Les auteurs de virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More ont toujours fait face à un sempiternel problème:
Comment conserver la présence des codes malicieux le plus longtemps possible à l’insu des utilisateurs et des solutions antivirus?
Citation:
Effacer ces traces est donc le thème en vogue pour les pirates hommes d’affaires”.
Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveurOrdinateur contenant des ressources (données et applications) à la disposition d’autres ordinateurs par l’intermédiaire d’un réseau. (Architecture client/serveur). proxy illégal destiné à la diffusion de spams depuis l’ordinateur d’une victime ?.
Les cyber escrocs d’aujourd’hui règlent ce problème de la même façon que les réglaient les cyber hooligans il y a 10-15 ans.
Un des premiers virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More connus pour PC se nommait ( VirusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More.Boot.Brain.a ) un virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More du secteur de bootBoot ou MBR (master boot record), le fameux secteur 0 du disque dur, où est stocké le code de lancement du système d’exploitation, une fois que le BIOS a été lancé et fait son check-in. Initialisation, quand vous mettez en marche votre micro-ordinateur... qui s’octroyait les fonctions d’accès au disque et lors de la lecture du secteur de démarrage (par exemple du programme antivirus), substituait les données originales par des données infectées.
Avec le temps, ces mêmes mécanismes furtifs (l’interception des fonctions système et substitution des données) ont continué d’être utilisés dans les virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More Windows (VirusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More.Win32.Cabanas.a ).
Dans le monde Unixsystème d’exploitation multitâche de AT&T, basé sur le langage C., les programmes malicieux n’ont pas encore été diffusés à une aussi large échelle que dans DOSDisk Operating System. À l'origine, c'est un système d'exploitation à disques, sur les gros systèmes, expression créée par IBM. Désormais, il désigne essentiellement le SE de microsoft (dont le nom est normalement MS-DOS). Mais on peut trouver aussi PC... et Windows, c’est pourtant de là que vient le terme ” rootkit “, terme qui est désormais utilisé en référence aux technologies furtives utilisées par les auteurs de Trojans sous Windows.
Le terme rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. désigne une série de programmes qui permettent au piratePersonne commettant des actes considérés comme des délits ou des crimes dont l’objet ou l’arme est lié à l informatique . Ce terme fait référence aux pirates du milieu maritime, le terme de piratage a remplacé celui de piraterie dans le langage par... More de s’installer sur une machine et d’empêcher sa détection].
Pour se faire, les fichiers exécutables (loginNom d'utilisateur permettant de se connecter sur son ordinateur ou sur un système client/serveur. Procédure d'identification des utilisateurs pour les serveurs. Quand on se connecte sur un réseau avec une infrastructure client/serveur protégé, on doit s..., ps, ls, netstat etc.) ou bien les bibliothèques (libproc.a) sont modifiés, ou encore, un module noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie... est installé.
Dans tous les cas, le but est d’empêcher que l’utilisateur ne reçoive des informations indiquant la présence d’activités nuisibles sur son ordinateur.
Ces derniers temps, l’utilisation des technologies de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. pour masquer la présence de logiciels malfaisants est de plus en plus populaire comme le montre le graphique ci-dessous:
(Fig 1. Fréquence d’utilisation des technologies rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. dans les logiciels malfaisants.)
Citation:
La croissance des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. est également favorisée par le fait que la majorité des utilisateurs de système d’exploitation Windows travaille sous les droits d’un administrateur, ce qui facilite grandement l’installation de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. dans les ordinateurs
.
Les auteurs de virusUn virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d’autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il... More ainsi que les développeurs de spywareUn logiciel espion ou mouchard est un logiciel malveillant qui infecte un ordinateur dans le but de collecter et de transmettre à des tiers des informations de l'environnement sur lequel il est installé sans que l'utilisateur n'en ait conscience. Logiciel es... More “légaux” font l’éloge de ces programmes du fait qu’ils sont invisibles pour l’utilisateur et impossibles à détecter par les solutions antivirus.
Voyons de plus près la situation sous Windows et sous Unixsystème d’exploitation multitâche de AT&T, basé sur le langage C.
Technologie de RootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. sous Windows
– Masquage de présence dans le système
A l’heure actuelle, on peut diviser en deux sections les méthodes utilisées par les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. pour cacher leur présence dans le système:
– 1. modifications du chemin des programmes exécutables
– 2. modification des structures du système .
