如何安裝 unhide 并搜索隱藏的進(jìn)程和 TCP/UDP 端口
unhide是一個(gè)小巧的網(wǎng)絡(luò)取證工具,能夠發(fā)現(xiàn)那些借助 rootkit、LKM 及其它技術(shù)隱藏的進(jìn)程和 TCP/UDP 端口。這個(gè)工具在 Linux、UNIX 類、MS-Windows 等操作系統(tǒng)下都可以工作。根據(jù)其 man 頁(yè)面的說(shuō)明:
Unhide 通過(guò)下述三項(xiàng)技術(shù)來(lái)發(fā)現(xiàn)隱藏的進(jìn)程。
進(jìn)程相關(guān)的技術(shù),包括將/proc目錄與/bin/ps命令的輸出進(jìn)行比較。
系統(tǒng)相關(guān)的技術(shù),包括將/bin/ps命令的輸出結(jié)果同從系統(tǒng)調(diào)用方面得到的信息進(jìn)行比較。
窮舉法相關(guān)的技術(shù),包括對(duì)所有的進(jìn)程 ID 進(jìn)行暴力求解,該技術(shù)僅限于在基于 Linux2.6 內(nèi)核的系統(tǒng)中使用。
絕大多數(shù)的 Rootkit 工具或者惡意軟件借助內(nèi)核來(lái)實(shí)現(xiàn)進(jìn)程隱藏,這些進(jìn)程只在內(nèi)核內(nèi)部可見(jiàn)。你可以使用unhide或者諸如rkhunter 等工具,掃描 rootkit 程序 、后門(mén)程序以及一些可能存在的本地漏洞。
這篇文章描述了如何安裝 unhide 并搜索隱藏的進(jìn)程和 TCP/UDP 端口。
如何安裝 unhide
首先建議你在只讀介質(zhì)上運(yùn)行這個(gè)工具。如果使用的是 Ubuntu 或者 Debian 發(fā)行版,輸入下述的apt-get/apt命令以安裝 Unhide:
$sudo apt-get install unhide
一切順利的話你的命令行會(huì)輸出以下內(nèi)容:
[sudo]password forvivek:
Reading packagelists...Done
Building dependency tree
Reading state information...Done
Suggested packages:
rkhunter
The following NEWpackages will be installed:
unhide
0upgraded,1newly installed,0toremove and0notupgraded.
Need toget46.6kB of archives.
After thisoperation,136kB of additional disk space will be used.
Get:1http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]
Fetched46.6kB in0s(49.0kB/s)
Selecting previously unselected packageunhide.
(Reading database...205367files anddirectories currently installed.)
Preparing tounpack.../unhide_20130526-1_amd64.deb...
Unpacking unhide(20130526-1)...
Setting up unhide(20130526-1)...
Processing triggers forman-db(2.7.6.1-2)...
如何在 RHEL/CentOS/Oracle/Scientific/Fedora 上安裝 unhide
輸入下列 yum Type the following yum command (first turn on EPLE repo on a CentOS/RHEL version 6.x or version 7.x):
輸入以下的 yum 命令(CentOS/RHEL 6.x 或 7.x 上首先打開(kāi) EPEL 倉(cāng)庫(kù)):
$sudo yum install unhide
在 Fedora 上則使用以下 dnf 命令:
$sudo dnf install unhide
如何在 Arch 上安裝 unhide
鍵入以下 pacman 命令安裝:
$sudo pacman -Sunhide
如何在 FreeBSD 上安裝 unhide
可以通過(guò)以下的命令使用 port 來(lái)安裝 unhide:
# cd /usr/ports/security/unhide/
# make install clean
或者可以通過(guò)二進(jìn)制文件安裝 hide,使用 pkg 命令安裝:
# pkg install unhide
如何使用 unhide 工具?
