NOM¶
unhide — outil d'investigation post-mortem pour trouver des processus
cachés
SYNOPSIS¶
unhide-linux [
OPTIONS]
TEST_LIST
unhide-posix proc | sys
DESCRIPTION¶
unhide est un outil d'investigation pour trouver les processus
cachés par des rootkits, des modules du noyau Linux ou par d'autres
techniques. Il détecte les processus cachés en utilisant six
techniques principales.
OPTIONS¶
Les options sont uniquement disponibles pour
unhide-linux pas pour
unhide-posix.
- -d
- Effectue un double contrôle dans le test 'brute' pour diminuer
l'occurence des faux positifs.
- -f
- Enregistre les sorties dans un fichier de log (unhide-linux.log)
situé dans le répertoire courant.
- -h
- Affichage de l'aide.
- -m
- Exécute des contrôles supplémentaires. Pour la
version 2012-03-17, cette option n'a d''effet pour les tests procfs,
procall, checkopendir et checkchdir.
Elle implique l'option -v.
- -r
- Utilise une version alternative du test sysinfo lors du lancement d'un
test standard.
- -V
- Affiche la version et sort.
- -v
- Affichage prolixe, affiche les message d'avertissement (par défaut
: ne pas afficher). Cette option peut être
répétée plus d'une fois.
TEST_LIST¶
Les vérifications à faire consiste en un ou plusieurs des tests
suivants.
Les tests standard sont l'agrégation d'un ou plusieurs test(s)
élémentaire(s).
Tests Standards :
La technique
brute consiste en un scan de tous les ID de processus par
force brute.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
proc consiste à comparer le contenu de /proc avec la
sortie de /bin/ps.
La technique
procall combine les tests proc et procfs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
procfs consiste à comparer les informations
recueillies par le parcours de l'arborescence du système de fichiers
procfs avec les informations issues de /bin/ps
Avec l'option
-m, ce test effectue des contrôles plus approfondis,
voir le test
checkchdir.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
quick combine les techniques proc, procfs et sys d'une
façon rapide. Elle est environ 20 fois plus rapide, mais peut donner
davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
reverse consiste à vérifier que tous les
threads vus par /bin/ps sont également vus dans le procfs et par les
appels système. C'est une recherche inversée. Elle est
destiné à vérifier qu'un rootkit n'a pas tué un
outil de sécurité (IDS ou autre) et modifié /bin/ps pour
lui faire afficher un faux processus à la place.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
sys consiste à comparer les résultats des
appels des fonctions systèmes avec les informations recueillies
à partir de /bin/ps.
Tests Elémentaires :
La technique
checkbrute en un scan de tous les ID de processus par force
brute.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkchdir consiste à comparer les informations
recueillies en parcourant le système de fichiers procfs à l'aide
de la fonction chdir() avec les informations obtenues avec /bin/ps.
Avec l'option
-m, elle vérifie également que les threads
apparaîssent dans la liste des threads de leur processus principal
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetaffinity consiste à comparer les
résultat de l'appel à la fonction système
sched_getaffinity() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetparam consiste à comparer les
résultats de l'appel à la fonction système
sched_getparam() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetpgid consiste à comparer les résultats
de l'appel à la fonction système getpgid() avec les informations
recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetprio consiste à comparer les résultats
de l'appel à la fonction système getpriority() avec les
informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkRRgetinterval consiste à comparer les
résultats de l'appel à la fonction système
sched_rr_get_interval() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetsched consiste à comparer les
résultats de l'appel à la fonction système
sched_getscheduler() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkgetsid consiste à comparer les résultats
de l'appel à la fonction système getsid() avec les informations
recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkkill consiste à comparer les résultats de
l'appel à la fonction système kill() avec les informations
recueillies à partir de /bin/ps.
Note: aucun processus n'est réellement tué par ce test.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checknoprocps consiste à comparer les
résultats des appels de chacune des fonctions du système entre
eux. Aucune comparaison n'est faite avec le contenu de /proc ou la sortie de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkopendir consiste à comparer les informations
recueillies en parcourant le système de fichiers procfs à l'aide
de la fonction opendir() avec les informations recueillies à partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkproc consiste à comparer le contenu de /proc
avec la sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkquick combine les technique proc, procfs et sys d'une
façon rapide. Il est environ 20 fois plus rapide, mais peut donner
davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkreaddir consiste à comparer les informations
recueillies en parcourant le système de fichiers procfs (/proc et
/proc/PID/task) à l'aide de la fonction readdir() avec les informations
recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checkreverse consiste à vérifier que tous les
threads vus par ps sont également vus dans procfs et par les appels
système. Il est destiné à vérifier qu'un rootkit
n'a pas tué un outil de sécurité (IDS ou autre) et
modifié /bin/ps pour lui faire afficher un faux processus à la
place.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checksysinfo consiste à comparer le nombre des
processus obtenu à partir de l'appel système sysinfo() avec le
nombre de processus vu par /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.
La technique
checksysinfo2 est une version alternative du test
checksysinfo. Il peut (ou pas) fonctionner mieux sur un noyau modifié
pour le temps réel, la préemption, la latence basse ou un noyau
qui n'utilise pas le scheduler standard.
Il est invoqué par les tests standard lorsqu'on utilise l'option
-r
Cette technique n'est disponible qu'avec la version unhide-linux.
Code de retour¶
- 0
- si OK,
- 1
- si un thread caché ou faux est trouvé.
EXEMPLES¶
- Test le plus rapide :
- unhide quick
- Test rapide :
- unhide quick reverse
- Test standard :
- unhide sys proc
- Test le plus complet :
- unhide -m -d sys procall brute reverse
BUGS¶
Rapportez les bugs de
unhide sur le bug tracker de sourceforge
(
http://sourceforge.net/projects/unhide/)
Avec les versions récentes du noyau Linux (> 2.6.33), le test sysinfo
peut indiquer de faux positifs. Ça peut être dû à
l'optimisation dans le scheduleur, l'utilisation des cgroup ou même
l'utilisation de systemd. L'utilisation du patch PREEMPT-RT amplifie
l'apparition du problème. Ce problème est en cours
d'investigation.
VOIR AUSSI¶
unhide-tcp (8).
AUTEUR¶
Cette page de manuel a été écrite par Patrick Gouin
(patrick-g@users.sourceforge.net). Permission vous est donnée de
copier, distribuer et/ou modifier ce document sous les termes de la GNU
General Public License, Version 3 ou toute version ultérieure
publiée par la Free Software Foundation.
LICENCE¶
Licence GPLv3: GNU GPL version 3 ou version ultérieure
<
http://gnu.org/licenses/gpl.html>.
Ce logiciel est libre : vous êtes libre de le modifier et le
redistribuer. Il n'y a AUCUNE GARANTIE, dans les limites permises par la
loi.