Bjoern Schliessmann wrote:
Michael Wild wrote:Ist eine Moeglichkeit, aber dann die DB von tripwire/integrit/aide immer aktuell zu halten bedeutet wahrscheinlich einiges an Aufwand. Auf jeden Fall muss die DB sicher (d.h. auchschreibgeschuetzt) aufbewahrt werden.Das geht nur außerhalb des Rechners, oder mit Hardwareschreibschutz (wie auch immer geartet).
Genau, z.B. CD.
Weiter muss man auch sicherstellen, dass das Tools selbst nicht vom Rootkit "befallen" wird und somit immer die "richtige" Antwortliefert...Das ist prinzipiell nicht möglich, sobald der Rechner kompromittiert wurde.
Ausser man bootet in ein system das sicherlich nicht komprimitiert ist (z.b. irgendeine live-cd) und ueberprueft von dort aus.
Grüße, Björn
Michael