DarkSpy
DarkSpy est un système de détection d'intrusion à usage individuel. Les auteurs, CardMagic (Mingyan Sun) et wowocock, étaient pendant la conception des étudiants-chercheurs diplômés de l'University of Science and Technology of China.
Description
modifierL'essentiel de son développement s'est fait au premier semestre 2006.
Par rapport à d'autres « anti-rootkits », DarkSpy apporte
- une capacité supérieure de détection grâce, entre autres, à ses recherches à la base même du disque dur,
- et des solutions pour désactiver les rootkits en vue de leur éradication, en particulier la possibilité d'intervention sur les ruches et clés de démarrage des rootkits mises en place et cachées dans le Registre de Windows.
Depuis sa version v1.0.5, toujours qualifiée de « version de test » mais déjà stable, il peut fonctionner en complément d'autres logiciels de défense du PC contre les logiciels malveillants.
Précieux complément des moyens de défense
modifierPartant du principe qu'aucun utilitaire actuel ne peut garantir une détection totale de toutes les variétés de rootkits présents et à venir, DarkSpy peut être
- le complément d'outils de prévention d'intrusion comme "Antihook" ou Winpooch ou des versions récentes d'utilitaires commerciaux comme Nod32, '"F-Secure"', "Kaspersky" etc.
- celui d'autres anti-rootkits comme "IceSword"' ou "Gmer".
Pour ceux qui n'ont encore qu'un antivirus et un pare-feu classiques, DarkSpy peut même constituer la base du système de protection contre les rootkits.
Environnement et installation
modifierDarkSpy fonctionne avec les systèmes d'exploitation 32 bits de Microsoft : Windows 2000(SP4 et +) / Windows XP / Windows 2003. Il consomme très peu de ressources et convient donc à pratiquement tous les PCs.
DarkSpy ne requiert pas d'installation particulière. Son processus est lancé en mémoire depuis le répertoire du disque où le fichier ".rar" téléchargé a été décompressé.
Pour son fonctionnement, il place le fichier "DarkSpyKernel.sys" dans "C:\WINDOWS\system32" de manière non définitive. Ce "driver" s'exécute en mode noyau au sein de la mémoire. Après l'arrêt de DarkSpy et au démarrage suivant du système, ce fichier n'est pas automatiquement rechargé.
Les traces laissées dans le Registre de Windows sont peu nombreuses. On peut trouver les "ruches" sans difficulté dans les sections ...
- HKLM\SYSTEM\ControlSetxxx\Enum\Root\
- HKLM\SYSTEM\ControlSetxxx\Services.
Elles ne sont pas dangereuses pour la santé du système. Elles peuvent être laissées ou enlevées grâce à un bon outil de nettoyage du registre (celui de "IceSword" par exemple).
Précautions avant le lancement
modifierDans certaines conditions d'utilisation, par exemple en présence d'outils actifs de défense du noyau ou du registre de Windows, DarkSpy, ne peut pas fonctionner normalement et parfois même pas être lancé.
Des efforts particuliers ont été faits pour que DarkSpy réduise au mieux les possibilités de conflit. Actuellement, il a été testé en compagnie des suites de Kaspersky / McAfee / Norton / Jetico + Avast! et d'autres, sous différentes versions de Windows (2k/XP/2k3), mais c'est peut-être encore insuffisant. Dans un environnement système complexe, il peut encore y avoir des conflits avec d'autres logiciels. En cas de problème, vous devrez vérifier votre système et essayer de neutraliser ou même désinstaller le logiciel de sécurité qui s'oppose au fonctionnement de DarkSpy.
Sous peine de risquer un écran bleu de la mort, prenez garde de ...
- ne jamais essayer de déboguer DarkSpy avec des outils comme "Softice" / "Windbg" / "Syser debugger", car, naturellement, des fonctionnalités anti-debugg sont incluses.
- ne pas appliquer à DarkSpy un outil de rétro-ingénierie.
Modules de détection des intrusions
modifierProcess
modifierDarkSpy établit une liste de tous les processus en activité et dispose essentiellement de trois fonctions :
- Détection des processus cachés visualisés en rouge,
- Interruption d'un processus sélectionné,
- Interruption forcée d'un processus.
Driver Module
modifierDarkSpy procède à une recherche poussée des extensions d'application : services des processus - bibliothèques de fonctions) et pilotes cachés. Il en établit une liste complète avec indication de leur adresse en mémoire et de leur implantation sur le disque.
Les éléments cachés sont visualisés en rouge
Port
modifierDarkSpy recherche et affiche de tous les ports ouverts, dont les ports cachés par un rootkit ayant des fonctions de cheval de Troie.
Modules de suppression des intrus
modifierLe parasite peut être directement neutralisé s'il utilise un processus. Dans le cas d'un service, DLL ou pilote détecté dans le "Driver Module", il faudra intervenir soi-même aux endroits d'implantation.
Registry
modifierDarkSpy inclut un très puissant module de gestion du Registre de Windows où se trouvent les ruches et clés de lancement d'une majorité des intrus, que ceux-ci utilisent un processus ou (c'est de plus en plus souvent le cas) un (ou plusieurs) service, dll et/ou driver.
Grâce à cet outil, ces clés pourront être modifiées ou supprimées afin que le rootkit ne se relance pas après un arrêt-redémarrage du système d'exploitation.
File
modifierDarkSpy offre la possibilité de forcer la suppression des fichiers cachés et indésirables. Les fonctionnalités particulières de DarkSpy lui permettent d'outrepasser les protections de fichiers mises en place par certains logiciels.
Si les ruches et clés de lancement du rootkit ont été détectées, il est cependant conseillé de les désactiver et de redémarrer le système avant de supprimer les fichiers actifs. Une fois le rootkit neutralisé, ses fichiers peuvent être plus facilement supprimés.
Liens externes
modifier- (en) DarkSpy site officiel (téléchargement etc.)
- (en) Introduction to DarkSpy par CardMagic, son auteur.
- (en) Description par Antirootkit.com