내 노트북에 악성 코드가 있는 것 같아요. 알다시피, 의심스러운 웹사이트를 방문한 후 의심스러운 디스크 활동을 발견했습니다.
그래서 라이브 knoppix USB 스틱을 통해 랩탑에서 rkhunter를 실행하겠습니다.
내 Linux 시스템은 /dev/sda6 파티션에 있습니다. 아마도 rkhunter를 실행하려면 실제로 sda6을 설치해야 할 것입니다(아니면 제가 틀렸을 수도 있습니다).하지만 설치하면 맬웨어가 활성화되어 불쾌한 작업을 수행할 수 있습니까?
저는 이제 막 맬웨어 스캐너에 대해 배우기 시작했으며 랩탑에서 rkhunter, chkrootkit, clamtk 또는 clamav와 같은 프로그램을 실행하는 것이 좋습니다.3개 프로그램을 모두 실행하면 악성 코드를 검색하기에 충분합니까?
Sda6에서 Linux를 실행하는 동안 악성코드를 받았지만다른 파티션에서도 이 악성 코드를 확인해야 합니까?(Windows용 sda1, sda2 및 sda3, Linux 스왑용 sda5)?
rkhunter가 chkrootkit보다 낫습니까, 아니면 그 반대입니까?
답변1
일반적으로 귀하는대개시스템이 자동으로 아무것도 실행하도록 설정되어 있지 않은 한(맬웨어가 파일 시스템 드라이버의 버그를 사용하지 않는다고 가정하지만 이는 일반적으로 안전한 가정입니다) 감염된 것으로 의심되는 파티션을 마운트하는 것이 안전합니다. .
검사의 적절성과 관련하여 악성 코드가 있다고 확신하는 경우 장치에서 데이터를 추출하고 처음부터 다시 설치하는 것이 좋습니다. 스캔은 100% 신뢰할 수 없으며 스캐너가 알고 있는 것만 안정적으로 감지할 수 있습니다. 일반 스캐닝의 경우,대개ClamAV는 Windows 시스템의 오프라인 검색에 신뢰할 수 있는 것으로 확인되었습니다. Linux에서도 잘 작동할 것이라고 생각하지만 Linux 시스템에서는 사용한 적이 없습니다. rkhunter 및 chkrootkit은 실제로 오프라인이 아닌 실행 중인 시스템을 확인하도록 설계되었습니다(모든 경험적 검사는 라이브 시스템만 확인하므로 알려진 악성 코드만 확인할 수 있습니다).
다른 운영 체제의 경우에도 확인해야 합니다. 특히 뭔가 발견한 경우에는 더욱 그렇습니다. 스왑 공간의 경우 해당 공간을 지우고( blkdiscard /dev/sda5SSD에 있는 경우, dd if=/dev/zero of=/dev/sda5하드 드라이브에 있는 경우) 스왑 헤더를 다시 생성하세요. Windows 측의 경우 WIndows를 실행하고 Windows Defender 또는 사용하는 다른 AV 소프트웨어에 전체 검사를 실행하도록 지시합니다(이렇게 하면 모든 파티션이 검사됩니다).