Unhide is a forensic tool to find h

Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique. Unhide runs in Unix/Linux and Windows Systems. It implements six main techniques.FeaturesCompare /proc vs /bin/ps outputCompare info gathered from /bin/ps with info gathered by walking thru the procfs. ONLY for unhide-linux versionCompare info gathered from /bin/ps with info gathered from syscalls (syscall scanning).Full PIDs space ocupation (PIDs bruteforcing). ONLY for unhide-linux versionCompare /bin/ps output vs /proc, procfs walking and syscall. ONLY for unhide-linux version. Reverse search, verify that all thread seen by ps are also seen in the kernel.Quick compare /proc, procfs walking and syscall vs /bin/ps output. ONLY for unhide-linux version. It’s about 20 times faster than tests 1+2+3 but maybe give more false positives.

ยกเลิกการซ่อนเป็นเครื่องมือทางนิติเวชเพื่อหากระบวนการที่ซ่อนอยู่และพอร์ต TCP / UDP โดยรูทคิท / LKMs หรือโดยวิธีการอื่นที่ซ่อน ยกเลิกการซ่อนทำงานใน Unix / Linux และ Windows ระบบ จะดำเนินเทคนิคหลักหก. คุณสมบัติเปรียบเทียบ proc / ครับ / bin / เอาต์พุต PS เปรียบเทียบข้อมูลที่รวบรวมจาก / bin / PS ด้วยข้อมูลที่รวบรวมโดยเดินผ่าน procfs เฉพาะสำหรับยกเลิกการซ่อน-ลินุกซ์รุ่นเปรียบเทียบข้อมูลที่รวบรวมจาก / bin / PS ด้วยข้อมูลที่รวบรวมมาจาก syscalls (สแกน syscall). เต็มพื้นที่ PIDs Ocupation (PIDs bruteforcing) เท่านั้นสำหรับรุ่นยกเลิกการซ่อน-ลินุกซ์เปรียบเทียบ / bin / ส่งออกเทียบกับ PS / proc, procfs เดินและ syscall เท่านั้นสำหรับรุ่นยกเลิกการซ่อน-ลินุกซ์ การค้นหาแบบย้อนกลับตรวจสอบว่ากระทู้ทั้งหมดเห็นโดย PS จะเห็นใน kernel. ด่วนเปรียบเทียบ / proc, procfs เดินและ syscall ครับ / bin ps / เอาท์พุท เท่านั้นสำหรับรุ่นยกเลิกการซ่อน-ลินุกซ์ มันเป็นเรื่องของ 20 ครั้งเร็วกว่าการทดสอบ 1 + 2 + 3 แต่อาจจะให้ผลบวกปลอมมากขึ้น

ยกเลิกการเป็นเครื่องมือทางนิติวิทยาศาสตร์เพื่อหากระบวนการที่ซ่อนอยู่และ TCP / UDP พอร์ตโดย rootkits / lkms หรืออื่นซ่อนอยู่ที่เทคนิค ยกเลิกการไหลในระบบ UNIX / Linux และระบบ Windows มันใช้เทคนิคหลักที่หก .



เปรียบเทียบคุณสมบัติกับ / bin / PS / proc ผลผลิต
เปรียบเทียบข้อมูลที่รวบรวมจาก / bin / PS กับข้อมูลที่รวบรวมโดยการเดินผ่าน procfs . เพื่อยกเลิกการซ่อน Linux รุ่น
เปรียบเทียบข้อมูลที่รวบรวมจาก / bin / PS กับข้อมูลที่รวบรวมได้จาก syscalls ( สแกน syscall ) .
เต็มพื้นที่ศูนย์ฝึก ocupation ( ศูนย์ฝึก bruteforcing ) เพื่อยกเลิกการซ่อน Linux รุ่น
เปรียบเทียบ / bin / PS / proc ผลผลิต VS , และ procfs เดิน syscall . เพื่อยกเลิกการซ่อนลินุกซ์รุ่น ค้นหาหัวข้อทั้งหมด ตรวจสอบว่า เห็น PS ยังเห็นในเคอร์เนล
proc เปรียบเทียบ / ด่วนprocfs เดิน syscall VS / bin / เพิ่มผลผลิต เพื่อยกเลิกการซ่อนลินุกซ์รุ่น มันประมาณ 20 ครั้งเร็วกว่าแบบ 1 2 3 แต่อาจจะผิดมากแจ้ง