Provided by: unhide_20110113-2_i386 bug

NOM

       unhide -- outil d'investigation pour trouver des processus caches

SYNOPSIS

       unhide [OPTIONS] TEST_LIST

DESCRIPTION

       unhide  est  un outil d'investigation pour trouver les processus caches
       par  des  rootkits,  des  modules  du  noyau  Linux  ou  par   d'autres
       techniques. Il detecte les processus caches en utilisant six techniques
       principales.

OPTIONS

        -f    Enregistre les sorties dans un fichier de log (unhide.log) situe
              dans le repertoire courant.

        -h    Affichage de l'aide.

        -m    Execute   des   controles   supplementaires.   Pour  la  version
              2010-11-21, cette option n'a d''effet  pour  les  tests  procfs,
              procall, checkopendir et checkchdir.
              Elle implique l'option -v.

        -r    Utilise   une  version  alternative  du  test  sysinfo  lors  du
              lancement d'un test standard.

        -V    Affiche la version et sort.

        -v    Affichage prolixe,  affiche  les  message  d'avertissement  (par
              defaut  : ne pas afficher).  Cette option peut etre repetee plus
              d'une fois.

TEST_LIST

       Les verifications a  faire  consiste  en  un  ou  plusieurs  des  tests
       suivants.
       Les   tests  standard  sont  l'agregation  d'un  ou  plusieurs  test(s)
       elementaire(s).

       Tests Standards :

       La technique brute consiste en un scan de tous les ID de processus  par
       force brute.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique proc consiste a comparer  le  contenu  de  /proc  avec  la
       sortie de /bin/ps.

       La technique procall combine les tests proc et procfs.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique procfs consiste a comparer  les  informations  recueillies
       par  le  parcours de l'arborescence du systeme de fichiers  procfs avec
       les informations issues de /bin/ps
       Avec l'option -m, ce test effectue des controles plus approfondis, voir
       le test checkchdir.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique quick combine les techniques proc,  procfs  et  sys  d'une
       facon  rapide.   Elle est environ 20 fois plus rapide, mais peut donner
       davantage de faux positifs.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  reverse consiste a verifier que tous les threads vus par
       /bin/ps sont egalement vus dans le procfs et par  les  appels  systeme.
       C'est une recherche inversee. Elle est destine a verifier qu'un rootkit
       n'a pas tue un outil de securite (IDS ou autre) et modifie /bin/ps pour
       lui faire afficher un faux processus a la place.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique sys consiste a  comparer  les  resultats  des  appels  des
       fonctions  systemes  avec  les  informations  recueillies  a  partir de
       /bin/ps.

       Tests El'ementaires :

       La technique checkbrute en un scan de tous  les  ID  de  processus  par
       force brute.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checkchdir  consiste   a   comparer   les   informations
       recueillies  en parcourant le systeme de fichiers procfs a l'aide de la
       fonction chdir() avec les informations obtenues avec /bin/ps.
       Avec l'option -m, elle verifie egalement que les  threads  apparaissent
       dans la liste des threads de leur processus principal
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetaffinity  consiste  a  comparer  les  resultat  de
       l'appel a la fonction systeme sched_getaffinity() avec les informations
       recueillies a partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkgetparam consiste a comparer les resultats de l'appel
       a  la  fonction  systeme   sched_getparam()   avec   les   informations
       recueillies a partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetpgid consiste a comparer les resultats de  l'appel
       a  la  fonction  systeme  getpgid() avec les informations recueillies a
       partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique checkgetprio consiste a comparer les resultats de l'appel
       a la fonction systeme getpriority() avec les informations recueillies a
       partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkRRgetinterval consiste a comparer  les  resultats  de
       l'appel   a   la  fonction  systeme  sched_rr_get_interval()  avec  les
       informations recueillies a partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkgetsched consiste a comparer les resultats de l'appel
       a  la  fonction  systeme  sched_getscheduler()  avec  les  informations
       recueillies a partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetsid consiste a comparer les resultats de l'appel a
       la fonction systeme getsid() avec les informations recueillies a partir
       de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  checkkill consiste a comparer les resultats de l'appel a
       la fonction systeme kill() avec les informations recueillies  a  partir
       de /bin/ps.
       Note: aucun processus n'est reellement tue par ce test.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checknoprocps consiste a comparer les resultats des appels
       de chacune des fonctions du systeme entre eux. Aucune comparaison n'est
       faite avec le contenu de /proc ou la sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La   technique   checkopendir  consiste  a  comparer  les  informations
       recueillies en parcourant le systeme de fichiers procfs a l'aide de  la
       fonction  opendir()  avec  les  informations  recueillies  a  partir de
       /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique checkproc consiste a comparer le contenu de /proc avec la
       sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkquick combine les technique proc, procfs et sys d'une
       facon rapide. Il est environ 20 fois  plus  rapide,  mais  peut  donner
       davantage de faux positifs.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checkreaddir  consiste  a  comparer   les   informations
       recueillies  en  parcourant  le  systeme  de  fichiers procfs (/proc et
       /proc/PID/task) a l'aide de la fonction readdir() avec les informations
       recueillies a partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkreverse consiste a verifier que tous les threads  vus
       par ps sont egalement vus dans procfs et par les appels systeme. Il est
       destine a verifier qu'un rootkit n'a pas tue un outil de securite  (IDS
       ou  autre) et modifie /bin/ps pour lui faire afficher un faux processus
       a la place.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  checksysinfo consiste a comparer le nombre des processus
       obtenu a  partir  de  l'appel  systeme  sysinfo()  avec  le  nombre  de
       processus vu par /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checksysinfo2  est  une  version  alternative  du   test
       checksysinfo.   Il peut (ou pas) fonctionner mieux sur un noyau modifie
       pour le temps reel, la preemption, la latence basse  ou  un  noyau  qui
       n'utilise pas le scheduler standard.
       Il est invoque par les tests standard lorsqu'on utilise l'option -r
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

   Code de retour
       0      si OK,

       1      si un thread cache ou faux est trouve.

BUGS

       Rapportez les  bugs  de  unhide  sur  le  bug  tracker  de  sourceforge
       (http://sourceforge.net/projects/unhide/)

VOIR AUSSI

       unhide-tcp (8).

AUTEUR

       Cette  page  de  manuel  a  ete  ecrite  par  Patrick  Gouin  (patrick-
       g@users.sourceforge.net).   Permission  vous  est  donnee  de   copier,
       distribuer et/ou modifier ce document sous les termes de la GNU General
       Public License, Version 3 ou toute version ulterieure  publiee  par  la
       Free Software Foundation.

LICENCE

       Licence    GPLv3:   GNU   GPL   version   3   ou   version   ulterieure
       <http://gnu.org/licenses/gpl.html>.
       Ce logiciel est libre : vous etes libre de modifier et le redistribuer.
       Il n'y a AUCUNE GARANTIE, dans les limites permises par la loi.