วิธีค้นพบกระบวนการของ Linux ที่ซ่อนอยู่ด้วยการยกเลิกการซ่อน

ในขณะที่ GNU / Linux เป็นระบบปฏิบัติการที่มีความปลอดภัยสูงผู้คนจำนวนมากล่อลวงความปลอดภัยที่ผิดพลาด พวกเขามีความคิดที่ไม่ถูกต้องว่าไม่มีอะไรเกิดขึ้นได้เนื่องจากกำลังทำงานจากสภาพแวดล้อมที่ปลอดภัย เป็นความจริงที่มัลแวร์น้อยมากสำหรับสภาพแวดล้อมของ Linux แต่ก็ยังคงเป็นไปได้ว่าการติดตั้ง Linux อาจถูกบุกรุกในที่สุด ถ้าไม่มีอะไรอื่นแล้วพิจารณาความเป็นไปได้ของ rootkits และการโจมตีที่คล้ายกันอื่น ๆ เป็นส่วนสำคัญของการจัดการระบบ rootkit หมายถึงชุดเครื่องมือที่ผู้ใช้บุคคลที่สามหลังจากที่พวกเขาเข้าถึงระบบคอมพิวเตอร์ที่พวกเขาไม่สามารถเข้าถึงได้อย่างถูกต้อง ชุดนี้สามารถใช้เพื่อแก้ไขไฟล์โดยไม่ได้รับความรู้จากผู้ใช้โดยชอบธรรม แพคเก็ตยกเลิกการซ่อนแสดงเทคโนโลยีที่จำเป็นในการหาซอฟต์แวร์ที่ถูกบุกรุกได้อย่างรวดเร็ว

ยกเลิกการซ่อนอยู่ในที่เก็บสำหรับส่วนใหญ่ของการกระจาย Linux ที่สำคัญ การใช้คำสั่งของผู้จัดการแพ็กเกจเช่น sudo apt-get install unhide ก็เพียงพอที่จะบังคับให้ติดตั้งในรูปแบบของ Debian และ Ubuntu เซิร์ฟเวอร์ที่มีการเข้าถึง GUI สามารถใช้ตัวจัดการแพคเกจ Synaptic การกระจาย Fedora และ Arch มีเวอร์ชันที่ซ่อนไว้ล่วงหน้าสำหรับระบบการจัดการแพคเกจของตนเอง เมื่อยกเลิกการติดตั้งแล้วผู้ดูแลระบบควรสามารถใช้วิธีต่างๆได้หลายวิธี

วิธีที่ 1: รหัสกระบวนการของ Bruteforcing

เทคนิคขั้นพื้นฐานเกี่ยวข้องกับการทำรหัสผ่านแต่ละกระบวนการเพื่อให้แน่ใจว่าไม่มีผู้ใดถูกซ่อนจากผู้ใช้ ถ้าคุณไม่มีสิทธิ์เข้าถึง root ให้พิมพ์ sudo unhide brute -d ที่พรอมต์ CLI ตัวเลือก d จะเพิ่มการทดสอบเป็นสองเท่าเพื่อลดจำนวนของการรายงานผลผิดพลาด

เอาท์พุทเป็นขั้นพื้นฐานมาก หลังจากข้อความลิขสิทธิ์เลิกซ่อนจะอธิบายการตรวจสอบที่ดำเนินการ จะมีบรรทัดระบุว่า:

[*] การเริ่มต้นการสแกนโดยใช้กำลังเดรัจฉานกับ PIDS ด้วยส้อม ()

และอื่นระบุ:

[*] การเริ่มต้นการสแกนโดยใช้ Brute Force กับ PIDS ด้วยฟังก์ชัน pthread

หากไม่มีข้อมูลอื่นใดแสดงว่าไม่มีข้อสงสัยใด ๆ หาก subroutine เดรัจฉานของโปรแกรมพบอะไรจากนั้นจะรายงานสิ่งที่ชอบ:

