介紹Linux惡意軟件檢測(cè)工具LMD Tool特性功能

2015-11-24 11:56 作者：admin 瀏覽量：

　　Linux惡意軟件檢測(cè)工具(LMD)是一個(gè)GNU GPLv2許可下發(fā)布的Linux惡意軟件掃描器，其設(shè)計(jì)理念是是針對(duì)在共享主機(jī)環(huán)境中所面臨的威脅。它使用來自網(wǎng)絡(luò)邊界的入侵檢測(cè)系統(tǒng)的威脅數(shù)據(jù)，提取當(dāng)前被經(jīng)常用于攻擊的惡意軟件，并針對(duì)檢測(cè)到的惡意軟件生成標(biāo)識(shí)。此外，數(shù)據(jù)的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件，以及從惡意軟件聯(lián)盟中獲取到的資源。LMD使用的簽名，是MD5散列和 HEX模式匹配，他們也能較為容易地輸出到其他的檢測(cè)工具如ClamAV。

　　這款工具的出現(xiàn)背景是因?yàn)楫?dāng)前支持對(duì)Linux系統(tǒng)惡意程序檢測(cè)的開源或者免費(fèi)工具，有著較高的誤報(bào)和漏報(bào)率。許多防病毒產(chǎn)品對(duì)于linux平臺(tái)上的惡意程序檢測(cè)卻有著一個(gè)較差的威脅檢測(cè)跟蹤記錄，特別是針對(duì)在共享的主機(jī)環(huán)境，進(jìn)行高效IT維護(hù)外包。

　　共享主機(jī)環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨(dú)特的，標(biāo)準(zhǔn)的AV產(chǎn)品檢測(cè)組件，他們的檢測(cè)目標(biāo)主要是OS級(jí)別的木馬，rootkit和傳統(tǒng)的感染文件病毒，但是卻忽略了越來越多的用戶帳戶級(jí)上的惡意軟件，而這些一般被攻擊者作為攻擊的平臺(tái)或者跳板。

　　功能特點(diǎn)如下：

　　- 文件MD5哈希值檢測(cè)，快速識(shí)別威脅;用于識(shí)別威脅變量的HEX模式匹配

　　- 擁有對(duì)模糊威脅進(jìn)行檢測(cè)的統(tǒng)計(jì)分析組件(例如：Base64編碼)

　　- 作為性能改進(jìn)的掃描引擎，與ClamAV等工具進(jìn)行聯(lián)合檢測(cè)

　　- 通過掃描最近的選項(xiàng)來掃描在一定時(shí)間內(nèi)已添加/改變的文件

　　- 全路徑掃描

　　- 在安全的方式中存儲(chǔ)威脅的隔離隊(duì)列

　　- 隔離恢復(fù)選項(xiàng)，將文件還原到原路徑 

　　- 每日定時(shí)對(duì)過去24小時(shí)用戶homedirs上進(jìn)行掃描