病毒查杀检查结果与多引擎判定差异及Rootkit残留分析

病毒查杀检查结果与多引擎判定差异及Rootkit残留分析

0x02电子取证/病毒查杀检查 给出了 Linux 下 ClamAV、chkrootkit、rkhunter 的基础取证入口。到了 0x03取证分析，真正要解决的不是"怎么运行这些工具"，而是：

• 不同工具对同一文件的判定为什么不一致
• ClamAV 报毒而 chkrootkit 不报，或者 rkhunter 报警而 ClamAV 不报，应该怎么判断
• 工具报"INFECTED"或"WARNING"时，哪些是真实威胁、哪些是误报
• 工具不报毒时，是否真的安全，还是存在 Rootkit 残留

病毒查杀和 Rootkit 检测是应急响应中最容易"做了但没做对"的环节。很多分析人员只关注"跑了一遍没报毒"就写"系统干净"，但实际上不同工具的检测维度、检测引擎、规则库差异巨大，单工具扫描的漏报率远高于预期。

0x01 三类工具的本质区别

1. 工具分类

0x02 中给出的三类工具，检测目标和检测原理完全不同：

关键区别：

• ClamAV 是传统杀毒软件，只检测文件层面的已知恶意软件
• chkrootkit 专注于 Rootkit 检测，检查系统工具是否被替换
• rkhunter 是综合安全审计工具，覆盖 Rootkit、配置异常、文件完整性

2. 检测覆盖范围差异

0x02 判定差异的原因分析

1. 同一威胁不同工具判定不一致

场景一：ClamAV 报毒但 chkrootkit 不报

ClamAV 在 /tmp/suspicious_file 中检测到 Trojan.Linux.Mirai。chkrootkit 和 rkhunter 均无报警。

分析：

• 这是一个已知木马文件，ClamAV 的特征码库能匹配
• 但该文件不是 Rootkit，没有修改系统工具或内核模块
• chkrootkit 和 rkhunter 不关注普通恶意软件文件

结论：ClamAV 的判定是正确的，chkrootkit/rkhunter 不报是正常的。

场景二：chkrootkit 报 INFECTED 但 ClamAV 不报

chkrootkit 报告 Checking \ls’… INFECTED。ClamAV 扫描 /bin/ls` 无报警。

分析：

• ls 命令被 Rootkit 替换，chkrootkit 通过对比系统工具的签名检测到异常
• ClamAV 只检测已知恶意软件特征码，不检查系统工具完整性
• 被替换的 ls 可能不包含 ClamAV 特征库中的已知特征

结论：chkrootkit 的判定是正确的，系统工具可能被 Rootkit 替换。

场景三：rkhunter 报 WARNING 但其他工具不报

rkhunter 报告 Checking for hidden files and directories... WARNING。ClamAV 和 chkrootkit 无报警。

分析：

• rkhunter 检测到隐藏文件（文件名以 . 开头且不在已知列表中）
• 隐藏文件可能是 Rootkit 的组件，也可能是合法的系统文件
• ClamAV 和 chkrootkit 不检测隐藏文件

结论：rkhunter 的 WARNING 需要进一步调查，不能直接判定为 Rootkit。

2. 规则库和检测引擎差异

即使检测同一类威胁，不同工具的规则库和检测引擎也不同：

• ClamAV：特征码库更新频繁，覆盖已知恶意软件最广
• chkrootkit：Rootkit 签名库更新较慢，但针对经典 Rootkit 覆盖好
• rkhunter：综合规则库，覆盖 Rootkit + 配置异常 + 文件完整性

