Aller au contenu
  • entries
    10
  • comments
    0
  • views
    15 054

4) Ma config, Anti-rookit


=> A propos de ces fameux rootkits :

 

Comment les détecter ?

 

...Quelques solutions existent et font leurs preuves :

 

* IceSword

Cet outil s'exécute en mode utilisateur (user mode) et permet de lister des informations directement dans le noyau. Les méthodes de programmation utilisées sont complexes et octroit au programmeur un grand mérite, sachant que les documentations kernel windows n'existe pas ou très peu.

 

* Il y a aussi ( dévellopé, entre autre, par 3psilon d'OpenForum.)

Seem

...

Initialement créé sous les systèmes unix, leur conception s'en est vu simplifiée grâce au code source libre du noyau. Les rootkits sont dorénavant exportés sous windows et produisent de nombreux soucis.

...

La finalité d'un rootkit est d'obtenir un accès à l'ordinateur (backdoor) en toute transparence vis à vis de l'utilisateur et de masquer l'existence d'autres outils.

...

Globalement ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant...

http://3psilon.info/index.php?pa=320

* Rootkit Unhooker : -- (à ne pas utiliser si GMER est installé !!) et sur OpenForums + RkUnhooker - Support

* GMER

*

=>

J'ai désactivé et bloqué les modifications via le Gestionnaire des tâches Windows (Ctrl+Alt+Del simultanément), Services (services.msc) et l'Utilitaire de configuration système (msconfig) via Process Guard :

 

mmcmsconfigetgesttchespg6bu.png

 

...et j'en ai confié la gestion à ProcessExplorer (qui remplace mon Gestionnaire des Taches) - > Mini Tuto Process Explorer sur Zebulon, Process Explorer sur Assiste et Process Explorer for Windows v10.21 (site de l'éditeur dupuis que Systernal est passé chez Microsoft.) - et à IceSword, en l'autorisant à Terminer des processus via Process Guard (il faut laisser IS installer son driver via PG...même topo pour Seem):

 

iceswordpg7ew.png

=> Pour les sceptiques :

Voir son parefeu et son antivirus contournés par une attaque qui amène leur désactivation, ça fait :

1) mal

2) réfléchir à l'utilité d'un contrôleur d'intégrité pour protéger ses outils sécuritaires...

* Leak Tests contre les pare-feu (firewall)

Leak Tests - Ces tests cherchent à prendre les pare-feu (firewall) en défaut en les traversant ou en les contournant. Les "Leak test" sont des programmes à installer sur votre machine. Ils vont tenter d'en sortir et d'accéder à un serveur extérieur malgré vos couches de protection périmétriques. S'ils y réussissent, ils vous en apportent la preuve. Ces tests sont donc essentiellement des tentatives de viols des pare-feu. Plusieurs anti-spywares et anti-trojans les détectent et vous devrez, durant les tests, autoriser leur activité.

http://assiste.free.fr/p/leak_test/leak_tests_accueil.php

* Leak Test Zapass - Test d'injection d'un parasite dans un composant actif

* Antivirus et Firewall, Un test d'extermination révélateur

* PC Flank's Leaktest

=> "Astuces" bloquage via parefeu :

Fichiers C:\Windows\system32 à bloquer via le parefeu :

Pour Windows XP SP2 : cmd.exe cmdl32.exe drwtsn32.exe net.exe net1.exe nbtstat.exe netdde.exe netsh.exe netstat.exe nwscript.exe pathping.exe ping.exe proxycfg.exe gappsrv.exe rasdial.exe rcp.exe rsh.exe sessmgr.exe shadow.exe shutdown.exe smss.exe systeminfo.exe telnet.exe
A propos de ces fichiers que tu conseilles de bloquer par le pare-feu, je dirais que certains doivent seulement être surveillés (choisir Demander dans un premier temps au lieu de Bloquer).

C'est le cas par exemple de la commande Ping, qui peut être utile à certains et être utilisée par des programmes comme Sam Spade.

Il sera toujours temps de les bloquer après une période d'essai si on se rend compte qu'on en a jamais ou très rarement besoin.

http://assiste.forum.free.fr/viewtopic.php?p=75278#75278 re-re ;-)Vazkor

Code :

cmd.exe Interpréteur de commandes Windows NT

cmdl32.exe Téléchargement automatique de Microsoft Connection Manager

drwtsn32.exe Débogueur Postmortem Dr Watson (à traiter)

nbtstat.exe Informations sur TCP/IP NetBios

net.exe Net Command

net1.exe Net Command

netdde.exe DDE Réseau - Communication DDE

netsh.exe Invite de commandes réseau

netstat.exe Commande TCP/IP Netstat

nwscript.exe Utilitaire de script de connexion NetWare

pathping.exe Commande PathPing TCP/IP

ping.exe Commande TCP/IP Ping

rasdial.exe Interface utilisateur en ligne de commande pour le client d'accès distant

rcp.exe Commande de copie à distance TCP/IP

rsh.exe Commande TCP/IP shell distant

smss.exe Windows NT Session Manager

telnet.exe Client Telnet Microsoft

http://assiste.forum.free.fr/viewtopic.php?p=75278#75278

 

=> voir aussi, si l'on a installé ZebProtect et son HomePack (pour faire apparaître l'onglet Sécurité sous XP :

...Maintenant que vous avez accès à l'onglet "Sécurité", faites un clic avec le bouton droit de votre souris sur chacun des fichiers suivants (situés par défaut dans C:\Windows\systeme32), cliquez sur l'onglet sécurité (les utilisateurs de Windows XP Home n'ont pas oublié de télécharger le "homepack" de Zeb Protect), cliquez sur le groupe "Systeme" et cochez les cases "Refuser"....

http://assiste.com.free.fr/p/logitheque/zeb_protect.html

re ;) à Vazkor

ATTENTION !
Précision utile pour les utilisateurs de Windows 2000 Pro,

Fichiers C:\WINNT\system32 à bloquer par le pare-feu : ceux cités par Horus Agressor SAUF:

proxycfg.exe gappsrv.exe sessmgr.exe shadow.exe shutdown.exe systeminfo.exe qui n'existent pas sous Windows 2000.

Tous les autres existent en deux exemplaires: un dans system32 avec une copie de sécurité dans system32\dllcache.

http://assiste.forum.free.fr/viewtopic.php?p=75256#75256 ;-)Vazkor.

=> Utiliser votre ami Google pour connaître les tenants et les aboutissants de ces *.exe du dossier system32...

0 Commentaire


Commentaires recommandés

Il n’y a aucun commentaire à afficher.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Add a comment...

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...