chkrootkit

• Hauptprogramm, das Betriebssystem-Binärdateien auf Rootkit-Änderungen überprüft, um zu erfahren, ob der Code verfälscht wurde.

Alle nachfolgend genannten Dateien sind in der ausführbaren Binärdatei chkrootkit vorhanden

ifpromisc

• Prüft, ob sich die Schnittstelle im Promiscuous-Modus befindet.
• Wenn sich eine Netzwerkschnittstelle im Promiscuous-Modus befindet, kann sie von einem Angreifer oder bösartiger Software verwendet werden, um den Netzwerkverkehr zu erfassen und später zu analysieren.

chklastlog

• Prüft auf Lastlog-Löschungen.
• Lastlog ist ein Befehl, der Informationen über die letzten Anmeldungen anzeigt.
• Ein Angreifer oder Rootkit kann die Datei ändern, um eine Erkennung zu vermeiden, wenn der Systemadministrator diesen Befehl überprüft, um Informationen zu Anmeldungen zu erhalten.

chkwtmp

• Prüft auf wtmp-Löschungen.
• Ähnlich wie das vorherige Skript überprüft chkwtmp die Datei wtmp, die Informationen zu den Anmeldungen der Benutzer enthält, um zu versuchen, Änderungen daran zu erkennen, falls ein Rootkit die Einträge geändert hat, um die Erkennung von Eindringlingen zu verhindern.

check_wtmpx

• Dieses Skript ist das gleiche wie oben, aber für Solaris-Systeme.

chkproc

• Prüft auf Anzeichen von Trojanern innerhalb von LKM (Loadable Kernel Modules).

chkdirs

• hat die gleiche Funktion wie oben, sucht nach Trojanern in Kernelmodulen.

strings

• schneller und schmutziger String-Ersatz, der darauf abzielt, die Natur des Rootkits zu verbergen.

chkutmp

• Dies ist ähnlich wie chkwtmp, prüft aber stattdessen die utmp-Datei.