ELF

>
0,@�Q@8
@@@@��


   ��
@@@�	�	
�K�[�[$�XLX\X\�
�
88800hhhDDS�td88800P�td H H HDDQ�tdR�td�K�[�[
/lib64/ld-linux-x86-64.so.2 GNU���
GNU�1qdnڍR�
����Nb�
GNU2
�2�e�m9
p
�


�
�
�: 
�S
�
f_"���
���
��
T�ZV �o*��
#
F
c
�N��
�
�
e ��
�2@"__libc_start_main__cxa_finalizeopendirreaddir__ctype_b_loc__sprintf_chkfopenfgetsfeoffclosereadlink__isoc23_strtolclosedirmallocstrcpypopenpclosestrstr__stack_chk_failstrlen__memcpy_chkstatgetsidgetpgidgetprioritysched_getparamsched_getaffinitysched_getschedulersched_rr_get_interval__strcat_chk__strcpy_chk__isoc23_fscanf__printf_chk__snprintf_chkstdoutfputs__errno_locationstrerrorstrncpy__strncat_chkfflushgetuidmemsetsysinfofreeexitlibc.so.6GLIBC_2.3GLIBC_2.33GLIBC_2.4GLIBC_2.38GLIBC_2.34GLIBC_2.2.5GLIBC_2.3.4_ITM_deregisterTMCloneTable__gmon_start___ITM_registerTMCloneTable



