| unhide(8) | System Manager's Manual | unhide(8) |
unhide — outil d'investigation post-mortem pour trouver des processus cachés
unhide-linux [OPTIONS] TEST_LIST
unhide-posix proc | sys
unhide est un outil d'investigation pour trouver les processus cachés par des rootkits, des modules du noyau Linux ou par d'autres techniques. Il détecte les processus cachés en utilisant six techniques principales.
Les options sont uniquement disponibles pour unhide-linux pas pour unhide-posix.
Les vérifications à faire consiste en un ou
plusieurs des tests suivants.
Les tests standard sont l'agrégation d'un ou plusieurs test(s)
élémentaire(s).
Tests Standards :
La technique brute consiste en un scan de tous les ID de
processus par force brute.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique proc consiste à comparer le contenu de /proc avec la sortie de /bin/ps.
La technique procall combine les tests proc et procfs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique procfs consiste à comparer les
informations recueillies par le parcours de l'arborescence du système
de fichiers procfs avec les informations issues de /bin/ps
Avec l'option -m, ce test effectue des contrôles plus
approfondis, voir le test checkchdir.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique quick combine les techniques proc, procfs et
sys d'une façon rapide. Elle est environ 20 fois plus rapide, mais
peut donner davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique reverse consiste à vérifier que
tous les threads vus par /bin/ps sont également vus dans le procfs et
par les appels système. C'est une recherche inversée. Elle est
destiné à vérifier qu'un rootkit n'a pas tué un
outil de sécurité (IDS ou autre) et modifié /bin/ps
pour lui faire afficher un faux processus à la place.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique sys consiste à comparer les résultats des appels des fonctions systèmes avec les informations recueillies à partir de /bin/ps.
Tests Elémentaires :
La technique checkbrute en un scan de tous les ID de
processus par force brute.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkchdir consiste à comparer les
informations recueillies en parcourant le système de fichiers procfs
à l'aide de la fonction chdir() avec les informations obtenues avec
/bin/ps.
Avec l'option -m, elle vérifie également que les threads
apparaîssent dans la liste des threads de leur processus principal
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetaffinity consiste à comparer
les résultat de l'appel à la fonction système
sched_getaffinity() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetparam consiste à comparer les
résultats de l'appel à la fonction système
sched_getparam() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetpgid consiste à comparer les
résultats de l'appel à la fonction système getpgid()
avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetprio consiste à comparer les
résultats de l'appel à la fonction système
getpriority() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkRRgetinterval consiste à comparer
les résultats de l'appel à la fonction système
sched_rr_get_interval() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetsched consiste à comparer les
résultats de l'appel à la fonction système
sched_getscheduler() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkgetsid consiste à comparer les
résultats de l'appel à la fonction système getsid()
avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkkill consiste à comparer les
résultats de l'appel à la fonction système kill() avec
les informations recueillies à partir de /bin/ps.
Note: aucun processus n'est réellement tué par ce test.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checknoprocps consiste à comparer les
résultats des appels de chacune des fonctions du système entre
eux. Aucune comparaison n'est faite avec le contenu de /proc ou la sortie de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkopendir consiste à comparer les
informations recueillies en parcourant le système de fichiers procfs
à l'aide de la fonction opendir() avec les informations recueillies
à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkproc consiste à comparer le
contenu de /proc avec la sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkquick combine les technique proc, procfs
et sys d'une façon rapide. Il est environ 20 fois plus rapide, mais
peut donner davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkreaddir consiste à comparer les
informations recueillies en parcourant le système de fichiers procfs
(/proc et /proc/PID/task) à l'aide de la fonction readdir() avec les
informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checkreverse consiste à vérifier
que tous les threads vus par ps sont également vus dans procfs et par
les appels système. Il est destiné à vérifier
qu'un rootkit n'a pas tué un outil de sécurité (IDS ou
autre) et modifié /bin/ps pour lui faire afficher un faux processus
à la place.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checksysinfo consiste à comparer le
nombre des processus obtenu à partir de l'appel système
sysinfo() avec le nombre de processus vu par /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique checksysinfo2 est une version alternative du
test checksysinfo. Il peut (ou pas) fonctionner mieux sur un noyau
modifié pour le temps réel, la préemption, la latence
basse ou un noyau qui n'utilise pas le scheduler standard.
Il est invoqué par les tests standard lorsqu'on utilise l'option
-r
Cette technique n'est disponible qu'avec la version unhide-linux.
Rapportez les bugs de unhide sur le bug tracker de GitHub
(https://github.com/YJesus/Unhide/issues)
Avec les versions récentes du noyau Linux (> 2.6.33), le test
sysinfo peut indiquer de faux positifs. Ça peut être dû
à l'optimisation dans le scheduleur, l'utilisation des cgroup ou
même l'utilisation de systemd. L'utilisation du patch PREEMPT-RT
amplifie l'apparition du problème. Ce problème est en cours
d'investigation.
unhide-tcp (8).
Cette page de manuel a été écrite par Patrick
Gouin (patrickg.github@free.fr).
Permission vous est donnée de copier, distribuer et/ou modifier ce
document sous les termes de la GNU General Public License, Version 3 ou
toute version ultérieure publiée par la Free Software
Foundation.
Licence GPLv3: GNU GPL version 3 ou version ultérieure
<http://gnu.org/licenses/gpl.html>.
Ce logiciel est libre : vous êtes libre de le modifier et le
redistribuer. Il n'y a AUCUNE GARANTIE, dans les limites permises par la
loi.
| Juin 2022 | Commandes d'administration |