Provided by: unhide_20110113-4_amd64 bug

NOM

       unhide — outil d'investigation pour trouver des processus cachés

SYNOPSIS

       unhide [OPTIONS] TEST_LIST

DESCRIPTION

       unhide  est  un  outil d'investigation pour trouver les processus cachés par des rootkits,
       des modules du noyau Linux ou par d'autres techniques. Il détecte les processus cachés  en
       utilisant six techniques principales.

OPTIONS

        -f    Enregistre les sorties dans un fichier de log (unhide.log) situé dans le répertoire
              courant.

        -h    Affichage de l'aide.

        -m    Exécute des contrôles supplémentaires. Pour la version 2010-11-21, cette option n'a
              d''effet pour les tests procfs, procall, checkopendir et checkchdir.
              Elle implique l'option -v.

        -r    Utilise  une  version  alternative  du  test  sysinfo  lors  du lancement d'un test
              standard.

        -V    Affiche la version et sort.

        -v    Affichage prolixe, affiche  les  message  d'avertissement  (par  défaut  :  ne  pas
              afficher). Cette option peut être répétée plus d'une fois.

TEST_LIST

       Les vérifications à faire consiste en un ou plusieurs des tests suivants.
       Les tests standard sont l'agrégation d'un ou plusieurs test(s) élémentaire(s).

       Tests Standards :

       La technique brute consiste en un scan de tous les ID de processus par force brute.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique proc consiste à comparer le contenu de /proc avec la sortie de /bin/ps.

       La technique procall combine les tests proc et procfs.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  procfs  consiste à comparer les informations recueillies par le parcours de
       l'arborescence du système de fichiers  procfs avec les informations issues de /bin/ps
       Avec l'option  -m,  ce  test  effectue  des  contrôles  plus  approfondis,  voir  le  test
       checkchdir.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique quick combine les techniques proc, procfs et sys d'une façon rapide. Elle est
       environ 20 fois plus rapide, mais peut donner davantage de faux positifs.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique reverse consiste à vérifier  que  tous  les  threads  vus  par  /bin/ps  sont
       également vus dans le procfs et par les appels système. C'est une recherche inversée. Elle
       est destiné à vérifier qu'un rootkit n'a pas tué un outil de sécurité (IDS  ou  autre)  et
       modifié /bin/ps pour lui faire afficher un faux processus à la place.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique sys consiste à comparer les résultats des appels des fonctions systèmes avec
       les informations recueillies à partir de /bin/ps.

       Tests Elémentaires :

       La technique checkbrute en un scan de tous les ID de processus par force brute.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkchdir consiste à comparer les informations recueillies en parcourant  le
       système  de fichiers procfs à l'aide de la fonction chdir() avec les informations obtenues
       avec /bin/ps.
       Avec l'option -m, elle vérifie également que les threads apparaîssent dans  la  liste  des
       threads de leur processus principal
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checkgetaffinity  consiste à comparer les résultat de l'appel à la fonction
       système sched_getaffinity() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkgetparam consiste à comparer les résultats  de  l'appel  à  la  fonction
       système sched_getparam() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checkgetpgid  consiste  à  comparer  les résultats de l'appel à la fonction
       système getpgid() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkgetprio consiste à comparer les  résultats  de  l'appel  à  la  fonction
       système getpriority() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkRRgetinterval consiste à comparer les résultats de l'appel à la fonction
       système sched_rr_get_interval() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkgetsched consiste à comparer les résultats  de  l'appel  à  la  fonction
       système sched_getscheduler() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checkgetsid  consiste  à  comparer  les  résultats de l'appel à la fonction
       système getsid() avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkkill consiste à comparer les résultats de l'appel à la fonction  système
       kill() avec les informations recueillies à partir de /bin/ps.
       Note: aucun processus n'est réellement tué par ce test.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checknoprocps  consiste  à comparer les résultats des appels de chacune des
       fonctions du système entre eux. Aucune comparaison n'est faite avec le contenu de /proc ou
       la sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checkopendir consiste à comparer les informations recueillies en parcourant
       le système de fichiers procfs à l'aide de la  fonction  opendir()  avec  les  informations
       recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkproc consiste à comparer le contenu de /proc avec la sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checkquick combine les technique proc, procfs et sys d'une façon rapide. Il
       est environ 20 fois plus rapide, mais peut donner davantage de faux positifs.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkreaddir consiste à comparer les informations recueillies  en  parcourant
       le  système de fichiers procfs (/proc et /proc/PID/task) à l'aide de la fonction readdir()
       avec les informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checkreverse consiste à vérifier  que  tous  les  threads  vus  par  ps  sont
       également  vus  dans  procfs  et  par  les appels système. Il est destiné à vérifier qu'un
       rootkit n'a pas tué un outil de sécurité (IDS ou autre) et modifié /bin/ps pour lui  faire
       afficher un faux processus à la place.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La  technique  checksysinfo consiste à comparer le nombre des processus obtenu à partir de
       l'appel système sysinfo() avec le nombre de processus vu par /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

       La technique checksysinfo2 est une version alternative du test checksysinfo. Il  peut  (ou
       pas)  fonctionner mieux sur un noyau modifié pour le temps réel, la préemption, la latence
       basse ou un noyau qui n'utilise pas le scheduler standard.
       Il est invoqué par les tests standard lorsqu'on utilise l'option -r
       Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

   Code de retour
       0      si OK,

       1      si un thread caché ou faux est trouvé.

BUGS

       Rapportez   les   bugs    de    unhide    sur    le    bug    tracker    de    sourceforge
       (http://sourceforge.net/projects/unhide/)

VOIR AUSSI

       unhide-tcp (8).

AUTEUR

       Cette  page  de  manuel  a été écrite par Patrick Gouin (patrick-g@users.sourceforge.net).
       Permission vous est donnée de copier, distribuer  et/ou  modifier  ce  document  sous  les
       termes de la GNU General Public License, Version 3 ou toute version ultérieure publiée par
       la Free Software Foundation.

LICENCE

       Licence GPLv3: GNU GPL version 3 ou version ultérieure <http://gnu.org/licenses/gpl.html>.
       Ce logiciel est libre : vous êtes libre de modifier et le redistribuer. Il  n'y  a  AUCUNE
       GARANTIE, dans les limites permises par la loi.