**-Unhide-**   
               http://www.unhide-forensics.info

Unhide es una herramienta forense que permite descubrir procesos y puertos TCP/UDP ocultos
por rootkits / LKMs o cualquier otra tecnica de ocultacion.


//Unhide (ps)

Permite identificar procesos que hayan sido ocultados. Implementa seis tecnicas:

* Comparacion de la informacion obtenida por /bin/ps frente a los directorios en /proc

* Comparacion de la informacin obtenida de /bin/ps contra la estructura de directorios de /proc

* Comparacion de la informacion visible por /bin/ps frente a la que se puede obtener
 utilizando diversas sycalls del sistema (syscall scanning).

* Busqueda de incoherencias entre el resultado de /bin/ps y la informacion obtenida en /proc y syscall scanning (Reverse scanning)

* Ocupacion por fuerta bruta del espacio de PIDs disponibles en el sistema (PIDs bruteforcing)

* Escaneo 'rapido' de informacion usando /proc procfs y syscalls


// Unhide-TCP

Permite identificar puertos TCP/UDP que esten a la escucha pero no aparezcan listados
en /bin/netstat haciendo brute forcing sobre el espacio de puertos TCP/UDP disponibles
en el sistema.


// Files

unhide.c --> Procesos ocultos, Sistemas Unix (*BSD, solaris, linux 2.2, linux 2.4) No incorpora
             PIDs bruteforcing, Necesita mas testing

unhide-linux26.c --> Procesos ocultos, Linux 2.6.x

unhide-tcp.c --> Puertos tcp/udp ocultos

// Compilación

gcc --static unhide.c -o unhide

gcc --static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 --static -pthread unhide-linux26.c -o unhide-linux26


// Licencia

GPL V.3 (http://www.gnu.org/licenses/gpl-3.0.html)

// Agradecimientos

A. Ramos (aramosf@unsec.net) Por aportar algunas expresiones regulares

unspawn (unspawn@rootshell.be) Soporte en CentOS

Martin Bowers (Martin.Bowers@freescale.com) Soporte en CentOS

Lorenzo Martinez (lorenzo@lorenzomartinez.homeip.net) Por aportar varias ideas y betatesting

Francois Marier (francois@debian.org) Por crear las paginas man y dar soporte en Debian

Johan Walles (johan.walles@gmail.com) Por encontrar y solucionar un importante fallo del tipo "condicion de carrera"

Jan Iven (jan.iven@cern.ch) Por sus magníficas mejoras, nuevos tests y bugfixing

P. Gouin (pg.bug.cvs.pgn@free.fr) Por su increible trabajo 'fixeando' bugs y mejorando el rendimiento