unhide 的語(yǔ)法是:
unhide[options]test_list
test_list參數(shù)可以是以下測(cè)試列表中的一個(gè)或者多個(gè)標(biāo)準(zhǔn)測(cè)試:
brute
proc
procall
procfs
quick
reverse
sys
或基本測(cè)試:
checkbrute
checkchdir
checkgetaffinity
checkgetparam
checkgetpgid
checkgetprio
checkRRgetinterval
checkgetsched
checkgetsid
checkkill
checknoprocps
checkopendir
checkproc
checkquick
checkreaddir
checkreverse
checksysinfo
checksysinfo2
checksysinfo3
你可以通過(guò)以下示例命令使用unhide:
# unhide proc
# unhide sys
# unhide quick
示例輸出:
Unhide20130526
Copyright?2013Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version3orlater
http://www.unhide-forensics.info
NOTE : Thisversion of unhide isforsystems using Linux >= 2.6
Used options:
[*]Searching forHidden processes throughcomparison of results of system calls,proc,dir andps
如何使用 unhide-tcp 工具辨明 TCP/UDP 端口的身份
以下是來(lái)自 man 頁(yè)面的介紹:
unhide-tcp取證工具通過(guò)對(duì)所有可用的 TCP/IP 端口進(jìn)行暴力求解的方式,辨別所有正在監(jiān)聽(tīng),卻沒(méi)有列入/bin/netstat或者/bin/ss命令輸出的 TCP/IP 端口身份。
注一:對(duì)于 FreeBSD、OpenBSD系統(tǒng),一般使用 netstat 命令取代在這些操作系統(tǒng)上不存在的 iproute2,此外,sockstat 命令也用于替代 fuser。
注二:如果操作系統(tǒng)不支持 iproute2 命令,在使用unhide時(shí)需要在命令上加上-n或者-s選項(xiàng)。
# unhide-tcp
示例輸出:
Unhide20100201
http://www.security-projects.com/?Unhide
Starting TCP checking
Starting UDP checking
上述操作中,沒(méi)有發(fā)現(xiàn)隱藏的端口。
但在下述示例中,我展示了一些有趣的事。
# unhide-tcp
示例輸出:
Unhide20100201
http://www.security-projects.com/?Unhide
Starting TCP checking
Found Hidden port that notappears innetstat: 1048
Found Hidden port that notappears innetstat: 1049
Found Hidden port that notappears innetstat: 1050
Starting UDP checking
可以看到 netstat -tulpn 和 ss 命令確實(shí)沒(méi)有反映出這三個(gè)隱藏的端口:
# netstat -tulpn | grep 1048
# ss -lp
# ss -l | grep 1048
通過(guò)下述的 man 命令可以更多地了解 unhide:
$man unhide
$man unhide-tcp
-
Linux
+關(guān)注
關(guān)注
87文章
11225瀏覽量
208911 -
TCP
+關(guān)注
關(guān)注
8文章
1349瀏覽量
78985 -
UDP
+關(guān)注
關(guān)注
0文章
322瀏覽量
33874 -
Man
+關(guān)注
關(guān)注
0文章
6瀏覽量
7547
原文標(biāo)題:如何在 Linux/Unix/Windows 中發(fā)現(xiàn)隱藏的進(jìn)程和端口
文章出處:【微信號(hào):LinuxHub,微信公眾號(hào):Linux愛(ài)好者】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
進(jìn)程執(zhí)法官
【我是電子發(fā)燒友】TCP & UDP 端口號(hào)分配
TCP和UDP的區(qū)別分析
udp端口怎么測(cè)試
tcp和udp協(xié)議的異同
TCP和UDP可以同時(shí)綁定相同的端口嗎?
基于Socket的UDP和TCP編程解析 1
基于Socket的UDP和TCP編程解析 2
TCP和UDP可以同時(shí)綁定相同的端口嗎?
UDP一定比TCP更快嗎?什么情況下用UDP會(huì)更慢?
udp是什么協(xié)議 TCP與UDP的區(qū)別
TCP和UDP的區(qū)別
socket、端口、進(jìn)程的關(guān)系
TCP與UDP的基本區(qū)別
工商網(wǎng)監(jiān)
評(píng)論