隐藏位置、挂钩位置等选项的数量如此之多，以至于任何手动检查的分步列表都将是不完整的。

当然，还有一个关于内核 rootkit 的完整故事，它会在系统中留下非常少量的痕迹，如果实施得当，通常可以通过取证分析发现。

您要求的内容完全是错误的：即使我开始列出要检查的内容，对于阅读它的任何人来说，这也会产生很大的误导。普通用户的最佳选择是使用像 chkrootkit 和 rkhunter 这样的工具，它们虽然不完整且很容易被绕过，但包含您要求的“要检查的事项列表”并以自动方式进行检查。

披露：我之前的研究领域是与 rootkit 相关的，过去我曾为 linux 平台开发过各种 rootkit 和 rootkit 检测软件。

有没有人有关于如何尝试在 Linux 或 Solaris 服务器上发现 rootkit 的一般分步列表？

第一步：断开相关机器与所有通信通道的连接：以太网、WiFi、蓝牙、串行、火线、USB、音频线、红外线、并行。只有电源线、键盘线和显示器线应保持连接。使用校准的射频频谱分析仪检查射频发射。仅在您确认通信断开后继续。

9 月 2 日：如果系统有 CD-ROM 或 DVD-ROM 驱动器并且能够从 CD-ROM 启动，则在已知干净的系统上准备冷启动 RAM 攻击 CD-ROM。否则进行第三步。冷启动攻击的免费工具：msramdump和Princeton。

第三步：如果你在第二步准备了冷启动攻击盘，请不要关闭机器电源。断开硬盘驱动器。由于每个驱动器都断开连接，因此用鲜艳的标签标记它。在标签上写下“感染”、时间和日期，以及它被删除的系统的名称。将每个驱动器放入适当的存储容器中。

第四步：如果在第二步之前没有准备好冷启动攻击盘，请在第六步之前。否则插入冷启动攻击盘并重新启动机器。捕获 RAM 的内容并将其保存为 CD-R 或 DVD-R。确保为每次录制完成磁盘。保存 RAM 内容后关闭机器。

第五步：在一台单独的好机器上分析 RAM 转储。检查可执行文件格式签名。检查病毒特征。与运行相同操作系统的已知良好机器的转储相比。

第六步：在您的分析系统上禁用任何自动挂载、自动播放、即插即用或任何对检测新驱动器采取行动的服务。通过连接与受感染系统中的驱动器具有相同物理连接器类型的已知良好驱动器，验证系统是否对新驱动器连接不采取任何操作。如果受感染的系统具有多个物理连接类型的驱动器，则使用每个物理连接器类型的已知良好驱动器测试分析系统。如果有多个驱动器，一次只能将一个驱动器连接到分析机器。创建每个驱动器的映像，然后将驱动器存储在适当的容器中。

第七步：开始分析主引导驱动器的映像。使用静态分析，检查启动顺序。对主要操作系统初始化组件进行差分二进制分析，包括文件元数据结构和创建顺序。

第八步：开始分析安全关键库。

第九步：开始分析系统管理工具、日志和配置文件。

第十步：开始分析服务和守护进程。

第十一步：开始分析应用程序。

第十二步：开始分析用户文件和剩余文件。

寻找可疑文件的地方？

每个文件都应该被认为是可疑的，直到您确认它不是。

搜索命令以获取奇怪的文件行为？

不应在可能受到威胁的机器上运行任何命令。一旦您怀疑系统可能受到威胁，就应该断开所有通信渠道的连接。如果系统不适合对 RAM 进行冷启动攻击，则应立即关闭系统并拔下电源线。

从嗅探器获取的看起来很奇怪的流量？

不应在可能受到威胁的机器上发送或接收任何流量。

检查重要命令的文件完整性以了解您是否可以信任它？

如果您有一个已知良好的文件完整性数据库，则可以使用只读驱动器映像在分析机器上检查文件完整性。应检查数据库中的每个文件。

这个问题预设了所有错误的信息。首先，在进行 rootkit 调查之前，您需要知道信任什么。如果出于正确的原因，您没有强大的只读或一次写入媒体正确运行，那么您根本无法信任文件完整性监控（这些应该在 CDR 或受锁定保护的 SD 材料上静态编译）。日志应写入 WORM 驱动器。

通过 LKM（如99lb）的内存分析仪已经面世多年。在过去的 4 到 5 年里，这些已经转向管理程序。在这方面已经进行了太多的研究，无法在一篇文章中进行描述。然而，VMware 服务器虚拟化的方向似乎是使用他们专有的 VShield 技术。VMware 将在短期内放弃 VMsafe API。可以在XenAccess和InvisibleThings中找到开源实施/研究。

如果您想要一份清单，您可能需要查看Unix and Linux Forensic Analysis DVD Toolkit一书。