久久www免费人成看片老司机_母亲4在线观看完整版 百度_波多野结衣久久_亚洲午夜成人片_天美传媒国产精品果冻

 
您現(xiàn)在的位置:首頁 ? 知識(shí)庫 ? 系統(tǒng)集成 ? LINUX系統(tǒng) LINUX系統(tǒng)
如何在LinuxUnixWindows中發(fā)現(xiàn)隱藏的進(jìn)程和端口
發(fā)布日期:2018-02-03

unhide是一個(gè)小巧的網(wǎng)絡(luò)取證工具,能夠發(fā)現(xiàn)那些借助 rootkitLKM 及其它技術(shù)隱藏的進(jìn)程和 TCP/UDP 端口。這個(gè)工具在 LinuxUNIX 類、MS-Windows 等操作系統(tǒng)下都可以工作。根據(jù)其 man 頁面的說明:

 

Unhide 通過下述三項(xiàng)技術(shù)來發(fā)現(xiàn)隱藏的進(jìn)程。

1、進(jìn)程相關(guān)的技術(shù),包括將 /proc 目錄與 /bin/ps 命令的輸出進(jìn)行比較。

2、系統(tǒng)相關(guān)的技術(shù),包括將 /bin/ps 命令的輸出結(jié)果同從系統(tǒng)調(diào)用方面得到的信息進(jìn)行比較。

3、窮舉法相關(guān)的技術(shù),包括對(duì)所有的進(jìn)程 ID 進(jìn)行暴力求解,該技術(shù)僅限于在基于 Linux2.6 內(nèi)核的系統(tǒng)中使用。

 

絕大多數(shù)的 Rootkit 工具或者惡意軟件借助內(nèi)核來實(shí)現(xiàn)進(jìn)程隱藏,這些進(jìn)程只在內(nèi)核內(nèi)部可見。你可以使用 unhide 或者諸如 rkhunter 等工具,掃描 rootkit 程序 、后門程序以及一些可能存在的本地漏洞。

 

 

如何在 Linux/Unix/Windows 中發(fā)現(xiàn)隱藏的進(jìn)程和端口

 

這篇文章描述了如何安裝 unhide 并搜索隱藏的進(jìn)程和 TCP/UDP 端口。

 

如何安裝 unhide

 

首先建議你在只讀介質(zhì)上運(yùn)行這個(gè)工具。如果使用的是 Ubuntu 或者 Debian 發(fā)行版,輸入下述的 apt-get/apt 命令以安裝 Unhide

 

$ sudo apt-get install unhide

一切順利的話你的命令行會(huì)輸出以下內(nèi)容:

 

[sudo] password for vivek: Reading package lists...DoneBuilding dependency tree Reading state information... DoneSuggested packages: rkhunterThe following NEW packages will be installed: unhide0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.Need to get 46.6 kB of archives.After this operation, 136 kB of additional disk space will be used.Get:1 http://in.archive.ubuntu.com/ubuntu artful/universe amd64 unhide amd64 20130526-1 [46.6 kB]Fetched 46.6 kB in 0s (49.0 kB/s)Selecting previously unselected package unhide.(Reading database ... 205367 files and directories currently installed.)Preparing to unpack .../unhide_20130526-1_amd64.deb ...Unpacking unhide (20130526-1) ...Setting up unhide (20130526-1) ...Processing triggers for man-db (2.7.6.1-2) ...

如何在 RHEL/CentOS/Oracle/Scientific/Fedora 上安裝 unhide

 

輸入下列 yum Type the following yum command (first turn on EPLE repo on a CentOS/RHEL version 6.x or version 7.x):

 

輸入以下的 yum 命令(CentOS/RHEL 6.x 7.x 上首先打開 EPEL 倉庫):

 

$ sudo yum install unhide

Fedora 上則使用以下 dnf 命令:

 

$ sudo dnf install unhide

如何在 Arch 上安裝 unhide

 

鍵入以下 pacman 命令安裝:

 

$ sudo pacman -S unhide

如何在 FreeBSD 上安裝 unhide

 

可以通過以下的命令使用 port 來安裝 unhide

 

# cd /usr/ports/security/unhide/# make install clean

或者可以通過二進(jìn)制文件安裝 hide,使用 pkg 命令安裝:

 

# pkg install unhide

如何使用 unhide 工具?

 

unhide 的語法是:

 

unhide [options] test_list

test_list 參數(shù)可以是以下測(cè)試列表中的一個(gè)或者多個(gè)標(biāo)準(zhǔn)測(cè)試:

 

brute

proc

procall

procfs

quick

reverse

sys

或基本測(cè)試:

 

checkbrute

checkchdir

checkgetaffinity

checkgetparam

checkgetpgid

checkgetprio

checkRRgetinterval

checkgetsched

checkgetsid

checkkill

checknoprocps

checkopendir

checkproc

checkquick

checkreaddir

checkreverse

checksysinfo

checksysinfo2

checksysinfo3

 

你可以通過以下示例命令使用 unhide

 

# unhide proc# unhide sys# unhide quick

 

示例輸出:

 

