Полезные утилиты
Конечно, было бы лучше автоматизировать все проверки, описанные в этой статье. Один из способов осуществления этого - использования системы обнаружения атак (СОА), контролирующей критический структуры ядра в реальном времени. Например, может быть использована утилита Samhain. Это приложение было кратко описано в статье Host Integrity Monitoring: Best Practices for Deployment. Samhain может следить за таблицей системных вызовов, несколькими первыми командами каждого системного вызова, включая некоторые обработчики, таблицей прерываний и многим другим.
Доверяя мониторинг вашего ядра системе обнаружения атак нужно помнить одно простое правило: все утилиты, осуществляющие мониторинг, должны быть установлены на "чистую" операционную систему, так как это единственный способ быть уверенным, что вы уже не были компрометированы. Если вы не используете СОА, вы должны, по крайней мере, создать хэш образа ядра.
