[Linux-bruxelles] Re: (un antivirus sur Ubuntu?) chkrootkit
Marc Ledent
mledent at skynet.be
Lun 7 Aou 10:55:14 CEST 2006
Renaud Dubois a écrit :
>
>
> Et si on l'installe sur une machine déjà contaminée ? il détecte ?
> (je ne pense PAS avoir de problèmes, mais on ne sait jamais)
>
>
> Oui il détecte.
Attention, nuance! Certains rootkits sont très difficilement
détectables. Ils s'installent en tant que modules et se camouflent en se
substituant à un module existant (en bidouillant les entrées de la table
des modules). Une fois installé, il lui est 'aisé' de se camoufler en
détournant les appels aux accès fichier. Un article sur ce sujet existe
dans le dernier Linux magazine en anglais (ou un autre, je ne suis pas
sûr). Une fois installé, il est très difficile de le détecter, et les
chkrootkits classiques n'y arrivent généralement pas.
Plus d'informations sur la liste de diffusion Linux-bruxelles