0x03 误报的判断和处理

1. ClamAV 常见误报

场景一：开发工具被误判

ClamAV 将编译器的测试文件、调试工具报为 HackTool。

判断方法：

• 检查文件是否属于开发工具链（gcc、gdb、strace 等）
• 检查文件路径是否在开发目录中
• 检查文件哈希是否与官方版本一致

场景二：压缩包中的合法工具被误判

ClamAV 扫描到压缩包中包含 nmap、metasploit 等安全工具，报为 HackTool。

判断方法：

• 确认压缩包来源是否为安全团队或渗透测试团队
• 检查是否有合法的渗透测试授权

2. chkrootkit 常见误报

场景一：Checking \bindshell’… not infected但Checking `lkm’…` 卡住

chkrootkit 在检查 LKM Rootkit 时可能卡住或产生误报。

判断方法：

• 检查内核模块列表 lsmod，确认是否有未知模块
• 检查 /proc/modules 和 lsmod 输出是否一致

场景二：Checking \promisc’…报interface in promisc mode`

chkrootkit 检测到网络接口处于混杂模式。

判断方法：

• 检查是否有合法的抓包工具运行（tcpdump、Wireshark）
• 检查是否有 IDS/IPS 系统运行

3. rkhunter 常见误报

场景一：Checking for hidden files and directories... WARNING

rkhunter 检测到隐藏文件。

判断方法：

• 检查隐藏文件是否为合法系统文件（如 .bashrc、.ssh/authorized_keys）
• 在 rkhunter.conf 中配置 ALLOWHIDDENFILE 白名单

场景二：Checking for applications... WARNING

rkhunter 检测到应用程序版本异常。

判断方法：

• 检查是否为系统更新导致的版本变化
• 运行 rkhunter --propupd 更新基线

0x04 漏报的判断和处理

1. Rootkit 残留的常见场景

场景一：Rootkit 被部分清除

攻击者的 Rootkit 被安全软件清除了主要组件，但残留了部分模块或配置文件。

表现：

• ClamAV 不报毒（主要文件已被删除）
• chkrootkit 不报警（Rootkit 签名不匹配）
• 但系统行为仍然异常（进程隐藏、文件隐藏）

判断方法：

• 对比 /proc 目录和 ps 命令输出，检查是否有隐藏进程
• 对比磁盘文件列表和 ls 命令输出，检查是否有隐藏文件
• 检查内核模块列表是否有未知模块

场景二：Rootkit 使用了新的变种

Rootkit 使用了新的技术或签名，现有工具无法检测。

表现：

• 所有工具不报毒
• 但系统行为异常

判断方法：

• 使用内存取证工具检查内核内存
• 对比系统调用的返回值和直接读取磁盘的结果
• 检查内核函数指针是否被修改

2. Rootkit 残留的检测方法

方法一：进程隐藏检测

# 获取 /proc 中的进程列表
ls /proc | grep -E '^[0-9]+$' | sort -n > /tmp/proc_pids.txt

# 获取 ps 命令的进程列表
ps -eo pid | tail -n +2 | sort -n > /tmp/ps_pids.txt

# 对比两个列表
diff /tmp/proc_pids.txt /tmp/ps_pids.txt

如果 /proc 中存在但 ps 中不存在的进程，可能被 Rootkit 隐藏。

方法二：文件隐藏检测

# 使用 debugfs 直接读取文件系统
debugfs -R 'ls -l /tmp' /dev/sda1

# 对比 ls 命令输出
ls -la /tmp

如果 debugfs 能看到但 ls 看不到的文件，可能被 Rootkit 隐藏。

方法三：内核模块检测

# 获取内核模块列表
lsmod

# 对比 /proc/modules
cat /proc/modules

# 检查模块签名
modinfo <module_name>

如果 lsmod 和 /proc/modules 不一致，或存在未知签名的模块，可能被 Rootkit 注入。

0x05 多工具交叉检测的最佳实践

1. 工具组合建议

Linux 环境：

• ClamAV（已知恶意软件检测）
• chkrootkit（Rootkit 签名检测）
• rkhunter（综合安全审计）
• 可选：AIDE（文件完整性监控）

