Làm thế nào để khám phá các quá trình Linux ẩn với ẩn

Trong khi GNU / Linux là một hệ điều hành cực kỳ an toàn, nhiều người bị lôi cuốn vào một cảm giác an toàn sai lầm. Họ có ý tưởng sai lầm rằng không có gì có thể xảy ra bởi vì họ đang làm việc từ một môi trường an toàn. Đúng là có rất ít phần mềm độc hại tồn tại trong môi trường Linux, nhưng vẫn rất có thể là một bản cài đặt Linux có thể bị xâm phạm cuối cùng. Nếu không có gì khác, sau đó xem xét khả năng rootkit và các cuộc tấn công tương tự khác là một phần quan trọng trong quản trị hệ thống. Rootkit đề cập đến một bộ công cụ mà người dùng bên thứ ba sau khi họ có quyền truy cập vào hệ thống máy tính mà họ không có quyền truy cập. Bộ công cụ này sau đó có thể được sử dụng để sửa đổi các tệp mà không có kiến ​​thức về người dùng hợp pháp. Gói unhide cung cấp công nghệ cần thiết để nhanh chóng tìm thấy phần mềm bị xâm phạm đó.

Bỏ ẩn nằm trong kho lưu trữ cho hầu hết các bản phân phối Linux chính. Sử dụng lệnh của trình quản lý gói như sudo apt-get install unhide là đủ để buộc nó cài đặt trên các phiên bản Debian và Ubuntu. Các máy chủ có quyền truy cập GUI có thể sử dụng Trình quản lý gói Synaptic. Các bản phân phối của Fedora và Arch có các phiên bản được xây dựng sẵn cho hệ thống quản lý gói của riêng họ. Sau khi cài đặt ẩn, quản trị viên hệ thống sẽ có thể sử dụng một số cách khác nhau.

Phương pháp 1: ID quy trình bruteforcing

Các kỹ thuật cơ bản nhất liên quan đến bruteforcing mỗi ID quá trình để đảm bảo rằng không ai trong số họ đã được ẩn từ người sử dụng. Trừ khi bạn có quyền truy cập root, gõ sudo unhide brute -d tại dấu nhắc CLI. Các d tùy chọn tăng gấp đôi thử nghiệm để cắt giảm số lượng các báo cáo sai tích cực báo cáo.

Đầu ra là cực kỳ cơ bản. Sau một tin nhắn bản quyền, bỏ ẩn sẽ giải thích các kiểm tra mà nó thực hiện. Sẽ có một dòng ghi rõ:

[*] Bắt đầu quét bằng cách sử dụng vũ lực chống lại PIDS với fork ()

và một tuyên bố khác:

[*] Bắt đầu quét bằng cách sử dụng lực lượng vũ phu chống lại PIDS với chức năng pthread

Nếu không có bất kỳ đầu ra nào khác, thì không có lý do gì đáng lo ngại. Nếu chương trình con của chương trình tìm thấy bất cứ điều gì, thì nó sẽ báo cáo một cái gì đó như:

Tìm thấy HIDDEN PID: 0000

Bốn số 0 sẽ được thay thế bằng một số hợp lệ. Nếu nó chỉ đọc rằng đó là một quá trình tạm thời, sau đó điều này có thể là một dương tính giả. Vui lòng chạy thử nghiệm nhiều lần cho đến khi nó cung cấp kết quả rõ ràng. Nếu có thêm thông tin, sau đó nó có thể đảm bảo một kiểm tra tiếp theo. Nếu bạn cần một bản ghi, bạn có thể sử dụng công tắc -f để tạo một tệp nhật ký trong thư mục hiện tại. Các phiên bản mới hơn của chương trình gọi tập tin này là unhide-linux.log, và nó có đầu ra văn bản thuần.

Phương pháp 2: So sánh / proc và / bin / ps

Thay vào đó, bạn có thể trực tiếp bỏ ẩn để so sánh danh sách quy trình / bin / ps và / proc để đảm bảo rằng hai danh sách riêng biệt này trong kết hợp cây tệp Unix. Nếu có một cái gì đó awry, sau đó chương trình sẽ báo cáo PID bất thường. Các quy tắc Unix quy định rằng các tiến trình đang chạy phải trình bày các số ID trong hai danh sách này. Gõ sudo unhide proc -v để bắt đầu kiểm tra. Tacking on v sẽ đưa chương trình vào chế độ tiết.

Phương thức này sẽ trả về một dấu nhắc cho biết:

[*] Tìm kiếm các quá trình ẩn thông qua / proc stat scanning

Nếu bất cứ điều gì bất thường xảy ra, nó sẽ xuất hiện sau dòng văn bản này.

