Rootkit Unhooker - Définition

Introduction

Rootkit Unhooker, également connu sous les noms de RkU et de RkUnhooker est un anti-rootkit, un H-IDS (utilitaire de détection des intrusions à usage individuel) pour Microsoft Windows, gracieusement mis à disposition des utilisateurs « en l'état » et pour une utilisation à leurs risques et périls.

Au premier trimestre 2007, il peut être considéré comme le meilleur anti-rootkit de sa catégorie qui comporte pourtant d'excellents utilitaires comme DarkSpy , Gmer, IceSword, et leur ancêtre : RootkitRevealer.

Partant du principe qu'aucun utilitaire actuel ne peut garantir une détection totale de toutes les variétés de rootkits présents et à venir, RkUnhooker peut être le complément d'outils de prévention d'intrusion comme « Antihook » ou Winpooch ou des versions récentes d'utilitaires commerciaux comme Nod32, F-Secure, Kaspersky, etc.

Pour ceux qui n'ont encore qu'un antivirus et un pare-feu classiques, RkUnhooker peut même se situer à la base du système de protection contre les rootkits.

Les auteurs

Rootkit Unhooker est un produit de UG North – Web-development. Des informaticiens connus sous les pseudonymes de « EP_X0FF » ( « EvilPhantasy« ), « MP_ART » , « < DnY > »  ... participent à son développement.

Environnement et installation

RhUnhhoker fonctionne avec des processeurs x86 32 bits et les systèmes d'exploitation Windows 2000 SP4, Windows XP +SP1, SP2 et Windows 2003 +SP1.

En usage ordinaire, il consomme très peu de ressources et convient donc à pratiquement tous les PC. Cependant, lors de certains scans (à la recherche sur le disque de fichiers cachés) il peut utiliser jusqu'à une centaine de Mo.

RkU requiert une installation très légère qui s'effectue en automatique à la racine du disque système dans un répertoire »RkUnhooker« où son exécutable est généré sous un nom aléatoire pour éviter certaines variantes d'attaques faites par les malwares contre les utilitaires de défense. Dans ce répertoire se trouve également son utilitaire de désinstallation et il est possible d'y ajouter les fichiers .dll d'interface et .chm d'aide en français.

Il place le driver »rkhdrv31.sys« dans le répertoire %SystemRoot%\System32\Drivers et implante ses clés dans le Registre Windows (HKLM Legacy et Services ). Ce driver s'exécute en mode noyau (ring0).

Description

L'essentiel de son développement s'est fait au second semestre 2006 et au début de 2007.

Par rapport à d'autres anti-rootkits, RkU apporte une capacité supérieure de détection des fichiers cachés et des modifications effectuées dans le noyau grâce, entre autres, à :

• ses consultations « à bas niveau » des fichiers systèmes en leur état original sur le disque dur pour une comparaison avec les éléments en mémoire.
• des recherches de crochets (hooks) effectués par les processus et drivers en cours d'exécution ...
  • dans de nombreuses tables de travail du système Windows, « IAT » (Import Address Table), SSDT, GDT, IDT ...
  • dans les  IRP (I/O request packets) et les « ADS » (Alternate Data Stream).
• la détection des »inline hooks« , quand un processus, driver ou bibliothèque logicielle modifie le »code« d'un autre processus, driver ou bibliothèque logicielle, généralement en y remplaçant certaines instructions par des instructions de détournement vers un nouveau traitement – 'handler' - sous contrôle du rootkit, par le biais d'une fonction de rappel asynchrone (asynchronous callback subroutine).

RkUnhooker offre plusieurs solutions pour analyser les intrusions et les réparer ...

• Etablissement d'un rapport complet des crochetages détectés,
• Possibilité de dump (enregistrement sur le disque sous forme de fichier) d'un composant du système altéré en mémoire, pour une analyse approfondie.
• Restauration des éléments crochetés du noyau : « décrochage » et remise en leur état original.
• Broyage des fichiers malsains découverts.