2. 程式人生 > >如何在 Linux/Unix/Windows 中發現隱藏的程序和埠

如何在 Linux/Unix/Windows 中發現隱藏的程序和埠

阿新 發佈:2018-12-23

unhide 是一個小巧的網路取證工具,能夠發現那些藉助 rootkit、LKM 及其它技術隱藏的程序和 TCP/UDP 埠。這個工具在 Linux、UNIX 類、MS-Windows 等作業系統下都可以工作。根據其 man 頁面的說明:

Unhide 通過下述三項技術來發現隱藏的程序。

  1. 程序相關的技術,包括將 /proc 目錄與 /bin/ps 命令的輸出進行比較。
  2. 系統相關的技術,包括將 /bin/ps 命令的輸出結果同從系統呼叫方面得到的資訊進行比較。
  3. 窮舉法相關的技術,包括對所有的程序 ID 進行暴力求解,該技術僅限於在基於 Linux2.6 核心的系統中使用。

這篇文章描述瞭如何安裝 unhide 並搜尋隱藏的程序和 TCP/UDP 埠。

如何安裝 unhide

首先建議你在只讀介質上執行這個工具。如果使用的是 Ubuntu 或者 Debian 發行版,輸入下述的 apt-get/apt 命令以安裝 Unhide:

12 $sudo apt-get install unhide

一切順利的話你的命令列會輸出以下內容:

1234567891011121314151617181920 [sudo]password forvivek:Reading packagelists...DoneBuilding dependency tree       Reading state information...DoneSuggested packages:rkhunterThe following NEWpackages will be installed:unhide0upgraded,1newly installed,0toremove
and0notupgraded.Need toget46.6kB of archives.After thisoperation,136kB of additional disk space will be used.Get:1http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]Fetched46.6kB in0s(49.0kB/s)Selecting previously unselected packageunhide.(Reading database...205367files anddirectories currently installed.)Preparing tounpack.../unhide_20130526-1_amd64.deb...Unpacking unhide(20130526-1)...Setting up unhide(20130526-1)...Processing triggers forman-db(2.7.6.1-2)...

如何在 RHEL/CentOS/Oracle/Scientific/Fedora 上安裝 unhide

輸入下列 yum Type the following yum command (first turn on EPLE repo on a CentOS/RHEL version 6.x or version 7.x):

輸入以下的 yum 命令(CentOS/RHEL 6.x7.x 上首先開啟 EPEL 倉庫):

12 $sudo yum install unhide

在 Fedora 上則使用以下 dnf 命令:

12 $sudo dnf install unhide

如何在 Arch 上安裝 unhide

鍵入以下 pacman 命令安裝:

12 $sudo pacman-Sunhide

如何在 FreeBSD 上安裝 unhide

可以通過以下的命令使用 port 來安裝 unhide:

123 # cd /usr/ports/security/unhide/# make install clean

或者可以通過二進位制檔案安裝 hide,使用 pkg 命令安裝:

12 # pkg install unhide

如何使用 unhide 工具?

unhide 的語法是:

12 unhide[options]test_list

test_list 引數可以是以下測試列表中的一個或者多個標準測試:

  1. brute
  2. proc
  3. procall
  4. procfs
  5. quick
  6. reverse
  7. sys

或基本測試:

  1. checkbrute
  2. checkchdir
  3. checkgetaffinity
  4. checkgetparam
  5. checkgetpgid
  6. checkgetprio
  7. checkRRgetinterval
  8. checkgetsched
  9. checkgetsid
  10. checkkill
  11. checknoprocps
  12. checkopendir
  13. checkproc
  14. checkquick
  15. checkreaddir
  16. checkreverse
  17. checksysinfo
  18. checksysinfo2
  19. checksysinfo3

你可以通過以下示例命令使用 unhide

1234 # unhide proc# unhide sys# unhide quick

示例輸出:

12345678910 Unhide20130526Copyright©2013Yago Jesus&Patrick GouinLicense GPLv3+:GNU GPL version3orlaterhttp://www.unhide-forensics.infoNOTE:Thisversion of unhide isforsystems using Linux>=2.6Used options:[*]Searching forHidden processes through  comparison of results of system calls,proc,dir andps

