Analyse des méthodes de détection automatisée des rootkits

L'objectif de cette étude était d'identifier, d'analyser, de comparer et d'évaluer l'efficacité des méthodologies de détection des rootkits. Plus précisément, deux méthodologies ont été étudiées en profondeur. La première est l'heuristique d'analyse statique des binaires des modules du noyau, qui tente de déterminer si le comportement d'un module logiciel est malveillant ou non, avant de le transmettre au système d'exploitation. La deuxième méthodologie analysée dans cet article, le cadre Strider Ghostbuster, compare ce qu'un système informatique croit être vrai (c'est-à-dire les modules visibles par le système d'exploitation) à la "vérité" absolue, qui est déterminée par la programmation du système de bas niveau. Les résultats attendus de cette comparaison devraient toujours être égaux, sauf si une altération malveillante du système est observée. Après avoir comparé l'efficacité des méthodologies de détection sur un ensemble de rootkits bien connus (et disponibles publiquement), y compris un rootkit très simple construit par l'auteur, les méthodologies sont comparées et leur efficacité est évaluée.