Ubuntu manuals

Provided by: unhide_20110113-4_i386

NAME

       unhide -- Herramienta forense para descubrir procesos ocultos

SYNOPSIS

       unhide [OPTIONS] TEST_LIST

DESCRIPCION

       unhide  es  una  herramienta  forense para detectar procesos ocultos en
       sistemas Unix que hayan sido ocultados mediante rookits / modulos en el
       Kernel o cualquier otra tecnica de ocultacion. Implementa seis tecnicas
       de deteccion

OPCIONES

       -f     Crea  un  fichero  de  log  (unhide.log)  en  el  directorio  de
              ejecucion.

       -h     Muestra la ayuda

       -m     Realiza  multiples  tests anadidos, desde la version 2010-11-21,
              esta opcion solo es valida en  los  tests  'procfs',  'procall',
              'checkopendir' y 'checkchdir'
              Implica -v

       -r     Emplea una version alternativa del test sysinfo

       -V     Muestra la version y sale

       -v     Fuerza  la  salida  debug  con  los  mensajes de error (se puede
              repetir varias veces -vv)

TEST_LIST

       Los checks consisten en uno o mas de los siguientes tests
       Los tests  estandar  son  en  realidad  agrupaciones  de  varios  tests
       elementales

       Tests estandar :

       El  test  brute consiste en hacer fuerza bruta sobre todo el espacio de
       identificadores de procesos (PIDS)
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test proc consiste en comparar el directorio /proc con la salida del
       comando /bin/ps

       El test procall combina los tests proc y procfs
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test procfs consiste en comparar la informacion obtenida por /bin/ps
       con los datos obtenidos al recorrer procfs
       Con la  opcion  -m  este  test  realiza  tests  adicionales,  para  mas
       informacion consultar checkchdir
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  quick  combina  los  tests  proc,  procfs  y sys en una forma
       'rapida' de ejecucion, es hasta 20 veces mas rapido que otros test pero
       tambien puede ofrecer mas falsos positivos
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  reverse  consiste en verificar que todos los procesos e hilos
       que son vistos por /bin/ps existen realmente buscandolos  en  procfs  y
       por  system calls. El objetivo es averiguar si se ha modificado /bin/ps
       para hacer  creer  que  existen  en  ejecucion  algunos  programas  que
       realmente no lo estan
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  sys  consiste  en comparar la informacion obtenida de /bin/ps
       contra algunas system calls

       Tests elementales :

       El test checkbrute consiste  en  hacer  fuerza  bruta  contra  todo  el
       espacio de procesos (PIDS) del sistema
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  checkchdir  consiste  en comparar la informacion obtenida por
       /bin/ps y compararla haciendo chdir() en procfs
       Con la opcion -m tambien se comprueba que el hilo aparece en  la  lista
       "leader process"
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  checkgetaffinity consiste en comparar la informacion obtenida
       por /bin/ps con el resultado de la system call sched_getaffinity()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test checkgetparam consiste en comparar la informacion obtenida  por
       /bin/ps con el resultado de la system call sched_getparam()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  checkgetpgid consiste en comparar la informacion obtenida por
       /bin/ps con el resultado de la system call getpgid()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test checkgetprio consiste en comparar la informacion  obtenida  por
       /bin/ps con el resultado de la system call getpriority()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test checkRRgetinterval consiste en comparar la informacion obtenida
       por /bin/ps con el resultado de la system call sched_rr_get_interval()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test checkgetsched consiste en comparar la informacion obtenida  por
       /bin/ps con el resultado de la system call sched_getscheduler()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El  test  checkgetsid  consiste en comparar la informacion obtenida por
       /bin/ps con el resultado de la system call getsid()
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El test checkkill consiste en  comparar  la  informacion  obtenida  por
       /bin/ps con el resultado de la system call kill()
       Nota: ningun proceso es 'matado' con este test
       Esta tecnica solo esta disponible en Linux Kernel 2.6.

       El   test  checknoprocps  consiste  en  comparar  el  resultado  de  la
       informacion obtenida usando cada  una  de  las  system  calls  buscando
       diferencias entre si. No se emplea /bin/ps o /proc
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El  test  checkopendir consiste en comparar la informacion obtenida por
       /bin/ps con el resultado de hacer opendir() sobre procfs
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El test checkproc consiste en  comparar  la  informacion  obtenida  por
       /bin/ps con los datos de /proc
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El  test  checkquick  combina los tests proc, procfs y sys en una forma
       'rapida' de ejecucion, es hasta 20 veces mas rapido que otros test pero
       tambien puede ofrecer mas falsos positivos
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El  test  checkreaddir consiste en comparar la informacion obtenida por
       /bin/ps con el resultado de hacer readdir() en /proc y /proc/pid/task
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El test checkreverse consiste en verificar que  todos  los  procesos  e
       hilos  que  son  vistos  por  /bin/ps  existen realmente buscandolos en
       procfs y por system calls. El objetivo es averiguar si se ha modificado
       /bin/ps para hacer creer que existen en ejecucion algunos programas que
       realmente no lo estan
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El test  checksysinfo  consiste  en  comparar  el  numero  de  procesos
       contabilizados  por  /bin/ps contra el numero de procesos que indica la
       syscall sysinfo()
       Esta tecnica solo esta disponible en Linux Kernel 2.6

       El test checksysinfo2 es una version alternativa  de  checksysinfo,  se
       presupone  que  funciona mejor en kernels parcheados para RT, preempt o
       latency y tambien con kernels que no usen el planificador estandar
       Este test esta implicito cuando se ejecuta con la opcion -r
       Esta tecnica solo esta disponible en Linux Kernel 2.6

   Exit status:
       0      si todo OK,

       1      si se ha localizado un proceso oculto o falso

BUGS

       Puedes reportar fallos de unhide en el  'bug  tracker'  de  Sourceforge
       (http://sourceforge.net/projects/unhide/)

SEE ALSO

       unhide-tcp (8).

AUTHOR

       This manual page was written by Francois Marier francois@debian.org and
       Patrick Gouin.  Permission is granted to copy, distribute and/or modify
       this  document  under  the  terms  of  the  GNU General Public License,
       Version  3  or  any  later  version  published  by  the  Free  Software
       Foundation.

LICENSE

       License      GPLv3+:     GNU     GPL     version     3     or     later
       <http://gnu.org/licenses/gpl.html>.
       This is free software: you are free  to  change  and  redistribute  it.
       There is NO WARRANTY, to the extent permitted by law.