AIDE

AIDE

當一個入侵者進入了你的系統并且種植了木馬，通常會想 辦法來隱蔽這個木馬（除了木馬自身的一些隱蔽特性外， 他會盡量給你檢查系統的過程設置障礙），通常入侵者會 修改一些文件，比如管理員通常用ps -aux來查看系統進 程，那么入侵者很可能用自己經過修改的ps程序來替換掉 你系統上的ps程序，以使用ps命令查不到正在運行的木馬 程序。如果入侵者發現管理員正在運行crontab作業，也 有可能替換掉crontab程序等等。所以由此可以看出對于 系統文件或是關鍵文件的檢查是很必要的。目前就系統完 整性檢查的工具用的比較多的有兩款：Tripwire和AIDE ，前者是一款商業軟件，后者是一款免費的但功能也很強 大的工具