unhide(8) System Manager's Manual unhide(8) NOM unhide -- outil d'investigation post-mortem pour trouver des processus caches SYNOPSIS unhide-linux [OPTIONS] TEST_LIST unhide-posix proc | sys DESCRIPTION unhide est un outil d'investigation pour trouver les processus caches par des rootkits, des modules du noyau Linux ou par d'autres techniques. Il detecte les processus caches en utilisant six techniques principales. OPTIONS Les options sont uniquement disponibles pour unhide-linux pas pour unhide-posix. -d Effectue un double controle dans le test 'brute' pour diminuer l'occurence des faux positifs. -f Enregistre les sorties dans un fichier de log (unhide-linux.log) situe dans le repertoire courant. -h Affichage de l'aide. -m Execute des controles supplementaires. Pour la version 2012-03-17, cette option n'a d''effet pour les tests procfs, procall, checkopendir et checkchdir. Elle implique l'option -v. -r Utilise une version alternative du test sysinfo lors du lancement d'un test standard. -V Affiche la version et sort. -v Affichage prolixe, affiche les message d'avertissement (par defaut : ne pas afficher). Cette option peut etre repetee plus d'une fois. -u Fait des ecritures sans tampon (buffer) vers la sortie standard. Cette option peut etre utile lorsque unhide est lance par un autre processus (par exemple, elle est utilise par unhideGui). -H Fournir un resultat legerement plus adapte a l'humain. Cette option ajoute des messages de fin aux tests et indique quand aucun processus cache n'est trouve. TEST_LIST Les verifications a faire consiste en un ou plusieurs des tests suivants. Les tests standard sont l'agregation d'un ou plusieurs test(s) elementaire(s). Tests Standards : La technique brute consiste en un scan de tous les ID de processus par force brute. Cette technique n'est disponible qu'avec la version unhide-linux. La technique proc consiste a comparer le contenu de /proc avec la sortie de /bin/ps. La technique procall combine les tests proc et procfs. Cette technique n'est disponible qu'avec la version unhide-linux. La technique procfs consiste a comparer les informations recueillies par le parcours de l'arborescence du systeme de fichiers procfs avec les informations issues de /bin/ps Avec l'option -m, ce test effectue des controles plus approfondis, voir le test checkchdir. Cette technique n'est disponible qu'avec la version unhide-linux. La technique quick combine les techniques proc, procfs et sys d'une facon rapide. Elle est environ 20 fois plus rapide, mais peut donner davantage de faux positifs. Cette technique n'est disponible qu'avec la version unhide-linux. La technique reverse consiste a verifier que tous les threads vus par /bin/ps sont egalement vus dans le procfs et par les appels systeme. C'est une recherche inversee. Elle est destine a verifier qu'un rootkit n'a pas tue un outil de securite (IDS ou autre) et modifie /bin/ps pour lui faire afficher un faux processus a la place. Cette technique n'est disponible qu'avec la version unhide-linux. La technique sys consiste a comparer les resultats des appels des fonctions systemes avec les informations recueillies a partir de /bin/ps. Tests Elementaires : La technique checkbrute en un scan de tous les ID de processus par force brute. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkchdir consiste a comparer les informations recueillies en parcourant le systeme de fichiers procfs a l'aide de la fonction chdir() avec les informations obtenues avec /bin/ps. Avec l'option -m, elle verifie egalement que les threads apparaissent dans la liste des threads de leur processus principal Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetaffinity consiste a comparer les resultat de l'appel a la fonction systeme sched_getaffinity() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetparam consiste a comparer les resultats de l'appel a la fonction systeme sched_getparam() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetpgid consiste a comparer les resultats de l'appel a la fonction systeme getpgid() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetprio consiste a comparer les resultats de l'appel a la fonction systeme getpriority() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkRRgetinterval consiste a comparer les resultats de l'appel a la fonction systeme sched_rr_get_interval() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetsched consiste a comparer les resultats de l'appel a la fonction systeme sched_getscheduler() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkgetsid consiste a comparer les resultats de l'appel a la fonction systeme getsid() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkkill consiste a comparer les resultats de l'appel a la fonction systeme kill() avec les informations recueillies a partir de /bin/ps. Note: aucun processus n'est reellement tue par ce test. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checknoprocps consiste a comparer les resultats des appels de chacune des fonctions du systeme entre eux. Aucune comparaison n'est faite avec le contenu de /proc ou la sortie de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkopendir consiste a comparer les informations recueillies en parcourant le systeme de fichiers procfs a l'aide de la fonction opendir() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkproc consiste a comparer le contenu de /proc avec la sortie de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkquick combine les technique proc, procfs et sys d'une facon rapide. Il est environ 20 fois plus rapide, mais peut donner davantage de faux positifs. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkreaddir consiste a comparer les informations recueillies en parcourant le systeme de fichiers procfs (/proc et /proc/PID/task) a l'aide de la fonction readdir() avec les informations recueillies a partir de /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checkreverse consiste a verifier que tous les threads vus par ps sont egalement vus dans procfs et par les appels systeme. Il est destine a verifier qu'un rootkit n'a pas tue un outil de securite (IDS ou autre) et modifie /bin/ps pour lui faire afficher un faux processus a la place. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checksysinfo consiste a comparer le nombre des processus obtenu a partir de l'appel systeme sysinfo() avec le nombre de processus vu par /bin/ps. Cette technique n'est disponible qu'avec la version unhide-linux. La technique checksysinfo2 est une version alternative du test checksysinfo. Il peut (ou pas) fonctionner mieux sur un noyau modifie pour le temps reel, la preemption, la latence basse ou un noyau qui n'utilise pas le scheduler standard. Il est invoque par les tests standard lorsqu'on utilise l'option -r Cette technique n'est disponible qu'avec la version unhide-linux. Code de retour 0 si OK, 1 si un thread cache ou faux est trouve. EXEMPLES Test le plus rapide : unhide quick Test rapide : unhide quick reverse Test standard : unhide sys proc Test le plus complet : unhide -m -d sys procall brute reverse BUGS Rapportez les bugs de unhide sur le bug tracker de GitHub (https://github.com/YJesus/Unhide/issues) Avec les versions recentes du noyau Linux (> 2.6.33), le test sysinfo peut indiquer de faux positifs. Ca peut etre du a l'optimisation dans le scheduleur, l'utilisation des cgroup ou meme l'utilisation de systemd. L'utilisation du patch PREEMPT-RT amplifie l'apparition du probleme. Ce probleme est en cours d'investigation. VOIR AUSSI unhide-tcp (8). AUTEUR Cette page de manuel a ete ecrite par Patrick Gouin (patrickg.github@free.fr). Permission vous est donnee de copier, distribuer et/ou modifier ce document sous les termes de la GNU General Public License, Version 3 ou toute version ulterieure publiee par la Free Software Foundation. LICENCE Licence GPLv3: GNU GPL version 3 ou version ulterieure . Ce logiciel est libre : vous etes libre de le modifier et le redistribuer. Il n'y a AUCUNE GARANTIE, dans les limites permises par la loi. Commandes d'administration Juin 2022 unhide(8)