« back to all changes in this revision
Viewing changes to man/es/unhide.8
- browse files at revision 12
- compare with another revision
- download diff
- download tarball
- view history from revision 12
- Committer: Package Import Robot
- Author(s): Julien Valroff
- Date: 2013-02-15 19:14:05 UTC
- mfrom: (1.1.4)
- Revision ID: package-import@ubuntu.com-20130215191405-rq074t0t0wo9bkdj
Tags: 20121229-1
* New upstream release
* Add unhide_rb and unhide-posix to the package
* Add unhide_rb and unhide-posix to the package
- files added:
- .pc/.quilt_patches
- files removed:
- unhide-linux26.c
- files modified:
- .pc/001_fix-manpages.diff/man/fr/unhide.8
added
removed
man/es/unhide.8
1
.TH "UNHIDE" "8" "October 2010" "Administration commands" ""
2
.SH "NAME"
1
.TH "UNHIDE" "8" "Marzo 2012" "Comandos de administración" ""
2
.SH "NOMBRE"
3
3
unhide \(em Herramienta forense para descubrir procesos ocultos
4
.SH "SYNOPSIS"
4
.SH "SINOPSIS"
5
5
.PP
6
\fBunhide\fR [\fIOPTIONS\fR] \fITEST_LIST\fR
7
.SH "DESCRIPCION"
6
\fBunhide\-linux\fR [\fIOPTIONS\fR] \fITEST_LIST\fR
7
.br
8
\fBunhide\-posix\fR \fIproc | sys\fR
9
.SH "DESCRIPCIÓN"
8
10
.PP
9
11
\fBunhide\fR es una herramienta forense para detectar procesos ocultos en sistemas Unix que hayan sido ocultados mediante rookits / módulos en el Kernel o cualquier otra técnica de ocultación. Implementa seis técnicas de detección
10
12
.PP
11
13
.SH "OPCIONES"
14
.PP
15
Opciones sólo están disponibles para \fBunhide\-linux\fR no para \fBunhide\-posix\fR.
16
.TP
17
\fB\-d\fR
18
Realiza una prueba doble control en test 'brute' para reducir la aparición de falsos positivos.
12
19
.TP
13
20
\fB\-f\fR
14
Crea un fichero de log (unhide.log) en el directorio de ejecución.
21
Crea un fichero de log (unhide\-linux.log) en el directorio de ejecución.
15
22
.TP
16
23
\fB\-h\fR
17
24
Muestra la ayuda
18
25
.TP
19
26
\fB\-m\fR
20
Realiza múltiples tests añadidos, desde la versión 2010\-11\-21, esta opción solo es válida en los tests 'procfs', 'procall', 'checkopendir' y 'checkchdir'
27
Realiza múltiples tests añadidos, desde la versión 2012\-03\-17, esta opción solo es válida en los tests 'procfs', 'procall', 'checkopendir' y 'checkchdir'
21
28
.br
22
29
Implica \-v
23
30
.TP
39
46
.PP
40
47
\fBTests estandar :\fR
41
48
.PP
42
El test \fIbrute\fR consiste en hacer fuerza bruta sobre todo el espacio de identificadores de procesos (PIDS)
49
El test \fIbrute\fR consiste en hacer fuerza bruta sobre todo el espacio de identificadores de procesos (PIDS)
43
50
.br
44
Esta técnica solo está disponible en Linux Kernel 2.6.
51
Esta técnica solo está disponible con la versión unhide\-linux.
45
52
.PP
46
53
El test \fIproc\fR consiste en comparar el directorio /proc con la salida del comando /bin/ps
47
54
.PP
48
55
El test \fIprocall\fR combina los tests proc y procfs
49
56
.br
50
Esta técnica solo está disponible en Linux Kernel 2.6.
57
Esta técnica solo está disponible con la versión unhide\-linux.
51
58
.PP
52
59
El test \fIprocfs\fR consiste en comparar la información obtenida por /bin/ps con los datos obtenidos al recorrer procfs
53
60
.br
54
61
Con la opción \fB\-m\fR este test realiza tests adicionales, para mas información consultar \fIcheckchdir\fR
55
62
.br
56
Esta técnica solo está disponible en Linux Kernel 2.6.
63
Esta técnica solo está disponible con la versión unhide\-linux.
57
64
.PP
58
65
El test \fIquick\fR combina los tests proc, procfs y sys en una forma 'rápida' de ejecución, es hasta 20 veces mas rápido que otros test pero también puede ofrecer mas falsos positivos
59
66
.br
60
Esta técnica solo está disponible en Linux Kernel 2.6.
