Université du Québec en Outaouais

Projet Synthèse

FileMon : une application de surveillance d' accès aux fichiers sous Microsoft Windows XP

Eric Vachon
VACE10038008

Superviseur
Pr. Dr. Kamel Adi

Travail présenté au professeur
Dr. Michal Iglewski
en réponse aux exigences du cours
INF 4173 : Projet Synthèse

Mai 2003

Mise en contexte :

De nos jours, la sécurité informatique est devenue un sujet crucial et d'actualité. Les entreprises utilisent massivement les données sous format électronique, lesquelles sont souvent très critique pour le bon fonctionnement de l’entreprise. Ces données sont souvent très convoitées et certaines personnes sans scrupule n’hésitent pas à s’attaquer à ces données pour en prendre possession ou tout simplement pour les détruire. Une des nombreuses techniques utilisées est le développement de codes malicieux. Pouvant prendre la forme d’un vers ou d’un trojan, ils s’installent silencieusement et attendent le moment opportun pour exécuter leurs desseins malhonnêtes. C’est pourquoi plusieurs compagnies se spécialisent dans la détection et l’élimination de ces codes malicieux. 

But :

Le but de ce projet est de créer la première partie d’un anti-virus basé sur le comportement. Il consiste dans le développement d'un module de surveillance des ressources critiques du système. Dans un premier temps, nous allons nous focaliser sur la surveillance des fichiers :  le module devra être capable d’intercepter tous les appels systèmes ayant un lien avec les fichiers et afficher ces appels dans une fenêtre windows. Une fois ce module conçu, il sera facile de l'étendre pour surveiller d'autres ressources critiques du système : ports de communication, base de registre, création de processus, etc. Le système de surveillance pourra ultimement détecter les codes malicieux selon des scénarios de comportements.

Description :

Un pilote devra être conçu pour se placer entre la couche noyau du système d’exploitation et la couche application de manière à ce que tous les appels systèmes lancés soient interceptés, enregistrés et ensuite redirigés vers l’appel système noyau correspondant. Ainsi, il sera possible d'exécuter une procédure à chaque appel système avant que le noyau effectue l’opération demandée. Cette procédure dans notre cas serait l’affichage de l’appel système et de ses paramètres dans une fenêtre windows. Cette information pourra être enregistrée dans un fichier texte afin de garder une trace de ce qui se produit.

Contraintes liées au projet :

Le logiciel de surveillance devra s’exécuter sous le système d’exploitation Windows XP. Bien qu’une version sous Windows 9x ou Linux est envisageable, la plus grande difficulté est de produire une version pour le code propriétaire et très secret de Windows NT. Une recherche approfondie du fonctionnement des API et de la manière d’installer un pilote de surveillance sera nécessaire pour le développement de ce module.

Technologies utilisées :

• Microsoft Visual Studio .NET
• Microsoft Driver Development Kit for Windows XP
• Microsoft Visio 2000 (Schémas d’interfaces et modules)
• Macromedia Dreamweaver MX (Rédaction des rapports)

Objectifs :

• Mieux comprendre le fonctionnement interne de l’architecture Windows NT
• Terminer la première étape du développement d’un anti-virus basé sur le comportement des codes malicieux.

Résultat :

Module servant à surveiller les accès aux fichiers sous Windows XP et une interface affichant tous les appels ayant un lien avec le système de fichier avec les paramètres utilisés et le nom processus appelant.