Université du Québec en Outaouais
Projet Synthèse
FileMon
: une application de surveillance d' accès aux fichiers sous Microsoft Windows
XP
Eric
Vachon
VACE10038008
Superviseur
Pr. Dr. Kamel Adi
Travail
présenté au professeur
Dr. Michal Iglewski
en réponse aux exigences du cours
INF 4173 : Projet Synthèse
Mai 2003
Mise en contexte :
De nos jours, la sécurité informatique est devenue un sujet crucial et
d'actualité. Les entreprises utilisent massivement les données sous format électronique,
lesquelles sont souvent très critique pour le bon fonctionnement de
l’entreprise. Ces données sont souvent très convoitées et certaines
personnes sans scrupule n’hésitent pas à s’attaquer à ces données pour
en prendre possession ou tout simplement pour les détruire. Une des nombreuses
techniques utilisées est le développement de codes malicieux. Pouvant prendre
la forme d’un vers ou d’un trojan, ils s’installent silencieusement et
attendent le moment opportun pour exécuter leurs desseins malhonnêtes. C’est
pourquoi plusieurs compagnies se spécialisent dans la détection et l’élimination
de ces codes malicieux.
But :
Le but de ce projet est de créer la première partie d’un anti-virus basé
sur le comportement. Il consiste dans le développement d'un module de
surveillance des ressources critiques du système. Dans un premier temps, nous
allons nous focaliser sur la surveillance des fichiers : le module devra
être capable d’intercepter tous les appels systèmes ayant un lien avec les
fichiers et afficher ces appels dans une fenêtre windows. Une fois ce module
conçu, il sera facile de l'étendre pour surveiller d'autres ressources
critiques du système : ports de communication, base de registre, création de
processus, etc. Le système de surveillance pourra ultimement détecter les
codes malicieux selon des scénarios de comportements.
Description :
Un pilote devra être conçu pour se placer entre la couche noyau du système
d’exploitation et la couche application de manière à ce que tous les appels
systèmes lancés soient interceptés, enregistrés et ensuite redirigés vers
l’appel système noyau correspondant. Ainsi, il sera possible d'exécuter une
procédure à chaque appel système avant que le noyau effectue l’opération
demandée. Cette procédure dans notre cas serait l’affichage de l’appel
système et de ses paramètres dans une fenêtre windows. Cette information
pourra être enregistrée dans un fichier texte afin de garder une trace de ce
qui se produit.
Contraintes liées au projet :
Le logiciel de surveillance devra s’exécuter sous le système
d’exploitation Windows XP. Bien qu’une version sous Windows 9x ou Linux est
envisageable, la plus grande difficulté est de produire une version pour le
code propriétaire et très secret de Windows NT. Une recherche approfondie du
fonctionnement des API et de la manière d’installer un pilote de surveillance
sera nécessaire pour le développement de ce module.
Technologies utilisées :
Objectifs :
Résultat :
Module servant à surveiller les accès aux fichiers sous Windows XP et une
interface affichant tous les appels ayant un lien avec le système de fichier
avec les paramètres utilisés et le nom processus appelant.