[Tool] WinUnhide [Port from linux to Windows] by SBD

10/19/2011 06:05:00 p. m. No Comment

Os presento el excelente trabajo que han realizado los "compañeros" de Security By Default (SDB) al realizar la adaptación (un "port") de la versión de Linux (unhide) para windows plenamente funcional.

¿Qué es unHide?

Unhide es una herramienta orientada a detectar inconsistencias en el sistema operativo a la hora de mostrar los procesos que se están ejecutando y los puertos TCP/UDP que están en uso, este tipo de comportamiento suele estar asociado a sistemas troyanizados con 'rootkits'. Unhide consta de dos partes, una orientada a localizar procesos ocultos y otra para puertos TCP/UDP igualmente ocultados empleando algún tipo de rootkit, ya hablabamos de "rootkit" en este artículo.



Descarga: WinUnhide (32K) 







Funcionamiento

La versión de Linux utiliza el comando "ps" para listar los procesos y se ejecutan una serie de pruebas para discernir la fiabilidad de la información mostrada por ese comando. En el port de windows (winunhide) se utiliza la interface WMI para Windows con el comando 'wmic', en concreto estoy usando el comando 'wmic process get ProcessId' para hacer un listado de procesos visibles a través de este comando, posteriormente empleo openprocess() y Toolhelp con objeto de obtener información sobre procesos no mostrados y/u ocultos.



En el caso de la detección de "puerto TCP/UDP" ocultos, lo que se ha realizado es listar los puertos TCP/UDP visibles mediante las llamadas GetTcpTable() y GetUdpTable(), y luego emplear bind() sobre todo el espacio de puertos posible para detectar puertos que no aparecen listados con las llamadas anteriores y en los que no se puede hacer bind(), señal de que esas funciones han sido troyanizadas. Es decir, el programa realiza una comparación de la lista de puertos visibibles obtenidas mediante las llamadas al sistema, GetTcpTable() y GetUdpTable(), con la lista obtenida de intentar conectarnos (bind()) a los puertos "supuestamente" libres.

Resumen

Es una herramienta, que nos sirve para detectar si nuestro sistema se encuentra o no comprometido. Detectando los procesos y/o conexiones a Internet que se encuentren ocultas en nuestro Sistema.

Si resulta que estamos comprometidos, será el momento de desconectar el PC de Internet, luego si se desea profundizar en el origen del problema se puede utilizar otras herramientas más especificas para llevar a cabo ese cometido.

Recordar: Sistema Antivirus siempre actualizado! y si no tienes y/o no conoces un buen Antivirus, echa un viztazo a este articulo y saca tus propias conclusiones.

Fuente SBD | UnHide




Tags
Julian J. Gonzalez

Telecommunication Engineer specialized in Networks and Computer Security. Professor of the Master IT Security at the University of Seville since 2013 (http://trajano.us.es/seguridadtic/). Develop skill #Python #DevSecOps #Golang check my Github.

0 comentarios:

Publicar un comentario

Designed with by Way2themes | Distributed by Blogspot Themes