Cet article a pour but de décrire dans un premier temps l’état de l’art des différentes techniques de développement de rootkits sous Windows. Dans un second temps, nous verrons des techniques de furtivités et de contournement de firewall au niveau NDIS (Network Driver Interface Specification) relativement nouvelles.
1. Historique
L’engouement pour les rootkits sous Windows n’est plus à démontrer. Il suffit de regarder les analyses de malwares des sites antivirus (Symantec, McAfee) pour voir que la plupart possèdent dorénavant des techniques de furtivité. Ces trois dernières années le développement de ces méthodes a été multiplié par six en même temps que la complexité des rootkits [1].
La faute en incombe certainement au besoin croissant des auteurs de malwares de contourner les antivirus, afin que leurs programmes puissent effectuer leurs malveillantes opérations en toute tranquillité. Au départ, ces techniques de furtivité (comme l’API hooking via IAT ou par Inline hook) étaient user-land et provenaient du monde des virus. Les techniques kernel-land, elles, se sont surtout développées grâce à l’agrandissement de la communauté « rootkit », l’ouverture de sites comme rootkit.com, l’écriture, puis la traduction d’articles provenant des scènes...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première