Unhide是一个大型的互联网调查取证专用工具,能够发觉rootkit,LKM等技术性掩藏的过程和TCP/UDP端口号。该专用工具能够在Linux,UNIX,MS-Windows等电脑操作系统下工作中。依据其指南页:
Unhide通过下列三种技术性发觉潜藏的过程。
过程有关的技术性,包含将 /proc 文件目录与 /bin/ps 指令的输入输出开展较为。系统相关的技术性,包含将 /bin/ps 指令的輸出結果同从系统进程层面取得的数据开展较为。穷举法有关的技术性,包含对任何的过程 ID 开展暴力行为求得,该技术性仅限在根据 Linux2.6 核心的系统软件中应用。
大部分Rootkit专用工具或恶意程序应用核心隐藏进程,这种过程只在核心內部由此可见。您能够使用unhide或rkhunter等专用工具扫描仪rootkit程序流程,木马程序和一些有可能的当地系统漏洞。
文中详细介绍了如何安装和检索掩藏的过程和TCP/UDP端口号。
如何安装取消隐藏?
最先,建议在写保护物质上运作此专用工具。假如应用Ubuntu或Debian桌面操作系统,输入您下列apt-get/apt命令来安裝Unhide:
$ sudo apt-get install unhide
假如一切顺利,您的指令已然輸出以下几点:
[sudo] password for vivek: Reading package lists...DoneBuilding dependency tree Reading state information... DoneSuggested packages: rkhunterThe following NEW packages will be installed: unhide0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.Need to get 46.6 kB of archives.After this operation, 136 kB of additional disk space will be used.Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]Fetched 46.6 kB in 0s (49.0 kB/s)Selecting previously unselected package unhide.(Reading database ... 205367 files and directories currently installed.)Preparing to unpack .../unhide_20130526-1_amd64.deb ...Unpacking unhide (20130526-1) ...Setting up unhide (20130526-1) ...Processing triggers for man-db (2.7.6.1-2) ...
怎样在rhel/centos/Oracle/scientific/fedora上安裝unhide?
键入下列yum输入下列yum命令(最先在centos/rhel版本号6.x或7.x上开启eple repo):
键入下列yum命令(最先在CentOS/RHEL 6.x或7.x上开启EPEL库房):
$ sudo yum install unhide
在Fedora上,应用下列dnf指令:
$ sudo dnf install unhide
怎样在Arch上安裝取消隐藏?
输入下列pacman指令开展安裝:
$ sudo pacman -S unhide
怎样在FreeBSD上安裝unhide?
根据选择含有下列指令的端口号,能够安裝Unhide:
# cd /usr/ports/security/unhide/# make install clean
或是,您能够安裝掩藏二进制文件,并应用pkg指令安裝:
# pkg install unhide
怎么使用取消隐藏专用工具?
取消隐藏英语的语法是:
unhide [options] test_list
Test_list主要参数能够是下列检测目录中的一个或两个规范检测:
bruteprocprocallprocfsquickreversesys
或是基本上检测:
checkbrutecheckchdircheckgetaffinitycheckgetparamcheckgetpgidcheckgetpriocheckRRgetintervalcheckgetschedcheckgetsidcheckkillchecknoprocpscheckopendircheckproccheckquickcheckreaddircheckreversechecksysinfochecksysinfo2checksysinfo3
您还可以应用下列实例指令来取消隐藏:
# unhide proc# unhide sys# unhide quick
样版輸出:
Unhide 20130526Copyright © 2013 Yago Jesus & Patrick GouinLicense GPLv3 : GNU GPL version 3 or laterhttp://www.unhide-forensics.infoNOTE : This version of unhide is for systems using Linux >= 2.6 Used options: [*]Searching for Hidden processes through comparison of results of system calls, proc, dir and ps
如何使用unhide-tcp专用工具鉴别TCP/UDP端口号的真实身份。
下列是指南页中的详细介绍:
Unhide-tcp调查取证专用工具能够根据暴力破解密码全部可以用的TCP/IP端口号来鉴别全部已经监听但未能/bin/netstat或/bin/ss指令的輸出中列举的TCP/IP端口号标志。
注1:针对FreeBSD和OpenBSD系统软件,netstat指令一般用以更换这种电脑操作系统上不会有的iproute2,sockstat指令也用以替换fuser。
留意:假如电脑操作系统不兼容iproute2指令,则在应用“取消隐藏”时,必须在命令行中加上-n或-s选择项。
# unhide-tcp
样版輸出:
Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingStarting UDP checking
在以上方法中找不到掩藏端口号。
可是在下面的事例中,我展现了一些有意思的事。
# unhide-tcp
样版輸出:
Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingFound Hidden port that not appears in netstat: 1048Found Hidden port that not appears in netstat: 1049Found Hidden port that not appears in netstat: 1050Starting UDP checking
您能见到netstat -tulpn和ss指令沒有体现这三个掩藏端口号:
# netstat -tulpn | grep 1048# ss -lp# ss -l | grep 1048
您能够利用下列man指令掌握相关取消隐藏的其他信息:
$ man unhide$ man unhide-tcp
Windows客户如何安装和使用unhide?
您能够确认此网页页面获得对话框的取消隐藏版本号。
