Package: unhide (20220611-1 and others)

ferramenta forense para encontrar processos e portas

Unhide é uma ferramenta forense para localizar portas TCP/UDP e processos escondidos por rootkits, por módulos do kernel Linux ou por outras técnicas. Inclui dois utilitários: unhide e unhide-tcp.

unhide detecta processos ocultos utilizando as seis técnicas seguintes:

  * Compara a saída das informações contidas no diretório /proc versus /bin/ps
  * Compara informações obtidas a partir do arquivo /bin/ps com informações
    obtidas por uma vistoria pelo procfs.
  * Compara informações obtidas a partir do arquivo /bin/ps com informações
    obtidas a partir de chamadas do sistema - syscalls - (varredura do syscall).
  * Ocupação do espaço total de PIDs (PIDs de força bruta)
  * Pesquisa reversa, verifica se todas as threads visualizadas pelo comando
    ps são também visualizadas pelo kernel (saída do comando /bin/ps versus
    /proc, vistoria pelo procfs e chamadas do sistema)
  * Rápida comparação do diretório /proc, vistoria pelo procfs e chamadas do
    sistema versus a saída do comando /bin/ps

unhide-tcp identifica portas TCP/UDP que estão no estado 'ouvindo', mas não estão listadas pelo comando /bin/netstat através de força bruta em todas as portas TCP/UDP disponíveis.

Este pacote pode ser utilizado por rkhunter em suas verificações diárias.

Este pacote é útil para verificações de segurança de rede, além de investigações forenses.

Tags: Implemented in: C, User Interface: Command Line, Role: role::program, scope::utility, Security: Forensics, Intrusion Detection

This page is also available in the following languages (How to set the default document language):