RootkitRevealer de SysInternals

[ipl_001]

Bonsoir à tous,

 

La version 1.55 de RootkitRevealer est sortie de 12 juillet du cerveau de Bryce Cogswell et Mark Russinovich

 

-> page explicative très complète sur les Rootkits - http://www.sysinternals.com/Utilities/RootkitRevealer.html

 

-> téléchargement de l'utilitaire - http://www.sysinternals.com/Files/RootkitRevealer.zip (190 Kb)

 

Bonne lecture à tous ! Un outil qui pourrait être très utile vu le vice des nouveaux pirates !

 

Extrait :

What is a Rootkit?

 

The term rootkit is used to describe the mechanisms and techniques whereby malware, including viruses, spyware, and trojans, attempt to hide their presence from spyware blockers, antivirus, and system management utilities. There are several rootkit classifications depending on whether the malware survives reboot and whether it executes in user mode or kernel mode.

Qu'est-ce qu'un Rootkit ?

 

Le terme rootkit est utilisé pour décrire les mécanismes et les techniques par lesquelles les malwares, comprenant les virus, spywares, et chevaux de Troie, tentent de masquer leur présence vis à vis des bloqueurs de spyware, antivirus et utilitaires de gestion système. Il y a plusieurs classifications de rootkits basées sur comment le malware survit au reboot et selon qu'il s'exécutes en mode utilisateur ou en mode kernel.

[Thanos]

salut ipl

 

inquietant tout ca j'ai parcouru cette page concernant les rootkits et ces quelques

 

lignes qui en disent long=>

Unfortunately, there is no definitive way to determine, based on the output, if a rootkit is present, but you should examine all reported discrepancies to ensure that they are explainable. If you determine that you have a rootkit installed, search the web for removal instructions. If you are unsure as to how to remove a rootkit you should reformat the system's hard disk and reinstall Windows.

Ce qui signifie en gros, que le profane a peu de chance de se débarrasser seul de ces

 

saloperies.Le seul fait de le détecter releve déjà de l'exploit alors pour s'en

 

débarrasser...et de conclure avec cette phrase optimiste=>"If you are unsure as to how

 

to remove a rootkit you should reformat the system's hard disk and reinstall Windows"

 

En ce sens le "Rootkitrevealer" est un outil très utile qui épargne de longues heures

 

de recherche.Reste à l'utiliser à bon escient

 

Merci ipl , un de plus sur ma clé usb!

[O.Fournier]

B'Jour tous,

 

hé, hé, Sysinternal a la cote en ce moment, et c'est justifié :

 

http://forum.zebulon.fr/index.php?showtopic=71511

[ipl_001]

Bonjour à tous,

 

Un autre site Web aussi pointu et généreux plus orienté vers la Sécurité

-> DiamondCS - http://www.diamondcs.com.au/

 

Des produits connus (freewares) : http://www.diamondcs.com.au/index.php?page=products

 

OpenPorts NEW!

CmdLine NEW!

DelLater NEW!

Autostart Viewer NEW!

Advanced Process Manipulation NEW!

Advanced Process Termination NEW!

RegistryProt

IRClean

TaskMan+

Console Tools

[O.Fournier]

Oui, merci Gérard !

 

Parmi ces excellents petits utilitaires survole REGISTRY PROT !

 

Celui, c'est un vrai fouineur ! Indispensable pour tous les excités des BDR obèses.

[megataupe]

Bonjour à tous et plus spécialement à IPL et Olivier . Concernant DiamondCS cité par IPL, n'oublions pas que ceux-ci nous offre ce remarquable soft qu'est ProcessGuard qui, en version full malheureusement, vous protége très efficacement des sinistres rootkits puisqu'il interdit le contournement d'une application et l'accés à la mémoire physique ainsi que l'injection de dll dans le registre, surveillé par Registryprot..........bien évidemment .

[Thanos]

salut @ tous

 

je viens de faire un petit test avec "Rootkitrevealer" pour voir ce qu'il détecte sur le pc,

 

on ne sait jamais! voici le résultat=>

 

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 30/07/2005 02:10 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\€ 16/05/2005 23:35 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\TrendMicro\PC-cillin\FireWall\LastAttackTime 30/07/2005 02:10 4 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\TrendMicro\PC-cillin\FireWall\LastAttackSource 30/07/2005 02:10 24 bytes Windows API length not consistent with raw hive data.

C:\Documents and Settings\charles\Application Data\Mozilla\Firefox\Profiles\4scl3orh.default\Cache\293229ECd01 30/07/2005 02:13 5.17 KB Hidden from Windows API.

 

ca vous parle? j'ai scanné ce répertoire avec a² , pc cillin ,et même Panda n'a rien

 

trouvé=>

 

C:\Documents and Settings\charles\Application Data\Mozilla\Firefox\Profiles\4scl3orh.default\Cache\293229ECd01

 

Est ce que vous avez testé le logiciel?y aurait il un problème de "faux positif"?

[ipl_001]

Bonjour charles ingals, bonjour à tous,

 

Oui,

 

J'ai fait lancer 2 fois ce programme dans des discussions hier :

 

- une fois, je n'ai pas exploité les informations qui me semblaient bizarres

( http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry543056 )

 

- une autre fois, j'ai pris des précautions en sauvegardant une clé de la base de registres avant de supprimer

( http://forum.zebulon.fr/index.php?act=ST&f...=40#entry543724 )

 

 

 

J'ai lancé Rootkitrevealer :

HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters 26/11/2004 17:45 0 bytes Security mismatch.

HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters\SymbolicLinkValue 26/11/2004 17:45 132 bytes Hidden from Windows API.

2 discrepancies found.

[megataupe]

Bonjour à tous . Bon, j'ai installé le chercheur de rootkit (ProcessGuard était tout cramoisi et j'ai du le désactiver le temps de l'install) pui, lancé le scan. Résultat des courses : il me trouve une entrée 0 bytes dans la branche HKLM Software, késako Un faux fuyant sans doute.

 

M'est d'avis que je ne vais pas tester plus longtemps ce trappeur d'illusions détruites (0 bytes = le néant qui par définition est invisible ).

[O.Fournier]

Salut tous, et à Gérard et Megataupe,

 

ben moi aussi j'y suis allé de mon petit essai :

 

j'ai lancé le truc depuis un répertoire un peu "spécial" (on a beau être curieux et courageèux, faut quand même pas être téméraire).

 

Il s'est connecté et m'a gentiment scanné pendant 3-4 minutes (pas ADSL ! GRRRRR !).

 

Puis tout a fermé -> RIEN d'apparent !

 

Il a fallu que je m'emm.... 5 minutes pour trouver le seul changement dans mon système : un cache bizarre dans mon Firebird avec un fichier (nom en chiffres sans extension) de plus de 800 Ko montrant du code (édition en ASCII), mais où j'ai trouvé dedans les mots "webroot" et "Win32" ... Rien dans la BDR.

 

Tout viré bien sûr, fin du test, pas de délire, truc inutile sinon nuisible.

 

Au suivant !