1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
**-Unhide-** yjesus@security-projects.com
Unhide es una herramienta forense que permite descubrir procesos y puertos TCP/UDP ocultos
por rootkits / LKMs o cualquier otra tecnica de ocultacion.
//Unhide (ps)
Permite identificar procesos que hayan sido ocultados. Implementa tres tecnicas:
Comparacion de la informacion obtenida por /bin/ps frente a los directorios en /proc
Comparacion de la informacion visible por /bin/ps frente a la que se puede obtener
utilizando diversas sycalls del sistema (syscall scanning).
Ocupacion por fuerta bruta del espacio de PIDs disponibles en el sistema (PIDs bruteforcing)
// Unhide-TCP
Permite identificar puertos TCP/UDP que esten a la escucha pero no aparezcan listados
en /bin/netstat haciendo brute forcing sobre el espacio de puertos TCP/UDP disponibles
en el sistema.
// Files
unhide.c --> Procesos ocultos, Sistemas Unix (*BSD, solaris, linux 2.2, linux 2.4) No incorpora
PIDs bruteforcing, Necesita mas testing
unhide-linux26.c --> Procesos ocultos, Linux 2.6.x
unhide-tcp.c --> Puertos tcp/udp ocultos
// Licencia
GPL V.3 (http://www.gnu.org/licenses/gpl-3.0.html)
// Agradecimientos
A. Ramos (aramosf@unsec.net) Por aportar algunas expresiones regulares
unspawn (unspawn@rootshell.be) Soporte en CentOS
Martin Bowers (Martin.Bowers@freescale.com) Soporte en CentOS
Lorenzo Martinez (lorenzo@lorenzomartinez.homeip.net) Por aportar varias ideas y betatesting
Francois Marier (francois@debian.org) Por crear las paginas man y dar soporte en Debian
Johan Walles (johan.walles@gmail.com) Por encontrar y solucionar un importante fallo del tipo "condicion de carrera"
|