2. 检测流程建议

1. 第一轮：ClamAV 全量扫描

   • 检测已知恶意软件文件
   • 记录所有报毒文件

2. 第二轮：chkrootkit 系统扫描

   • 检测 Rootkit 签名
   • 检查系统工具完整性

3. 第三轮：rkhunter 综合审计

   • 检测 Rootkit + 配置异常 + 文件完整性
   • 记录所有 WARNING

4. 第四轮：人工验证

   • 对前两轮报毒/报警的内容进行人工验证
   • 区分误报和真实威胁

5. 第五轮：Rootkit 残留检测

   • 进程隐藏检测
   • 文件隐藏检测
   • 内核模块检测

3. 结果判定规则

0x06 三个最容易误判的边界

1. 单工具不报毒不等于安全

ClamAV 不报毒不代表没有 Rootkit，chkrootkit 不报毒不代表没有恶意软件。必须多工具交叉检测。

2. 工具报 WARNING 不等于被入侵

rkhunter 的 WARNING 可能是误报，需要人工验证。不能看到 WARNING 就写"系统被入侵"。

3. 清除了报毒文件不等于清除了 Rootkit

Rootkit 可能已经修改了系统工具、内核模块、启动项。仅仅删除报毒文件不能保证系统安全。Rootkit 场景下，最安全的做法是重建系统。

0x07 公开资料与分析借鉴

1. OneUptime: How to Scan for Rootkits with rkhunter and chkrootkit on Ubuntu

OneUptime 的文章详细说明了 rkhunter 和 chkrootkit 的使用方法：

• rkhunter 检测已知 Rootkit 签名、可疑文件属性、隐藏文件、系统二进制文件变更
• chkrootkit 检测已知 Rootkit 感染签名、可疑 LKM 活动、网络嗅探器迹象
• 同时运行两个工具可以获得更好的覆盖率

最值得借鉴的一点是：Rootkit compromet 通常意味着需要重建系统。清理很少能彻底到可以再次信任该系统。运行 rkhunter 和 chkrootkit 可以提供更广泛的覆盖，因为每个工具检测不同的签名和模式。

公开来源：

• OneUptime: How to Scan for Rootkits with rkhunter and chkrootkit on Ubuntu

2. SANS: Linux Incident Response - Introduction to Rootkits

SANS 的文章详细说明了 Linux Rootkit 的类型和检测方法：

• LKM Rootkit：通过注入恶意代码到内核模块中运行
• 库/共享对象 Rootkit：替换系统库文件
• 应用级 Rootkit：篡改单个用户空间应用

最值得借鉴的一点是：Rootkit 检测需要综合文件系统分析、内存检查、系统完整性检查和取证分析。

公开来源：

• SANS: Linux Incident Response - Introduction to Rootkits

3. dohost: Detecting Rootkits and Hidden Modules

dohost 的文章说明了 chkrootkit 和 rkhunter 的安装和使用：

• chkrootkit 扫描已知 Rootkit 签名和可疑文件
• rkhunter 检测 Rootkit、后门和本地漏洞
• 两个工具结合使用可以提供更全面的检测

最值得借鉴的一点是：这些工具并非万无一失。它们主要检测已知的 Rootkit 签名和可疑行为。更新的或更复杂的 Rootkit 可能会逃避检测。必须使用多层次的安全方法。

公开来源：

• dohost: Detecting Rootkits and Hidden Modules

0x08 建议的交付结构

病毒查杀和 Rootkit 检测结果建议整理为如下表格：

0x09 和其他分析篇怎样联动

本文最适合和以下专题联动：

• 系统进程检查结果与伪装及LOLBin执行链分析：提供进程层面的异常判定
• 重点文件时间线检查结果与攻击者操作节律分析：提供文件时间线分析
• 日志清理与反取证痕迹识别：提供 Rootkit 清理后的旁证恢复方法

本文的定位是聚焦 0x02 病毒查杀检查中"多引擎判定差异"和"Rootkit 残留检测"这两个维度，而不是覆盖整个恶意软件检测领域。

0x0A 总结

病毒查杀和 Rootkit 检测分析的关键，不是"跑了哪些工具"，而是：

• 理解不同工具的检测维度和覆盖范围差异
• 正确解读判定差异，区分误报和真实威胁
• 通过多工具交叉检测降低漏报风险
• 通过进程/文件隐藏检测发现 Rootkit 残留

当你能从 ClamAV、chkrootkit、rkhunter 的判定结果中读出检测差异、误报信号、Rootkit 残留线索时，0x02 里的"病毒查杀检查"才真正升级为 0x03 的"病毒查杀检查结果与多引擎判定差异及 Rootkit 残留分析"。