Unhide

unhide est un outil d'investigation sous GNU/Linux et Windows, dont le rôle est de détecter les process et les flux TCP/UDP cachés (notamment par les rootkits). La package comprend deux utilitaires : unhide et unhide-tcp.

unhide

unhide sert à retrouver les processus dissimulés. Il utilise trois techniques différentes :

  • Comparaison des sorties de /proc et de /bin/ps ;
  • Comparaison des informations issues de /bin/ps avec ce qui a été collecté depuis les appels systèmes (syscall scanning) ;
  • Scan complet des ID de processus (PIDs bruteforcing), ce qui n'est possible que sur les noyaux Linux supérieurs à 2.6.

unhide-tcp

unhide-tcp sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas visibles par la commande /bin/netstat. La technique employée est également celle de la force brute (passage en revue de toutes les valeurs possibles).

Logiciel faisant usage de Unhide

Notes et références

Liens externes

  • Portail de la sécurité informatique
Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.