DKOM (Direct Kernel Object Manipulation)

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 110247
Inscription : 10 sept. 2005 13:57

DKOM (Direct Kernel Object Manipulation)

par Malekal_morte »

Pour une présentation plus complète des rootkits, voir ce sujet : http://forum.malekal.com/ftopic3500.php

La théorie....
DKOM (Direct Kernel Object Manipulation) permet de cacher des processus en manipulant l'EPROCESS.

EPROCESS est un bloque du noyau qui permet de gérer les processus. Chaque processus en cours d'execution possède un processus clone au sein de ce block.
Le block prossède les informations sur le processus, le PID, le PPID (PID du processus parent, le nom du fichier du processus etc..
Les blocks EPROCESS sont chaînés en contenant l'adresse de l'EPROCESS du processu précédent (Blink) et du processus suivant (Flink).
Voici un schéma qui le montre :

Image

Le DKOM (Direct Kernel Object Manipulation) consiste à cacher un processus en modifiant le Blink et Flink en sautant un processus dans la chaîne comme le montre ce schéma :

Image

En pratique....

Dans notre exemple, le programme HideProc va cacher un processus, en donnant le PID du processus HideProc va "casser" la chaîne EPROCESS.

Voici la liste des processus en cours d'execution sur la machine...
Image

Nous allons maintenant cacher le processus firefox (notez qu'on le voit bien en cours d'execution en bas à gauche dans la liste des tâches).
Le PID du processus firefox.exe est 1140...

Image

HideProc a maintenant caché le processus firefox.exe..
Si nous regardons dans la liste des processus du gestionnaire de tâche (taskmgr) ainsi que dans ProcessExplorer en haut à droite, nous ne le voyons plus.
Or, la fenêtre de Firefox dans la barre de tâches est toujours présente.

Image

Nous allons recommencer l'expérience avec le processus DCSUserProt.exe (PID 1732) ainsi que ProcessExplorer (PID 3048)

Image

Cette technique DKOM est très connu, les scanneur rootkits ne devraient pas avoir de mal à détecter les processus cachés, ce qui est bien le cas puisque :
Gmer détecte sans souci les processus cachés.

Image

Image

De même pour F-Secure BlackLight

Image

La Défense ProActive de Kaspersky détecte aussi le processus caché.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »