كيفية الكشف عن عمليات Linux المخفية باستخدام Unhide

كيف يتم



جرب أداة القضاء على المشاكل

في حين أن GNU / Linux نظام تشغيل آمن للغاية ، فإن الكثير من الناس ينجذبون إلى شعور زائف بالأمان. لديهم فكرة خاطئة مفادها أنه لا يمكن أن يحدث شيء على الإطلاق لأنهم يعملون من بيئة آمنة. صحيح أنه يوجد القليل جدًا من البرامج الضارة لبيئة Linux ، ولكن لا يزال من المحتمل جدًا أن يتم اختراق تثبيت Linux في النهاية. إذا لم يكن هناك شيء آخر ، فإن النظر في إمكانية وجود برامج rootkits وهجمات أخرى مماثلة هو جزء مهم من إدارة النظام. يشير rootkit إلى مجموعة من الأدوات التي يستخدمها مستخدمو الطرف الثالث بعد أن يتمكنوا من الوصول إلى نظام كمبيوتر ليس لديهم حق الوصول إليه. يمكن بعد ذلك استخدام هذه المجموعة لتعديل الملفات دون علم المستخدمين الشرعيين. توفر حزمة إلغاء الإخفاء التقنية اللازمة للعثور بسرعة على مثل هذه البرامج المخترقة.



يوجد Unhide في مستودعات معظم توزيعات Linux الرئيسية. يكفي استخدام أمر مدير الحزم مثل sudo apt-get install unhide لإجباره على التثبيت على نكهات من Debian و Ubuntu. يمكن للخوادم ذات الوصول إلى واجهة المستخدم الرسومية استخدام مدير الحزم Synaptic. تحتوي توزيعات Fedora و Arch على إصدارات مسبقة الصنع من unhide لأنظمة إدارة الحزم الخاصة بها. بمجرد تثبيت إلغاء الإخفاء ، يجب أن يكون مسؤولو النظام قادرين على استخدامه بعدة طرق مختلفة.



الطريقة الأولى: فرض قيود على معرّفات العمليات

تتضمن التقنية الأساسية فرض كل معرّف عملية بوحشية للتأكد من عدم إخفاء أي منها عن المستخدم. ما لم يكن لديك حق الوصول إلى الجذر ، اكتب sudo unhide brute -d في موجه CLI. يضاعف الخيار d الاختبار لتقليل عدد الإيجابيات الكاذبة المبلغ عنها.



ويندوز 10 قائمة ابدأ gpo

الإخراج أساسي للغاية. بعد رسالة حقوق النشر ، سيشرح 'إظهار' الفحوصات التي يقوم بها. سيكون هناك سطر يذكر:

[*] بدء المسح باستخدام القوة الغاشمة ضد PIDS بالشوكة ()

وذكر آخر:



[*] بدء المسح باستخدام القوة الغاشمة ضد PIDS مع وظائف pthread

إذا لم يكن هناك أي نتيجة أخرى ، فلا داعي للقلق. إذا عثر روتين البرنامج الغاشم على أي شيء ، فسيبلغ عن شيء مثل:

تم العثور على PID HIDDEN: 0000

سيتم استبدال الأصفار الأربعة برقم صالح. إذا كان يقرأ فقط أنها عملية انتقالية ، فقد تكون هذه نتيجة إيجابية خاطئة. لا تتردد في إجراء الاختبار عدة مرات حتى تحصل على نتيجة نظيفة. إذا كانت هناك معلومات إضافية ، فقد تستدعي إجراء فحص متابعة. إذا كنت بحاجة إلى سجل ، فيمكنك استخدام مفتاح التبديل -f لإنشاء ملف سجل في الدليل الحالي. تسمي الإصدارات الأحدث من البرنامج هذا الملف unhide-linux.log ، ويتميز بإخراج نص عادي.

الطريقة 2: مقارنة / proc و / bin / ps

يمكنك بدلاً من ذلك توجيه إلغاء الإخفاء لمقارنة قوائم العمليات / bin / ps و / proc للتأكد من تطابق هاتين القائمتين المنفصلتين في شجرة ملف Unix. إذا كان هناك شيء غريب ، فسيقوم البرنامج بالإبلاغ عن PID غير المعتاد. تنص قواعد يونكس على أن العمليات الجارية يجب أن تقدم أرقام التعريف في هاتين القائمتين. اكتب sudo unhide proc -v لبدء الاختبار. سيؤدي الضغط على v إلى وضع البرنامج في الوضع المطول.

