Balík: unhide (20130526-4)

forenzný nástroj na nájdenie skrytých procesov a portov

Unhide je forenzný nástroj na nájdenie skrytých procesov a portov TCP/UDP, ktoré ukrývajú rootkity, moduly jadra Linuxu alebo iné techniky. Obsahuje dva nástroje: unhide a unhide-tcp.

unhide deteguje procesy pomocou nasledovných šiestich techník:

 * porovnanie výstupu /proc vs /bin/ps
 * porovnanie informácií zhromaždených z /bin/ps s informáciami z procfs
 * porovnanie informácií zhromaždených z /bin/ps s informáciami zo
   systémových volaní
 * skúšanie celého priestoru PID (hľadanie PID hrubou silou)
 * reverzné hľadanie, overenie, či vlákno, ktoré vidí ps vidí aj jadro
   (výstup /bin/ps vs /proc, prechádzanie procfs a systémové volania)
 * rýchle porovnanie /proc, prechádzania procfs a systémových volaní

unhide-tcp identifikuje porty TCP/UDP, ktoré počúvajú, ale nie sú uvedené v /bin/netstat pomocou prechádzania všetkých dostupných portov TCP/UDP hrubou silou.

Tento balík môže využívať rkhunter počas jeho každodenných kontrol.

Tento balík je užitočný pri kontrolách bezpečnosti siete a forenzných vyšetreniach.

Značky: Implementované v: C, User Interface: Príkazový riadok, Role: role::program, scope::utility, Security: Forenzná veda, Detekcia vniknutia

Táto stránka je tiež dostupná v nasledovných jazykov (ako nastaviť predvolený jazyk dokumentov):