Pakiet: unhide (20130526-4)

Narzędzie do znajdowania ukrytych procesów i portów

Unhide jest narzędziem do znajdowania procesów i portów TCP/UDP, ukrytych przez rootkity, moduły jądra Linux lub schowanych przy użyciu innych technik. Zawiera dwa narzędzia: unhide i unhide-tcp.

Program unhide wykrywa ukryte procesy używając następujących 6 technik:

 * porównywania zawartości katalogu /proc z danymi wyjściowymi /bin/ps;
 * porównywania danych wyjściowych /bin/ps z informacjami uzyskanymi
   podczas analizowania procfs (systemu plików procesów);
 * porównywania danych wyjściowych /bin/ps z informacjami uzyskanymi za
   pomocą wywołań systemowych (syscall scanning);
 * pełnego skanowania indentyfikatorów procesów w zajmowanej przestrzeni
   (sprawdzania identyfikatorów procesów metodą brute force);
 * wyszukiwania wstecznego, służącego do sprawdzania, czy wszystkie wątki
   widziane przez ps postrzegane są również przez jądro (porównywania
   danych wyjściowych /bin/ps z zawartością /proc, informacjami uzyskanymi
   podczas analizowania procfs i wywołaniami systemowymi);
 * szybkiego porównywania zawartości /proc, informacji uzyskanych podczas
   analizowania procfs i wywołań systemowych z danymi wyjściowymi /bin/ps.

Program unhide-tcp identyfikuje otwarte porty TCP/UDP, które nie są wyświetlane przez /bin/netstat. Zadanie to wykonuje wyszukując wszystkie dostępne porty TCP/UDP metodą brute force.

Pakiet może być wykorzystywany do codziennego skanowania przez program rkhunter.

Pakiet jest przydatny do kontroli bezpieczeństwa sieci i badań kryminalistycznych.

Znaczniki: Zaimplementowane w: C, Interfejs użytkownika: Wiersz poleceń, Rola: role::program, scope::utility, Bezpieczeństwo: Narzędzia śledcze, Wykrywanie włamań

Ta strona jest również dostępna w następujących językach (sprawdź jak ustawić domyślny język dokumentu):