如何使用 unhide-tcp 工具辨明 TCP/UDP 埠的身份

以下是來自 man 頁面的介紹:

unhide-tcp 取證工具通過對所有可用的 TCP/IP 埠進行暴力求解的方式,辨別所有正在監聽,卻沒有列入 /bin/netstat 或者 /bin/ss 命令輸出的 TCP/IP 埠身份。

注一:對於 FreeBSD、OpenBSD系統,一般使用 netstat 命令取代在這些作業系統上不存在的 iproute2,此外,sockstat 命令也用於替代 fuser。

注二:如果作業系統不支援 iproute2 命令,在使用 unhide 時需要在命令上加上 -n 或者 -s 選項。

12 # unhide-tcp

示例輸出:

1234567 Unhide20100201http://www.security-projects.com/?UnhideStarting TCP checkingStarting UDP checking

上述操作中,沒有發現隱藏的埠。

但在下述示例中,我展示了一些有趣的事。

12 # unhide-tcp

示例輸出:

1234567891011 Unhide20100201http://www.security-projects.com/?UnhideStarting TCP checkingFound Hidden port that notappears innetstat:1048Found Hidden port that notappears innetstat:1049Found Hidden port that notappears innetstat:1050Starting UDP checking

可以看到 netstat -tulpnss 命令確實沒有反映出這三個隱藏的埠:

1234 # netstat -tulpn | grep 1048# ss -lp# ss -l | grep 1048

通過下述的 man 命令可以更多地瞭解 unhide

123 $man unhide$man unhide-tcp

Windows 使用者如何安裝使用 unhide

你可以通過這個頁面獲取 Windows 版本的 unhide。

相關推薦

如何在 Linux/Unix/Windows 發現隱藏程序

unhide 是一個小巧的網路取證工具,能夠發現那些藉助 rootkit、LKM 及其它技術隱藏的程序和 TCP/UDP 埠。這個工具在 Linux、UNIX 類、MS-Windows 等作業系統下都可以工作。根據其 man 頁面的說明: Unhide 通過下述三項

linux 複製目錄含有隱藏檔案連結如何處理

1. cp -Rp ——-不會複製隱藏檔案,符號連結的建立時間改變為複製時間了,硬連結被作為檔案複製了, 2 cp -a ————-可以作為比較小的複製,資料量大,可能因記憶體不足,導致失敗 3 tar cvf - * | (cd /dest/

linux服務器Apache隱藏index.php失敗

document mod write inux override director tee family height 可以通過URL重寫隱藏應用的入口文件index.php,下面是相關服務器的配置參考: 【Apache】 httpd.conf配置文件中加載了mod_re

指定的 DSN ,驅動程序應用程序之間的體系結構不匹配

bsp 密碼 import wow win 技術分享 img syswow64 導入   在做通過 PL/SQL 導入Excel 數據的時候,在進行數據庫連接的時候,選擇DSN為Excel ,輸入用戶名和密碼,進行Connect 出現錯誤“指定的 DSN 中,驅動程序和應用

[翻譯] Linux 內核的位數組位操作

用法 修改 CP 容易 並且 strong face 是我 hot Linux 內核裏的數據結構 [TOC] 原文鏈接與說明 https://github.com/0xAX/linux-insides/blob/master/DataStructures/bitmap.m

Python之——Python的多程序多執行緒

轉載請註明出處:https://blog.csdn.net/l1028386804/article/details/83042246 一、多程序 Python實現對程序的方式主要有兩種,一種方法是使用os模組中的fork方法,另一種方法是使用multiprocessing模組。區別在於:

Linux編譯安裝configure、makemake install各自的作用

./configure是用來檢測你的安裝平臺的目標特徵的。比如它會檢測你是不是有CC或GCC,並不是需要CC或GCC,它是個shell指令碼。 make是用來編譯的,它從Makefile中讀取指令,然後編譯。 make install是用來安裝的,它也從Makefile中讀取指令,安裝到指定

Linux主目錄隱藏檔案是幹什麼用的?

