Esiste un modo per verificare la presenza di processi "vuoti" o di malware nascosti all'interno di processi "normali"

Question

Esiste un modo per verificare la presenza di processi "vuoti" o di malware nascosti all'interno di processi "normali"

#1 da (2 voti)
#2 da (0 voti)

6

Recentemente mi sono imbattuto in un articolo su The Verge , incentrato sul concetto di produzione di malware commerciale e su come viene utilizzato in tutto il mondo. L'articolo mi ha presentato un numero di concetti interessanti (e preoccupanti) come "process hollowing", accesso remoto all'hardware nascosto al sistema / utente ecc.

Anche se non ho motivo di avere preoccupazioni simili menzionate nell'articolo, lavorare con i problemi IT e svilupparmi in Java, insieme ai recenti bug più importanti (shellshock, heartbleed ecc) e la crescente complessità del malware mi rende piuttosto paranoico sulle vulnerabilità dei sistemi che uso e amministro.

Ogni volta che noto un comportamento sospetto (come lentezza insolita, riattivazione casuale dal sonno, carica della CPU elevata mentre non si esegue attivamente il software impegnativo) tendo a controllare i processi in esecuzione sulle macchine mac / * nix. Finora non ho trovato nulla che catturasse la mia attenzione, ma ciò non significa che non ci siano processi "vuoti".

C'è un modo per indagare su un sistema OSX o Linux, per verificare se ci sia o meno un malware nascosto?

linux process malware macosx

posta posdef 22.01.2015 - 14:03

fonte

2 risposte

Leggi altre domande sui tag linux process malware macosx

Protezione della comunicazione http server-server Cosa è successo con badBios [duplicato]

score 2 · Answer 1

Potresti trovare interessante uno strumento forense chiamato unhide!

link

unhide utilizza una varietà di tecniche per trovare (o mostrare) i processi nascosti e le porte TCP / UDP utilizzate da rootkit / LKM (moduli kernel caricabili). Supporta sia Linux / Unix & Finestre ...

Maggiori dettagli sulle tecniche utilizzate possono essere trovati sul sito web:

link

score 0 · Answer 2

non esattamente .. La maggior parte dei Linux ha una cartella / proc / che ti permette di vedere vari dettagli sui processi. uno "potrebbe" creare una semplice mappa di binari o file aperti e aggiungerla manualmente a questo elenco finché non si dispone di un profilo di sistema abbastanza definitivo della macchina. Si potrebbe anche agganciare questo (con un report in un cron job da eseguire ogni minuto o pochi secondi.)

Questo ovviamente richiede che tu capisca cosa fa effettivamente ogni processo in esecuzione e quali file dovrebbe accedere. e richiederà un po 'di lavoro iniziale

per scrivere la suddetta applicazione
per autorizzare i processi mentre il sistema sta ancora imparando.

potresti anche estenderlo all'attività di rete di moniter.

In questo modo sapresti almeno se sei stato comprimato.