在伺服器木馬後門檢測中rookit也是根據特征的,他們檢查的都是某一些rk的看這個root或者一些其他的通用型root的,但我現在所使用的項目,它這個UK的可能比較小衆,是以沒有被檢測出來。那這個是 check rookit。我們來看一下第二個工具,叫rookit hunter,這也是一個系統可以直接安裝的工具。那安裝完畢之後,執行這條指令就可以了,執行的過程我就不給大家講了,你隻要一路回車就可以了。重點是什麼?重點是要會看結果。也就是說我們查詢出如kite之後,那我怎麼知道它是一個rookit?看這裡邊爆出來了,lookit。也就是說他做了一些這個隐藏,加入到核心裡之後,看這都是挖點,說明已經被更改了,那這個時候就要去排查了,他是不是真的被更改了,或者說看一下是不是真的被替換了,那就需要去排查一下了。
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)