Unhide – Encontrando procesos ocultos en Gnu/linux y BSD

Iniciado por darkbouser, Febrero 10, 2011, 10:54:42 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 10, 2011, 10:54:42 PM
Normal 0 21 false false false MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;}

Recientemente  me a tocado limpiar mi computadora después de casi año y medio de tener squeezy ("en testing") ahora pasando a estable, e realizado una instalación desde cero; y buscando algunas herramientas que  permitan mejorar la seguridad en cuanto a LKMS u otras técnicas de ocultación de Rootkits, algunas de ellas ya conocidas como
Rootkithunter, Lynis o tal como Samhain, etc. Que permiten conocer  a fondo que está
corriendo por ahí.

Unhide es una herramienta forense que permite descubrir procesos  y puertos TCP/UDP
abiertos.

Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique.

- Detecting hidden processes. Implements six techniques:

- Compare /proc vs /bin/ps output

- Compare info gathered from /bin/ps with info gathered by walking thru the procfs.

- Compare info gathered from /bin/ps with info gathered from syscalls (syscall scanning).

- Full PIDs space occupation (PIDs bruteforcing)

- Reverse search, verify that all thread seen by ps are also seen by the kernel (/bin/ps output vs /proc, procfs walking andsyscall)

- Quick compare /proc, procfs walking and syscall vs /bin/ps output.

- Identify TCP/UDP ports that are listening but not listed in /bin/netstat doing brute forcing of all TCP/UDP ports availables.

El proceso para instalarlo es simple solo basta con compilarlo y ejecutarlo como root.



Lo extraemos:

tar -xf unhide-20110113.tar

Compilamos:

gcc –static unhide.c -o unhide

gcc –static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 –static -pthread unhide-linux26.c -o unhide-linux26

y listo a correr:

./sanity.sh

Con esto el programa escaneará y estará en búsqueda de procesos ocultos.



Para descargar:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


Más información :
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta



Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario