Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Hook - Hooker - Hooking

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

Hook (crochetage) - mécanisme qui permet d'intercepter (de crocheter), à la volée, une fonction, un paramètre, une portion de code, une requête lors du passage d'un composant logiciel à un autre (d'une couche logicielle à une autre...), dont vers les couches de bas niveau du système d'exploitation.

Hook - Hooker - Hooking

Dossier : Contrôle et contrôleurs d'intégrité

Dossier : Contrôleurs d'intégrité
Dossier : Antivirus

Controleurs d'intégrité
Contrôle d'intégrité

Chiffres clé
Condensat
HashCode
Chiffre clé
MD5
SHA-1
SHA-2
SHA-256
HashTab - Calcul de condensats (Windows)
SummerProperties - Calcul de condensats

Contrôleurs d'intégrité
PrevX
Tripwire
Samhain (HIDS pour UNIX, Linux et Windows)
AIDE
Osiris
Integrit
OSSEC
Afick
SSM (System Safety Monitor) (SysSafe Monitor)
Invircible
Abtrusion Protector
Viguard
ProcessGuard ( Process Guard )
Antihook
Finjan Software's SurfinShield
InDefense (InDefense's Achilles'Shield)

Méthodes cybercriminelles
Hook
RootKit
Chevaux de Troie
Exploit
Ver

Assistance à la prise de décision
RunScanner

Outils anti-rootkits
AntiZeroAccess (Webroot) 32 bits
GMER
Malwarebytes Anti-Malware (MBAM)
Malwarebytes Anti-Rootkit (MBAR)
RootRepeal
RogueKiller
RootkitRevealer (SysInternals) 32 bits - Périmé
TDSSKiller (Kaspersky)
Trend Micro RootkitBuster
Sophos Anti-Rootkit
UnHackMe
Vba32 AntiRootkit
aswmbr (ne pas utiliser sans assistance)
MBR (ne pas utiliser sans assistance)
Panda Anti-Rootkit

Hook - Hooker - HookingHook - Hooker - HookingHook - Hooker - Hooking

Un Hook (crochetage) est un mécanisme qui permet d'intercepter (de crocheter) et de bloquer ou, éventuellement, de modifier à la volée, une fonction, un paramètre, une portion de code, une requête à une couche de bas niveau du système d'exploitation, une réponse du système à une requête, etc. ... au moment où il passe quelque part où le Hook (crochetage) a été implémenté. Par exemple, un parasite peut s'auto protéger en interceptant une demande de le tuer, peu importe que cette demande provienne de :

  • l'utilisateur lui-même avec le gestionnaire de tâches, par exemple
  • un processus de sécurité tel qu'un antivirus ou un anti-spywares (anti-trojans), grâce à un appel à une API de Windows

Le hooker peut :

  • bloquer cette demande
  • modifier la réponse que retourne cette demande pour faire croire qu'elle a été conduite à bonne fin alors qu'il n'en est rien et que le parasite poursuit son activité
  • examiner quel est le processus qui fait une telle demande et le tuer
  • examiner les requêtes faites par les processus systèmes et se masquer, lui, ses services et ses fichiers afin de se rendre invisible et indétectable
  • masquer la création du nouveaux fichiers
  • lors de la demande de lecture d'un fichier, donner (montrer) le contenu d'un autre fichier
  • ...

Ce type d'attaques est relativement de haute technologie et ne peut pas être combattu par les antivirus et les anti-spywares (anti-trojans). Seuls des utilitaires de contrôle d'intégrité, incrustés au niveau du noyau de Windows, peuvent voir les hookers et les bloquer en temps réel. Parmi ces outils on trouve ProcessGuard, SSM, AntiHook, SysInternals Rootkitrevealer, ...

Un hooker n'est jamais seul. Il est au service de quelque chose d'autre. Les hooker sont souvent, par exemple, une portion des boîtes à outils pour parasites, appelées "Rootkit".

Un exemple de Hook, légitime celui-ci, est la gestion protégée de la corbeille par Norton Unerase (une fonction des Utilitaires Norton qui permet de récupérer un fichier détruit). Ce hook intercepte les noms des fichiers se trouvant dans la corbeille pour les cacher aux APIs de Windows. Si vous demandez à voir le contenu d'une corbeille ainsi protégée, aucun nom de fichier ne s'affiche alors qu'elle en contiend sans doute des centaines ou des milliers. Pour vider une corbeille ainsi protégée il faut utiliser les Utilitaires Norton car les utilitaires Windows sont rendus aveugles.

Microsoft - Hooks
Microsoft - Hooks overview
Microsoft - Using Hooks
Wikipedia - Hooking (en)
x86 API Hooking Demystified