AntiHook

AntiHook est un IDS / IPS - Intrusion Detection and Prevention System. Il détecte les activités telles les chargements de DLLs d'interception des appels d'API de Windows (appelées hook), les ActiveX/COM, les inscriptions de BHOs (Browser Helper Objects) dans Internet Explorer et l'explorateur de Windows, les écritures dans un zone de mémoire qui appartient à un autre processus (appelées injections), création de threads qui s'exécutent dans l'espace d'adressage virtuel d'un autre processus, démarrer un nouveau processus depuis Outlook Express, Outlook ou Internet Explorer.

AntiHook se situe résolument dans une nouvelle classe d'outils de anti-hacking et anti-hooking. C'est un processus résident en mémoire, résistant, fonctionnant au niveau noyau de Windows.

Le but de AntiHook est de protéger dynamiquement votre vie privée et vos applications des spywares, injections de code, trojans et keyloggers. En sus, AntiHook procure un contrôle précis et rigoureux des applications et vous permet de révéler, gérer et contrôler toutes les activités suspectes au fur et à mesure qu'elles interviennent. AntiHook propose donc un système de détection qui donne à l'utilisateur la possibilité de voir et stopper les activités illégales.

FAQ AntiHook

Est-ce que AntiHook est un Pare-feu (firewall) ?
Non, pas du tout. AntiHook est un IDS / IPS - Intrusion Detection and Prevention System (Système de détection et de prévention des intrusions).
Est-ce que AntiHook cohabite avec un pare-feu (firewall) ?
Parfaitement.
Est-ce que AntiHook cohabite avec un antivirus ?
Parfaitement.
Quel est la différence entre des utilitaires comme SpyBot Search & Destroy et AntiHook ?
Même et y compris avec son module pseudo temps réel appelé Tea-Timer, SpyBot est un outil post-mortem. Dito avec Microsoft AntiSpyware et tous les autres outils pseudo temps réel. AntiHook est le chaînon manquant entre les meilleurs outils classiques de protection à base de signatures contre les parasites non viraux (PestPatrol...), même ceux fonctionnant véritablement en temps réel pur, et les attaques ultra sophistiquées fonctionnant au niveau des noyaux des systèmes. AntiHook est capable d'intercepter la demande d'incrustation de quelque chose, avant que la chose ne s'incruste, y compris si sa demande est faite à la volée. AntiHook n'a pas besoin de savoir si la chose est un parasite connu (pas de base de signatures). Ce qui lui importe, c'est son comportement, c'est cette demande d'incrustation en elle-même, peu importe de qui elle vient.
Doit-on continuer à utiliser un anti-spywares (anti-trojans) classique en même temps que AntiHook ?
Oui, tout à fait. Les anti-spywares classiques fonctionnent sur des bases de signatures et éradiquent des dizaines de milliers de parasites simples n'ayant pas de comportements sophistiqués au niveau du noyau du système et des processus, comportements éveillant l'attention de AntiHook.
Pourquoi obtient-on tant d'alertes après installation de AntiHook ? Peut-on réduire ce bruit ?
Lors de la première exécution de AntiHook il est recommandé de le mettre en mode �Fingerprint mode� (mode prise d'empreintes - mode apprentissage). Ceci force AntiHook à prendre connaissance et enregistrer toutes les activités sans vous interrompre pour vous demander confirmation. Bien entendu, ceci ne peut se faire que sur un système sain, sans aucun parasite ! Ne demandez pas à AntiHook de valider un système compromis - ne mettez pas AntiHook en mode apprentissage sur un système compromis. Nettoyer complètement un système avec cette procédure terminée par une vérification d'un utilisateur avancé sur nos forums avant d'installer AntiHook. Une bonne idée est de laisser AntiHook en mode apprentissage durant une journée et de lancer tout ce qui est installé sur votre machine puis de lever le mode apprentissage.
Comment déployer AntiHook dans un environnement multi-utilisateur ?
Afin de réduire le bruit que vous pourriez obtenir lors de la premiere utilisation de AntiHook, il est bon de l'entraîner, préalablement, sur une machine saine supportant tous (ou, au moins, en grande partie) les logiciels utilisés sur toutes les machines, avant de distribuer le fichier d'intelligence de AntiHook ainsi constitué, A: In order to reduce the �noise�winhooks.dat, sur toutes les machines de tous vos utilisateurs.
Est-ce que le SP2 de Windows XP et les nouvelles protections active de Microsoft résolvent les problèmes pris en charge par AntiHook ?
Non, pas du tout. Le SP2 de Windows ne prend pas du tout en charge ce type de vulnérabilités. Pire : Microsoft offre une excellente documentation de Windows en ce qui concerne l'injection de code dans des processus externes ! Ceci permet aux pirates et hackers, tant que vous ne disposez pas de AntiHook, d'implanter leur codes malicieux dans tous vos processus actifs !
Est-ce que AntiHook affecte les performances du système ?
Non. AntiHook est écrit en C/C++, un langage hautement efficace dans la gestion des structures de doonées.
Est-ce que AntiHook peut être utilisé dans un environnement de développement dans lequel de nombreux debuggers sont installés ? N'y aura t'il pas d'interférences ?
Vous pouvez utiliser AntiHook sur des machines de développement, de tests ou de production. En utilisant des debuggers il vous sera juste demandé d'autoriser les débuggers à modifier les zones de mémoire des appications en cours de mise au point.
AntiHook tente de modifier tous les processus actifs ! Est-ce normal ?
AntiHook est une protection au niveau noyau du système qui utilise un driver NT. En sus, antiHook procure un contrôle fin sur les tentatives d'interception et les activités COM/ActiveX/BHO des DLLs frâce à une DLL utilisateur injectée par AntiHook dans tous les processus. C'est pourquoi vous devez permettre à AntiHook de "modifier" des processus externe à lui-même.

Exemple d'une alerte de AntiHook
Cette alerte est typique du genre d'alertes complètement déconcertantes : pourquoi Microsoft Word tente de modifier le processus actif Norton Antivirus ? Ici, la réponse est simple : bien qu'un document Word ne soit pas quelque chose d'exécutable, il peut contenir des objets exécutables donc, indirectement, le lancement de l'ouverture d'un document Word peut être utilisé pour lancer un parasite (en l'occurrence une macro commande piégée). Lors de l'installation d'un antivirus, celui-ci installe donc une trappe dans toutes les applications utilisant un langage de script (ici, les macros de Word). A chaque ouverture d'un document Word, ce dernier passe des données, pour demande d'autorisation et analyse, à l'antivirus.