67
Esta técnica solo está disponible con la versión unhide\-linux.
61
68
.PP
62
69
El test \fIreverse\fR consiste en verificar que todos los procesos e hilos que son vistos por /bin/ps existen realmente buscandolos en procfs y por system calls. El objetivo es averiguar si se ha modificado /bin/ps para hacer creer que existen en ejecución algunos programas que realmente no lo están
63
70
.br
64
Esta técnica solo está disponible en Linux Kernel 2.6.
71
Esta técnica solo está disponible con la versión unhide\-linux.
65
72
.PP
66
73
El test \fIsys\fR consiste en comparar la información obtenida de /bin/ps contra algunas system calls
67
74
.PP
69
76
.PP
70
77
El test \fIcheckbrute\fR consiste en hacer fuerza bruta contra todo el espacio de procesos (PIDS) del sistema
71
78
.br
72
Esta técnica solo está disponible en Linux Kernel 2.6.
79
Esta técnica solo está disponible con la versión unhide\-linux.
73
80
.PP
74
81
El test \fIcheckchdir\fR consiste en comparar la información obtenida por /bin/ps y compararla haciendo chdir() en procfs
75
82
.br
76
83
Con la opción \fB\-m\fR también se comprueba que el hilo aparece en la lista "leader process"
77
84
.br
78
Esta técnica solo está disponible en Linux Kernel 2.6.
85
Esta técnica solo está disponible con la versión unhide\-linux.
79
86
.PP
80
87
El test \fIcheckgetaffinity\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getaffinity()
81
88
.br
82
Esta técnica solo está disponible en Linux Kernel 2.6.
89
Esta técnica solo está disponible con la versión unhide\-linux.
83
90
.PP
84
91
El test \fIcheckgetparam\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getparam()
85
92
.br
86
Esta técnica solo está disponible en Linux Kernel 2.6.
93
Esta técnica solo está disponible con la versión unhide\-linux.
87
94
.PP
88
95
El test \fIcheckgetpgid\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getpgid()
89
96
.br
90
Esta técnica solo está disponible en Linux Kernel 2.6.
97
Esta técnica solo está disponible con la versión unhide\-linux.
91
98
.PP
92
99
El test \fIcheckgetprio\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getpriority()
93
100
.br
94
Esta técnica solo está disponible en Linux Kernel 2.6.
101
Esta técnica solo está disponible con la versión unhide\-linux.
95
102
.PP
96
103
El test \fIcheckRRgetinterval\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_rr_get_interval()
97
104
.br
98
Esta técnica solo está disponible en Linux Kernel 2.6.
105
Esta técnica solo está disponible con la versión unhide\-linux.
99
106
.PP
100
107
El test \fIcheckgetsched\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getscheduler()
101
108
.br
102
Esta técnica solo está disponible en Linux Kernel 2.6.
109
Esta técnica solo está disponible con la versión unhide\-linux.
103
110
.PP
104
111
El test \fIcheckgetsid\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getsid()
105
112
.br
106
Esta técnica solo está disponible en Linux Kernel 2.6.
113
Esta técnica solo está disponible con la versión unhide\-linux.
107
114
.PP
108
115
El test \fIcheckkill\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call kill()
109
116
.br
110
117
Nota: ningún proceso es 'matado' con este test
111
118
.br
112
Esta técnica solo está disponible en Linux Kernel 2.6.
119
Esta técnica solo está disponible con la versión unhide\-linux.
113
120
.PP
114
121
El test \fIchecknoprocps\fR consiste en comparar el resultado de la información obtenida usando cada una de las system calls buscando diferencias entre si. No se emplea /bin/ps o /proc
115
122
.br
116
Esta técnica solo está disponible en Linux Kernel 2.6
123
Esta técnica solo está disponible con la versión unhide\-linux.
117
124
.PP
118
125
El test \fIcheckopendir\fR consiste en comparar la información obtenida por /bin/ps con el resultado de hacer opendir() sobre procfs
119
126
.br
120
Esta técnica solo está disponible en Linux Kernel 2.6
127
Esta técnica solo está disponible con la versión unhide\-linux.
121
128
.PP
122
129
El test \fIcheckproc\fR consiste en comparar la información obtenida por /bin/ps con los datos de /proc
123
130
.br
124
Esta técnica solo está disponible en Linux Kernel 2.6
131
Esta técnica solo está disponible con la versión unhide\-linux.