Ces méthodes sont utilisées pour masquer l’activité dans le réseau, les clés de registre, différents processus c’est-à-dire tous les éléments qui permettent à l’utilisateur, dans une certaine mesure,d’identifier un programme malveillant sur son ordinateur.
La première méthode pour masquer l’information peut être réalisée aussi bien sous le mode utilisateur que sous le mode noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie....
Sous mode utilisateur c’est relativement simple.
Le plus souvent, une méthode basée sur l’interception de fonctions API est mise en oeuvre pour modifier le chemin d’accès vers ces exécutables:
(Fig. 2. Interception des requêtes vers les fonctions API)
Cette méthode exploite le fait que les fonctions API sont sollicitées par des applications qui soit utilisent des champs de données spéciaux (tableaux d’import/export), soit qui contactent une adresse reçue par la fonction GetProcAddress API.
Le code du programme s’installe dans les modules DLL, qui par la suite s’introduisent dans l’espace d’adresses existantes dans le gestionnaire des tâches, ce qui donne au malfaiteur la possibilité de contrôler toutes les applications de l’utilisateur.
Le procédé des modifications des chemins d’accès aux exécutables est bien documenté et facile à installer, favorisant l’utilisation de telles technologies par les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix..
Cependant, les réalisations de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode utilisateur ont un gros défaut, à savoir le faible niveau de masquage de l’information.
En d’autres termes, la présence dans le système en mode utilisateur peut être détectée sans difficultés à l’aide d’utilitaires spécifiques.
En conséquence de quoi, on constate une hausse d’intérêt majeure envers les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie..., même si ces derniers sont beaucoup plus complexes à développer.
Penchons-nous sur les méthodes en mode noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie..., ces dernières se caractérisant par un bien meilleur camouflage de l’information.
Une forte majorité de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode noyau utilise des structures de système d’exploitation non documentées.
Par exemple:
L’interception de services de KeServiceDescriptorTable est très largement utilisée, et la quantité de services dans ce tableau peut varier d’une version de système d’exploitation à une autre.
Cela oblige les développeurs de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. à effectuer rapidement une analyse supplémentaire du code du système d’exploitation pour déterminer les indicateurs du tableau susmentionné.
Cette approche, dans son principe, n’est pas sans rappeler l’interception des fonctions API.
La méthode de modifications de la liste système PsActiveProcessList est un exemple des modifications des structures du système.
Cette méthode est utilisée par le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. FU qui permet de cacher tout processus de la majorité des utilitaires systèmes
(Fig. 3. Liste des tâches avant installation du rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix..)
Sur l’illustration 3, le rédacteur de texte Notepad est visible dans la liste des tâches en cours sous le nom de notepad.exe.
(Fig. 4. Liste des tâches après installation rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix..)
La capture d’écran réalisée sur l’illustration 4 a été effectuée après le lancement de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. FU, ce dernier ayant pour mission de cacher la tâche.
Sur le dessin, il est nettement visible que, alors que le rédacteur est démarré, son nom a disparu de la liste des tâches actives.
Détection des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix.
La première étape à franchir pour combattre les rookit est de les détecter.
Cette situation est réelle si l’on considère la constante apparition de nouvelles technologies, et que les développeurs de technologies antivirus ont besoin de temps pour analyser et développer des moyens de détection.
Cependant, malgré l’apparente difficulté de détecter les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix., des méthodes efficaces sont déjà développées et éditées dans la version 6.0 de des logiciels qui sont en test beta au sein du Laboratoire Kaspersky.
Etudions la réaction de notre logiciel sur l’apparition de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. FU dans un système.
L’installation d’un rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. dans un système signifie le camouflage d’une tâche en cours.
Le sous-système anti-rootkit détecte cette action et envoie à l’utilisateur les notifications correspondantes (voir figure 5):
(Fig.5. Détection de tâches cachées et inconnues.)
Ce sous-système permet de déterminer la présence non seulement des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. ajoutés dans la base antivirus sur la machine d’un internaute, mais également ceux qui sont encore inconnus.
Un sous-système identique officie pour la [b]détection de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode utilisateur, rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. qui ont été analysés au début de notre étude et qui injectent des DLL à d’autres procédés.
