1
.TH "UNHIDE" "8" "October 2010" "Administration commands" ""
1
.TH "UNHIDE" "8" "Marzo 2012" "Comandos de administración" ""
3
3
unhide \(em Herramienta forense para descubrir procesos ocultos
6
\fBunhide\fR [\fIOPTIONS\fR] \fITEST_LIST\fR
6
\fBunhide\-linux\fR [\fIOPTIONS\fR] \fITEST_LIST\fR
8
\fBunhide\-posix\fR \fIproc | sys\fR
9
11
\fBunhide\fR es una herramienta forense para detectar procesos ocultos en sistemas Unix que hayan sido ocultados mediante rookits / módulos en el Kernel o cualquier otra técnica de ocultación. Implementa seis técnicas de detección
15
Opciones sólo están disponibles para \fBunhide\-linux\fR no para \fBunhide\-posix\fR.
18
Realiza una prueba doble control en test 'brute' para reducir la aparición de falsos positivos.
14
Crea un fichero de log (unhide.log) en el directorio de ejecución.
21
Crea un fichero de log (unhide\-linux.log) en el directorio de ejecución.
20
Realiza múltiples tests añadidos, desde la versión 2010\-11\-21, esta opción solo es válida en los tests 'procfs', 'procall', 'checkopendir' y 'checkchdir'
27
Realiza múltiples tests añadidos, desde la versión 2012\-03\-17, esta opción solo es válida en los tests 'procfs', 'procall', 'checkopendir' y 'checkchdir'
40
47
\fBTests estandar :\fR
42
El test \fIbrute\fR consiste en hacer fuerza bruta sobre todo el espacio de identificadores de procesos (PIDS)
49
El test \fIbrute\fR consiste en hacer fuerza bruta sobre todo el espacio de identificadores de procesos (PIDS)
44
Esta técnica solo está disponible en Linux Kernel 2.6.
51
Esta técnica solo está disponible con la versión unhide\-linux.
46
53
El test \fIproc\fR consiste en comparar el directorio /proc con la salida del comando /bin/ps
48
55
El test \fIprocall\fR combina los tests proc y procfs
50
Esta técnica solo está disponible en Linux Kernel 2.6.
57
Esta técnica solo está disponible con la versión unhide\-linux.
52
59
El test \fIprocfs\fR consiste en comparar la información obtenida por /bin/ps con los datos obtenidos al recorrer procfs
54
61
Con la opción \fB\-m\fR este test realiza tests adicionales, para mas información consultar \fIcheckchdir\fR
56
Esta técnica solo está disponible en Linux Kernel 2.6.
63
Esta técnica solo está disponible con la versión unhide\-linux.
58
65
El test \fIquick\fR combina los tests proc, procfs y sys en una forma 'rápida' de ejecución, es hasta 20 veces mas rápido que otros test pero también puede ofrecer mas falsos positivos
60
Esta técnica solo está disponible en Linux Kernel 2.6.
67
Esta técnica solo está disponible con la versión unhide\-linux.
62
69
El test \fIreverse\fR consiste en verificar que todos los procesos e hilos que son vistos por /bin/ps existen realmente buscandolos en procfs y por system calls. El objetivo es averiguar si se ha modificado /bin/ps para hacer creer que existen en ejecución algunos programas que realmente no lo están
64
Esta técnica solo está disponible en Linux Kernel 2.6.
71
Esta técnica solo está disponible con la versión unhide\-linux.
66
73
El test \fIsys\fR consiste en comparar la información obtenida de /bin/ps contra algunas system calls
70
77
El test \fIcheckbrute\fR consiste en hacer fuerza bruta contra todo el espacio de procesos (PIDS) del sistema
72
Esta técnica solo está disponible en Linux Kernel 2.6.
79
Esta técnica solo está disponible con la versión unhide\-linux.
74
81
El test \fIcheckchdir\fR consiste en comparar la información obtenida por /bin/ps y compararla haciendo chdir() en procfs
76
83
Con la opción \fB\-m\fR también se comprueba que el hilo aparece en la lista "leader process"
78
Esta técnica solo está disponible en Linux Kernel 2.6.
85
Esta técnica solo está disponible con la versión unhide\-linux.
80
87
El test \fIcheckgetaffinity\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getaffinity()
82
Esta técnica solo está disponible en Linux Kernel 2.6.
89
Esta técnica solo está disponible con la versión unhide\-linux.
84
91
El test \fIcheckgetparam\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getparam()
86
Esta técnica solo está disponible en Linux Kernel 2.6.
93
Esta técnica solo está disponible con la versión unhide\-linux.
88
95
El test \fIcheckgetpgid\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getpgid()
90
Esta técnica solo está disponible en Linux Kernel 2.6.
97
Esta técnica solo está disponible con la versión unhide\-linux.
92
99
El test \fIcheckgetprio\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getpriority()
94
Esta técnica solo está disponible en Linux Kernel 2.6.
101
Esta técnica solo está disponible con la versión unhide\-linux.
96
103
El test \fIcheckRRgetinterval\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_rr_get_interval()
98
Esta técnica solo está disponible en Linux Kernel 2.6.
