Unhide ile Gizli Linux Süreçlerini Nasıl Çıkarılır
GNU / Linux son derece güvenli bir işletim sistemi olmasına rağmen, birçok insan yanlış bir güvenlik duygusuna kapılmış durumda. Güvenli bir ortamdan çalıştıkları için hiçbir şeyin olmayacağı konusunda yanlış bir fikre sahipler. Linux ortamı için çok az kötü amaçlı yazılımın bulunduğu doğrudur, ancak bir Linux kurulumunun sonuçta tehlikeye düşebileceği hala çok olasıdır. Başka bir şey yoksa, rootkit'lerin ve diğer benzer saldırıların olasılığını düşünmek, sistem yönetiminin önemli bir parçasıdır. Bir rootkit, bir üçüncü taraf kullanıcılarının, haklarına sahip olmadıkları bir bilgisayar sistemine eriştikten sonra bir takım araçlara atıfta bulunur. Bu kit daha sonra, hak sahibi kullanıcıların bilgisi olmadan dosyaları değiştirmek için kullanılabilir. Unhide paketi, bu tür tehlikeye giren yazılımları hızlıca bulmak için gereken teknolojiyi sağlar.
Büyük Linux dağıtımlarının çoğunun depolarda olduğunu gösterin. Sudo apt-get install unhide gibi bir paket yöneticisi komutunun kullanılması, Debian ve Ubuntu'nun tatlarına yüklenmeye zorlamak için yeterlidir. GUI erişimi olan sunucular Synaptic Paket Yöneticisi'ni kullanabilir. Fedora ve Arch dağıtımları, kendi paket yönetim sistemleri için önceden oluşturulmuş sürümlere sahiptir. Gösterilince, sistem yöneticileri bunu birkaç farklı şekilde kullanabilmelidir.
Yöntem 1: Bruteforcing işlem kimlikleri
En basit teknik, hiçbir işlem kimliğinin kullanıcıdan gizlenmediğinden emin olmak için her bir işlem kimliğini desteklemeyi içerir. Kök erişiminiz olmadıkça, CLI isteminde sudo unhide brute -d yazın. D seçeneği, bildirilen yanlış pozitiflerin sayısını azaltmak için testi iki katına çıkarır.
Çıkış son derece basittir. Bir telif hakkı mesajından sonra, göster'in yaptığı kontrolleri açıklayın. Bir satır belirten:
[*] Çatalla PIDS'e karşı kaba kuvvet kullanarak tarama başlatılıyorve başka bir belirten:
[*] Pthread işlevleriyle PIDS'e karşı kaba kuvvet kullanarak tarama başlatılıyorBaşka bir çıktı yoksa, endişelenecek bir sebep yoktur. Programın brute subroutine bir şey bulursa, o zaman şöyle bir şey bildirecektir:
Bulunan HIDDEN PID: 0000
Dört sıfır, geçerli bir sayı ile değiştirilir. Sadece geçici bir süreç olduğunu okursa, bu yanlış bir pozitif olabilir. Temiz bir sonuç verene kadar testi birkaç kez çalıştırmaktan çekinmeyin. Daha fazla bilgi varsa, o zaman bir takip kontrolüne gerek olabilir. Bir günlüğe ihtiyacınız varsa, geçerli dizinde bir günlük dosyası oluşturmak için -f anahtarını kullanabilirsiniz. Programın daha yeni sürümleri bu dosyayı unhide-linux.log olarak adlandırır ve düz metin çıktısına sahiptir.
Yöntem 2: Karşılaştırma / proc ve / bin / ps
Unix dosya ağacındaki bu iki ayrı listenin eşleştiğinden emin olmak için / bin / ps ve / proc işlem listelerini karşılaştırmak üzere görünür hale getirebilirsiniz. Eğer bir şey ters giderse, program olağandışı PID'yi rapor edecektir. Unix kuralları, çalışan işlemlerin bu iki listede kimlik numaralarını sunması gerektiğini şart koşar. Testi başlatmak için sudo unhide proc -v yazın. V üzerinde tacking programı ayrıntılı modda koyacağız.
Bu yöntem bir uyarı istemi verecektir:
[*] Gizli süreçlerin / proc stat taraması ile aranmasıOlağandışı bir şey olursa, bu metin satırından sonra görünür.
