其他操作系统,您也应该检查它们,特别是如果您发现任何东西。对于交换空间,只需擦除它(blkdiscard /dev/sda5如果它在 SSD 上,dd if=/dev/zero of=/dev/sda5如果它是硬盘驱动器)并重新创建交换标头。对于 Windows 端,如果您有 WIndows 启动它并告诉 Windows Defender 或您使用的任何其他 AV 软件运行完整扫描(这将检查所有分区)。