**-Unhide-**   
               http://www.unhide-forensics.info

Unhide est un outil d'investigation dont le rôle est de détecter les processus et les
flux TCP/UDP cachés par les rootkits / LKM ou par d''autres techniques de masquage.

Le paquet comprend trois utilitaires ; unhide, unhide-linux26 et unhide-tcp.

/ / unhide (ps)
/ / -----------

Détection de processus cachés. Il met en œuvre six techniques principales

1 - Comparaison de /proc avec la sortie de /bin/ps.

2 - Comparaison des informations recueillies par le parcours de l'arborescence du
    système de fichiers  procfs avec les informations issues de /bin/ps .
    Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

3 - Comparaison des informations collectées depuis des appels système avec les
    informations issues de /bin/ps(syscall scanning).

4 - Scan complet de l'espace des ID de processus par force brute (PIDs bruteforcing).
    Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

5 - Comparaison de la sortie de /bin/ps avec /proc, le parcours de procfs et les
    appels systèmes.
    Recherche inverse afin vérifiez que tous les processus affichés par /bin/ps
    existent réellement.
    Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

6 - Comparaison rapide des informations recueillies dans /proc, par le parcours
    de procfs et par lesappels systèmes avec la sortie de /bin/ps.
    cette technique est environ 20 fois plus rapide que les 3 premières réunies
    mais peut éventuellement donner davantage de faux positifs.
    Cette technique n'est disponible qu'avec la version pour Linux version 2.6.

/ / unhide-TCP
/ / ----------

   Sert à identifier les ports TCP ou UDP qui sont en écoute mais qui ne sont pas
   visibles par la commande /bin/netstat. La technique employée est également
   celle de la force brute (passage en revue de tous les ports TCP/UDP possibles).

/ / Fichiers
/ / --------

unhide.c - Recherche des processus cachés, pour les systèmes Unix génériques (* BSD,
           Solaris, Linux 2.2 / 2.4)
           Il ne met en œuvre que les techniques 1 et 3. Besoin de plus de tests
           Avertissement: Cette version est quelque peu obsolète, et peut générer
           des faux positifs. Utilisez unhide-linux26.c si c'est possible'.

unhide-linux26.c - Recherche des processus cachés, pour les systèmes Linux >= 2.6

unhide-tcp.c -> Recherche des ports TCP/UDP cachés

changelog - liste des évolutions apportées à unhide

COPYING - Fichier de Licence, GNU GPL V3

LEEME.txt - Version espagnole de ce fichier

LISEZ-MOI.TXT - Ce fichier

README.txt - Version anglaise de ce fichier

sanity.sh - Fichier de test de unhide-linux26

TODO - Liste des évolutions envisagées (des volontaires ?)

man/unhide.8 - man page en anglais de unhide

man/unhide-tcp.8 - man page en anglais de unhide-tcp

man/fr/unhide.8 - man page en français de unhide


/ / Compilation
/ / -----------

gcc --static unhide.c -o unhide

gcc --static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 --static -pthread unhide-linux26.c -o unhide-linux26

/ / Licence

GPL V.3 (http://www.gnu.org/licenses/gpl-3.0.html)


/ / Remerciement
/ / ------------

A. Ramos (aramosf@unsec.net) pour certaines expressions rationnelles

unspawn (unspawn@rootshell.be) support CentOS

Martin Bowers (Martin.Bowers@freescale.com) soutien CentOS

Lorenzo Martinez (lorenzo@lorenzomartinez.homeip.net) pour ses idées d'amélioration et le betatesting

François Marier (francois@debian.org) Auteur des pages de manuel et le support Debian

Johan Walles (johan.walles@gmail.com) Identification et correction d'un bug très désagréable de concurrence critique (race condition)

Jan Iven (jan.iven@cern.ch) En raison de ses grandes améliorations, de nouveaux tests et de corrections de bugs

P. Gouin (pg.bug.cvs.pgn@free.fr) En raison de son travail incroyable correction des bugs et d''amélioration des performance
