Cet article présente les possibilités de Seem.
Ce logiciel est capable de détecter les malwares ancrés
dans le coeur de Windows. Voici les descriptions des tests
effectués avec les rootkits les plus connus.
Cet outil est un driver de démonstration permettant de
masquer le processus “explorer.exe”. Les techniques
utilisées s’apparentent aux rootkits. Il hook une
fonction (ZwQuerySystemInformation) de la SSDT lui permettant
de cacher le processus “explorer.exe”. (ArnHideProcess)
Ainsi
avec les outils standards, comme le gestionnaire de tâche
de Windows ou le logiciel ProcessExplorer, ce processus
sera invisible :
De
son coté, Seem affiche en rouge ce processus dit “caché”.
L’arrêt de ce programme est également fonctionnel.
La
section SSDT fait apparaitre le hook de la fonction par
le driver de ArnHideProcess.
“fhide.sys”
n’est pas un rootkit malsain comme beaucoup d’autres.
C’est un simple “driver” de démonstration
d’un certain type de furtivité. Il est fait pour
tester les capacités de détection des systèmes de défense.
Un autre rootkit de démonstration. Cette fois-ci, Seem
(v4.0) ne voit pas le driver chargé, mais visualise le
service associé et permet de le supprimer.
Nouveau test avec le célèbre rootkit “hxdef”.
Celui-ci est également détecté par Seem. Une fois le processus
arrêté, le service Windows apparaitra, tout comme
les fichiers masqués.
La
section Module du noyau de Seem permet également de constater
que le driver du rootkit est chargé en mémoire.
Une
fois désactivé, son service Windows apparait.
Ce nouvel exemple exploite le rootkit AFXRootkit. Ce rootkit
s’installe dans le dossier “c :\winnt\rewt”.
Il est composé d’un programme root.exe et d’une
librairie hook.dll.
Le
gestionnaire de tâche de Windows sera une nouvelle fois
impuissant face à ce malware :
Seem
est en mesure de démasquer le programme caché et permet
de le terminer.
