Actualizado el domingo, 19 junio, 2016
Unhide Forensic Tool o simplemente Unhide es una herramienta forense que permite encontrar los procesos que ocultan los RootKits, por módulos del kernel Linux o por otras técnicas.
Está disponible tanto para Windows como para Linux.
Antes de usarlo es necesario compilarlo, cosa que logramos con los siguientes comandos:
gcc -Wall -O2 --static -pthread unhide-linux*.c unhide-output.c -o unhide-linux gcc -Wall -O2 --static unhide_rb.c -o unhide_rb gcc -Wall -O2 --static unhide-tcp.c unhide-tcp-fast.c unhide-output.c -o unhide-tcp
Unhide-tcp es una herramienta forense que identifica puertos TCP/UDP a la escucha pero no están listados en /bin/netstat. Los argumentos de cada herramienta son los siguientes:
./unhide-tcp --help Unhide-tcp 20121229 Copyright © 2012 Yago Jesus & Patrick Gouin License GPLv3+ : GNU GPL version 3 or later http://www.unhide-forensics.info Usage: ./unhide-tcp [options] Options : -V Show version and exit -v verbose -h display this help -f show fuser output for hidden ports -l show lsof output for hidden ports -o log result into unhide-tcp.log file -s use very quick version for server with lot of opened ports -n use netstat instead of ss
Las opciones de unhide-linux:
./unhide-linux --help Unhide 20121229 Copyright © 2012 Yago Jesus & Patrick Gouin License GPLv3+ : GNU GPL version 3 or later http://www.unhide-forensics.info NOTE : This version of unhide is for systems using Linux >= 2.6 Usage: ./unhide-linux [options] test_list Option : -V Show version and exit -v verbose -h display this help -m more checks (available only with procfs, checkopendir & checkchdir commands) -r use alternate sysinfo test in meta-test -f log result into unhide-linux.log file -o same as '-f' -d do a double check in brute test Test_list : Test_list is one or more of the following Standard tests : brute proc procall procfs quick reverse sys Elementary tests : checkbrute checkchdir checkgetaffinity checkgetparam checkgetpgid checkgetprio checkRRgetinterval checkgetsched checkgetsid checkkill checknoprocps checkopendir checkproc checkquick checkreaddir checkreverse checksysinfo checksysinfo2 checksysinfo3
Puedes descargarlo desde: http://sourceforge.net/projects/unhide/files/?source=navbar
Fuente: thehackernews.com