Zeppoo

Zeppoo permite detectar si un rootkit está instalado en su sistema.
Zeppoo también hace posible la detección de tareas ocultas, llamadas al sistema, algunos símbolos corruptos, módulos y conexiones también ocultos.
Por eso, se usa principalmente / dev / kmem para inspeccionar directamente la memoria del kernel, y cuando sea posible, / dev / mem.
Instalación:
Zeppoo utiliza un micro lib (pico?) Con el fin de obtener la tabla de descriptor de interrupción con una instrucción ensamblador, pero nos proporciona una versión compilada directamente, llamado ulibzeppo.so
Si desea compilar su propia versión, es necesario tener el paquete python-devel instalado, compile con:
python setup.py build
Visualización:
        ** Tareas:
                tareas ./zeppoo.py -v
        ** syscalls:
                ./zeppoo.py -v syscalls
        ** Redes:
                redes ./zeppoo.py -v
Comprobación:
        ** Tareas:
                tareas -c ./zeppoo.py
        ** Redes:
                redes ./zeppoo.py -c
Huella digital:
        ** Crear:
                ./zeppoo.py -f FICHIER crear
        ** Comprobación:
                -f ./zeppoo.py cheque FICHIER
Otros:
        ** Para cambiar el dispositivo por defecto (/ dev / kmem):
                -d Periph
        ** Para utilizar mmap a buscar símbolos (más rápido):
                -m
Ejemplos:
        ** Visualización de tareas por / dev / mem usando mmap:
                ./zeppoo.py -v tareas -d / dev / mem -m
        ** Haga huella digital utilizando / dev / mem:
                ARCHIVO -f ./zeppoo.py crear -d / dev / mem
        ** Consulte las huellas dactilares utilizando / dev / mem:
                ./zeppoo.py cheque ARCHIVO -f -d / dev / mem
¿Qué hay de nuevo en esta versión: