IceSword et Contrôleur d'intégrité, Processus protégés

[horus agressor]

Bonjour,

 

Je me permets de transmettre un post de Jim Ratoko d'Assiste.Forum, ce log pourrait intérésser certain(e)s d'entre vous

 

Attention : ce logiciel ne s'adresse pas aux néophytes.

 

La différence avec Rootkitrevealer est qu'il permet de terminer des processus cachés

 

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

 

C'est un simple programme qui utilise un service en kernel mode (mode noyau) (''IsPubDrv.sys''). Il peut être considéré comme un gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés.

 

IceSword affiche les processus, les services, les ports ouverts ou en attente, les modules qui fonctionnent en mode noyau, les entrées du SSDT (tableau du descripteur de services du système), les plugins BHO, les messages de « crochetage ». C'est aussi un petit outil pour lister les clefs du Registre de Windows (« regedit ») et les disques et dossiers du PC (« explorer »).

 

IceSword se base sur les APIs originales et non modifiées de ''advapi32.dll''. Si un rootkit cache son service du Windows Service Controller (''services.exe'') par « crochetage » d'APIs spécifiques (EnumServiceStatus, EnumServiceGroup etc..), IceSword détecte la différence et la considère suspecte.

http://www.open-files.com/forum/index.php?showtopic=29383

 

Il peut cependant entrer en conflit avec certains utilitaires de sécurité actifs avant lui et qui l'empêcheront alors de s'exécuter correctement.

http://www.open-files.com/forum/index.php?showtopic=29383

 

MessagePosté le: Sam 06 05 2006 à 20 30

 

Sujet du message: IceSword

 

Salut

 

Trouvé sur le forum de Websecurité, un logiciel de détection, d'informations système , gratuit

 

IceSword

 

Le lien pour des explications, le téléchargement et le tutoriel : http://www.open-files.com/forum/index.php?showtopic=29383

 

Très beau travail.

 

Attention : ce logiciel ne s'adresse pas aux néophytes.

 

La différence avec Rootkitrevealer est qu'il permet de terminer des processus cachés

http://3psilon.info/index.php?pa=320

 

Pour mémoire, une navigation passant par DropMyRights vous prémunit déjà contre pas mal de saloperies

 

A+

http://assiste.forum.free.fr/viewtopic.php?t=11828

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

Ice Sword installé chez moi :

 

1) J'ai scanner le fichier *.rar avec Antivir + PestPatrol + A2 = 100% clean puis je l'ai dézippé

 

2) Juste avant l'installation, Process Guard Full comme suit :

 

=> celles et ceux qui ne possèdent pas de contrôleur d'intégrité peuvent passer cette étape au cas où vous chercheriez un log non installé chez vous

 

3) J'ai désactivé Antivir, Pespatrol et le TeaTimer de Spybot

4) J'ai glissé-déposer le dossier Ice Sword dans C:\Program files et j'ai crée un raccourci

5) J'ai remis les options de Process Guard Full au maximum :

 

 

6) J'ai réactivé Antivir, PestPatrol et le TeaTimer

7) J'ai lancé Ice Sword...et ça fonctionne

 

J'ai un Ghost en réserve en cas de plantage

 

Vraiment excellent, j'm'en va éplucher le tuto, merci Jim

 

Le tuto : vous le trouverez là : http://www.open-files.com/forum/index.php?showtopic=29383

 

 

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

Re-moi,

 

==> Petite précision concernant IceSword v. 1.12 et Process Guard...

 

Il faut configurer Ice Sword dans Process Guard suite redémarrage PC :

 

 

Je viens d'installer IceSword v. 1.18, et il y a quelques différences par rapport à la version précédente :

==> Pour la version v. 1.18, il y a une petite différence, une autorisation supplémentaire à donner à IceSword dans Process Guard :

 

 

==> il faut donner ce droit à IceSword v. 1.18 (cocher <<Install Drivers/Services>>), sinon que pouick, il ne se lancera jamais

 

IceSword

http://www.open-files.com/forum/index.php?showtopic=29383

 

==> la version v. 1.18 comporte 2 options supplémentaires par rapport à la v. 1.12.