Yöntem 3: Proc ve Procfs Tekniklerinin Birleştirilmesi
Gerekirse, / bin / ps ve / proc Unix dosya ağacı listelerini karşılaştırırken, / bin / ps listesindeki tüm bilgileri sanal procfs girişleriyle de karşılaştırabilirsiniz. Bu, hem Unix dosya ağacı kurallarını hem de procfs verilerini denetler. Bu testi gerçekleştirmek için sudo unhide procall -v komutunu yazın; bu, tüm / proc istatistiklerini taramanın yanı sıra diğer birkaç testi de yapmak zorunda olduğu için oldukça zaman alabilir. Bir sunucudaki her şeyin copasetic olduğundan emin olmak için mükemmel bir yoldur.
PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.Yöntem 4: / bin / ps ile sonuçların karşılaştırılması
Önceki testler çoğu uygulama için çok fazla uğraşır, ancak proc dosya sistemi kontrollerini bağımsız bir şekilde bağımsız olarak çalıştırabilirsiniz. Bu kontrolleri gerçekleştirecek sudo unhide procfs -m yazın ve -m ile işaretleyerek sağlanan birkaç kontrol daha.
Bu hala oldukça ilgili bir sınavdır ve biraz zaman alabilir. Üç ayrı çıktı satırı döndürür:
Komuta -f ekleyerek bu testlerin herhangi biriyle tam bir günlük oluşturabileceğinizi unutmayın.
Yöntem 5: Hızlı Tarama Çalıştırma
Sadece derinlemesine kontroller ile kendinizi ilgilendirmeden hızlı bir taramayı çalıştırmanız gerekiyorsa, sadece isminden de anlaşılacağı gibi hızlı bir şekilde sudo unhide yazın. Bu teknik, proc dosya sisteminin yanı sıra proc listelerini de tarar. Ayrıca, / bin / ps'den toplanan bilgileri sistem kaynaklarına yapılan çağrılarla sağlanan bilgilerle karşılaştırmayı içeren bir kontrol de çalıştırır. Bu, tek bir çıktı hattı sağlar, ancak maalesef yanlış pozitif riskini artırır. Önceki sonuçları zaten inceledikten sonra tekrar kontrol etmek yararlıdır.
Çıkış aşağıdaki gibidir:
[*] Sistem çağrıları, proc, dir ve ps sonuçlarının karşılaştırılması yoluyla Gizli süreçlerin aranmasıBu taramayı yürüttükten sonra birkaç geçici işlem görebiliyorsunuz.
Yöntem 6: bir ters tarama çalıştırılıyor
Kök setleri için mükemmel bir teknik, tüm ps ipliklerinin doğrulanmasını gerektirir. Bir CLI komutunda ps komutunu çalıştırırsanız, bir terminalden komut çalıştırma listesini görebilirsiniz. Ters tarama, işlemci iş parçacıklarının her birinin ps görüntülerinin geçerli sistem çağrıları gösterdiğini ve procfs listesine bakılabildiğini doğrular. Bu, bir rootkitin bir şeyi öldürmediğinden emin olmanın harika bir yoludur. Bu kontrolü çalıştırmak için sudo unhide reverse yazmanız yeterlidir. Çok hızlı koşmalı. Çalıştığında, program sahte süreçler aradığını bildirmelidir.
Yöntem 7: Sistem çağrıları ile / bin / ps karşılaştırma
Son olarak, en kapsamlı kontrol, / bin / ps listesindeki tüm bilgilerin geçerli sistem çağrılarından alınan bilgilerle karşılaştırılmasını içerir. Bu testi başlatmak için sudo unhide sys yazın. Diğerlerinden daha uzun sürmesi daha uzun sürer. Çok farklı çıktı hatları sağladığından, bulduğu her şeyi gözden geçirmeyi daha kolay hale getirmek için -f log-to-file komutunu kullanmak isteyebilirsiniz.
PRO TIP: Sorun bilgisayarınız veya dizüstü bilgisayar / dizüstü bilgisayar ile yapılmışsa, depoları tarayabilen ve bozuk ve eksik dosyaları değiştirebilen Reimage Plus Yazılımı'nı kullanmayı denemeniz gerekir. Bu, çoğu durumda, sorunun sistem bozulmasından kaynaklandığı yerlerde çalışır. Reimage Plus'ı tıklayarak buraya tıklayarak indirebilirsiniz.