Unhide
Cet article est une ébauche concernant la sécurité informatique.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
unhide est un outil d'investigation sous GNU/Linux et Windows, dont le rôle est de détecter les process et les flux TCP/UDP cachés (notamment par les rootkits). La package comprend deux utilitaires : unhide et unhide-tcp.
unhide
unhide sert à retrouver les processus dissimulés. Il utilise trois techniques différentes :
- Comparaison des sorties de /proc et de /bin/ps ;
- Comparaison des informations issues de /bin/ps avec ce qui a été collecté depuis les appels systèmes (syscall scanning) ;
- Scan complet des ID de processus (PIDs bruteforcing), ce qui n'est possible que sur les noyaux Linux supérieurs à 2.6.
unhide-tcp
unhide-tcp sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas visibles par la commande /bin/netstat. La technique employée est également celle de la force brute (passage en revue de toutes les valeurs possibles).
Logiciel faisant usage de Unhide
- rkhunter (Rookit Hunter)[1]
Notes et références
- ↑ « Related », sur unhide-forensics.info (consulté le ).
Liens externes
- (en) Site officiel
Portail de la sécurité informatique
