昨天,我访问了一个令人毛骨悚然的黑暗网站,其 js 冻结了我的系统system/firefox(Ubuntu 14.04 最新版,Firefox 37.0.1 最新版)。现在,我尝试从同一系统查找具有以下特征的恶意软件:
sudo chkrootkit
和
sudo rkhunter --check
只显示默认的误报。
我知道建议从 liveCD 或 liveUSB 执行此操作,这样恶意软件就很难隐藏。我有一个 liveUSB系统救援光盘但我不知道如何做到这一点。我很确定我需要挂载“受感染的设备”来检查它,但我找到的每个教程都只是提到了to do the commands which I have posted above from a LiveUSB。没有提到如何操作,而且我很确定chkrootkit,rkhunter如果不挂载它,就无法检查文件系统。
然而现在我的系统可能被感染了,并且插入了 LiveUSB但不是已安装。(由于几个原因,我禁用了自动挂载)
会不会是我的 LiveUSB 现在即使没有挂载也被感染了?我知道恶意软件即使没有挂载也可以写入设备,但这会彻底破坏 USB 上的文件系统。如果恶意软件在我不知情的情况下这样做,我可以在哪里查找挂载历史记录?我知道,为此他需要我的用户密码,但谁说恶意软件在执行 sudo 命令时没有记录我的键盘?
答案1
回答实际问题:
是的,软件可以直接写入设备,但与您的假设相反,这不会破坏文件系统,因为软件也可以直接从文件系统读取。如果软件做对了所有事情,它就像以通常的(间接)方式读写一样。请记住,它只需要做您的系统一直在做的事情。此外,软件不必关心文件系统管理的任何特权。
但是——好消息来了——直接读取或写入需要对设备文件具有读/写权限,例如/dev/sdb。此访问权限仅授予超级用户。
您可以自己尝试一下,输入
dd if=/dev/sda bs=32 count=1
进入终端。/dev/sda是您的第一个硬盘,/dev/sdb如果您想测试它而不是您的硬盘,请用您的 USB 记忆棒(可能)替换它。
你会得到
dd: failed to open ‘/dev/sda’: Permission denied
作为输出。
如果您使用 sudo 或以 root 身份执行此操作,它会将硬盘/USB 驱动器的前 32 个字节写入控制台。
但是,您应该意识到,普通用户实际上可以安装设备。因此无需直接访问设备,恶意软件可以使用正常(间接)方式进行读写。
你可以通过输入命令自己测试一下
mount /dev/sdb1 /some/directory/already/in/place
/dev/sdb1你的 USB 驱动器的第一个分区在哪里。