Unhide 20130526Copyright © 2013 Yago Jesus & Patrick GouinLicense GPLv3+ : GNU GPL version 3 or laterhttp://www.unhide-forensics.infoNOTE : This version of unhide is for systems using Linux >= 2.6 Used options: [*]Searching for Hidden processes through comparison of results of system calls, proc, dir and ps

如何使用 unhide-tcp 工具辨明 TCP/UDP 端口的身份

 

以下是來自 man 頁面的介紹:

 

unhide-tcp 取證工具通過對(duì)所有可用的 TCP/IP 端口進(jìn)行暴力求解的方式,辨別所有正在監(jiān)聽,卻沒有列入 /bin/netstat 或者 /bin/ss 命令輸出的 TCP/IP 端口身份。

注一:對(duì)于 FreeBSDOpenBSD系統(tǒng),一般使用 netstat 命令取代在這些操作系統(tǒng)上不存在的 iproute2,此外,sockstat 命令也用于替代 fuser

注二:如果操作系統(tǒng)不支持 iproute2 命令,在使用 unhide 時(shí)需要在命令上加上 -n或者 -s 選項(xiàng)。

# unhide-tcp

示例輸出:

 

Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingStarting UDP checking

上述操作中,沒有發(fā)現(xiàn)隱藏的端口。

 

但在下述示例中,我展示了一些有趣的事。

 

# unhide-tcp

示例輸出:

 

Unhide 20100201http://www.security-projects.com/?UnhideStarting TCP checkingFound Hidden port that not appears in netstat: 1048Found Hidden port that not appears in netstat: 1049Found Hidden port that not appears in netstat: 1050Starting UDP checking

可以看到 netstat -tulpn ss 命令確實(shí)沒有反映出這三個(gè)隱藏的端口:

 

# netstat -tulpn | grep 1048# ss -lp# ss -l | grep 1048

通過下述的 man 命令可以更多地了解 unhide

 

$ man unhide$ man unhide-tcp

Windows 用戶如何安裝使用 unhide

 

 

你可以通過這個(gè)頁面獲取 Windows 版本的 unhide

  • 1.公司登記注冊(cè)于2003年1月27日,清遠(yuǎn)市桑達(dá)電子網(wǎng)絡(luò)媒體有限公司
    2.公司2006年起成為清遠(yuǎn)市政府定點(diǎn)協(xié)議供貨商,電子采購供貨商
    3.公司2007年被清遠(yuǎn)市相關(guān)政府部門評(píng)為安防行業(yè)狀元
    4.公司2007年起成為長城電腦清遠(yuǎn)如意服務(wù)站(SP368)
    5.公司2007年承建清遠(yuǎn)市橫河路口電子警察工程,開創(chuàng)清遠(yuǎn)電子警察先河。
  • 6.公司2007年起成為IBM合作伙伴、公司2010年底成為金蝶軟件清遠(yuǎn)金牌代理(伙伴編號(hào):30030013)
    7.公司組團(tuán)隊(duì)參加南方都市報(bào)組織的創(chuàng)富評(píng)選,獲廣東80強(qiáng)。公司申請(qǐng)多項(xiàng)軟件著作權(quán)、專利權(quán)
    8.2016年起公司成為粵東西北地區(qū)為數(shù)不多的雙軟企業(yè),確立“讓軟件驅(qū)動(dòng)世界,讓智能改變生活!"企業(yè)理想
    9.2016-01-29更名為廣東互動(dòng)電子網(wǎng)絡(luò)媒體有限公司
    10.2021-01-13更名為廣東互動(dòng)電子有限公司
  • 投資合作咨詢熱線電話:0763-3391888 3323588
  • 做一個(gè)負(fù)責(zé)任的百年企業(yè)! 天行健,君子以自強(qiáng)不息;地勢(shì)坤,君子以厚德載物;
    為用戶創(chuàng)造價(jià)值! 讓軟件驅(qū)動(dòng)世界; 讓智能改變生活; 超越顧客期望,幫助顧客成功;
    對(duì)客戶負(fù)責(zé),對(duì)員工負(fù)責(zé),對(duì)企業(yè)命運(yùn)負(fù)責(zé)!幫助支持公司的客戶成功;幫助忠誠于公司的員工成功!
  • 聯(lián)系電話:0763-3391888 3323588 3318977
    服務(wù)熱線:18023314222 QQ:529623964
  • 工作QQ:2501204690 商務(wù)QQ: 602045550
    投資及業(yè)務(wù)投訴QQ: 529623964
    微信:小米哥 微信號(hào):qysed3391888
    騰訊微博:桑達(dá)網(wǎng)絡(luò)-基石與起點(diǎn)
  • E-MAIL:222#QYSED.CN ok3391888#163.com (請(qǐng)用@替換#)
在線客服
  • 系統(tǒng)集成咨詢
    點(diǎn)擊這里給我發(fā)消息
  • 網(wǎng)站\微信\軟件咨詢
    點(diǎn)擊這里給我發(fā)消息
  • 售后服務(wù)
    點(diǎn)擊這里給我發(fā)消息
  • 投資合作
    點(diǎn)擊這里給我發(fā)消息