.../...
[
BHO]
(Browser Helper Object - pour Internet Explorer ...). Liste des
bibliothèques ''.dll'' qui fournissent une fonctionnalité supplémentaire. Exemple ... le plugin qui permet à des utilisateurs d'Internet Explorer de lire les dossiers ''.pdf''' d'Adobe Acrobat est un BHO.
L'
API BHO est exposé au « crochetage » en vue de la prise de contrôle de la navigation.
[
SSDT]
(
System Service Descriptor Table) Tableau utilisé par Windows pour diriger des appels de système vers un traitement approprié : table d'adressage des APIs.
Le « crochetage » du tableau de descripteur de service du système (SSDT) en vue de sa modification est une technique fréquemment utilisée. En modifiant cette table, le rootkit peut réorienter l'exécution vers son code au lieu de l'appel original du système.
Les crochets inquiétants provoquent une alerte représentée par ligne marquée en
rouge. Il faut cependant noter que des logiciels légitimes peuvent également se servir de cette technique pour cacher une partie de leurs activités ou traquer eux aussi les rootkits. Toutes les alertes ne correspondent donc pas à des logiciels malintentionnés.
[
Message Hooks]
Liste des processus qui utilisent certaines fonctions API de Windows comme la sollicitation des périphériques d'entrée de données (clavier, souris etc.) et autres.
Le processus système ''
USER32.DLL'' met en place une fonction d'interception des activités. Exemples ...
- ''WH_GETMESSAGE'' ... tous les événements passent par ce filtre, il contrôle tout type de message envoyé à une application.
- ''WH_MSGFILTER'' ... capte les événements générés à la suite d'une saisie dans une boite de dialogue, une zone de message, un menu ou une barre de défilement.
- ''WH_KEYBOARD'' ... capte les événements déclenchés par la frappe des touches du clavier.
Le « crochetage » de ces activités peut, par exemple, permettre à un rootkit de « sniffer » discrètement les saisies confidentielles etc. Attention cependant ...
CITATION(Alban)
SEEM « hook » les événements clavier seulement pour lui-même afin de gérer les raccourcis clavier. Donc on le voit apparaître dans cette section.
Là encore donc, méfiance, tous les crochetages ne sont pas faits dans le but de nuire.
[
Log Process / Thread Creation]
Liste générale des « évènements » rapportés par les différentes applications installées sur le PC, applications Microsoft ou non, et liés au démarrage (ou à la fermeture) et aux activités des différents processus en fonction.
Cette liste présente les différents identificateurs PID (Process Identifier) et TID (Thread Identifier). Tous les modules d'un même processus ont le même PID mais ont leur propre identificateur TID.
CITATION(Alban)
Un thread à son propre espace mémoire et est donc indépendant d’autres thread. Un processus peut lancer deux threads (ou plus) qui vont réaliser deux traitements différents en même temp. Le deuxième thread ne sera pas obligé d’attendre que le premier se termine. C’est ce que l’on appelle du multi-thread.
La technique d’injection de code, consiste la plupart du temps, à accéder à la mémoire d’un processus, d’y injecter du code, et d’exécuter ce code (par ce processus) dans un nouveau thread. Malgré cela, il n’est pas évident de savoir si tel ou tel thread est sain. (excepté si l’on a développé le programme)
[
System Ckeck]
A l'ouverture d'IceSword, à partir de la v1.16, contrôle général de l'existant sur le PC (processus cachés, drivers au fonctionnement inhabituel) ...
Note ... Les fonctions [
Log Process / Thread Creation] et [
System Ckeck] correspondent à des
contrôles d'intégrité et de fonctionnement du système et non pas à la détection d'intrusion proprement dite. Cependant il est tout à fait possible que des processus, services et drivers y soient signalés, et, parmi eux ceux qui perturbent le fonctionnement du système.
La fonction [
Check hidden process] de [
System Ckeck] en particulier permet de repérer des rootkits qui auraient peut-être échappé aux autres techniques de détection.
…\…