Rootkit Unhooker - Définition

Modules de détection des crochets et intrusions

Rappel ... Dans tous les cas de figure, les listes établies portent sur l'ensemble des éléments cachés ou des modules crochetés, qu'ils le soient par des logiciels désirés (firewall, antivirus, Alcohol\Daemon Tools, Skype etc.) ou par des malwares.

• SSDT Détecteur de crochetages/Restaurateur

RkU vous montre l'état de la »SSDT", quelles fonctions (également appelées 'services' dans la terminologie de Microsoft) sont crochetés, et permet de les décrocher. Quand RkU décroche une fonction, il remplace l'adresse du crochet par l'originale. Des paramètres (Setup) permettent de limiter la liste aux seuls crochets effectués dans les fonctions de la « SSDT » ou à celles qui sont effectuées depuis un « handler » situé hors du noyau. Il est possible de procéder au « décrochage » d'un des éléments listés ou de l'ensemble.

• Détecteur de processus cachés

Cette liste comporte des processus ordinaires mais aussi ceux qui sont invisibles des utilitaires ordinaires comme Task Manager, Process Explorer etc. De nombreuses fonctions sont disponibles pour un processus sélectionné, depuis l'arrêt simple ou son « arrêt forcé » jusqu'au broyage du fichier sur le disque en passant par une possibilité de « dump ».

• Détecteur des drivers cachés

Les fonctions disponibles portent essentiellement sur la copie, « dump » d'un driver sélectionné et sur son éventuel broyage sur le disque.

• Détecteur des fichiers cachés

La recherche s'effectue « à bas niveau » sur le disque et une comparaison est faite avec la liste obtenue de manière classique. Elle peut s'avérer très longue sur des disques de forte capacité. Il faut être patient ou limiter la recherche à la partition système. Dans les versions récentes, une nouvelle technique inspirée par le « FileReg » de IceSword a été implantée.

• Détecteur de 'Code Hooks'

Une autre tactique des rootkits malintentionnés est le camouflage par crochetage des fonctions API de Windows. RkU peut détecter cette méthode furtive en comparant l'image et l'intégrité du 'code' en mémoire avec les originaux du système. De plus, RkU contrôle également les principaux composants du système d'exploitation comme les drivers des disques et du réseau. RkU peut restaurer le 'code' original par remplacement de celui qui est en mémoire.

Attention : dans certains cas ceci peut entraîner un 'BSoD' (écran bleu de la mort) et un redémarrage du PC.

Catégories de crochetages détectés:

• Inline - existent en mode noyau (KernelMode) et en mode utilisateur (User Mode). Le processus ou le driver intrus injectent leur propre 'code' dans le corps de la fonction crochetée, provoquant un renvoi vers leur 'handler'. Cette technique peut également s'appliquer aux drivers sans détournement d'adresse : c'est le 'IRP inline hooking'.

Difficulté de détection – variable, de moyenne à très difficile.

• IAT - existent en mode noyau et en mode utilisateur. Le processus ou le driver intrusremplce l'adresse des fonctions par la sienne en modifiant la 'Import Table'. Ce type de crochetage se fait presque seulement en mode utilisateur.

Difficulté de détection – variable, de très facile à facile.

• Syscall - System Call - Appel système, instruction (ou interruption) spéciale utilisée par le système opératoire pour les transferts du mode utilisateur vers le mode noyau. L'intrus remplace l'adresse de destination par celle de son 'handler'. Ce type de crochetage peut être combiné avec le 'Inline'.

Difficulté de détection – variable, de très facile à moyenne.

• Rapport

L'établissement d'un rapport peut servir à une analyse complète par chacun des crochetages à tête reposée. Il sera aussi le bienvenu pour ceux qui veulent aider au tri entre les divers crochets pour déterminer ceux qui proviennent d'intrus indésirables. Plusieurs options sont possibles dont un choix du(des) types de crochets à rechercher et une sélection du(des) disques à scanner à la recherche de fichiers cachés.