Phương pháp 3: Kết hợp kỹ thuật Proc và Procfs

Nếu cần, bạn có thể so sánh danh sách cây tập tin / bin / ps và / proc Unix trong khi cũng so sánh tất cả thông tin từ danh sách / bin / ps với các mục nhập procfs ảo. Điều này kiểm tra cả quy tắc cây tập tin Unix cũng như dữ liệu procfs. Gõ sudo unhide procall -v để thực hiện kiểm tra này, có thể mất khá nhiều thời gian vì nó phải quét tất cả số liệu thống kê / proc cũng như thực hiện một số thử nghiệm khác. Đó là một cách tuyệt vời để đảm bảo rằng tất cả mọi thứ trên một máy chủ là copasetic.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Phương pháp 4: So sánh kết quả procfs với / bin / ps

Các bài kiểm tra trước đây là quá liên quan đến hầu hết các ứng dụng, nhưng bạn có thể chạy hệ thống tập tin proc kiểm tra độc lập cho một số expedience. Gõ sudo unhide procfs -m, sẽ thực hiện các kiểm tra này cùng với một vài kiểm tra khác được cung cấp bởi tacking trên -m.

Đây vẫn là một thử nghiệm khá có liên quan và có thể mất một chút thời gian. Nó trả về ba dòng đầu ra riêng biệt:

Hãy nhớ rằng bạn có thể tạo một bản ghi đầy đủ với bất kỳ kiểm tra nào bằng cách thêm -f vào lệnh.

Phương pháp 5: Chạy quét nhanh

Nếu bạn chỉ cần chạy quét nhanh mà không liên quan đến chính mình với kiểm tra chuyên sâu, thì chỉ cần gõ sudo thôi ẩn nhanh, nó sẽ chạy nhanh như tên được đề xuất. Kỹ thuật này quét danh sách proc cũng như hệ thống tệp proc. Nó cũng chạy một kiểm tra liên quan đến việc so sánh thông tin thu thập được từ / bin / ps với thông tin được cung cấp bởi các cuộc gọi đến tài nguyên hệ thống. Điều này cung cấp một dòng đầu ra, nhưng tiếc là làm tăng nguy cơ dương tính giả. Bạn nên kiểm tra kỹ sau khi đã xem lại kết quả trước đó.

Đầu ra như sau:

[*] Tìm kiếm các quá trình ẩn thông qua so sánh kết quả của các cuộc gọi hệ thống, proc, dir và ps

Bạn có thể thấy một số quy trình tạm thời xuất hiện sau khi chạy quá trình quét này.

Phương pháp 6: Chạy quét ngược

Một kỹ thuật tuyệt vời để đánh hơi rootkit liên quan đến việc xác minh tất cả các luồng ps. Nếu bạn chạy lệnh ps tại dấu nhắc CLI, thì bạn có thể thấy một danh sách các lệnh chạy từ một thiết bị đầu cuối. Đảo ngược quét xác minh rằng mỗi chủ đề xử lý ảnh ps hiển thị các cuộc gọi hệ thống hợp lệ và có thể được tra cứu trong danh sách procfs. Đây là một cách tuyệt vời để đảm bảo rằng một rootkit đã không giết chết một cái gì đó. Đơn giản chỉ cần gõ sudo unhide ngược lại để chạy kiểm tra này. Nó sẽ chạy rất nhanh. Khi nó chạy, chương trình sẽ thông báo cho bạn rằng nó đang tìm kiếm các quá trình giả mạo.

Phương pháp 7: So sánh / bin / ps với các cuộc gọi hệ thống

Cuối cùng, kiểm tra toàn diện nhất liên quan đến việc so sánh tất cả thông tin từ danh sách / bin / ps với thông tin được lấy từ các cuộc gọi hệ thống hợp lệ. Gõ sudo unhide sys để bắt đầu thử nghiệm này. Nó sẽ có nhiều khả năng mất nhiều thời gian để chạy hơn những người khác. Vì nó cung cấp rất nhiều dòng đầu ra khác nhau, bạn có thể sử dụng lệnh -f log-to-file để làm cho nó dễ dàng hơn để nhìn lại thông qua mọi thứ nó tìm thấy.

Mẹo CHUYÊN NGHIỆP: Nếu vấn đề xảy ra với máy tính của bạn hoặc máy tính xách tay / máy tính xách tay, bạn nên thử sử dụng phần mềm Reimage Plus có thể quét các kho lưu trữ và thay thế các tệp bị hỏng và bị thiếu. Điều này làm việc trong hầu hết các trường hợp, nơi vấn đề được bắt nguồn do một tham nhũng hệ thống. Bạn có thể tải xuống Reimage Plus bằng cách nhấp vào đây

Facebook Twitter Google Plus Pinterest
Đề XuấT
Làm thế nào để cài đặt Compiz trên Xubuntu
Làm thế nào để cài đặt Compiz trên Xubuntu
Làm thế nào để
Cách chụp ảnh chuyên nghiệp trên điện thoại Android của bạn
Cách chụp ảnh chuyên nghiệp trên điện thoại Android của bạn
Android
Khắc phục: opvapp.exe đã ngừng hoạt động
Khắc phục: opvapp.exe đã ngừng hoạt động
Làm thế nào để
Khắc phục: Không thể bỏ ghim Windows 10 liên kết FTP từ menu truy cập nhanh
Khắc phục: Không thể bỏ ghim Windows 10 liên kết FTP từ menu truy cập nhanh
Windows
Theo Dõi