Linux系統中,除了儲存了大量可見的檔案和資料夾,還附帶了很多隱藏的檔案和資料夾,那麼該如何進行檢視?這些隱藏檔案又有什麼用呢? 檢視Linux主目錄隱藏檔案可以通過執行ls –a來實現,對於隱藏檔案,不建議進行更改和刪除操作,原因是,主目錄中的隱藏檔案和目錄包括使用者程式訪問的設定和資料,其

Windows 的java客戶端實現上傳檔案到Linux的Hadoop叢集上(注意ip是否一致)

我這幾天一直在學大資料,處於入門階段,然後老師的視訊中教學有用windows的java客戶端上傳檔案到Linux的Hadoop叢集, 但是這邊出BUG了一直上傳不上去,執行程式後一直沒反應。。。。弄了幾天(雖然這幾天在做前端專案~~~) 然後問群裡的大佬,他們說應該是ip和埠

24.Linux/Unix 系統程式設計手冊(上) -- 程序的建立

1.fork, exit, wait, execve 簡介 1.fork() 允許一進城建立一個子程序。子程序獲取父程序的棧,資料段,堆和執行文字段。 2.exit() 終止一程序,將程序佔用的所有資源歸還核心。 庫函式 exit() 位於系統呼叫 _exit()

python的多程序多執行緒

作者:liuyazhuang  來源:CSDN  原文:https://blog.csdn.net/l1028386804/article/details/83042246?utm_source=copy  轉載出處:https://blog.csdn.net/l102838

如何在Ubuntu檔案管理器檢視隱藏檔案資料夾

Ubuntu檔案管理器 本文介紹如何在Ubuntu 18.04 LTS系統上檢視Ubuntu檔案瀏覽器中的隱藏檔案和資料夾。您可以從Ubuntu桌面上的“活動”檢視訪問檔案瀏覽器。 檢視隱藏內容的最簡單方法是在檔案瀏覽器開啟時使用Ctrl + h組合鍵。在下圖中,您可以看到現在顯示的所有隱藏內容:

linux檢視程序

linux檢視是否有某個執行的程序命令 linux檢視是否有某個執行的程序命令:例如,查詢是否包含 “my_post” 關鍵字的程序 ps aux | grep my_post ps aux | grep my_post | grep -v grep

我的 Linux 主目錄隱藏檔案是幹什麼用的?

作者: Alexander Fox 譯者: LCTT MjSeven   在 Linux 系統中,你可能會在主目錄中儲存了大量檔案和資料夾。但在這些檔案之外,你知道你的主目錄還附帶了很多隱藏的檔案和資料夾嗎?如果你在主目錄中執行 ls -a,你會

linux應用程式的延時定時器

筆記:在linux應用程式中延時有sleep()、msleep()和usleep()函式之類的延時,也有如下形式的延時: struct timeval delay; delay.tv_sec = sleepSecond; delay.tv_usec =

作業系統任務、程序執行緒總結

多工處理是指使用者可以在同一時間內執行多個應用程式,每個正在執行的應用程式被稱為一個任務。linux 就是一個支援多工的作業系統(Windows也是多工作業系統),比起單任務系統它的功能增強了許多。          多工作業系統使用某種排程策略支援多個任務併發執行。事

Windows的時間(SYSTEMTIMEFILETIME)

    上一篇中介紹了C執行庫中的時間處理函式。這一篇介紹Windows SDk中提供的時間函式。兩種時間系統之間沒有本質區別(事實上CRT時間是用Windows時間實現的,當然這是說的VC實現),同樣提供本地時間和UTC時間之間的轉換。不過CRT中的tm時間在SDK中對應

linux/unix多執行緒/多程序程式設計總結(一)

linux/unix多執行緒,多程序程式設計是在實際工作中經常使用到的技能,在C語言或者C++語言面試的時候也經常會被問到此部分內容。 本文對linux/unix系統中的pthread相關的多程序和多執行緒程式設計的各個方面進行了總結,包括執行緒、程序、程

WindowsPython 2.7Python 3.5相容性問題及對應pip使用方法

Python 2和Python 3的同時使用 有很多人想學習Python3,但是暫時又離不開Python2,所以他們在Windows作業系統上同時安裝了Python 2和Python 3,但是在CMD.exe上面執行”python *.py”的時候只能執行

Windows的時間(SYSTEMTIMEFILETIME)&CRT的時間(time_ttm)

時間處理時實際專案中經常碰到的問題,這裡介紹最常用的時間處理函式。 首先介紹基本的時間概念。時間一般分為兩種,一種是本地時間(Local Time),一種是協調世界時間(Coordinated Universal Time ,UTC),也就是傳說中的格林威治時間。本地