Unhide es una herramienta forense que nos permite buscar procesos y puertos TCP/UDP ocultos que podrían estar siendo utilizados por rootkits/LKMs u otro tipo de técnica. Es multiplataforma, por lo que podemos utilizarlo en sistemas operativos Linux/Unix/BSD y Windows.
Entre sus principales funciones tenemos: Detectar procesos ocultos, ya sea comparando los procesos de /proc y /bin/ps, comparando información de /sys y /bin/ps y, la técnica bruta, que consiste en conseguir mediante fuerza bruta todos los ID de los procesos.
Debido a que la mayoría de rootkits utilizan el kernel mismo para ocultarse, solo son visibles desde el kernel. Podemos utilizar unhide o herramientas como rkhunter para escanear en busca de rootkits, backdoors (puertas traseras) y otras brechas de seguridad local exploits.
Unhide consta de varias herramientas para escaneos específicos:
- unhide-posix - Para buscar procesos ocultos en el sistema
- unhide-tcp - Para buscar puertos TCP/UDP ocultos
- unhide-linux26 Para buscar procesos ocultos en kernels de la rama 2.6
Sitio oficial de Unhide
No hay comentarios:
Publicar un comentario