Unhide soll Rootkits aufdecken

Aufmacher News

Jan Rähm
30.06.2008

Verstecken Rootkits Ports und Prozesse, stoßen herkömmliche Analysemethoden schnell an Grenzen. Eine Möglichkeit, die unsichtbaren Eindringlinge zu finden soll die Software Unhide zur Verfügung stellen.

Unhide nutzt dazu verschiedene Methoden: Um versteckte Prozesse zu finden, überprüft das Programm einerseits den Output des PS-Befehls und den Inhalt des "/proc"-Verzeichnisses. Zum Anderen erfolgt ein Vergleich der Ausgabe von "/bin/ps" und der System-Calls. Als Drittes überprüft die Software mit einer Brute-Force-Methode alle Prozess-IDs.

Versteckte TCP- und UDP-Ports versucht Unhide aufzudecken, indem es alle TCP/UDP-Ports indentifiziert, auf denen zwar gelauscht wird, die aber nicht vom Netstat-Befehl gelistet werden. Auch hier kommt eine Brute-Force-Methode zum Einsatz.

Die jüngst veröffentlichte Version 20080519 schließt einen Race-Condition-Fehler, der falsche positive Testergebnisse erzeugte. Außerdem fügte das Projekt Manpages ein. Unhide steht auf der Website des Projekts zum Download bereit. Fertige Pakete befinden sich im Debian Sid-Verzeichnis und im Repository des kommenden Ubuntu 8.10 (Intrepid Ibex). Das Forensik-Tool ist unter der GPL-Version 3 lizenziert.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 4 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...
Treiber für Canon Laserbase MF5650
Sven Bremer, 10.02.2015 09:46, 1 Antworten
Hallo ich weiß mittlerweile das Canon nicht der beste Drucker für ein Linux System ist. Trotzd...
Linux und W7 im Netz finden sich nicht
Oliver Zoffi, 06.02.2015 11:47, 3 Antworten
Hallo! Ich verwende 2 PCs, 1x mit W7prof 64 Bit und einmal mit Linux Mint 17 64 Bit, welches ich...
Rootpasswort
Jutta Naumann, 29.01.2015 09:14, 1 Antworten
Ich habe OpenSuse 13.2 installiert und leider nur das Systempasswort eingerichtet. Um Änderungen,...