Package: unhide (20130526-4)

ferramenta forense para localizar portas e processos escondidos

Unhide é uma ferramenta forense para localizar portas TCP/UDP e processos escondidos por rootkits, módulos do kernel Linux ou por outras técnicas. Ele inclui dois utilitários: unhide e unhide-tcp.

unhide detecta processos ocultos utilizando as seis técnicas seguintes: * Compara a saída das informações contidas no diretório /proc versus /bin/ps * Compara informações obtidas a partir do arquivo /bin/ps com informações obtidas por uma vistoria pelo procfs. * Compara informações obtidas a partir do arquivo /bin/ps com informações obtidas a partir de chamadas do sistema - syscalls - (varredura do syscall). * Ocupação do espaço total de PIDs (PIDs de força bruta) * Pesquisa reversa, verifica se todas as threads visualizadas pelo comando ps são também visualizadas pelo kernel (saída do comando /bin/ps versus /proc, vistoria pelo procfs e chamadas do sistema) * Rápida comparação do diretório /proc, vistoria pelo procfs e chamadas do sistema versus a saída do comando /bin/ps

unhide-tcp identifica portas TCP/UDP que estão no estado 'ouvindo', mas não estão listadas pelo comando /bin/netstat através de força bruta em todas as portas TCP/UDP disponíveis.

Este pacote pode ser utilizado por rkhunter em suas verificações diárias.

Este pacote é útil para verificações de segurança de rede, além de investigações forenses.

Tags: Implemented in: C, User Interface: Command Line, Role: role::program, scope::utility, Security: Forensics, Intrusion Detection

This page is also available in the following languages (How to set the default document language):