Unhide — специализированная C (си) консольная утилита для обнаружения скрытых процессов и закамуфлированных TCP/UDP портов, созданных в результате активности руткитов или преднамеренно изменённых модулей ядра Linux (внешних бинарных файлов).
Руткит (rootkit) — набор исполняемых файлов, скриптов и конфигурационных файлов устанавливаемых злоумышленником на взломанной системе и обеспечивающих маскировку внедрённых объектов (процессов, файлов, каталогов и пр), управление событиям (происходящими в системе) и сбор данных (о параметрах и действиях в системе).
Для обнаружения скрытых процессов Unhide использует сверку информации из /proc (виртуальная файловая система, механизм для ядра и его модулей, позволяющий посылать информацию процессам) с выводом команды ps (process status / отчёт о работающих процессах) и данными полученными через системные вызовы.
Режим обнаружения скрытых сетевых портов и процессов в Unhide реализован через полный текстовой перебор всех портов и номеров PID (уникальный номер, идентификатор процесса).
Unhide для работы требует прав администратора (root), используя демон-планировщик CRON можно настроить автоматическую проверку системы с получением уведомлений о найденных проблемах на электронную почту.
Лицензия: GNU General Public License version 3.0 (GPLv3)
