Provided by:
unhide_20110113-4_i386 
NOM
unhide -- outil d'investigation pour trouver des processus caches
SYNOPSIS
unhide [OPTIONS] TEST_LIST
DESCRIPTION
unhide est un outil d'investigation pour trouver les processus caches
par des rootkits, des modules du noyau Linux ou par d'autres
techniques. Il detecte les processus caches en utilisant six techniques
principales.
OPTIONS
-f Enregistre les sorties dans un fichier de log (unhide.log) situe
dans le repertoire courant.
-h Affichage de l'aide.
-m Execute des controles supplementaires. Pour la version
2010-11-21, cette option n'a d''effet pour les tests procfs,
procall, checkopendir et checkchdir.
Elle implique l'option -v.
-r Utilise une version alternative du test sysinfo lors du
lancement d'un test standard.
-V Affiche la version et sort.
-v Affichage prolixe, affiche les message d'avertissement (par
defaut : ne pas afficher). Cette option peut etre repetee plus
d'une fois.
TEST_LIST
Les verifications a faire consiste en un ou plusieurs des tests
suivants.
Les tests standard sont l'agregation d'un ou plusieurs test(s)
elementaire(s).
Tests Standards :
La technique brute consiste en un scan de tous les ID de processus par
force brute.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique proc consiste a comparer le contenu de /proc avec la
sortie de /bin/ps.
La technique procall combine les tests proc et procfs.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique procfs consiste a comparer les informations recueillies
par le parcours de l'arborescence du systeme de fichiers procfs avec
les informations issues de /bin/ps
Avec l'option -m, ce test effectue des controles plus approfondis, voir
le test checkchdir.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique quick combine les techniques proc, procfs et sys d'une
facon rapide. Elle est environ 20 fois plus rapide, mais peut donner
davantage de faux positifs.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique reverse consiste a verifier que tous les threads vus par
/bin/ps sont egalement vus dans le procfs et par les appels systeme.
C'est une recherche inversee. Elle est destine a verifier qu'un rootkit
n'a pas tue un outil de securite (IDS ou autre) et modifie /bin/ps pour
lui faire afficher un faux processus a la place.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique sys consiste a comparer les resultats des appels des
fonctions systemes avec les informations recueillies a partir de
/bin/ps.
Tests El'ementaires :
La technique checkbrute en un scan de tous les ID de processus par
force brute.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkchdir consiste a comparer les informations
recueillies en parcourant le systeme de fichiers procfs a l'aide de la
fonction chdir() avec les informations obtenues avec /bin/ps.
Avec l'option -m, elle verifie egalement que les threads apparaissent
dans la liste des threads de leur processus principal
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetaffinity consiste a comparer les resultat de
l'appel a la fonction systeme sched_getaffinity() avec les informations
recueillies a partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetparam consiste a comparer les resultats de l'appel
a la fonction systeme sched_getparam() avec les informations
recueillies a partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetpgid consiste a comparer les resultats de l'appel
a la fonction systeme getpgid() avec les informations recueillies a
partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetprio consiste a comparer les resultats de l'appel
a la fonction systeme getpriority() avec les informations recueillies a
partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkRRgetinterval consiste a comparer les resultats de
l'appel a la fonction systeme sched_rr_get_interval() avec les
informations recueillies a partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetsched consiste a comparer les resultats de l'appel
a la fonction systeme sched_getscheduler() avec les informations
recueillies a partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkgetsid consiste a comparer les resultats de l'appel a
la fonction systeme getsid() avec les informations recueillies a partir
de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkkill consiste a comparer les resultats de l'appel a
la fonction systeme kill() avec les informations recueillies a partir
de /bin/ps.
Note: aucun processus n'est reellement tue par ce test.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checknoprocps consiste a comparer les resultats des appels
de chacune des fonctions du systeme entre eux. Aucune comparaison n'est
faite avec le contenu de /proc ou la sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkopendir consiste a comparer les informations
recueillies en parcourant le systeme de fichiers procfs a l'aide de la
fonction opendir() avec les informations recueillies a partir de
/bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkproc consiste a comparer le contenu de /proc avec la
sortie de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkquick combine les technique proc, procfs et sys d'une
facon rapide. Il est environ 20 fois plus rapide, mais peut donner
davantage de faux positifs.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkreaddir consiste a comparer les informations
recueillies en parcourant le systeme de fichiers procfs (/proc et
/proc/PID/task) a l'aide de la fonction readdir() avec les informations
recueillies a partir de /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checkreverse consiste a verifier que tous les threads vus
par ps sont egalement vus dans procfs et par les appels systeme. Il est
destine a verifier qu'un rootkit n'a pas tue un outil de securite (IDS
ou autre) et modifie /bin/ps pour lui faire afficher un faux processus
a la place.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checksysinfo consiste a comparer le nombre des processus
obtenu a partir de l'appel systeme sysinfo() avec le nombre de
processus vu par /bin/ps.
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
La technique checksysinfo2 est une version alternative du test
checksysinfo. Il peut (ou pas) fonctionner mieux sur un noyau modifie
pour le temps reel, la preemption, la latence basse ou un noyau qui
n'utilise pas le scheduler standard.
Il est invoque par les tests standard lorsqu'on utilise l'option -r
Cette technique n'est disponible qu'avec la version pour Linux version
2.6.
Code de retour
0 si OK,
1 si un thread cache ou faux est trouve.
BUGS
Rapportez les bugs de unhide sur le bug tracker de sourceforge
(http://sourceforge.net/projects/unhide/)
VOIR AUSSI
unhide-tcp (8).
AUTEUR
Cette page de manuel a ete ecrite par Patrick Gouin (patrick-
g@users.sourceforge.net). Permission vous est donnee de copier,
distribuer et/ou modifier ce document sous les termes de la GNU General
Public License, Version 3 ou toute version ulterieure publiee par la
Free Software Foundation.
LICENCE
Licence GPLv3: GNU GPL version 3 ou version ulterieure
<http://gnu.org/licenses/gpl.html>.
Ce logiciel est libre : vous etes libre de modifier et le redistribuer.
Il n'y a AUCUNE GARANTIE, dans les limites permises par la loi.