ستعيد هذه الطريقة مطالبة تفيد بما يلي:

[*] البحث عن العمليات المخفية من خلال المسح الإحصائي / proc

في حالة حدوث أي شيء غير عادي ، فسيظهر بعد هذا السطر من النص.

الطريقة الثالثة: الجمع بين تقنيات Proc و Procfs

إذا لزم الأمر ، يمكنك في الواقع مقارنة قوائم شجرة ملفات يونكس / bin / ps و / proc مع مقارنة جميع المعلومات من قائمة / bin / ps بإدخالات procfs الافتراضية. يتحقق هذا من قواعد شجرة ملفات Unix وكذلك بيانات procfs. اكتب sudo unhide procall -v لإجراء هذا الاختبار ، والذي قد يستغرق بعض الوقت حيث يتعين عليه مسح جميع الإحصائيات / proc بالإضافة إلى إجراء العديد من الاختبارات الأخرى. إنها طريقة ممتازة للتأكد من أن كل شيء على الخادم متماثل.

dpc زمن الوصول windows 10

2016-11-02_222832

الطريقة الرابعة: مقارنة نتائج procfs مع / bin / ps

الاختبارات السابقة متضمنة للغاية بالنسبة لمعظم التطبيقات ، ولكن يمكنك تشغيل عمليات فحص نظام الملفات proc بشكل مستقل لبعض الأغراض. اكتب sudo unhide procfs -m ، والذي سيقوم بإجراء هذه الفحوصات بالإضافة إلى العديد من عمليات التحقق التي يتم توفيرها من خلال وضع علامة on -m.

لا يزال هذا اختبارًا متضمنًا إلى حد ما ، وقد يستغرق بعض الوقت. تقوم بإرجاع ثلاثة أسطر إخراج منفصلة:

لعبة غير صالحة Fortnite قابلة للتنفيذ

2016-11-02_223011

ضع في اعتبارك أنه يمكنك إنشاء سجل كامل بأي من هذه الاختبارات عن طريق إضافة -f إلى الأمر.

الطريقة الخامسة: تشغيل فحص سريع

إذا كنت تحتاج فقط إلى إجراء فحص سريع دون القلق من إجراء فحوصات متعمقة ، فما عليك سوى كتابة sudo unhide quick ، ​​والتي يجب أن تعمل بالسرعة التي يوحي بها الاسم. تقوم هذه التقنية بمسح قوائم الإجراءات وكذلك نظام الملفات proc. كما يقوم بإجراء فحص يتضمن مقارنة المعلومات التي تم جمعها من / bin / ps مع المعلومات المقدمة بواسطة المكالمات إلى موارد النظام. يوفر هذا سطرًا واحدًا للإخراج ، ولكنه يزيد للأسف من مخاطر الإيجابيات الكاذبة. من المفيد إعادة التحقق بعد مراجعة النتائج السابقة بالفعل.

الإخراج على النحو التالي:

[*] البحث عن العمليات المخفية من خلال مقارنة نتائج استدعاءات النظام ، proc ، dir و ps

قد ترى عدة عمليات انتقالية تظهر بعد تشغيل هذا الفحص.

الطريقة 6: إجراء مسح عكسي

تتضمن التقنية الممتازة لاستنشاق الجذور الخفية التحقق من جميع خيوط ps. إذا قمت بتشغيل الأمر ps في موجه CLI ، فيمكنك رؤية قائمة الأوامر التي يتم تشغيلها من المحطة الطرفية. يتحقق المسح العكسي من أن كل من خيوط المعالج التي تعرض صور ps تعرض استدعاءات نظام صالحة ويمكن البحث عنها في قائمة procfs. هذه طريقة رائعة للتأكد من أن الجذور الخفية لم تقتل شيئًا ما. ببساطة اكتب sudo unhide reverse لتشغيل هذا الفحص. يجب أن يعمل بسرعة كبيرة. عند تشغيله ، يجب أن يخطرك البرنامج بأنه يبحث عن عمليات مزيفة.

الطريقة السابعة: مقارنة / bin / ps مع مكالمات النظام

أخيرًا ، يتضمن الفحص الأكثر شمولاً مقارنة جميع المعلومات من القائمة / bin / ps بالمعلومات المأخوذة من مكالمات النظام الصالحة. اكتب sudo unhide sys لبدء هذا الاختبار. من المرجح أن يستغرق تشغيله وقتًا أطول من الآخرين. نظرًا لأنه يوفر العديد من سطور الإخراج المختلفة ، فقد ترغب في استخدام الأمر -f log-to-file لتسهيل مراجعة كل شيء وجدته.

4 دقائق للقراءة