พบ HIDDEN PID: 0000

สี่ศูนย์จะถูกแทนที่ด้วยหมายเลขที่ถูกต้อง ถ้าเพียงอ่านว่าเป็นกระบวนการชั่วคราวแล้วนี่อาจเป็นผลบวกเท็จ รู้สึกอิสระที่จะทำการทดสอบหลาย ๆ ครั้งจนกว่าจะได้ผลลัพธ์ที่สะอาด หากมีข้อมูลเพิ่มเติมแสดงว่าอาจมีการตรวจติดตามผล หากคุณต้องการบันทึกคุณสามารถใช้สวิตช์ -f เพื่อสร้างไฟล์บันทึกในไดเร็กทอรีปัจจุบัน โปรแกรมรุ่นใหม่เรียกไฟล์นี้ซ่อนไฟล์ -linux.log และมีเอาต์พุตข้อความล้วน

วิธีที่ 2: เปรียบเทียบ / proc และ / bin / ps

คุณสามารถแทนที่โดยตรงยกเลิกการซ่อนเพื่อเปรียบเทียบ / bin / ps และ / proc รายการกระบวนการเพื่อให้แน่ใจว่าทั้งสองแยกรายการในการแข่งขันต้นไม้ไฟล์ยูนิกซ์ หากมีสิ่งผิดปกติโปรแกรมจะรายงาน PID ผิดปกติ กฎของยูนิกซ์กำหนดให้กระบวนการทำงานต้องแสดงหมายเลขประจำตัวประชาชนในสองรายการนี้ พิมพ์ sudo unhide proc -v เพื่อเริ่มการทดสอบ การตรึง v จะทำให้โปรแกรมอยู่ในโหมด verbose

วิธีการนี้จะแจ้งให้ทราบโดยระบุว่า:

[*] ค้นหากระบวนการที่ซ่อนผ่าน / proc stat การสแกน

หากมีสิ่งผิดปกติเกิดขึ้นก็จะปรากฎตามบรรทัดข้อความนี้

วิธีที่ 3: การรวม Proc และ Procfs Techniques

หากต้องการคุณสามารถเปรียบเทียบ / bin / ps และ / proc Unix file tree list ในขณะที่ยังเปรียบเทียบข้อมูลทั้งหมดจากรายการ bin / ps ด้วยรายการ procfs เสมือน การทำเช่นนี้จะตรวจสอบกฎของต้นไม้ไฟล์ยูนิกซ์รวมทั้งข้อมูลของ procfs พิมพ์ sudo unhide procall -v เพื่อดำเนินการทดสอบนี้ซึ่งอาจใช้เวลานานพอสมควรเนื่องจากมีการสแกนสถิติทั้งหมด / proc รวมทั้งทำการทดสอบอื่น ๆ เป็นวิธีที่ยอดเยี่ยมเพื่อให้แน่ใจว่าทุกอย่างบนเซิร์ฟเวอร์เป็นระบบ copasetic

PRO TIP: หากปัญหาเกิดขึ้นกับคอมพิวเตอร์หรือแล็ปท็อป / โน้ตบุ๊คคุณควรลองใช้ซอฟต์แวร์ Reimage Plus ซึ่งสามารถสแกนที่เก็บข้อมูลและแทนที่ไฟล์ที่เสียหายได้ วิธีนี้ใช้ได้ผลในกรณีส่วนใหญ่เนื่องจากปัญหาเกิดจากความเสียหายของระบบ คุณสามารถดาวน์โหลด Reimage Plus โดยคลิกที่นี่

วิธีที่ 4: เปรียบเทียบผลลัพธ์ของ procfs ด้วย / bin / ps

การทดสอบก่อนหน้านี้มีส่วนเกี่ยวข้องกับแอพพลิเคชันส่วนใหญ่ แต่คุณสามารถเรียกใช้ระบบไฟล์ proc ตรวจสอบได้อย่างอิสระเพื่อความสะดวกบางอย่าง พิมพ์ sudo unhide procfs -m ซึ่งจะทำการตรวจสอบเหล่านี้บวกกับการตรวจสอบอีกหลายครั้งโดยการตรึงบน -m

