Aufmacher News

Unhide soll Rootkits aufdecken

Jan Rähm
30.06.2008

Verstecken Rootkits Ports und Prozesse, stoßen herkömmliche Analysemethoden schnell an Grenzen. Eine Möglichkeit, die unsichtbaren Eindringlinge zu finden soll die Software Unhide zur Verfügung stellen.

Unhide nutzt dazu verschiedene Methoden: Um versteckte Prozesse zu finden, überprüft das Programm einerseits den Output des PS-Befehls und den Inhalt des "/proc"-Verzeichnisses. Zum Anderen erfolgt ein Vergleich der Ausgabe von "/bin/ps" und der System-Calls. Als Drittes überprüft die Software mit einer Brute-Force-Methode alle Prozess-IDs.

Versteckte TCP- und UDP-Ports versucht Unhide aufzudecken, indem es alle TCP/UDP-Ports indentifiziert, auf denen zwar gelauscht wird, die aber nicht vom Netstat-Befehl gelistet werden. Auch hier kommt eine Brute-Force-Methode zum Einsatz.

Die jüngst veröffentlichte Version 20080519 schließt einen Race-Condition-Fehler, der falsche positive Testergebnisse erzeugte. Außerdem fügte das Projekt Manpages ein. Unhide steht auf der Website des Projekts zum Download bereit. Fertige Pakete befinden sich im Debian Sid-Verzeichnis und im Repository des kommenden Ubuntu 8.10 (Intrepid Ibex). Das Forensik-Tool ist unter der GPL-Version 3 lizenziert.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Probleme mit der Maus
Thomas Roch, 21.02.2017 13:43, 1 Antworten
Nach 20 Jahren Windows habe ich mich zu Linux Ubuntu probeweise durchgerungen!!! Installation - k...
KWin stürzt ab seit Suse Leap 42.2
Wimpy *, 21.02.2017 09:47, 3 Antworten
OpenSuse 42.2 KDE 5.8.3 Framework 5.26.0 QT 5.6.1 Kernel 4.4.46-11-default 64-bit Open-GL 2....
Shell-Befehl zur Installation von Scanner-Treiber
Achim Zerrer, 15.02.2017 12:13, 10 Antworten
Hallo, ich habe Einen Brother Drucker mit Scanner. Nachdem ich mit Hilfe der Community den Druck...
kiwix öffnet ZIM Datei nicht
Adrian Meyer, 13.02.2017 18:23, 1 Antworten
Hi, ich nutze Zim Desktop für mein privates Wiki. Fürs Handy habe ich mir kiwix heruntergelade...
registration
Brain Stuff, 10.02.2017 16:39, 1 Antworten
Hallo, Das Capatcha auf der Registrierungsseite von linux-community ist derartig schlecht gema...