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

Re-re-moi

 

Ce qui suit est précisé dans le tuto, mais je pense opportun de décrire en gros quelques fonctions utiles :

 

Ice Sword permet de :

 

1) Accéder à la BdR via l'onglet Registry

 

2) Accéder à ses disques + partiton(s) et de voir les processus" qui s'en "échappent" via l'onglet Files :

 

 

Vraiment excellent ce log, champion le chinois qui l'a mit au point et qui répond au doux pseudo de « pjf_ », (jfpan20000ARROWBASEsina.com)

 

Amicalement.

[tim burtonzzzz]

Salut

 

 

Remarque juste en passant : une fois notre pc securisé comme il est conseillé dans de nombreux posts..., n'est il pas conseillé de laisser le pc tourné comme il est s'il fonctionne bien comme cela, et penser a autre chose qu'a la securité informatique, et les bidouilles des differents logiciels existants ?

 

Car arrivé a un certain point, l'ordinateur et internet peuvent devenir une véritable drogue dont il est difficile de se sevrer. Il fait beau, le soleil brille, les oiseaux chantent. c'est tellement plus agreable que de rester sa journée entière devant l'ordinateur.

 

Voila

 

Bye

[nicM]

Salut,

 

J'ajoute qu'une fois son driver lancé/autorisé, IceSword peut terminer n'importe quel processus sans que Process Guard ne s'en apercoive .

 

Et IceSword marche trés bien, excellent programme!

 

Modifié le 7 juin 2006 par nicM

[horus agressor]

IceSword peut terminer n'importe quel processus sans que Process Guard ne s'en apercoive

Salut nicM,

 

C'est normal, puisque tu as autorisé IceSword à le faire depuis Process Guard

 

Je vais m'attaquer plus en profondeur au tuto...

 

********************************************************************************

 

Salut Tim Burtonzzzz

 

Eh oui, le soleil brille et les zoziaux chantent en balançant leur fiente sur la verte prairie, mais là, je me suis chopé une belle bronchite doublée d'un lumbago, je dois donc garder le PC à défaut du lit...T'inquiète pas pour moi, de nombreux barbecue déjà prévu

 

Amicalement.

Modifié le 7 juin 2006 par horus agressor

[nicM]

Salut nicM,

 

C'est normal, puisque tu as autorisé IceSword à le faire depuis Process Guard

 

Je vais m'attaquer plus en profondeur au tuto...

 

 

 

Salut horus agressor,

 

 

Oui, en effet (c'est bien pour celà que je précisais "autorisé", eu égard a PG). Mais j'ai pensé que c'était suffisament rare pour être signalé .

 

[euh, j'ai un doute tout d'un coup : ne sachant si c'est ce à quoi tu pensais, voilà ce que j'avais en tête : il suffit de permettre à Icesword d'installer/lancer son service pour qu'il puisse terminer n'importe quel processus; il n'a pas besoin de "termination privilege"!! ]

 

D'ailleurs, ça fait d'IceSword un substitut avantageux au Task Manager (entre autres), en 10 fois plus puissant. Seul regret, qu'il ne puisse pas stopper les drivers/modules noyaux lancés, comme EkinX peut le faire.

Modifié le 7 juin 2006 par nicM

[horus agressor]

Mais j'ai pensé que c'était suffisament rare pour être signalé

Salut, nicM,

 

Tu as très bien fait de relever cela

 

Amicalement.

[nicM]

Salut, nicM,

 

Tu as très bien fait de relever cela

 

Amicalement.

 

Merci , mais j'ai pas été clair dans mon 1er message, en fait; donc je répète - lourdement car j'ai édité mon 2ème post entre-temps : Il suffit de permettre à IceSword "Driver/service install" dans process Guard, il n'a pas besoin d'autorisation pour terminer n'importe quel processus, y compris les "protégés" contre "termination".

 

Une illustration du soin à apporter lors de l'ajout d'un programme avec le privilège "Driver/service install", en somme : à ne pas accorder systématiquement et la légère, puisque qu'un programme malveillant pourrait alors (potentiellement) bypasser toute protection apportée par Process Guard.

 

nicM