Unhide

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
image illustrant la sécurité informatique
Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

unhide est un outil d'investigation sous GNU/Linux et Windows, dont le rôle est de détecter les process et les flux TCP/UDP cachés (notamment par les rootkits). La package comprend deux utilitaires : unhide et unhide-tcp.

unhide[modifier | modifier le code]

unhide sert à retrouver les processus dissimulés. Il utilise trois techniques différentes :

  • Comparaison des sorties de /proc et de /bin/ps ;
  • Comparaison des informations issues de /bin/ps avec ce qui a été collecté depuis les appels systèmes (syscall scanning) ;
  • Scan complet des ID de processus (PIDs bruteforcing), ce qui n'est possible que sur les noyaux Linux supérieurs à 2.6.

unhide-tcp[modifier | modifier le code]

unhide-tcp sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas visibles par la commande /bin/netstat. La technique employée est également celle de la force brute (passage en revue de toutes les valeurs possibles).

Logiciel faisant usage de Unhide[modifier | modifier le code]

Notes et références[modifier | modifier le code]

Liens externes[modifier | modifier le code]