Provided by: unhide_20130526-3_amd64 bug

NOMBRE

       unhide — Herramienta forense para descubrir procesos ocultos

SINOPSIS

       unhide-linux [OPTIONS] TEST_LIST
       unhide-posix proc | sys

DESCRIPCIÓN

       unhide  es  una  herramienta  forense  para detectar procesos ocultos en sistemas Unix que
       hayan sido ocultados mediante rookits / módulos en el Kernel o cualquier otra  técnica  de
       ocultación. Implementa seis técnicas de detección

OPCIONES

       Opciones sólo están disponibles para unhide-linux no para unhide-posix.

       -d     Realiza  una  prueba  doble  control  en  test 'brute' para reducir la aparición de
              falsos positivos.

       -f     Crea un fichero de log (unhide-linux.log) en el directorio de ejecución.

       -h     Muestra la ayuda

       -m     Realiza múltiples tests añadidos, desde la versión 2012-03-17, esta opción solo  es
              válida en los tests 'procfs', 'procall', 'checkopendir' y 'checkchdir'
              Implica -v

       -r     Emplea una versión alternativa del test sysinfo

       -V     Muestra la versión y sale

       -v     Fuerza  la  salida  debug  con los mensajes de error (se puede repetir varias veces
              -vv)

TEST_LIST

       Los checks consisten en uno o mas de los siguientes tests
       Los tests estandar son en realidad agrupaciones de varios tests elementales

       Tests estandar :

       El test brute consiste en hacer fuerza bruta sobre todo el espacio de  identificadores  de
       procesos (PIDS)
       Esta técnica solo está disponible con la versión unhide-linux.

       El test proc consiste en comparar el directorio /proc con la salida del comando /bin/ps

       El test procall combina los tests proc y procfs
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  procfs  consiste  en  comparar la información obtenida por /bin/ps con los datos
       obtenidos al recorrer procfs
       Con la opción -m este test realiza  tests  adicionales,  para  mas  información  consultar
       checkchdir
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test quick combina los tests proc, procfs y sys en una forma 'rápida' de ejecución, es
       hasta 20 veces mas rápido que otros test pero también puede ofrecer mas falsos positivos
       Esta técnica solo está disponible con la versión unhide-linux.

       El test reverse consiste en verificar que todos los procesos e hilos que  son  vistos  por
       /bin/ps  existen  realmente  buscandolos  en  procfs  y  por  system calls. El objetivo es
       averiguar si se ha modificado /bin/ps para hacer creer que existen  en  ejecución  algunos
       programas que realmente no lo están
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test sys consiste en comparar la información obtenida de /bin/ps contra algunas system
       calls

       Tests elementales :

       El test checkbrute consiste en hacer fuerza bruta  contra  todo  el  espacio  de  procesos
       (PIDS) del sistema
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkchdir consiste en comparar la información obtenida por /bin/ps y compararla
       haciendo chdir() en procfs
       Con la opción -m también se comprueba que el hilo aparece en la lista "leader process"
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkgetaffinity consiste en comparar la información obtenida por /bin/ps  con  el
       resultado de la system call sched_getaffinity()
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkgetparam  consiste  en  comparar la información obtenida por /bin/ps con el
       resultado de la system call sched_getparam()
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkgetpgid consiste en comparar la  información  obtenida  por  /bin/ps  con  el
       resultado de la system call getpgid()
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkgetprio  consiste  en  comparar  la información obtenida por /bin/ps con el
       resultado de la system call getpriority()
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkRRgetinterval consiste en comparar la información obtenida por /bin/ps con el
       resultado de la system call sched_rr_get_interval()
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkgetsched  consiste  en  comparar la información obtenida por /bin/ps con el
       resultado de la system call sched_getscheduler()
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkgetsid consiste en comparar  la  información  obtenida  por  /bin/ps  con  el
       resultado de la system call getsid()
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkkill  consiste  en  comparar  la  información  obtenida  por /bin/ps con el
       resultado de la system call kill()
       Nota: ningún proceso es 'matado' con este test
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checknoprocps consiste en comparar el resultado de la información obtenida  usando
       cada una de las system calls buscando diferencias entre si. No se emplea /bin/ps o /proc
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkopendir  consiste  en  comparar  la información obtenida por /bin/ps con el
       resultado de hacer opendir() sobre procfs
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkproc consiste en comparar la información obtenida por /bin/ps con  los  datos
       de /proc
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkquick  combina  los  tests  proc,  procfs  y  sys  en una forma 'rápida' de
       ejecución, es hasta 20 veces mas rápido que otros test  pero  también  puede  ofrecer  mas
       falsos positivos
       Esta técnica solo está disponible con la versión unhide-linux.

       El  test  checkreaddir  consiste  en  comparar  la información obtenida por /bin/ps con el
       resultado de hacer readdir() en /proc y /proc/pid/task
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checkreverse consiste en verificar que todos los procesos e hilos que  son  vistos
       por  /bin/ps  existen  realmente  buscandolos en procfs y por system calls. El objetivo es
       averiguar si se ha modificado /bin/ps para hacer creer que existen  en  ejecución  algunos
       programas que realmente no lo están
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checksysinfo consiste en comparar el número de procesos contabilizados por /bin/ps
       contra el número de procesos que indica la syscall sysinfo()
       Esta técnica solo está disponible con la versión unhide-linux.

       El test checksysinfo2 es  una  versión  alternativa  de  checksysinfo,  se  presupone  que
       funciona  mejor en kernels parcheados para RT, preempt o latency y también con kernels que
       no usen el planificador estandar
       Este test está implicito cuando se ejecuta con la opción -r
       Esta técnica solo está disponible con la versión unhide-linux.

   Valor regresado:
       0      si todo OK,

       1      si se ha localizado un proceso/hilo oculto o falso

EJEMPLOS

       Un test excepcionalmente rápido :
              unhide quick

       Test rápido :
              unhide quick reverse

       Estándar test :
              unhide sys proc

       Un test completo :
              unhide -m -d sys procall brute reverse

FALLOS

       Puedes   reportar   fallos   de   unhide   en   el   'bug    tracker'    de    Sourceforge
       (http://sourceforge.net/projects/unhide/)
       Con  las  últimas  versiones de kernel de Linux (> 2.6.33), el test sysinfo puede reportar
       falsos positivos.  Puede ser debido a la optimización en el scheduler, el uso de cgroup  o
       incluso  el  uso de systemd.  El uso del patch PREEMPT-RT amplifica la probabilidad de que
       se de ese problema.  Esto es actualmente objeto de investigación.

VÉASE TAMBIÉN

       unhide-tcp (8).

AUTOR

       Este manual ha sido creado por Francois Marier francois@debian.org y  Patrick  Gouin.   Se
       concede  permiso  para  ser  copiado,  distribuido  y  modificado  bajo los términos de la
       licencia GNU, versión 3 o versiones posteriores publicadas por la Free Software Foundation

LICENSE

       License GPLv3+: GNU GPL version 3 o posterior <http://gnu.org/licenses/gpl.html>.
       Este es software libre, vd es libre de modificar y redistribuir las modificaciones.   Este
       software no provee ninguna garantía .