很多 rootkits 用了一些隱藏技巧,用 netstat 也找不出來,這個時候可以用 chkrootkit 這類工具掃瞄,另外還可以用 Unhide 搜索是否有不尋常的 process 及 port。
Unhide 是一個輕巧的安全工具,可以找出 rootkit 所開啟的 process 或 TCP/UDP ports,除了 Unix 版本外,它還有 Windows 版本。

如果是使用 Redhat,可以到 pkgs.org 下載相應版本的 rpm 檔案裝。

在 Debian / Ubuntu 則較簡單,用 apt-get 安裝就好了。

# apt-get install unhide

至於使用上也是很簡單,一般上以下幾個指令就會搜索系統內隱藏的 process 及 ports:

# unhide-posix proc
# unhide-posix sys
# unhide-tcp