Unhide

unhide est un outil d'investigation sous GNU/Linux et Windows, dont le rôle est de détecter les process et les flux TCP/UDP cachés (notamment par les rootkits). La package comprend deux utilitaires : unhide et unhide-tcp.

unhide

unhide sert à retrouver les processus dissimulés. Il utilise trois techniques différentes :

Comparaison des sorties de /proc et de /bin/ps ;
Comparaison des informations issues de /bin/ps avec ce qui a été collecté depuis les appels systèmes (syscall scanning) ;
Scan complet des ID de processus (PIDs bruteforcing), ce qui n'est possible que sur les noyaux Linux supérieurs à 2.6.

unhide-tcp

unhide-tcp sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas visibles par la commande /bin/netstat. La technique employée est également celle de la force brute (passage en revue de toutes les valeurs possibles).

Logiciel faisant usage de Unhide

rkhunter (Rookit Hunter)[1]

Notes et références

http://www.unhide-forensics.info/?Related

Liens externes

(en) Site officiel

Portail de la sécurité informatique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[1] ttp://www.unhide-forensics.info/?Related