Sólo texto | Texto con Imágenes

Underc0de

Sistemas Operativos => GNU/Linux => Mensaje iniciado por: darkbouser en Febrero 10, 2011, 10:54:42 PM

Título: Unhide – Encontrando procesos ocultos en Gnu/linux y BSD
Publicado por: darkbouser en Febrero 10, 2011, 10:54:42 PM
Normal 0 21 false false false MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;}

Recientemente  me a tocado limpiar mi computadora después de casi año y medio de tener squeezy ("en testing") ahora pasando a estable, e realizado una instalación desde cero; y buscando algunas herramientas que  permitan mejorar la seguridad en cuanto a LKMS u otras técnicas de ocultación de Rootkits, algunas de ellas ya conocidas como
Rootkithunter, Lynis o tal como Samhain, etc. Que permiten conocer  a fondo que está
corriendo por ahí.

Unhide es una herramienta forense que permite descubrir procesos  y puertos TCP/UDP
abiertos.

Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique.

- Detecting hidden processes. Implements six techniques:

- Compare /proc vs /bin/ps output

- Compare info gathered from /bin/ps with info gathered by walking thru the procfs.

- Compare info gathered from /bin/ps with info gathered from syscalls (syscall scanning).

- Full PIDs space occupation (PIDs bruteforcing)

- Reverse search, verify that all thread seen by ps are also seen by the kernel (/bin/ps output vs /proc, procfs walking andsyscall)

- Quick compare /proc, procfs walking and syscall vs /bin/ps output.

- Identify TCP/UDP ports that are listening but not listed in /bin/netstat doing brute forcing of all TCP/UDP ports availables.

El proceso para instalarlo es simple solo basta con compilarlo y ejecutarlo como root.



Lo extraemos:

tar -xf unhide-20110113.tar

Compilamos:

gcc –static unhide.c -o unhide

gcc –static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 –static -pthread unhide-linux26.c -o unhide-linux26

y listo a correr:

./sanity.sh

Con esto el programa escaneará y estará en búsqueda de procesos ocultos.

(http://img191.imageshack.us/i/enaccion.png/)

Para descargar:
http://sourceforge.net/projects/unhide/files/unhide-20110113.tgz/download


Más información :
http://www.unhide-forensics.info



Fuente: rinconinformatico.net
Sólo texto | Texto con Imágenes