�
ii
�
����
ii
������ui	"ti	.�[-�[�,\NA\QA\XA\eA \rA(\{A0\�A8\�A@\�AH\�AP\�A``�_�_	�_
�_�_,�_2`^
h^p^x^�^�^�^�^�^�^
�^�^�^�^�^�^�^�^�^�^____ _(_0_8_ @_!H_"P_#X_$`_%h_&p_'x_(�_)�_*�_+�_-�_.�_/�_0�_1��H��H��?H��t��H����5*>�%,>@��h���f���h
����f���h����f���h���f���h���f���h���f���h���f���h�r���f���h�b���f���h	�R���f���h
�B���f���h�2���f���h�"���f���h
����f���h����f���h��f���h���f���h����f���h����f���h���f���h���f���h���f���h���f���h�r���f���h�b���f���h�R���f���h�B���f���h�2���f���h�"���f���h����f���h����f���h��f���h ���f���h!����f���h"����f���h#���f���h$���f���h%���f���h&���f���h'�r���f���h(�b���f���h)�R���f���h*�B���f���h+�2���f����%�<fD���%V;fD���%N;fD���%F;fD���%>;fD���%6;fD���%.;fD���%&;fD���%;fD���%;fD���%;fD���%;fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%�:fD���%~:fD���%v:fD���%n:fD���%f:fD���%^:fD���%V:fD���%N:fD���%F:fD���%>:fD���%6:fD���%.:fD���%&:fD���%:fD���%:fD���%:fD���%:fD���%�9fD��U��H��AWAVAUI��H�5�ATA��SH��BH��H��dH�%(H�E�1��E���H�����L���H��H)�H�58�3���H�����L���H��H)�H�5N����H���y���L���H��H)�H�5\���H���W���L���H��H)�H�5b����H���5���L���H��H)�H�5����H������L���H��H)�H�5f���H����L���H��H)�H�5t�g���H������L���H��H)�H�5��E���H�����L���H��H)�H�5��#���H�����L���H��H)�H�5K�
���H���i���L���H��H)�H�5�����H���G���L���H��H)�H�5����H���%���L���H��H)�H�5����H������L���H��H)�H�5��y���H�����L���H��H)�H�5,�W���H�����L���H��H)�H�5Z�5���H�����L���H��H)�H�5y����H���{���L���H��H)�H�5F��H���Y���L���H��H)�H�5|����H���7���L���H��H)�H�5����H������L���H��H)�H�5����H����L���H��H)�H�5��i���H������L���H��H)�H�5��G���H�����L���H��H)�H�5�%���L�=�6H���/EI�7����I�?�t����������H�=8����I�?�S���D�5�6E��~@I��L�-�D1�L��L��L�%�D���L��1�L�����H��6L��1�H���w����
�MH��P����a����E�;�DtDH�=������DH�5�1�����U��1�H�5�����I�?���H�=��U���������D�5�5��E����D��L�-D1���L���H��L��L�%)DH�����H��1�L�������L�����
��A��~zDžL���H��5A��K�|�H��t�Q���K�D�K�<�H��t
�:���K��J�<�H��t
�$���J��I��
E9����L�������H�=�i���1�H�U�dH+%(��H�Ę[A\A]A^A_]Ã�
u�H�=��1�����
�=�4
~�1�A�
H��4��L���f�J�<�t
D�����
t-D�5e4I��
E9��A���O���L�-�BL�%�B���H�=�8���I�?���DžL���
본�����.���I�UH�5��1����I�?����
�,���������1�I��^H��H���PTE1�1�H�=q����k3�f.�H�=�3H��3H9�tH�N3H��t	�����H�=�3H�5z3H)�H��H��?H��H
�H�tH�%3H��t��fD�����=E3u+UH�=3H��tH�=3����d����3
]������w����U�>1�H��AWAVAUATSH����L���H���dH�%(H�E�H�/proc/H����H����1��H�H����Dž��oc/H��H��P����.���H��X����H��X�������H��H���H�{u�����H�SI��H��DP
t�H����
�1�L����I��H�
L�����H��P���H�5����I��H��t<L��`����fDL�꾀L���(���H���
L���7�����t�L���[���L��I��H�
�1���
�L�����6���H��P���L�=@�3���I��L������H����H�HI�$�DJ
t�H�X�L��1�L��P����I��H�
J������L��L����H���t���L�����1�H�ߺ
���H�
�?L��H��
���H���u���@L������ƅ���\���@A�>ppidƅ������A�~:�����
H��e���1��&���H�CHcȉ����@1��
H��A�H��8�����H��8���H��@���H�y
��H��@���1�H��H�
�>H�Ѻ
��H�
�>L��H�<��z����DH��X���L�-L�����6�H�5�L�����H���f�H�ھ�L��� �H��u;H���3��t�H����H�E�dH+%(uuH�Ĩ[A\A]A^A_]�fD����
�E�t�1�L��
��L����L��L��I�����H��u���=
��L���tMc�H��=J��
�h�����L������I�D�H��	�
H��s�H��
��� v�L��Mc���H�P
H��H��X�����H��X���L��H��H�?=H��J�<��#���ff.�UA����A��H��AWAVAUATSH��dH�%(H�E�1�����UH��p���Mc�L��0���Dž��H�����H��0���L��l���H�����H��,���L��@���H�����H������H�����������D������L���L�����H�i<E��E��D��J�<�L������H�
$���2��L�@���1��]�H�����L���.��u��H���%�=@��DžD���H�<��J�<�������H���H��?B�<�
���
��L����T�߃��������P����^�D�����1�����T����u�H������߃��������X����(�H��������߃��������\����F�߃��������`������H����߃��������d�����L������������������h���L�����t=H��L9��W
���u�����t��u݃�
tH��I9��3
����tȃ�
u�A��H�
�1�E1���H�=�0���H�S,D��������I����
I��
��
�ɺ��H�L�LD�H��H��'SN��1�H�
H�=N4�Y��H�5=4H�=60��XZI��
I��tQC�����t���+A���t�M���f���H��9J�4�H���f����LH�߉����/�����H�����������ZDž��
DI��
D9���������H�E�dH+%(������H�e�[A\A]A^A_]��H������2H�5�
DžD���
L�-T9��H�������L���;����t:H�H�������L��A�D�j����H�9J�4�H�������p���H�unknown Dž���exeH����������H�������LH�߉����������+���foL�����������H�5	
Dž0���L��)�����fo��������D�����H��H���0
L��0���H��1�D�����L��H�5
��D�������
uv��0�����~l��)H��D������#�D������v)H�5�	�1�D�����������F������Dž�����'���D�����A�
���M����1�L�%�1L���D�����L����H��(L��H�0��D������K���H�=f-��H�X
H���u�H��H��H�5H-H��H��(J�<����i������H�$1�8��L�^
��H��I�����1��j�H�#(H��H�0�h�D�������������H��H���
%s/statusrppid:%s/task/%s%s/exeps axhHo lwp,cmdSeen byNot seen bypid_max : %0d
/proc/%d
  %s %s %sSuspicious PID %5d:Unhide_rb 20211016
WARNING : 
 This was evidently false:
 - and so on.
You must be root to run %s !
  ps: %d processes
  sysinfo(): %d processes
Phase 1...Phase 2...No hidden processes found!ps/proc /proc_tasks /proc_parentgetsid()getpgid()getpriority()sched_getparam()sched_getaffinity()sched_getscheduler()sched_rr_get_interval()[*] Error: cannot get current maximum PID: %s
[*] cannot get current maximum PID: Error parsing %s format
Copyright © 2013-2021 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info

