我已经使用 Windows 很多年了,但最近 Avast 出现了数百个受 Rootkit 感染的文件。因此我决定改用 Ubuntu 来清除所有内容,我很享受这种改变。
但我仍然对任何可能的 rootkit 感染非常担心。当时我不得不从受感染的笔记本电脑上下载并刻录 Ubuntu 安装 CD,我觉得这可能不是最好的主意,但这是我唯一的电脑。
安装 ubuntu 时我彻底清除了硬盘,但一直看到有关驻留在内核或网卡中的 rootkit 的信息。有什么办法可以检查我的笔记本电脑是否仍然被感染?
答案1
首先,欢迎来到自由世界。其次,是的,您的硬件仍有可能被感染,因为您没有解释在何处或如何“清除”驱动器上的所有内容。驻留在硬件层的 Rootkit(如果您确实感染了 Rootkit,则必须知道安装了哪个 Rootkit 以及安装在系统中的哪个位置)更难从系统中删除,如果 Rootkit 安装在固件层,则可能需要更换硬件。
我向你指出维基百科文章这解释了其中的一些内容,并且可能对此有所帮助。有许多 rootkit 检测器,但其有效性始终取决于真正检测恶意软件的能力以及 rootkit 加载的位置/时间。如果加载在固件中,则怀疑您需要新设备。
由于安装、分区和保护实例的方法多种多样,感染或攻击 Linux 系统变得更加困难。没有“单一模型”方法,这就是为什么攻击难度要大得多。这并非不可能,而是有可能,但它可能不会带来恶意软件作者想要关注的“物有所值”的效果。
由于我们不知道安装了什么 rootkit、安装在哪里以及对系统有何影响,因此我会将其视为“不可信的”,因为您不知道 rootkit 在系统中的什么位置。
达里克的靴子和核弹可能是您可以选择的最好的硬盘擦除工具,但需要耐心才能让它完全擦除驱动器。但这仍然不能确保删除任何可能感染固件的 rootkit。除非 Windows rootkit 被写入固件、BIOS 或其他预启动硬件中,否则无论安装什么操作系统,它都可以完全控制系统,Windows rootkit 危害 Linux 系统的可能性微乎其微。
我的建议是让真正了解系统的人检查系统,弄清楚该 rootkit 是如何安装的,并防止该访问途径再次出现。
对于 Linux,chkroot工具,亨特,错误检测还有其他产品(有些是商业产品)。它们有助于预防和检测恶意软件和 rootkit,而且通常很有效。但是,我说过,除非我确定首先完全摆脱 rootkit,否则我不会从已知的坏硬件开始,而且即使这样,我也会更换驱动器,因为它总是可疑的。
希望这些信息对您有所帮助。祝您有美好的一天。