介紹Linux惡意軟件檢測工具LMD Tool特性功能

2015-11-24 11:56 作者：admin 瀏覽量：

　　Linux惡意軟件檢測工具(LMD)是一個GNU GPLv2許可下發(fā)布的Linux惡意軟件掃描器，其設(shè)計理念是是針對在共享主機環(huán)境中所面臨的威脅。它使用來自網(wǎng)絡(luò)邊界的入侵檢測系統(tǒng)的威脅數(shù)據(jù)，提取當前被經(jīng)常用于攻擊的惡意軟件，并針對檢測到的惡意軟件生成標識。此外，數(shù)據(jù)的威脅也來自于用戶通過LMD上傳功能提交的惡意軟件，以及從惡意軟件聯(lián)盟中獲取到的資源。LMD使用的簽名，是MD5散列和 HEX模式匹配，他們也能較為容易地輸出到其他的檢測工具如ClamAV。

　　這款工具的出現(xiàn)背景是因為當前支持對Linux系統(tǒng)惡意程序檢測的開源或者免費工具，有著較高的誤報和漏報率。許多防病毒產(chǎn)品對于linux平臺上的惡意程序檢測卻有著一個較差的威脅檢測跟蹤記錄，特別是針對在共享的主機環(huán)境，進行高效IT維護外包。

　　共享主機環(huán)境的威脅環(huán)境相比于其他環(huán)境是較為獨特的，標準的AV產(chǎn)品檢測組件，他們的檢測目標主要是OS級別的木馬，rootkit和傳統(tǒng)的感染文件病毒，但是卻忽略了越來越多的用戶帳戶級上的惡意軟件，而這些一般被攻擊者作為攻擊的平臺或者跳板。

　　功能特點如下：

　　- 文件MD5哈希值檢測，快速識別威脅;用于識別威脅變量的HEX模式匹配

　　- 擁有對模糊威脅進行檢測的統(tǒng)計分析組件(例如：Base64編碼)

　　- 作為性能改進的掃描引擎，與ClamAV等工具進行聯(lián)合檢測

　　- 通過掃描最近的選項來掃描在一定時間內(nèi)已添加/改變的文件

　　- 全路徑掃描

　　- 在安全的方式中存儲威脅的隔離隊列

　　- 隔離恢復(fù)選項，將文件還原到原路徑 

　　- 每日定時對過去24小時用戶homedirs上進行掃描