Aller au contenu






- - - - -

4) Ma config, Anti-rookit

Posté par horus agressor, 14 mai 2007 · 363 visite(s)

=> A propos de ces fameux rootkits :

Comment les détecter ?

...Quelques solutions existent et font leurs preuves :

* IceSword
Cet outil s'exécute en mode utilisateur (user mode) et permet de lister des informations directement dans le noyau. Les méthodes de programmation utilisées sont complexes et octroit au programmeur un grand mérite, sachant que les documentations kernel windows n'existe pas ou très peu.

* Il y a aussi ( dévellopé, entre autre, par 3psilon d'OpenForum.)

Seem
...
Initialement créé sous les systèmes unix, leur conception s'en est vu simplifiée grâce au code source libre du noyau. Les rootkits sont dorénavant exportés sous windows et produisent de nombreux soucis.
...
La finalité d'un rootkit est d'obtenir un accès à l'ordinateur (backdoor) en toute transparence vis à vis de l'utilisateur et de masquer l'existence d'autres outils.
...
Globalement ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant...
http://3psilon.info/index.php?pa=320


* Rootkit Unhooker : -- (à ne pas utiliser si GMER est installé !!) et sur OpenForums + RkUnhooker - Support
* GMER
*

Rootkit Detection & Removal Software et Rootkit Prevention Software :wink: à Charles Ingalls

=>

J'ai désactivé et bloqué les modifications via le Gestionnaire des tâches Windows (Ctrl+Alt+Del simultanément), Services (services.msc) et l'Utilitaire de configuration système (msconfig) via Process Guard :

Image IPB

...et j'en ai confié la gestion à ProcessExplorer (qui remplace mon Gestionnaire des Taches) - > Mini Tuto Process Explorer sur Zebulon, Process Explorer sur Assiste et Process Explorer for Windows v10.21 (site de l'éditeur dupuis que Systernal est passé chez Microsoft.) - et à IceSword, en l'autorisant à Terminer des processus via Process Guard (il faut laisser IS installer son driver via PG...même topo pour Seem):

Image IPB

=> Pour les sceptiques :

Voir son parefeu et son antivirus contournés par une attaque qui amène leur désactivation, ça fait :
1) mal
2) réfléchir à l'utilité d'un contrôleur d'intégrité pour protéger ses outils sécuritaires...

* Leak Tests contre les pare-feu (firewall)
Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou en les contournant. Les "Leak test" sont des programmes à installer sur votre machine. Ils vont tenter d'en sortir et d'accéder à un serveur extérieur malgré vos couches de protection périmétriques. S'ils y réussissent, ils vous en apportent la preuve. Ces tests sont donc essentiellement des tentatives de viols des pare-feu. Plusieurs anti-spywares et anti-trojans les détectent et vous devrez, durant les tests, autoriser leur activité.
http://assiste.free....sts_accueil.php
* Leak Test Zapass - Test d'injection d'un parasite dans un composant actif
* Antivirus et Firewall, Un test d'extermination révélateur
* PC Flank's Leaktest

=> "Astuces" bloquage via parefeu :
Fichiers C:\Windows\system32 à bloquer via le parefeu :

Pour Windows XP SP2 : cmd.exe cmdl32.exe drwtsn32.exe net.exe net1.exe nbtstat.exe netdde.exe netsh.exe netstat.exe nwscript.exe pathping.exe ping.exe proxycfg.exe gappsrv.exe rasdial.exe rcp.exe rsh.exe sessmgr.exe shadow.exe shutdown.exe smss.exe systeminfo.exe telnet.exe

A propos de ces fichiers que tu conseilles de bloquer par le pare-feu, je dirais que certains doivent seulement être surveillés (choisir Demander dans un premier temps au lieu de Bloquer).
C'est le cas par exemple de la commande Ping, qui peut être utile à certains et être utilisée par des programmes comme Sam Spade.
Il sera toujours temps de les bloquer après une période d'essai si on se rend compte qu'on en a jamais ou très rarement besoin.
http://assiste.forum...p?p=75278#75278 re-re :wink: Vazkor

Code :
cmd.exe Interpréteur de commandes Windows NT
cmdl32.exe Téléchargement automatique de Microsoft Connection Manager
drwtsn32.exe Débogueur Postmortem Dr Watson (à traiter)
nbtstat.exe Informations sur TCP/IP NetBios
net.exe Net Command
net1.exe Net Command
netdde.exe DDE Réseau - Communication DDE
netsh.exe Invite de commandes réseau
netstat.exe Commande TCP/IP Netstat
nwscript.exe Utilitaire de script de connexion NetWare
pathping.exe Commande PathPing TCP/IP
ping.exe Commande TCP/IP Ping
rasdial.exe Interface utilisateur en ligne de commande pour le client d'accès distant
rcp.exe Commande de copie à distance TCP/IP
rsh.exe Commande TCP/IP shell distant
smss.exe Windows NT Session Manager
telnet.exe Client Telnet Microsoft
http://assiste.forum...p?p=75278#75278

=> voir aussi, si l'on a installé ZebProtect et son HomePack (pour faire apparaître l'onglet Sécurité sous XP :

...Maintenant que vous avez accès à l'onglet "Sécurité", faites un clic avec le bouton droit de votre souris sur chacun des fichiers suivants (situés par défaut dans C:\Windows\systeme32), cliquez sur l'onglet sécurité (les utilisateurs de Windows XP Home n'ont pas oublié de télécharger le "homepack" de Zeb Protect), cliquez sur le groupe "Systeme" et cochez les cases "Refuser"....
http://assiste.com.f...eb_protect.html

re :wink: à Vazkor

ATTENTION !

Précision utile pour les utilisateurs de Windows 2000 Pro,
Fichiers C:\WINNT\system32 à bloquer par le pare-feu : ceux cités par Horus Agressor SAUF:
proxycfg.exe gappsrv.exe sessmgr.exe shadow.exe shutdown.exe systeminfo.exe qui n'existent pas sous Windows 2000.
Tous les autres existent en deux exemplaires: un dans system32 avec une copie de sécurité dans system32\dllcache.
http://assiste.forum...p?p=75256#75256 :wink: Vazkor.

=> Utiliser votre ami Google pour connaître les tenants et les aboutissants de ces *.exe du dossier system32...



  • 0



Octobre 2017

D L M M J V S
1234567
891011121314
15161718192021
22 232425262728
293031