Unhide. Поиск скрытых процессов в системе.

Unhide — утилита для обнаружения скрытых процессов и портов в системе. Отличный инструмент, который стоит использовать в ходе осмотра сервера после взлома. Unhide работает с данными, которые получает из /proc, /bin/ps и из системных вызовов. Список всех тестов можно получить просто выполнив команду:

# unhide

В рамках большинства тестов происходит сравнение данных из разных источников в системе. Например, сравнивается вывод /bin/ps с информацией, собранной с помощью chdir() в procfs. Или же информация из /bin/ps с данными собранными из sysinfo(). На основе результатов сравнения делается вывод — имеется ли в системе что-то скрытое или нет. Для проведения доступно 6 стандартных тестов и 19 базовых (Elementary tests).

  • Проверка всех процессов методом перебора:
# unhide brute
  • Сравнение данных из /proc и от /bin/ps:
# unhide proc
  • Соотношение данных полученных от /bin/ps с procfs:
# unhide procfs
  • Совмещает в себе proc и procfs тесты:
# unhide procall
  • Сравнение информации полученной из системных вызовов и /bin/ps:
# unhide sys
  • Проверяет что бы информация обо всём что определяется ps была так же и в procfs, и в системных вызовах:
# unhide reverse
  • Совмещает в себе proc, procfs и sys. Работает быстрее, но при этом вероятность ложных срабатываний увеличивается:
# unhide quick

Помимо общих, администратор имеет возможность запустить один из 19 базовых тестов. Это удобно, например, при использовании unhide в скриптах для выполнения конкретных проверок.

Вместе с unhide в систему устанавливается утилита unhide-tcp, которая определяет наличие скрытых активных портов в системе. Unhide-tcp сканирует все порты, и определяет есть ли среди них такие, которые ожидают соединение, но при этом не отображаются в netstat.

# unhide-tcp
 Unhide-tcp 20130526
 Copyright © 2013 Yago Jesus & Patrick Gouin
 License GPLv3+ : GNU GPL version 3 or later
 http://www.unhide-forensics.info
 Used options:
 [*]Starting TCP checking
 [*]Starting UDP checking

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *