Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Un Hook (crochetage) est un mécanisme qui permet d'intercepter (de crocheter) et de bloquer ou, éventuellement, de modifier à la volée, une fonction, un paramètre, une portion de code, une requête à une couche de bas niveau du système d'exploitation, une réponse du système à une requête, etc. ... au moment où il passe quelque part où le Hook (crochetage) a été implémenté. Par exemple, un parasite peut s'auto protéger en interceptant une demande de le tuer, peu importe que cette demande provienne de :
l'utilisateur lui-même avec le gestionnaire de tâches, par exemple
un processus de sécurité tel qu'un antivirus ou un anti-spywares (anti-trojans), grâce à un appel à une API de Windows
Le hooker peut :
bloquer cette demande
modifier la réponse que retourne cette demande pour faire croire qu'elle a été conduite à bonne fin alors qu'il n'en est rien et que le parasite poursuit son activité
examiner quel est le processus qui fait une telle demande et le tuer
examiner les requêtes faites par les processus systèmes et se masquer, lui, ses services et ses fichiers afin de se rendre invisible et indétectable
masquer la création du nouveaux fichiers
lors de la demande de lecture d'un fichier, donner (montrer) le contenu d'un autre fichier
...
Ce type d'attaques est relativement de haute technologie et ne peut pas être combattu par les antivirus et les anti-spywares (anti-trojans). Seuls des utilitaires de contrôle d'intégrité, incrustés au niveau du noyau de Windows, peuvent voir les hookers et les bloquer en temps réel. Parmi ces outils on trouve ProcessGuard, SSM, AntiHook, SysInternals Rootkitrevealer, ...
Un hooker n'est jamais seul. Il est au service de quelque chose d'autre. Les hooker sont souvent, par exemple, une portion des boîtes à outils pour parasites, appelées "Rootkit".
Un exemple de Hook, légitime celui-ci, est la gestion protégée de la corbeille par Norton Unerase (une fonction des Utilitaires Norton qui permet de récupérer un fichier détruit). Ce hook intercepte les noms des fichiers se trouvant dans la corbeille pour les cacher aux APIs de Windows. Si vous demandez à voir le contenu d'une corbeille ainsi protégée, aucun nom de fichier ne s'affiche alors qu'elle en contiend sans doute des centaines ou des milliers. Pour vider une corbeille ainsi protégée il faut utiliser les Utilitaires Norton car les utilitaires Windows sont rendus aveugles.
|
Les encyclopédies |
---|