Rootkit Detection Forensics (Détection forensique des rootkits)

Définition

Un rootkit est un ensemble d'outils malveillants conçus pour dissimuler la présence d'un attaquant ou d'un malware sur un système compromis, en manipulant les mécanismes du système d'exploitation pour cacher des processus, fichiers, connexions réseau ou entrées de registre. Les rootkits opèrent à différents niveaux : user-mode (hook des API Windows comme NtQuerySystemInformation), kernel-mode (modification du noyau via des drivers malveillants, DKOM — Direct Kernel Object Manipulation), bootkit (infection du MBR/VBR/UEFI avant le chargement de l'OS), ou hypervisor rootkit (virtualisation du système existant). La détection forensique repose sur la comparaison entre plusieurs sources d'information : si la liste des processus vue via WMI diffère de celle obtenue en scannant la mémoire directement (Volatility pslist vs psscan), une dissimulation est probable. Des outils comme GMER, RootkitRevealer (Sysinternals), Rootkit Hunter (Linux), ou les modules Volatility dédiés (malfind, driverirp) détectent ces anomalies. L'analyse depuis un système d'amorçage externe (live CD forensique) contourne les hooks du système compromis.