125
132
.PP
126
133
El test \fIcheckquick\fR combina los tests proc, procfs y sys en una forma 'rápida' de ejecución, es hasta 20 veces mas rápido que otros test pero también puede ofrecer mas falsos positivos
127
134
.br
128
Esta técnica solo está disponible en Linux Kernel 2.6
135
Esta técnica solo está disponible con la versión unhide\-linux.
129
136
.PP
130
137
El test \fIcheckreaddir\fR consiste en comparar la información obtenida por /bin/ps con el resultado de hacer readdir() en /proc y /proc/pid/task
131
138
.br
132
Esta técnica solo está disponible en Linux Kernel 2.6
139
Esta técnica solo está disponible con la versión unhide\-linux.
133
140
.PP
134
141
El test \fIcheckreverse\fR consiste en verificar que todos los procesos e hilos que son vistos por /bin/ps existen realmente buscandolos en procfs y por system calls. El objetivo es averiguar si se ha modificado /bin/ps para hacer creer que existen en ejecución algunos programas que realmente no lo están
135
142
.br
136
Esta técnica solo está disponible en Linux Kernel 2.6
143
Esta técnica solo está disponible con la versión unhide\-linux.
137
144
.PP
138
145
El test \fIchecksysinfo\fR consiste en comparar el número de procesos contabilizados por /bin/ps contra el número de procesos que indica la syscall sysinfo()
139
146
.br
140
Esta técnica solo está disponible en Linux Kernel 2.6
147
Esta técnica solo está disponible con la versión unhide\-linux.
141
148
.PP
142
149
El test \fIchecksysinfo2\fR es una versión alternativa de checksysinfo, se presupone que funciona mejor en kernels parcheados para RT, preempt o latency y también con kernels que no usen el planificador estandar
143
150
.br
144
151
Este test está implicito cuando se ejecuta con la opción \fB\-r\fR
145
152
.br
146
Esta técnica solo está disponible en Linux Kernel 2.6
147
.SS "Exit status:"
153
Esta técnica solo está disponible con la versión unhide\-linux.
154
.SS "Valor regresado:"
148
155
.TP
149
156
0
150
157
si todo OK,
151
158
.TP
152
159
1
153
si se ha localizado un proceso oculto o falso
160
si se ha localizado un proceso/hilo oculto o falso
154
161
.PP
155
.SH "BUGS"
162
.SH "EJEMPLOS"
163
.TP
164
Un test excepcionalmente rápido :
165
unhide quick
166
.TP
167
Test rápido :
168
unhide quick reverse
169
.TP
170
Estándar test :
171
unhide sys proc
172
.TP
173
Un test completo :
174
unhide \-m \-d sys procall brute reverse
175
.SH "FALLOS"
156
176
.PP
157
177
Puedes reportar fallos de \fBunhide\fR en el 'bug tracker' de Sourceforge (http://sourceforge.net/projects/unhide/)
158
.SH "SEE ALSO"
178
.br
179
Con las últimas versiones de kernel de Linux (> 2.6.33), el test sysinfo puede reportar falsos positivos.
180
Puede ser debido a la optimización en el scheduler, el uso de cgroup o incluso el uso de systemd.
181
El uso del patch PREEMPT\-RT amplifica la probabilidad de que se de ese problema.
182
Esto es actualmente objeto de investigación.
183
.SH "VÉASE TAMBIÉN"
159
184
.PP
160
185
unhide\-tcp (8).
161
.SH "AUTHOR"
186
.SH "AUTOR"
162
187
.PP
163
This manual page was written by Francois Marier francois@debian.org and Patrick Gouin.
164
Permission is granted to copy, distribute and/or modify this document under
165
the terms of the GNU General Public License, Version 3 or any
166
later version published by the Free Software Foundation.
188
Este manual ha sido creado por Francois Marier francois@debian.org y Patrick Gouin.
189
Se concede permiso para ser copiado, distribuido y modificado bajo los términos de la licencia
190
GNU, versión 3 o versiones posteriores publicadas por la Free Software Foundation
191
167
192
.SH "LICENSE"
168
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>.
193
License GPLv3+: GNU GPL version 3 o posterior <http://gnu.org/licenses/gpl.html>.
169
194
.br
170
This is free software: you are free to change and redistribute it.
171
There is NO WARRANTY, to the extent permitted by law.
195
Este es software libre, vd es libre de modificar y redistribuir las modificaciones.
196
Este software no provee ninguna garantía .
Loggerhead is a web-based interface for Breezy
Version: 2.0.1