Dans ce cas-là, le sous-système de protection notifie à l’utilisateur qu’un procédé spécifique est en train d’infiltrer un code dans un espace d’adresses étranger:
Fig.6 Détection d’infiltration de code dans une espace d’adresses étranger.
RootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. – technologie pour Unixsystème d’exploitation multitâche de AT&T, basé sur le langage C.
– Masquage de présence dans le système
La situation dans Unixsystème d’exploitation multitâche de AT&T, basé sur le langage C. rappelle fortement celle de Windows.
L’attaquant installe le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. sur l’ordinateur une fois qu’il a obtenu les accès privilèges (accès rootNiveau le plus bas dans une arborescence. Il ne faut pas oublier que traditionnellement, l’arbres informatique a la tête en bas, donc la racine en l’air. dans les systèmes d’exploitation populaires comme micro$oft Windows et Unix, il est possible de pl... More).
Les accès rootNiveau le plus bas dans une arborescence. Il ne faut pas oublier que traditionnellement, l’arbres informatique a la tête en bas, donc la racine en l’air. dans les systèmes d’exploitation populaires comme micro$oft Windows et Unix, il est possible de pl... More, indispensables pour installer la majorité des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix., sont accessibles via des vulnérabilités bien connues si le malfaiteur a accès au système avec les mêmes droits qu’un utilisateur ordinaire.
Dans ce cas-là, il peut utiliser un exploitDans le domaine de la sécurité informatique, un exploit (prononcer exploite et non exploi) Le mot provenant de exploitation de faille informatique (et non pas du fait de réaliser un quelconque exploit extraordinaire), c'est un programme permettant à un ind... local ou un utilitaire pour forcer les bases protégées par mots de passe.
Si le malfaiteur ne dispose pas des droits nécessaires pour s’infiltrer dans le système, alors il peut utiliser un exploitDans le domaine de la sécurité informatique, un exploit (prononcer exploite et non exploi) Le mot provenant de exploitation de faille informatique (et non pas du fait de réaliser un quelconque exploit extraordinaire), c'est un programme permettant à un ind... à distance ou, par exemple, un sniffeur de claviers pour obtenir les mots de passe.
L’interception de mots de passe peut être utilisée pour de nombreux services (ftpFile Transfert Protocol ou protocole de transfert de fichier utilisé sur internet. Ce protocole décrit le processus qui permet de placer toutes sortes de fichiers sur un serveur, à disposition du public ou d'un groupe privé d' utilisateurs., telnetLe protocole TELNET utilise un modèle Client/Serveur qui permet d’exécuter des commandes à distance. Il est souvent utilisé pour exécuter des commandes sur un serveur à partir d’un terminal. Telnet est employé non seulement pour connecter au serveur... More etc.) du fait que ces derniers transmettent les mots de passe sur le réseau non crypté.
En fonction de ces capacités, le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. peut contenir divers programmes malicieux [trojan-DDoS], [backdoor] et autres qui s’installent sur la machine compromise, et attendent de la part de l’attaquant un ordre à exécuter.
De plus, les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. peuvent contenir un patchUn patch (termes français proposés rustine ou rustine logicielle, au pluriel patches respectant l'orthographe anglophone, patchs par francisation terme français majoritairement utilisé dans les milieux professionnels correctif) est une section de... qui colmate la brèche dans le système afin d’éviter l’infiltration d’un attaquant tiers.
Tout comme dans Windows, Unixsystème d’exploitation multitâche de AT&T, basé sur le langage C. fait face à des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. aussi bien au niveau des applications qu’au niveau du noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie....
Voyons les rootkits en mode utilisateur.
En général, les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. se composent de versions de programmes ordinaires ‘infecté par trojanEn informatique, un Trojan ou cheval de Troie en français est un type de logiciel malveillant, c’est-à-dire un logiciel d’apparence légitime, mais conçu pour subrepticement exécuter des actions nuisibles à l’utilisateur. Un cheval de Troie n’est ... More‘ masquant la présence de ses composants dans le système, et de backdoorDans un logiciel ou un algorithme cryptographique, une porte dérobée (de l'anglais backdoor, littéralement porte arrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logiciel. En sécurité informatique, la po... (porte ouverte) assurant un passage secret dans le système.
Comme exemple de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode utilisateur, on trouve:
– lkr
– trOn
– ark
– et autres.
Prenons tr0n comme exemple de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode utilisateur.
