DE L'INVISIBILITÉ DES ROOTKITS : APPLICATION SOUS LINUX
par Eric  LACOMBE (CNRS - LAAS / EADS - CCR), Frédéric  RAYNAL, Vincent  NICOMETTE
Résumé
Cet article traite de la conception de rootkits. Nous montrons en quoi ces codes malicieux sont innovants par rapport aux malwares habituels comme les virus et chevaux de Troie, ce qui nous permet d'exposer une architecture fonctionnelle des rootkits. Nous proposons également des critères permettant de qualifier et d'évaluer les différents rootkits. Nous avons volontairement abordé le problème dans sa globalité, c'est-à-dire en ne nous restreignant pas seulement au logiciel rootkit, mais aussi à la communication entre l'attaquant et son outil ou les interactions avec le système. Naturellement, nous constatons que les problématiques rencontrées lors de la conception de rootkits sont proches de celles de la stéganographie, mais nous précisons également les limites de cette comparaison. Enfin, nous présentons notre propre rootkit, fonctionnant en mode noyau sous Linux, et plusieurs nouvelles techniques conçues afin d'en accroître la furtivité.
Biographie
J'ai effectué mes études supérieures à l'INSA de Toulouse, après avoir effectué une MPSI et MP en CPGE au Lycée Bellevue de Toulouse. J'ai ensuite travaillé pendant 1 an au Centre Commun de Recherche d'EADS dans l'équipe traitant de la sécurité des systèmes d'information (équipe dans laquelle j'avais effectué mon stage de fin d'études). Je suis actuellement en première année de doctorat au laboratoire du LAAS - CNRS à Toulouse, cofinancé par le CNRS et EADS-CCR (bourse BDI).

Icon  Name                                                               Size  
[PARENTDIR] Parent Directory - [   ] SSTIC07-Lacombe_Raynal_Nicomette-Invisibilite_Rootkits.pdf 708K [   ] SSTIC07-article-Lacombe_Raynal_Nicomette-Invisibilite_Rootkits.pdf 477K