[pentest] bypass file integrity system

[gruik]

les systèmes de contrôle d'intégrité, genre AIDE, OSSEC, Tripwire etc. ca prend souvent du temps à s'exécuter sur une machine (si c'est pas le cas c'est surement qu'il sert pas à grand chose) de fait il tourne pas en permanence ni n'utilise de truc top moumoutte comme inotify, il est en général lancé 1 fois par nuit et la db stockée en local par défaut, il y a + de chances de se faire attraper par une éventuelle sonde spécifique qui checkera s'il existe des fichiers exécutables dans /tmp par exemple
en ce qui concerne les empreintes md5, en général on va vérifier particulierement les binaires genre netstat, ls etc. non pas pour détecter une attaque mais pour détecter un rootkit (donc la phase d'après), l'idée de créer des binaires avec la même empreinte md5 est à écarter tout de suite, c'est comme le satellite c'est overkill souvent d'ailleurs on effectue pour chaque fichier un check à la fois via son empreinte/hash, à la fois sur sa taille et ses droits associés