应急必备神器|发现隐藏进程和端口的工具

admin
admin
admin
139622
文章
114
评论
2022年10月11日12:17:02评论208 views字数 2177阅读7分15秒阅读模式
unhide 是一个小巧的网络取证工具,能够发现那些借助 rootkit、LKM 及其它技术隐藏的进程和 TCP/UDP 端口。这个工具在 Linux、UNIX 类、MS-Windows 等操作系统下都可以工作。根据其 man 页面的说明:
Unhide 通过下述三项技术来发现隐藏的进程。进程相关的技术,包括将 /proc 目录与 /bin/ps 命令的输出进行比较。系统相关的技术,包括将 /bin/ps 命令的输出结果同从系统调用方面得到的信息进行比较。穷举法相关的技术,包括对所有的进程 ID 进行暴力求解,该技术仅限于在基于 Linux2.6 内核的系统中使用。
官网:https://www.unhide-forensics.info/
安装 unhide
$ sudo apt-get install unhide
应急必备神器|发现隐藏进程和端口的工具
一切顺利的话你的命令行会输出以下内容:
[sudo] password for vivek: Reading package lists... DoneBuilding dependency tree       Reading state information... DoneSuggested packages:  rkhunterThe following NEW packages will be installed:  unhide0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.Need to get 46.6 kB of archives.After this operation, 136 kB of additional disk space will be used.Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]Fetched 46.6 kB in 0s (49.0 kB/s)Selecting previously unselected package unhide.(Reading database ... 205367 files and directories currently installed.)Preparing to unpack .../unhide_20130526-1_amd64.deb ...Unpacking unhide (20130526-1) ...Setting up unhide (20130526-1) ...Processing triggers for man-db (2.7.6.1-2) ...

使用 unhide
unhide [options] test_list

test_list 参数可以是以下测试列表中的一个或者多个标准测试:
bruteprocprocallprocfsquickreversesys

或基本测试:
checkbrutecheckchdircheckgetaffinitycheckgetparamcheckgetpgidcheckgetpriocheckRRgetintervalcheckgetschedcheckgetsidcheckkillchecknoprocpscheckopendircheckproccheckquickcheckreaddircheckreversechecksysinfochecksysinfo2checksysinfo3

你可以通过以下示例命令使用 unhide:
# unhide proc# unhide sys# unhide quick

使用 unhide-tcp 工具辨明 TCP/UDP 端口的身份

unhide-tcp 取证工具通过对所有可用的 TCP/IP 端口进行暴力求解的方式,辨别所有正在监听,却没有列入 /bin/netstat 或者 /bin/ss 命令输出的 TCP/IP 端口身份。
注一:对于 FreeBSD、OpenBSD系统,一般使用 netstat 命令取代在这些操作系统上不存在的 iproute2,此外,sockstat 命令也用于替代 fuser。
注二:如果操作系统不支持 iproute2 命令,在使用 unhide 时需要在命令上加上 -n 或者 -s 选项。
# unhide-tcp

示例输出:
Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingFound Hidden port that not appears in netstat: 1048Found Hidden port that not appears in netstat: 1049Found Hidden port that not appears in netstat: 1050Starting UDP checking

侵权请私聊公众号删文

 热文推荐  


欢迎关注LemonSec
觉得不错点个“赞”、“在看”

原文始发于微信公众号(LemonSec):应急必备神器|发现隐藏进程和端口的工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月11日12:17:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急必备神器|发现隐藏进程和端口的工具https://cn-sec.com/archives/1342264.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息