Ubuntu Manpage: unhide — outil d'investigation post-mortem pour trouver des processus cachés

Provided by: unhide_20220611-1_amd64

NOM

       unhide — outil d'investigation post-mortem pour trouver des processus cachés

SYNOPSIS

       unhide-linux [OPTIONS] TEST_LIST
       unhide-posix proc | sys

DESCRIPTION

       unhide  est  un  outil d'investigation pour trouver les processus cachés par des rootkits,
       des modules du noyau Linux ou par d'autres techniques. Il détecte les processus cachés  en
       utilisant six techniques principales.

OPTIONS

       Les options sont uniquement disponibles pour unhide-linux pas pour unhide-posix.

        -d    Effectue un double contrôle dans le test 'brute' pour diminuer l'occurence des faux
              positifs.

        -f    Enregistre les sorties dans un fichier de  log  (unhide-linux.log)  situé  dans  le
              répertoire courant.

        -h    Affichage de l'aide.

        -m    Exécute des contrôles supplémentaires. Pour la version 2012-03-17, cette option n'a
              d''effet pour les tests procfs, procall, checkopendir et checkchdir.
              Elle implique l'option -v.

        -r    Utilise une version alternative  du  test  sysinfo  lors  du  lancement  d'un  test
              standard.

        -V    Affiche la version et sort.

        -v    Affichage  prolixe,  affiche  les  message  d'avertissement  (par  défaut  : ne pas
              afficher). Cette option peut être répétée plus d'une fois.

       -u     Fait des écritures sans tampon (buffer) vers la sortie standard. Cette option  peut
              être  utile  lorsque unhide est lancé par un autre processus (par exemple, elle est
              utilisé par unhideGui).

       -H     Fournir un résultat légèrement plus adapté à  l'humain.  Cette  option  ajoute  des
              messages de fin aux tests et indique quand aucun processus caché n'est trouvé.

TEST_LIST

Les vérifications à faire consiste en un ou plusieurs des tests suivants.
Les tests standard sont l'agrégation d'un ou plusieurs test(s) élémentaire(s).

Tests Standards :

La technique brute consiste en un scan de tous les ID de processus par force brute.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique proc consiste à comparer le contenu de /proc avec la sortie de /bin/ps.

La technique procall combine les tests proc et procfs.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique procfs consiste à comparer les informations recueillies par le parcours de
l'arborescence du système de fichiers procfs avec les informations issues de /bin/ps
Avec l'option -m, ce test effectue des contrôles plus approfondis, voir le test
checkchdir.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique quick combine les techniques proc, procfs et sys d'une façon rapide. Elle est
environ 20 fois plus rapide, mais peut donner davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique reverse consiste à vérifier que tous les threads vus par /bin/ps sont
également vus dans le procfs et par les appels système. C'est une recherche inversée. Elle
est destiné à vérifier qu'un rootkit n'a pas tué un outil de sécurité (IDS ou autre) et
modifié /bin/ps pour lui faire afficher un faux processus à la place.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique sys consiste à comparer les résultats des appels des fonctions systèmes avec
les informations recueillies à partir de /bin/ps.

Tests Elémentaires :

La technique checkbrute en un scan de tous les ID de processus par force brute.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkchdir consiste à comparer les informations recueillies en parcourant le
système de fichiers procfs à l'aide de la fonction chdir() avec les informations obtenues
avec /bin/ps.
Avec l'option -m, elle vérifie également que les threads apparaîssent dans la liste des
threads de leur processus principal
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetaffinity consiste à comparer les résultat de l'appel à la fonction
système sched_getaffinity() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetparam consiste à comparer les résultats de l'appel à la fonction
système sched_getparam() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetpgid consiste à comparer les résultats de l'appel à la fonction
système getpgid() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetprio consiste à comparer les résultats de l'appel à la fonction
système getpriority() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkRRgetinterval consiste à comparer les résultats de l'appel à la fonction
système sched_rr_get_interval() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetsched consiste à comparer les résultats de l'appel à la fonction
système sched_getscheduler() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkgetsid consiste à comparer les résultats de l'appel à la fonction
système getsid() avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkkill consiste à comparer les résultats de l'appel à la fonction système
kill() avec les informations recueillies à partir de /bin/ps.
Note: aucun processus n'est réellement tué par ce test.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checknoprocps consiste à comparer les résultats des appels de chacune des
fonctions du système entre eux. Aucune comparaison n'est faite avec le contenu de /proc ou
la sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkopendir consiste à comparer les informations recueillies en parcourant
le système de fichiers procfs à l'aide de la fonction opendir() avec les informations
recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkproc consiste à comparer le contenu de /proc avec la sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkquick combine les technique proc, procfs et sys d'une façon rapide. Il
est environ 20 fois plus rapide, mais peut donner davantage de faux positifs.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkreaddir consiste à comparer les informations recueillies en parcourant
le système de fichiers procfs (/proc et /proc/PID/task) à l'aide de la fonction readdir()
avec les informations recueillies à partir de /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checkreverse consiste à vérifier que tous les threads vus par ps sont
également vus dans procfs et par les appels système. Il est destiné à vérifier qu'un
rootkit n'a pas tué un outil de sécurité (IDS ou autre) et modifié /bin/ps pour lui faire
afficher un faux processus à la place.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checksysinfo consiste à comparer le nombre des processus obtenu à partir de
l'appel système sysinfo() avec le nombre de processus vu par /bin/ps.
Cette technique n'est disponible qu'avec la version unhide-linux.

La technique checksysinfo2 est une version alternative du test checksysinfo. Il peut (ou
pas) fonctionner mieux sur un noyau modifié pour le temps réel, la préemption, la latence
basse ou un noyau qui n'utilise pas le scheduler standard.
Il est invoqué par les tests standard lorsqu'on utilise l'option -r
Cette technique n'est disponible qu'avec la version unhide-linux.

Code de retour
0 si OK,

1 si un thread caché ou faux est trouvé.

EXEMPLES

       Test le plus rapide :
              unhide quick

       Test rapide :
              unhide quick reverse

       Test standard :
              unhide sys proc

       Test le plus complet :
              unhide -m -d sys procall brute reverse

BUGS

       Rapportez    les    bugs    de    unhide    sur    le    bug     tracker     de     GitHub
       (https://github.com/YJesus/Unhide/issues)
       Avec  les  versions  récentes  du noyau Linux (> 2.6.33), le test sysinfo peut indiquer de
       faux positifs. Ça peut être dû à l'optimisation  dans  le  scheduleur,  l'utilisation  des
       cgroup  ou  même  l'utilisation  de  systemd.  L'utilisation  du patch PREEMPT-RT amplifie
       l'apparition du problème. Ce problème est en cours d'investigation.

VOIR AUSSI

       unhide-tcp (8).

AUTEUR

       Cette page de manuel a été écrite par Patrick Gouin (patrickg.github@free.fr).
       Permission vous est donnée de copier, distribuer  et/ou  modifier  ce  document  sous  les
       termes de la GNU General Public License, Version 3 ou toute version ultérieure publiée par
       la Free Software Foundation.

LICENCE

       Licence GPLv3: GNU GPL version 3 ou version ultérieure <http://gnu.org/licenses/gpl.html>.
       Ce logiciel est libre : vous êtes libre de le modifier et le redistribuer. Il n'y a AUCUNE
       GARANTIE, dans les limites permises par la loi.