自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何在Linux/Unix/Windows中發(fā)現(xiàn)隱藏的進(jìn)程和端口

作者:佚名
系統(tǒng) Linux
unhide 是一個(gè)小巧的網(wǎng)絡(luò)取證工具,能夠發(fā)現(xiàn)那些借助 rootkit、LKM 及其它技術(shù)隱藏的進(jìn)程和 TCP/UDP 端口。這個(gè)工具在 Linux、UNIX 類、MS-Windows 等操作系統(tǒng)下都可以工作。

如何在Linux/Unix/Windows中發(fā)現(xiàn)隱藏的進(jìn)程和端口

unhide 是一個(gè)小巧的網(wǎng)絡(luò)取證工具,能夠發(fā)現(xiàn)那些借助 rootkit、LKM 及其它技術(shù)隱藏的進(jìn)程和 TCP/UDP 端口。這個(gè)工具在 Linux、UNIX 類、MS-Windows 等操作系統(tǒng)下都可以工作。根據(jù)其 man 頁(yè)面的說明:

Unhide 通過下述三項(xiàng)技術(shù)來發(fā)現(xiàn)隱藏的進(jìn)程。

  1. 進(jìn)程相關(guān)的技術(shù),包括將 /proc 目錄與 /bin/ps 命令的輸出進(jìn)行比較。
  2. 系統(tǒng)相關(guān)的技術(shù),包括將 /bin/ps 命令的輸出結(jié)果同從系統(tǒng)調(diào)用方面得到的信息進(jìn)行比較。
  3. 窮舉法相關(guān)的技術(shù),包括對(duì)所有的進(jìn)程 ID 進(jìn)行暴力求解,該技術(shù)僅限于在基于 Linux2.6 內(nèi)核的系統(tǒng)中使用。

絕大多數(shù)的 Rootkit 工具或者惡意軟件借助內(nèi)核來實(shí)現(xiàn)進(jìn)程隱藏,這些進(jìn)程只在內(nèi)核內(nèi)部可見。你可以使用 unhide 或者諸如 rkhunter 等工具,掃描 rootkit 程序 、后門程序以及一些可能存在的本地漏洞。

這篇文章描述了如何安裝 unhide 并搜索隱藏的進(jìn)程和 TCP/UDP 端口。 

如何安裝 unhide

首先建議你在只讀介質(zhì)上運(yùn)行這個(gè)工具。如果使用的是 Ubuntu 或者 Debian 發(fā)行版,輸入下述的 apt-get/apt 命令以安裝 Unhide:

  1. $ sudo apt-get install unhide

一切順利的話你的命令行會(huì)輸出以下內(nèi)容:

  1. [sudo] password for vivek: 
  2. Reading package lists... Done
  3. Building dependency tree       
  4. Reading state information... Done
  5. Suggested packages:
  6.   rkhunter
  7. The following NEW packages will be installed:
  8.   unhide
  9. 0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
  10. Need to get 46.6 kB of archives.
  11. After this operation, 136 kB of additional disk space will be used.
  12. Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]
  13. Fetched 46.6 kB in 0s (49.0 kB/s)
  14. Selecting previously unselected package unhide.
  15. (Reading database ... 205367 files and directories currently installed.)
  16. Preparing to unpack .../unhide_20130526-1_amd64.deb ...
  17. Unpacking unhide (20130526-1) ...
  18. Setting up unhide (20130526-1) ...
  19. Processing triggers for man-db (2.7.6.1-2) ...

 

如何在 RHEL/CentOS/Oracle/Scientific/Fedora 上安裝 unhide

輸入下列 yum Type the following yum command (first turn on EPLE repo on a CentOS/RHEL version 6.x or version 7.x):

輸入以下的 yum 命令(CentOS/RHEL 6.x7.x 上首先打開 EPEL 倉(cāng)庫(kù)):

  1. $ sudo yum install unhide

在 Fedora 上則使用以下 dnf 命令:

  1. $ sudo dnf install unhide

 

如何在 Arch 上安裝 unhide

鍵入以下 pacman 命令安裝:

  1. $ sudo pacman -S unhide

 

如何在 FreeBSD 上安裝 unhide

可以通過以下的命令使用 port 來安裝 unhide:

  1. # cd /usr/ports/security/unhide/
  2. # make install clean

或者可以通過二進(jìn)制文件安裝 hide,使用 pkg 命令安裝:

  1. # pkg install unhide

 

如何使用 unhide 工具?

unhide 的語法是:

  1. unhide [options] test_list

test_list 參數(shù)可以是以下測(cè)試列表中的一個(gè)或者多個(gè)標(biāo)準(zhǔn)測(cè)試:

  1. brute
  2. proc
  3. procall
  4. procfs
  5. quick
  6. reverse
  7. sys

或基本測(cè)試:

  1. checkbrute
  2. checkchdir
  3. checkgetaffinity
  4. checkgetparam
  5. checkgetpgid
  6. checkgetprio
  7. checkRRgetinterval
  8. checkgetsched
  9. checkgetsid
  10. checkkill
  11. checknoprocps
  12. checkopendir
  13. checkproc
  14. checkquick
  15. checkreaddir
  16. checkreverse
  17. checksysinfo
  18. checksysinfo2
  19. checksysinfo3

你可以通過以下示例命令使用 unhide

  1. # unhide proc
  2. # unhide sys
  3. # unhide quick

示例輸出:

  1. Unhide 20130526
  2. Copyright © 2013 Yago Jesus & Patrick Gouin
  3. License GPLv3+ : GNU GPL version 3 or later
  4. http://www.unhide-forensics.info
  5.  
  6. NOTE : This version of unhide is for systems using Linux >= 2.6 
  7.  
  8. Used options: 
  9. [*]Searching for Hidden processes through  comparison of results of system calls, proc, dir and ps

 

如何使用 unhide-tcp 工具辨明 TCP/UDP 端口的身份

以下是來自 man 頁(yè)面的介紹:

unhide-tcp 取證工具通過對(duì)所有可用的 TCP/IP 端口進(jìn)行暴力求解的方式,辨別所有正在監(jiān)聽,卻沒有列入 /bin/netstat 或者 /bin/ss 命令輸出的 TCP/IP 端口身份。

注一:對(duì)于 FreeBSD、OpenBSD系統(tǒng),一般使用 netstat 命令取代在這些操作系統(tǒng)上不存在的 iproute2,此外,sockstat 命令也用于替代 fuser。

注二:如果操作系統(tǒng)不支持 iproute2 命令,在使用 unhide 時(shí)需要在命令上加上 -n 或者 -s 選項(xiàng)。

  1. # unhide-tcp

示例輸出:

  1. Unhide 20100201
  2. http://www.security-projects.com/?Unhide
  3.  
  4. Starting TCP checking
  5.  
  6. Starting UDP checking

上述操作中,沒有發(fā)現(xiàn)隱藏的端口。

但在下述示例中,我展示了一些有趣的事。

  1. # unhide-tcp

示例輸出:

  1. Unhide 20100201
  2. http://www.security-projects.com/?Unhide
  3.  
  4.  
  5. Starting TCP checking
  6.  
  7. Found Hidden port that not appears in netstat: 1048
  8. Found Hidden port that not appears in netstat: 1049
  9. Found Hidden port that not appears in netstat: 1050
  10. Starting UDP checking

可以看到 netstat -tulpnss 命令確實(shí)沒有反映出這三個(gè)隱藏的端口:

  1. # netstat -tulpn | grep 1048
  2. # ss -lp
  3. # ss -l | grep 1048

通過下述的 man 命令可以更多地了解 unhide

  1. $ man unhide
  2. $ man unhide-tcp

 

Windows 用戶如何安裝使用 unhide

你可以通過這個(gè)頁(yè)面獲取 Windows 版本的 unhide。 

責(zé)任編輯:龐桂玉 來源: Vivek Gite
LinuxUnix網(wǎng)絡(luò)取證工具
相關(guān)推薦

2014-04-24 16:21:50

LinuxIP地址沖突

2022-05-10 08:17:03

goroutine泄漏

2009-12-16 11:54:35

WindowsLinuxUnix

2017-01-05 14:42:49

LinuxUnix服務(wù)器

2019-03-28 09:42:15

惡意軟件Rootkit攻擊

2018-10-08 08:20:25

Linux進(jìn)程端口號(hào)

2022-09-20 12:53:15

編程語言漏洞

2017-01-12 09:31:07

Windows端口進(jìn)程

2010-08-18 15:56:28

DB2占用端口號(hào)

2019-10-24 09:20:17

Windows 10隱藏電源選項(xiàng)

2020-08-18 17:00:33

UbuntuLinuxItch

2018-05-04 08:57:00

LinuxWindows共享文件

2018-06-26 08:55:35

LinuxWindows共享文件

2023-03-05 16:40:07

linux進(jìn)程內(nèi)存

2019-01-09 11:00:10

Windows 10設(shè)置菜單隱藏選項(xiàng)

2022-05-03 10:08:53

WindowsLinux文件共享

2020-09-09 16:00:22

Linux進(jìn)程

2009-09-12 10:22:20

unixwindows操作系統(tǒng)

2011-09-05 17:44:49

LinuxUnix

2010-03-24 11:55:28

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)