Autor

Alejandro Alcalde

Graduado en Ingeniería Informática en la ETSIIT, Granada.

Más artículos de Alejandro Alcalde

¿Has visto algún error?: Por favor, ayúdame a corregirlo contactando conmigo.

Índice

Unhide Forensic Tool o simplemente Unhide es una herramienta forense que permite encontrar los procesos que ocultan los RootKits, por módulos del kernel Linux o por otras técnicas.

Está disponible tanto para Windows como para Linux.

Antes de usarlo es necesario compilarlo, cosa que logramos con los siguientes comandos:



gcc -Wall -O2 --static -pthread unhide-linux*.c unhide-output.c -o unhide-linux
gcc -Wall -O2 --static unhide_rb.c -o unhide_rb
gcc -Wall -O2 --static unhide-tcp.c unhide-tcp-fast.c unhide-output.c -o unhide-tcp

unhide-tcp es una herramienta forense que identifica puertos TCP/UDP a la escucha pero no están listados en /bin/netstat.

Los posibles argumentos de cada herramienta son los siguientes:

./unhide-tcp --help
Unhide-tcp 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later

http://www.unhide-forensics.info

Usage: ./unhide-tcp [options]

Options :
   -V          Show version and exit
   -v          verbose
   -h          display this help
   -f          show fuser output for hidden ports
   -l          show lsof output for hidden ports
   -o          log result into unhide-tcp.log file
   -s          use very quick version for server with lot of opened ports
   -n          use netstat instead of ss

Para mi sorpresa, he descubierto que esta herramienta está desarrollada por Jesus Yago, colaborador en un blog que leo regularmente, securitybydefault.

Las opciones de unhide-linux:

./unhide-linux --help
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later

http://www.unhide-forensics.info

NOTE : This version of unhide is for systems using Linux >= 2.6

Usage: ./unhide-linux [options] test_list

Option :
   -V          Show version and exit
   -v          verbose
   -h          display this help
   -m          more checks (available only with procfs, checkopendir & checkchdir commands)
   -r          use alternate sysinfo test in meta-test
   -f          log result into unhide-linux.log file
   -o          same as '-f'
   -d          do a double check in brute test
Test_list :
   Test_list is one or more of the following
   Standard tests :
      brute
      proc
      procall
      procfs
      quick
      reverse
      sys
   Elementary tests :
      checkbrute
      checkchdir
      checkgetaffinity
      checkgetparam
      checkgetpgid
      checkgetprio
      checkRRgetinterval
      checkgetsched
      checkgetsid
      checkkill
      checknoprocps
      checkopendir
      checkproc
      checkquick
      checkreaddir
      checkreverse
      checksysinfo
      checksysinfo2
      checksysinfo3

Fuente