V
e
r

l
i
s
t
a
d
o

tractatus@lapipaplena:/# _

 

unhide

Herramienta forense para encontrar procesos y puertos TCP/UDP ocultos por rootkits, módulos del kernel o por otras técnicas. Incluye utilidades: unhide, unhide-tcp, unhide-linux y unhide-posix.

# unhide-tcp
identifica los puertos TCP/UDP que están escuchando, pero no figuran en /bin/netstat a través de fuerza bruta
# unhide proc
compara /proc con la salida de /bin/ps
# unhide -m -d sys proc brute
más comprobaciones y hacer una doble comprobación en la prueba bruta sobre sys, proc y brute
# unhide-linux procall
combina pruebas proc y procfs
# unhide-linux procfs
comparar la información recopilada de /bin/ps con la información recopilada en los procfs
# unhide quick
combina las técnicas proc, procfs y sys. Es aproximadamente 20 veces más rápido, pero puede dar más falsos positivos.
# unhide-posix proc
# unhide-linux reverse

Opciones

sys (compara la info de /bin/ps con la obtenida de las llamadas al sistema.)

brute (Identifica por fuerza bruta todos los procesos)

reverse (consiste en verificar que todos los subprocesos vistos por ps también se ven en procfs y por llamadas al sistema. Su objetivo es verificar que un rootkit no haya matado una herramienta de seguridad [ID u otra] y hacer que ps muestre un proceso falso en su lugar)

Navegando por staredsi.eu aceptas las cookies que utilizamos en esta web. Más información: Ver política de cookies
[0] 0:bash*
2576 entradas - Acerca del Tractatus
La Pipa Plena 2024