Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Un Hook (crochetage) est un mécanisme qui permet d'intercepter (de crocheter) et de bloquer ou, éventuellement, de modifier à la volée, une fonction, un paramètre, une portion de code, une requête à une couche de bas niveau du système d'exploitation, une réponse du système à une requête, etc. ... au moment où il passe quelque part où le Hook (crochetage) a été implémenté. Par exemple, un parasite peut s'auto protéger en interceptant une demande de le tuer, peu importe que cette demande provienne de :

  • l'utilisateur lui-même avec le gestionnaire de tâches, par exemple

  • un processus de sécurité tel qu'un antivirus ou un anti-spywares (anti-trojans), grâce à un appel à une API de Windows

Le hooker peut :

  • bloquer cette demande

  • modifier la réponse que retourne cette demande pour faire croire qu'elle a été conduite à bonne fin alors qu'il n'en est rien et que le parasite poursuit son activité

  • examiner quel est le processus qui fait une telle demande et le tuer

  • examiner les requêtes faites par les processus systèmes et se masquer, lui, ses services et ses fichiers afin de se rendre invisible et indétectable

  • masquer la création du nouveaux fichiers

  • lors de la demande de lecture d'un fichier, donner (montrer) le contenu d'un autre fichier

  • ...

Ce type d'attaques est relativement de haute technologie et ne peut pas être combattu par les antivirus et les anti-spywares (anti-trojans). Seuls des utilitaires de contrôle d'intégrité, incrustés au niveau du noyau de Windows, peuvent voir les hookers et les bloquer en temps réel. Parmi ces outils on trouve ProcessGuard, SSM, AntiHook, SysInternals Rootkitrevealer, ...

Un hooker n'est jamais seul. Il est au service de quelque chose d'autre. Les hooker sont souvent, par exemple, une portion des boîtes à outils pour parasites, appelées "Rootkit".

Un exemple de Hook, légitime celui-ci, est la gestion protégée de la corbeille par Norton Unerase (une fonction des Utilitaires Norton qui permet de récupérer un fichier détruit). Ce hook intercepte les noms des fichiers se trouvant dans la corbeille pour les cacher aux APIs de Windows. Si vous demandez à voir le contenu d'une corbeille ainsi protégée, aucun nom de fichier ne s'affiche alors qu'elle en contiend sans doute des centaines ou des milliers. Pour vider une corbeille ainsi protégée il faut utiliser les Utilitaires Norton car les utilitaires Windows sont rendus aveugles.



  • Hook