3psilon website

Sommaire

 - Présentation
 - ArnHideProcess
 - fhide
 - badrkdemo
 - hxdef
 - AFXRootkit

Cet article présente les possiblités de Seem. Ce logiciel est capable de détecter les malwares ancrés dans le coeur de Windows. Voici les descriptions des tests effectués avec les rootkits les plus connus.

Cet outil est un driver de démonstration permettant de masquer le processus “explorer.exe”. Les techniques utilisées s’apparentent aux rootkits. Il hook une fonction (ZwQuerySystemInformation) de la SSDT lui permettant de cacher le processus “explorer.exe”. (ArnHideProcess)

Ainsi avec les outils standards, comme le gestionnaire de tâche de Windows ou le logiciel ProcessExplorer, ce processus sera invisible :

De son coté, Seem affiche en rouge ce processus dit “caché”. L’arrêt de ce programme est également fonctionnel.

La section SSDT fait apparaitre le hook de la fonction par le driver de ArnHideProcess.

“fhide.sys” n’est pas un rootkit malsain comme beaucoup d’autres. C’est un simple “driver” de démonstration d’un certain type de furtivité. Il est fait pour tester les capacités de détection des systèmes de défense.

Un autre rootkit de démonstration. Cette fois-ci, Seem (v4.0) ne voit pas le driver chargé, mais visualise le service associé et permet de le supprimer.

Nouveau test avec le célèbre rootkit “hxdef”. Celui-ci est également détecté par Seem. Une fois le processus arrêter, le service Windows apparaitra, tout comme les fichiers masqués.

La section Module du noyaux de Seem permet également de constater que le driver du rootkit est chargé en mémoire.

Une fois désactivé, son service Windows apparait.

Ce nouvel exemple exploite le rootkit AFXRootkit. Ce rootkit s’installe dans le dossier “c :\winnt\rewt”. Il est composé d’un programme root.exe et d’une librairie hook.dll.

Le gestionnaire de tâche de Windows sera une nouvelle fois impuissant face à ce malware :

Seem est en mesure de démasquer le programme caché et permet de le terminer.