Accueil🇫🇷Chercher

Unhide

unhide est un outil d'investigation sous GNU/Linux et Windows, dont le rôle est de détecter les process et les flux TCP/UDP cachés (notamment par les rootkits). La package comprend deux utilitaires : unhide et unhide-tcp.

unhide

unhide sert à retrouver les processus dissimulés. Il utilise trois techniques différentes :

  • Comparaison des sorties de /proc et de /bin/ps ;
  • Comparaison des informations issues de /bin/ps avec ce qui a été collecté depuis les appels systèmes (syscall scanning) ;
  • Scan complet des ID de processus (PIDs bruteforcing), ce qui n'est possible que sur les noyaux Linux supérieurs à 2.6.

unhide-tcp

unhide-tcp sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas visibles par la commande /bin/netstat. La technique employée est également celle de la force brute (passage en revue de toutes les valeurs possibles).

Logiciel faisant usage de Unhide

Notes et références

  1. « Related », sur unhide-forensics.info (consulté le ).

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.