Provided by: unhide_20110113-4_i386 bug

NOM

       unhide — outil d'investigation pour trouver des processus cachés

SYNOPSIS

       unhide [OPTIONS] TEST_LIST

DESCRIPTION

       unhide  est  un outil d'investigation pour trouver les processus cachés
       par  des  rootkits,  des  modules  du  noyau  Linux  ou  par   d'autres
       techniques. Il détecte les processus cachés en utilisant six techniques
       principales.

OPTIONS

        -f    Enregistre les sorties dans un fichier de log (unhide.log) situé
              dans le répertoire courant.

        -h    Affichage de l'aide.

        -m    Exécute   des   contrôles   supplémentaires.   Pour  la  version
              2010-11-21, cette option n'a d''effet  pour  les  tests  procfs,
              procall, checkopendir et checkchdir.
              Elle implique l'option -v.

        -r    Utilise   une  version  alternative  du  test  sysinfo  lors  du
              lancement d'un test standard.

        -V    Affiche la version et sort.

        -v    Affichage prolixe,  affiche  les  message  d'avertissement  (par
              défaut  :  ne pas afficher). Cette option peut être répétée plus
              d'une fois.

TEST_LIST

       Les vérifications à  faire  consiste  en  un  ou  plusieurs  des  tests
       suivants.
       Les   tests  standard  sont  l'agrégation  d'un  ou  plusieurs  test(s)
       élémentaire(s).

       Tests Standards :

       La technique brute consiste en un scan de tous les ID de processus  par
       force brute.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique proc consiste à comparer  le  contenu  de  /proc  avec  la
       sortie de /bin/ps.

       La technique procall combine les tests proc et procfs.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique procfs consiste à comparer  les  informations  recueillies
       par  le  parcours de l'arborescence du système de fichiers  procfs avec
       les informations issues de /bin/ps
       Avec l'option -m, ce test effectue des contrôles plus approfondis, voir
       le test checkchdir.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique quick combine les techniques proc,  procfs  et  sys  d'une
       façon  rapide.  Elle  est environ 20 fois plus rapide, mais peut donner
       davantage de faux positifs.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  reverse consiste à vérifier que tous les threads vus par
       /bin/ps sont également vus dans le procfs et par  les  appels  système.
       C'est une recherche inversée. Elle est destiné à vérifier qu'un rootkit
       n'a pas tué un outil de sécurité (IDS ou autre) et modifié /bin/ps pour
       lui faire afficher un faux processus à la place.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique sys consiste à  comparer  les  résultats  des  appels  des
       fonctions  systèmes  avec  les  informations  recueillies  à  partir de
       /bin/ps.

       Tests Elémentaires :

       La technique checkbrute en un scan de tous  les  ID  de  processus  par
       force brute.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checkchdir  consiste   à   comparer   les   informations
       recueillies  en parcourant le système de fichiers procfs à l'aide de la
       fonction chdir() avec les informations obtenues avec /bin/ps.
       Avec l'option -m, elle vérifie également que les  threads  apparaîssent
       dans la liste des threads de leur processus principal
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetaffinity  consiste  à  comparer  les  résultat  de
       l'appel à la fonction système sched_getaffinity() avec les informations
       recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkgetparam consiste à comparer les résultats de l'appel
       à  la  fonction  système   sched_getparam()   avec   les   informations
       recueillies à partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetpgid consiste à comparer les résultats de  l'appel
       à  la  fonction  système  getpgid() avec les informations recueillies à
       partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique checkgetprio consiste à comparer les résultats de l'appel
       à la fonction système getpriority() avec les informations recueillies à
       partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkRRgetinterval consiste à comparer  les  résultats  de
       l'appel   à   la  fonction  système  sched_rr_get_interval()  avec  les
       informations recueillies à partir de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkgetsched consiste à comparer les résultats de l'appel
       à  la  fonction  système  sched_getscheduler()  avec  les  informations
       recueillies à partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkgetsid consiste à comparer les résultats de l'appel à
       la fonction système getsid() avec les informations recueillies à partir
       de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  checkkill consiste à comparer les résultats de l'appel à
       la fonction système kill() avec les informations recueillies  à  partir
       de /bin/ps.
       Note: aucun processus n'est réellement tué par ce test.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checknoprocps consiste à comparer les résultats des appels
       de chacune des fonctions du système entre eux. Aucune comparaison n'est
       faite avec le contenu de /proc ou la sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La   technique   checkopendir  consiste  à  comparer  les  informations
       recueillies en parcourant le système de fichiers procfs à l'aide de  la
       fonction  opendir()  avec  les  informations  recueillies  à  partir de
       /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique checkproc consiste à comparer le contenu de /proc avec la
       sortie de /bin/ps.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La technique checkquick combine les technique proc, procfs et sys d'une
       façon rapide. Il est environ 20 fois  plus  rapide,  mais  peut  donner
       davantage de faux positifs.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checkreaddir  consiste  à  comparer   les   informations
       recueillies  en  parcourant  le  système  de  fichiers procfs (/proc et
       /proc/PID/task) à l'aide de la fonction readdir() avec les informations
       recueillies à partir de /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La technique checkreverse consiste à vérifier que tous les threads  vus
       par ps sont également vus dans procfs et par les appels système. Il est
       destiné à vérifier qu'un rootkit n'a pas tué un outil de sécurité  (IDS
       ou  autre) et modifié /bin/ps pour lui faire afficher un faux processus
       à la place.
       Cette technique n'est disponible qu'avec la version pour Linux  version
       2.6.

       La  technique  checksysinfo consiste à comparer le nombre des processus
       obtenu à  partir  de  l'appel  système  sysinfo()  avec  le  nombre  de
       processus vu par /bin/ps.
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

       La  technique  checksysinfo2  est  une  version  alternative  du   test
       checksysinfo.  Il  peut (ou pas) fonctionner mieux sur un noyau modifié
       pour le temps réel, la préemption, la latence basse  ou  un  noyau  qui
       n'utilise pas le scheduler standard.
       Il est invoqué par les tests standard lorsqu'on utilise l'option -r
       Cette  technique n'est disponible qu'avec la version pour Linux version
       2.6.

   Code de retour
       0      si OK,

       1      si un thread caché ou faux est trouvé.

BUGS

       Rapportez les  bugs  de  unhide  sur  le  bug  tracker  de  sourceforge
       (http://sourceforge.net/projects/unhide/)

VOIR AUSSI

       unhide-tcp (8).

AUTEUR

       Cette  page  de  manuel  a  été  écrite  par  Patrick  Gouin  (patrick-
       g@users.sourceforge.net).  Permission  vous  est  donnée   de   copier,
       distribuer et/ou modifier ce document sous les termes de la GNU General
       Public License, Version 3 ou toute version ultérieure  publiée  par  la
       Free Software Foundation.

LICENCE

       Licence    GPLv3:   GNU   GPL   version   3   ou   version   ultérieure
       <http://gnu.org/licenses/gpl.html>.
       Ce logiciel est libre : vous êtes libre de modifier et le redistribuer.
       Il n'y a AUCUNE GARANTIE, dans les limites permises par la loi.