Aufmacher News

Unhide soll Rootkits aufdecken

Jan Rähm
30.06.2008

Verstecken Rootkits Ports und Prozesse, stoßen herkömmliche Analysemethoden schnell an Grenzen. Eine Möglichkeit, die unsichtbaren Eindringlinge zu finden soll die Software Unhide zur Verfügung stellen.

Unhide nutzt dazu verschiedene Methoden: Um versteckte Prozesse zu finden, überprüft das Programm einerseits den Output des PS-Befehls und den Inhalt des "/proc"-Verzeichnisses. Zum Anderen erfolgt ein Vergleich der Ausgabe von "/bin/ps" und der System-Calls. Als Drittes überprüft die Software mit einer Brute-Force-Methode alle Prozess-IDs.

Versteckte TCP- und UDP-Ports versucht Unhide aufzudecken, indem es alle TCP/UDP-Ports indentifiziert, auf denen zwar gelauscht wird, die aber nicht vom Netstat-Befehl gelistet werden. Auch hier kommt eine Brute-Force-Methode zum Einsatz.

Die jüngst veröffentlichte Version 20080519 schließt einen Race-Condition-Fehler, der falsche positive Testergebnisse erzeugte. Außerdem fügte das Projekt Manpages ein. Unhide steht auf der Website des Projekts zum Download bereit. Fertige Pakete befinden sich im Debian Sid-Verzeichnis und im Repository des kommenden Ubuntu 8.10 (Intrepid Ibex). Das Forensik-Tool ist unter der GPL-Version 3 lizenziert.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 4 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...
MS LifeCam HD-5000 an Debian
Kay Michael, 13.04.2016 22:55, 0 Antworten
Hallo, ich versuche die oben erwähnte Cam an einem Thin Client mit Debian zu betreiben. Linux...
Import von Evolution nach KMail erzeugt nur leere Ordner
Klaus-Christian Falkner, 06.04.2016 12:57, 3 Antworten
Hallo, da ich vor einiger Zeit von Ubuntu auf Kubuntu umgestiegen bin, würde ich gerne meine E...
Sophos lässt sich nicht unter Lubuntu installieren
Chrstina Turm, 30.03.2016 20:56, 3 Antworten
Hi Leute, habe mir vor paar Tagen auf ein Notebook, das ohne Linux ausgedient hätte, Linux dr...
Novell Client auf Raspbian
Chris Baum, 16.03.2016 15:13, 3 Antworten
Hallo Community, ich hätte eine Frage, und zwar geht es um folgendes: Ich möchte eine Datei...