105
Esta técnica solo está disponible con la versión unhide\-linux.
100
107
El test \fIcheckgetsched\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call sched_getscheduler()
102
Esta técnica solo está disponible en Linux Kernel 2.6.
109
Esta técnica solo está disponible con la versión unhide\-linux.
104
111
El test \fIcheckgetsid\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call getsid()
106
Esta técnica solo está disponible en Linux Kernel 2.6.
113
Esta técnica solo está disponible con la versión unhide\-linux.
108
115
El test \fIcheckkill\fR consiste en comparar la información obtenida por /bin/ps con el resultado de la system call kill()
110
117
Nota: ningún proceso es 'matado' con este test
112
Esta técnica solo está disponible en Linux Kernel 2.6.
119
Esta técnica solo está disponible con la versión unhide\-linux.
114
121
El test \fIchecknoprocps\fR consiste en comparar el resultado de la información obtenida usando cada una de las system calls buscando diferencias entre si. No se emplea /bin/ps o /proc
116
Esta técnica solo está disponible en Linux Kernel 2.6
123
Esta técnica solo está disponible con la versión unhide\-linux.
118
125
El test \fIcheckopendir\fR consiste en comparar la información obtenida por /bin/ps con el resultado de hacer opendir() sobre procfs
120
Esta técnica solo está disponible en Linux Kernel 2.6
127
Esta técnica solo está disponible con la versión unhide\-linux.
122
129
El test \fIcheckproc\fR consiste en comparar la información obtenida por /bin/ps con los datos de /proc
124
Esta técnica solo está disponible en Linux Kernel 2.6
131
Esta técnica solo está disponible con la versión unhide\-linux.
126
133
El test \fIcheckquick\fR combina los tests proc, procfs y sys en una forma 'rápida' de ejecución, es hasta 20 veces mas rápido que otros test pero también puede ofrecer mas falsos positivos
128
Esta técnica solo está disponible en Linux Kernel 2.6
135
Esta técnica solo está disponible con la versión unhide\-linux.
130
137
El test \fIcheckreaddir\fR consiste en comparar la información obtenida por /bin/ps con el resultado de hacer readdir() en /proc y /proc/pid/task
132
Esta técnica solo está disponible en Linux Kernel 2.6
139
Esta técnica solo está disponible con la versión unhide\-linux.
134
141
El test \fIcheckreverse\fR consiste en verificar que todos los procesos e hilos que son vistos por /bin/ps existen realmente buscandolos en procfs y por system calls. El objetivo es averiguar si se ha modificado /bin/ps para hacer creer que existen en ejecución algunos programas que realmente no lo están
136
Esta técnica solo está disponible en Linux Kernel 2.6
143
Esta técnica solo está disponible con la versión unhide\-linux.
138
145
El test \fIchecksysinfo\fR consiste en comparar el número de procesos contabilizados por /bin/ps contra el número de procesos que indica la syscall sysinfo()
140
Esta técnica solo está disponible en Linux Kernel 2.6
147
Esta técnica solo está disponible con la versión unhide\-linux.
142
149
El test \fIchecksysinfo2\fR es una versión alternativa de checksysinfo, se presupone que funciona mejor en kernels parcheados para RT, preempt o latency y también con kernels que no usen el planificador estandar
144
151
Este test está implicito cuando se ejecuta con la opción \fB\-r\fR
146
Esta técnica solo está disponible en Linux Kernel 2.6
153
Esta técnica solo está disponible con la versión unhide\-linux.
154
.SS "Valor regresado:"
153
si se ha localizado un proceso oculto o falso
160
si se ha localizado un proceso/hilo oculto o falso
164
Un test excepcionalmente rápido :
174
unhide \-m \-d sys procall brute reverse
157
177
Puedes reportar fallos de \fBunhide\fR en el 'bug tracker' de Sourceforge (http://sourceforge.net/projects/unhide/)
179
Con las últimas versiones de kernel de Linux (> 2.6.33), el test sysinfo puede reportar falsos positivos.
180
Puede ser debido a la optimización en el scheduler, el uso de cgroup o incluso el uso de systemd.
181
El uso del patch PREEMPT\-RT amplifica la probabilidad de que se de ese problema.
182
Esto es actualmente objeto de investigación.
163
This manual page was written by Francois Marier francois@debian.org and Patrick Gouin.
164
Permission is granted to copy, distribute and/or modify this document under
165
the terms of the GNU General Public License, Version 3 or any
166
later version published by the Free Software Foundation.
188
Este manual ha sido creado por Francois Marier francois@debian.org y Patrick Gouin.
189
Se concede permiso para ser copiado, distribuido y modificado bajo los términos de la licencia
190
GNU, versión 3 o versiones posteriores publicadas por la Free Software Foundation
168
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>.
193
License GPLv3+: GNU GPL version 3 o posterior <http://gnu.org/licenses/gpl.html>.
170
This is free software: you are free to change and redistribute it.
171
There is NO WARRANTY, to the extent permitted by law.
195
Este es software libre, vd es libre de modificar y redistribuir las modificaciones.
196
Este software no provee ninguna garantía .