นี่เป็นการทดสอบที่เกี่ยวข้องมากกว่าและอาจใช้เวลาสักครู่ จะส่งกลับสามบรรทัดแยกออก:

โปรดจำไว้ว่าคุณสามารถสร้างบันทึกฉบับสมบูรณ์พร้อมกับการทดสอบใด ๆ เหล่านี้ได้โดยการเพิ่มคำสั่ง -f ลงในคำสั่ง

วิธีที่ 5: การเรียกใช้ Quick Scan

ถ้าคุณเพียงต้องการเรียกใช้การสแกนอย่างรวดเร็วโดยไม่ต้องเกี่ยวกับตัวเองด้วยการตรวจสอบในเชิงลึกเพียงพิมพ์ sudo unhide quick ซึ่งควรจะรันเร็วที่สุดเท่าที่ชื่อแนะนำ เทคนิคนี้จะสแกนรายการ proc รวมทั้งระบบไฟล์ proc นอกจากนี้ยังรันการตรวจสอบที่เกี่ยวข้องกับการเปรียบเทียบข้อมูลที่เก็บรวบรวมจาก / bin / ps ด้วยข้อมูลที่ได้จากการเรียกทรัพยากรของระบบ นี่เป็นบรรทัดเดียวของการส่งออก แต่น่าเสียดายที่เพิ่มความเสี่ยงต่อการเกิดการผิดพลาด มีประโยชน์ในการตรวจสอบอีกครั้งหลังจากได้ทบทวนผลลัพธ์ก่อนหน้า

เอาท์พุทมีดังนี้:

[*] ค้นหากระบวนการซ่อนผ่านการเปรียบเทียบผลลัพธ์ของการเรียกระบบ, proc, dir และ ps

คุณอาจเห็นกระบวนการชั่วคราวหลายอย่างเกิดขึ้นหลังจากใช้งานการสแกนนี้

วิธีที่ 6: การเรียกใช้การสแกนย้อนกลับ

เทคนิคที่ยอดเยี่ยมสำหรับการดักจับ rootkits เกี่ยวข้องกับการตรวจสอบ ps ps ทั้งหมด ถ้าคุณเรียกใช้คำสั่ง ps ที่พรอมต์ CLI คุณจะเห็นรายการคำสั่งที่เรียกใช้จากเทอร์มินัล การสแกนแบบย้อนกลับจะตรวจสอบว่าเธรดโพรเซสซิ่งแต่ละตัวที่ภาพ ps มีการเรียกระบบที่ถูกต้องและสามารถค้นหาได้ในรายชื่อ procfs นี้เป็นวิธีที่ดีเพื่อให้แน่ใจว่า rootkit ไม่ได้ฆ่าบางสิ่งบางอย่าง เพียงพิมพ์ sudo unhide reverse เพื่อเรียกใช้เช็คนี้ ควรทำงานอย่างรวดเร็ว เมื่อโปรแกรมทำงานโปรแกรมจะแจ้งให้คุณทราบว่ากำลังมองหากระบวนการปลอม

วิธีที่ 7: เปรียบเทียบ / bin / ps กับการโทรระบบ

สุดท้ายการตรวจสอบที่ครอบคลุมมากที่สุดคือการเปรียบเทียบข้อมูลทั้งหมดจากรายการ bin / ps กับข้อมูลที่ได้จากการเรียกระบบที่ถูกต้อง พิมพ์ sudo unhide sys เพื่อเริ่มการทดสอบนี้ มันจะมากกว่าจะใช้เวลานานกว่าการทำงานอื่น ๆ เนื่องจากมีบรรทัดผลลัพธ์ที่แตกต่างกันจำนวนมากดังนั้นคุณอาจต้องการใช้คำสั่ง -f ล็อกไฟล์เพื่อให้มองย้อนกลับไปในทุกอย่างที่พบได้ง่ายขึ้น