被感染是/usr/bin/size误报吗?但是我扫描了第二次之后,它不再被感染了。我使用相同的命令用 RKhunter 扫描了sudo rkhunter -c两次,发现奇怪的是被感染的文件不再被感染了
答案1
Rootkit Hunter 不是病毒扫描程序。它是一个完整性检查程序。也就是说,它不会将文件报告为“已感染”,而是报告为“已修改”。这是一个重要的区别,因为它解释了 Rootkit Hunter 为何会开始或停止报告文件。
如果 Rootkit Hunter 停止报告某个文件,这可能只是因为 Rootkit Hunter 的文件属性数据库已通过 更新了该文件的新属性rkhunter --propupd。同样,如果 Rootkit Hunter 开始报告某个文件,这可能只是因为有人运行了该文件apt-get upgrade,并且该文件有新版本。两者都不能直接表明该文件是否被感染。