Actualizado el domingo, 19 junio, 2016
Unhide Forensic Tool o simplemente Unhide es una herramienta forense que permite encontrar los procesos que ocultan los RootKits, por módulos del kernel Linux o por otras técnicas.
Está disponible tanto para Windows como para Linux.
Antes de usarlo es necesario compilarlo, cosa que logramos con los siguientes comandos:
gcc -Wall -O2 --static -pthread unhide-linux*.c unhide-output.c -o unhide-linux gcc -Wall -O2 --static unhide_rb.c -o unhide_rb gcc -Wall -O2 --static unhide-tcp.c unhide-tcp-fast.c unhide-output.c -o unhide-tcp
Unhide-tcp es una herramienta forense que identifica puertos TCP/UDP a la escucha pero no están listados en /bin/netstat. Los argumentos de cada herramienta son los siguientes:
./unhide-tcp --help Unhide-tcp 20121229 Copyright © 2012 Yago Jesus & Patrick Gouin License GPLv3+ : GNU GPL version 3 or later http://www.unhide-forensics.info Usage: ./unhide-tcp [options] Options : -V Show version and exit -v verbose -h display this help -f show fuser output for hidden ports -l show lsof output for hidden ports -o log result into unhide-tcp.log file -s use very quick version for server with lot of opened ports -n use netstat instead of ss
Las opciones de unhide-linux:
./unhide-linux --help
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
NOTE : This version of unhide is for systems using Linux >= 2.6
Usage: ./unhide-linux [options] test_list
Option :
-V Show version and exit
-v verbose
-h display this help
-m more checks (available only with procfs, checkopendir & checkchdir commands)
-r use alternate sysinfo test in meta-test
-f log result into unhide-linux.log file
-o same as '-f'
-d do a double check in brute test
Test_list :
Test_list is one or more of the following
Standard tests :
brute
proc
procall
procfs
quick
reverse
sys
Elementary tests :
checkbrute
checkchdir
checkgetaffinity
checkgetparam
checkgetpgid
checkgetprio
checkRRgetinterval
checkgetsched
checkgetsid
checkkill
checknoprocps
checkopendir
checkproc
checkquick
checkreaddir
checkreverse
checksysinfo
checksysinfo2
checksysinfo3
Puedes descargarlo desde: http://sourceforge.net/projects/unhide/files/?source=navbar
Fuente: thehackernews.com