Mostrar

unhide es una herramienta de investigación bajo GNU / Linux y Windows, cuya función es detectar procesos y flujos TCP / UDP ocultos (especialmente por rootkits ). El paquete incluye dos utilidades: unhide y unhide-tcp.

mostrar

Unhide se utiliza para encontrar procesos ocultos. Utiliza tres técnicas diferentes:

• Comparación de las salidas de / proc y / bin / ps;
• Comparación de la información de / bin / ps con lo que se recopiló de las llamadas al sistema ( escaneo de syscall );
• Escaneo completo de ID de proceso ( PID de fuerza bruta ), que solo es posible en kernels de Linux por encima de 2.6.

mostrar-tcp

unhide-tcp se usa para identificar puertos TCP o UDP que están escuchando pero que no son visibles para el comando / bin / netstat. La técnica utilizada es también la de fuerza bruta (revisión de todos los valores posibles).

Software que usa Mostrar

• rkhunter (Cazador de novatos)

Notas y referencias

1. http://www.unhide-forensics.info/?Related

enlaces externos

• (es) Sitio oficial