Paket: unhide (20110113-4)

Forensik-Werkzeug zur Ermittlung von versteckten Prozessen und Ports

Unhide ist ein Forensik-Werkzeug zur Ermittlung von Prozessen und TCP-/UDP-Ports, die durch Rootkits, Linux-Kernel-Module oder durch andere Techniken versteckt werden. Es enthält zwei Programme: unhide und unhide- tcp.

unhide erkennt versteckte Prozesse mit Hilfe der folgenden sechs Techniken:

  * vergleicht /proc mit der Ausgabe von /bin/ps
  * vergleicht von /bin/ps gesammelte Informationen mit denen aus
    einer Untersuchung des procfs
  * vergleicht von /bin/ps gesammelte Informationen mit den aus
    der Auswertung von Systemaufrufen gewonnenen (syscall scanning)
  * sucht den Prozess-ID-Raum vollständig ab (PIDs bruteforcing)
  * stellt mit umgekehrter Suche (reverse search) sicher, dass alle
    von /bin/ps erkannten Prozesse auch dem Kernel bekannt sind
    (Vergleich der Ausgabe von /bin/ps mit /proc, der Untersuchung von
    procps und Systemaufrufen)
  * schneller Vergleich von /proc, Durchlauf durch procfs und
    Systemaufrufen mit der Ausgabe von /bin/ps.

unhide-tcp identifiziert geöffnete TCP-/UDP-Ports, die aber nicht von /bin/netstat aufgeführt werden, durch Ausprobieren aller zur Verfügung stehenden TCP-/UDP-Ports.

Dieses Paket kann von rkhunter in seinen täglichen Scans verwendet werden.

Markierungen: Implementiert in: C, Benutzer-Schnittstellen: Kommandozeile, Rolle: role::program, scope::utility, Sicherheit: Forensik, Einbruchserkennung

Diese Seite gibt es auch in den folgenden Sprachen (Wie wird die Standardsprache eingestellt):