NOTE : This version of unhide_rb is for systems using Linux >= 2.6 

TL;DR : This tool is a P.O.F. (proof of fake).
        DON'T USE IT for serious work.

 Back in time, the Dev of unhide.rb pretends that his tool, written in ruby
 do the same checks that unhide-linux, which is written in C, but is 10 times faster.
 - unhide.rb makes less tests,
 - unhide.rb tests are less accurate,
 - unhide.rb displays only displays minimal information about hidden processes,
 - unhide.rb find lot of false positives when processes number is high,
 - unhide.rb find lot of false positives when there are short live processes,
 - unhide.rb don't log results of tests,
 In order to verify assertion about speed, I backported unhide.rb to C language,
 in the more straight/dummy way:
 No optimisation, translation from line to line, exactly the same tests and treatments.
 The result is native unhide_rb.
 It is ONE THOUSAND times faster that the original ruby unhide.rb

 So, don't rely neither on unhide.rb nor on unhide_rb, they are just toys ! 
 For a quick but quite accurate test, use the command 'unhide-linux quick reverse'

Scanning for hidden processes...ps and sysinfo() process count mismatch:
/proc/sys/kernel/kernel/pid_max
;D��x�����������0
�`��@�

zR
x
�
��&D$4����FJw�?9*3$"\(��t ���,�(�2A�J
P�����>
G,�8�iA�K
P������
H,�h��iE�H
F���L�G�g
A-�,NAQAXAeArA{A�A�A�A�A�A
�
 
�7�[�[���o���
H^ �
�
	���o
���o����o
�o ���oX\0 @ P ` p � � � � � � � � !! !0!@!P!`!p!�!�!�!�!�!�!�!�!"" "0"@"P"`"p"�"�"�"�"�"�"�"`�/usr/lib/debug/.dwz/x86_64-linux-gnu/unhide.debug*�p�Z�D||<`���l3171646e06da8d52ed0ab7c8e1ed8e4e62d116.debug���.shstrtab.interp.note.gnu.property.note.gnu.build-id.note.ABI-tag.gnu.hash.dynsym.dynstr.gnu.version.gnu.version_r.rela.dyn.rela.plt.init.plt.got.plt.sec.text.fini.rodata.eh_frame_hdr.eh_frame.init_array.fini_array.data.rel.ro.dynamic.data.bss.gnu_debugaltlink.gnu_debuglink

880&hh$9�� G���o��$Q���
Y��
a���o  fn���o���
}�
�B�
�
 �
  �
    ��
�"�"�
##��
�%�%	�
�7�7
�
@@ �
 H HD�
hHhH
��[�K��[�K�
\LX �X\XL�
�
H^HN�


`P	
 `P� 

PF
 

\P4
�P/