Pour cacher sa présence dans le système, ce rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. exécute une série d’actions.
Au moment de son installation, il stoppe syslogd-demon, puis remplace par ses Trojans les utilitaires de systèmes suivants:
– du
– find
– ifconfig
– loginNom d'utilisateur permettant de se connecter sur son ordinateur ou sur un système client/serveur. Procédure d'identification des utilisateurs pour les serveurs. Quand on se connecte sur un réseau avec une infrastructure client/serveur protégé, on doit s...
– ls
– netstat
– ps
– top
– sz.
De plus, une version TrojanEn informatique, un Trojan ou cheval de Troie en français est un type de logiciel malveillant, c’est-à-dire un logiciel d’apparence légitime, mais conçu pour subrepticement exécuter des actions nuisibles à l’utilisateur. Un cheval de Troie n’est ... More de syslogd-demon est rajoutée dans le système.
Enfin, un sniffeur est demarré en tâche de fond, le lancement des daemons telnetd, rsh, finger est rajouté dans inetd.conf, inetd est redémarré et syslogd est démarré à nouveau.
D’ordinaire, tr0n se situe dans /usr/src/.puta mais grâce au composant ls déjà installé, le catalogue est invisible.
Voyons maintenant le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. au niveau du noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie....
Les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. de ce type possèdent toutes les caractéristiques du type décrit précédemment, mais à un niveau plus bas.
Les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode utilisateur doivent modifier chaque fichier binaireSystème numérique codé sur 2 chiffre 0 et 1 Base du codage des données en informatique. alors que les rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. en mode noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie... doivent modifier uniquement le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie..., ce qui augmente considérablement la qualité de camouflage de l’information.
Il existe plusieurs moyens d’introduire des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. dans le système noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie...:
1. l’utilisation de LKM, le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie... Linux (comme dans beaucoup d’autres systèmes d’exploitation) permet de télécharger des modules (ou des pilotes systèmes ) “à la volée”, ce qui permet au malfaiteur de modifier les requêtes système du noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie..., et de donner des informations erronées (par exemple une liste rectifiée de fichiers).
Il est possible d’empêcher de telles attaques en recompilant le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie... système sans le LKM, mais cette méthode présente un défaut (il est indispensable d’inclure tous les pilotes nécessaires dans le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie...):
2. une entrée dans /dev/kmem qui accorde l’accès dans la zone mémoire occupée par le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie....
L’entrée réécrit le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie... ‘à la volée‘.
De cette façon, pour modifier le noyauEn informatique, le noyau (en anglais kernel) est la partie fondamentale de certains systèmes d'exploitation, qui gère les ressources de la machine et permet aux différents composants matériels et logiciels de communiquer entre eux. En tant que partie..., il faut simplement trouver une place en mémoire, mais ce n’est pas un problème insoluble.
Certaines modifications peuvent être faites, interdisant d’écrire directement dans /dev/kmem.
Cela est réalisable par mmap
3. l’infection de modules existants; se distingue de la première méthode du fait que le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. ne contient pas de module à part et utilise l’infiltration dans les modules existants.
L’adoption d’une telle méthode permet de faire le rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. stable lors du redémarrage, en infectant quelques modules qui seront téléchargés de toute façon (par exemple, le driverDriver ou (pilote) Gestionnaire, pilote de périphérique. Programme permettant d'envoyer les ordres adéquats au bon moment à un périphérique, et gérant parfois son interface. Il est généralement écrit dans un langage de bas niveau, comme l'assembleur,... du système fichiers).
La détection de RootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix.
Pour détecter des rootkit[, il n’y a malheureusement pas de solutions miracles, mais les conseils exposés ci-dessous permettent de détecter la majorité des rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. actuels:
1. l’observation d’un comportement anormal:
– Des fichiers
– Utilisation des ressources du réseau
– Démarrage de tâches selon un horaire défini et au moment du démarrage, gestion des comptes utilisateurs
2. l’utilisation des utilitaires suivants, qui aident à mettre en évidence la présence de rootkitEnsemble d’exploits réunis afin d’avoir des chances maximales de piquer un compte root (administrateur, i.e. avec lequel on peut faire n’importe quoi) sur une machine Unix. dans le système:
– Saint Jude
– Chrootkit
– RkScan
– Carbonite
– Kstat
– Rootkithunter
– Tripware
– Samhain
– etc….
