Unhide是一个大型的互联网调查取证专用工具,能够发觉rootkit,LKM等技术性掩藏的过程和TCP/UDP端口号。该专用工具能够在Linux,UNIX,MS-Windows等电脑操作系统下工作中。依据其指南页:

Unhide通过下列三种技术性发觉潜藏的过程。

过程有关的技术性,包含将 /proc 文件目录与 /bin/ps 指令的输入输出开展较为。系统相关的技术性,包含将 /bin/ps 指令的輸出結果同从系统进程层面取得的数据开展较为。穷举法有关的技术性,包含对任何的过程 ID 开展暴力行为求得,该技术性仅限在根据 Linux2.6 核心的系统软件中应用。

大部分Rootkit专用工具或恶意程序应用核心隐藏进程,这种过程只在核心內部由此可见。您能够使用unhide或rkhunter等专用工具扫描仪rootkit程序流程,木马程序和一些有可能的当地系统漏洞。

进程隐藏工具蓝屏原因-真正的win10隐藏进程-第1张图片文中详细介绍了如何安装和检索掩藏的过程和TCP/UDP端口号。

如何安装取消隐藏?

最先,建议在写保护物质上运作此专用工具。假如应用Ubuntu或Debian桌面操作系统,输入您下列apt-get/apt命令来安裝Unhide:

$ sudo apt-get install unhide

假如一切顺利,您的指令已然輸出以下几点:

[sudo] password for vivek: Reading package lists...DoneBuilding dependency tree Reading state information... DoneSuggested packages: rkhunterThe following NEW packages will be installed: unhide0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.Need to get 46.6 kB of archives.After this operation, 136 kB of additional disk space will be used.Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]Fetched 46.6 kB in 0s (49.0 kB/s)Selecting previously unselected package unhide.(Reading database ... 205367 files and directories currently installed.)Preparing to unpack .../unhide_20130526-1_amd64.deb ...Unpacking unhide (20130526-1) ...Setting up unhide (20130526-1) ...Processing triggers for man-db (2.7.6.1-2) ...

怎样在rhel/centos/Oracle/scientific/fedora上安裝unhide?

键入下列yum输入下列yum命令(最先在centos/rhel版本号6.x或7.x上开启eple repo):

键入下列yum命令(最先在CentOS/RHEL 6.x或7.x上开启EPEL库房):

$ sudo yum install unhide

在Fedora上,应用下列dnf指令:

$ sudo dnf install unhide

怎样在Arch上安裝取消隐藏?

输入下列pacman指令开展安裝:

$ sudo pacman -S unhide

怎样在FreeBSD上安裝unhide?

根据选择含有下列指令的端口号,能够安裝Unhide:

# cd /usr/ports/security/unhide/# make install clean

或是,您能够安裝掩藏二进制文件,并应用pkg指令安裝:

# pkg install unhide

怎么使用取消隐藏专用工具?

取消隐藏英语的语法是:

unhide [options] test_list

Test_list主要参数能够是下列检测目录中的一个或两个规范检测:

bruteprocprocallprocfsquickreversesys

或是基本上检测:

checkbrutecheckchdircheckgetaffinitycheckgetparamcheckgetpgidcheckgetpriocheckRRgetintervalcheckgetschedcheckgetsidcheckkillchecknoprocpscheckopendircheckproccheckquickcheckreaddircheckreversechecksysinfochecksysinfo2checksysinfo3

您还可以应用下列实例指令来取消隐藏:

# unhide proc# unhide sys# unhide quick

样版輸出:

Unhide 20130526Copyright © 2013 Yago Jesus & Patrick GouinLicense GPLv3 : GNU GPL version 3 or laterhttp://www.unhide-forensics.infoNOTE : This version of unhide is for systems using Linux >= 2.6 Used options: [*]Searching for Hidden processes through comparison of results of system calls, proc, dir and ps

如何使用unhide-tcp专用工具鉴别TCP/UDP端口号的真实身份。

下列是指南页中的详细介绍:

Unhide-tcp调查取证专用工具能够根据暴力破解密码全部可以用的TCP/IP端口号来鉴别全部已经监听但未能/bin/netstat或/bin/ss指令的輸出中列举的TCP/IP端口号标志。

注1:针对FreeBSD和OpenBSD系统软件,netstat指令一般用以更换这种电脑操作系统上不会有的iproute2,sockstat指令也用以替换fuser。

留意:假如电脑操作系统不兼容iproute2指令,则在应用“取消隐藏”时,必须在命令行中加上-n或-s选择项。

# unhide-tcp

样版輸出:

Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingStarting UDP checking

在以上方法中找不到掩藏端口号。

可是在下面的事例中,我展现了一些有意思的事。

# unhide-tcp

样版輸出:

Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingFound Hidden port that not appears in netstat: 1048Found Hidden port that not appears in netstat: 1049Found Hidden port that not appears in netstat: 1050Starting UDP checking

您能见到netstat -tulpn和ss指令沒有体现这三个掩藏端口号:

# netstat -tulpn | grep 1048# ss -lp# ss -l | grep 1048

您能够利用下列man指令掌握相关取消隐藏的其他信息:

$ man unhide$ man unhide-tcp

Windows客户如何安装和使用unhide?

您能够确认此网页页面获得对话框的取消隐藏版本号。

标签 美腿

评论(0条)

龙8唯一官方网站 游客评论