Paquet : unhide (20220611-1) [debports]

outil d’investigation légale pour découvrir les processus et ports cachés

Unhide est un outil d’expertise pour trouver des processus et des ports TCP/UDP cachés par des rootkits (trousses administrateur pirate), des modules de noyau Linux ou d’autres techniques. Il fournit deux outils, unhide et unhide-tcp.

Unhide détecte les processus cachés en utilisant six techniques :

  – comparaison de /proc avec la sortie /bin/ps;
  – comparaison de l’information collectée dans /bin/ps avec celle
    collectée en parcourant procfs ;
  – comparaison de l’information collectée dans /bin/ps avec celle
    collectée à partir de syscalls (analyse de syscall) ;
  – occupation complète de l’espace PID (attaque par force brute de PID) ;
  – recherche inverse vérifiant que tous les processus vus par ps sont
    aussi vus par le noyau (sortie /bin/ps contre parcours de /proc,
    procfs et syscall) ;
  – comparaison rapide de parcours de /proc, procfs et syscall contre
    sortie /bin/ps.

Unhide-tcp identifie les ports TCP/UDP qui écoutent mais qui ne sont pas listés dans /bin/netstat à l’aide d’une attaque par force brute de tous les ports TCP/UDP disponibles.

Ce paquet peut être utilisé par rkhunter dans ses analyses journalières.

Ce paquet est utile pour des vérifications de sécurité réseau en plus d’investigations légales.

Cette page est uniquement disponible dans les langues suivantes (Comment configurer la langue par défaut du document) :