Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Darkspy - IDS et Sophos Anti-Rootkit

horus agressor

Par horus agressor
dans Sécurisation, prévention

 Partager

Messages recommandés

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour,

Darkspy - IDS+

 

http://assiste.forum.free.fr/viewtopic.php?p=80166#80166

 

Encore un nouvel antirootkit, gratuit

 

Même famille que IceSword

Merci à Jim Rakoto d'Assiste :P

 

Voir aussi > IceSword et Contrôleur d'intégrité, Processus protégés, Empêcher véroles de désactiver vos outils sécuritaires http://forum.zebulon.fr/index.php?showtopic=96713

Merci à Bay d'Assiste :P

 

Voir aussi Rootkit Detection & Removal Software http://www.antirootkit.com/software/index.htm

 

Une petite mise en bouche : > Découverte d'un nouveau type de rootkit, Le futur s'annonce magnifique http://forum.zebulon.fr/index.php?showtopic=99550 , entre autre :P

 

Amicalement.

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Je viens de tester DarkSpy Anti-Rootkit - V1.0.5 (Version de test) :P (la 1.0.3 n'est pas compatible avec ma configuration).

 

- je le trouve beaucoup moins complet qu'IceSword et moins esthétique (mais l'important est l'efficacité d'un log...).

- pas de couleurs pour différencier les processus au contraire d'IceSword.

- pas de possibilité d'aggrandir DarkSpy, donc il faut se prendre le chou avec les ascenceurs pour lire des lignes parfois assez longues.

- Donc là, je suis déjà gavé...

 

-

DarkSpy Anti-Rootkit - V1.0.5 (Version de test)

...

Le mode ''Super'' sera effectif si relancerez Windows avec succès dès la première la première utilisation de DarkSpy Anti-Rootkit. Les fonctionnalités seront augmentées en mode ''Super''. Ce dispositif consomme un peu plus de mémoire.

http://www.open-files.com/forum/index.php?showtopic=29788

=> je n'ai rien vu de tel chez moi, j'avais dézippé le fichier .rar dans un dossier de C:\Program files et suivi la procédure, j'avais lancé DarkSpy, avec Process Guard en mode Learning, DarkSpy c'est ouvert normalement, je l'ai fermé puis ai relancé Windows.

 

Ecran bleu (problème de drivers) suite au redémarrage quand j'ai voulu relancer Darkspy (unique application que j'ai lancé après le redémarrage, ormis mon parafeu, antivirus et Process Guard full qui se lancent automatiquement).

 

- j'avais configuré Process Guard full en mode Learning et réglé ainsi via Protection :

http://img220.imageshack.us/my.php?image=1copiems7.png

...soit à l'identique d'IceSword...

J'ai sûrement loupé un truc mais j'ai viré DarkSpy aussi sec ! Doublement gavé le Père Horus...

 

- il est vrai que je n'avais pas viré le dossier Icesword de C:\Program files, mais je ne l'avais pas lancé...Je ne pense pas que le plantage vienne de là ?

 

-

propose quelques captures et explications bien détaillées pour DarkSpy.

Le choix est vite fait, pour moi en tout cas, je garde "mon" IceSword".

 

A mon humble avis, IceSword pose facile des log comme Rootkit Revealer ou celui de Sophos qui se basent sur une base de données (si j'ai bien compris), alors qu'un log comme IceSword affiche tout ce que le PC a comme processus dans le ventre :

...gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés

http://www.open-files.com/forum/index.php?...mp;#entry459692

C'est un simple programme qui utilise un service en kernel mode (mode noyau) (''IsPubDrv.sys''). Il peut être considéré comme un gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés.

 

IceSword affiche les processus, les services, les ports ouverts ou en attente, les modules qui fonctionnent en mode noyau, les entrées du SSDT (tableau du descripteur de services du système), les plugins BHO, les messages de « crochetage ». C'est aussi un petit outil pour lister les clefs du Registre de Windows (« regedit ») et les disques et dossiers du PC (« explorer »).

 

IceSword se base sur les APIs originales et non modifiées de ''advapi32.dll''. Si un rootkit cache son service du Windows Service Controller (''services.exe'') par « crochetage » d'APIs spécifiques (EnumServiceStatus, EnumServiceGroup etc..), IceSword détecte la différence et la considère suspecte.

 

Cet outil est facile à employer et n'exige pas de connaissances avancées.

http://www.open-files.com/forum/index.php?...mp;#entry459692

...considéré « difficile à contourner » par « Hacker Defender

http://www.open-files.com/forum/index.php?...mp;#entry459692

 

 

Amicalement.

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

A propos de Sophos Anti-Rootkit :

 

Première impression ... ceux qui trouvaient «DarkSpy» trop succinct vont être surpris de trouver en «Sophos Anti-Rootkit» un instrument bien plus rustique.

http://www.open-files.com/forum/index.php?showtopic=30147

:P

 

Et moi qui trouve déjà DarkSpy trop rustique :P

 

Amicalement.

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Re,

 

Encore à propos de l'ersatz d'anti-rootkit que semble être «Sophos Anti-Rootkit», qui est dangereux par le faux sentiment de sécurité qu'il pourrait donner à son utilisateur :

[1] «BadRkDemo»

Ce n'est pas «Sophos Anti-Rootkit» qui va inquiéter ce rootkit. Pas vu, pas pris ...

Image IPB

 

Le scan en mode ligne de commande donne le même résultat.

 

[2] «ntqsi.sys» (ArnService)

Suprise !!! «Sophos Anti-Rootkit» voit quelque chose, tant en ligne de commande qu'en mode graphique.

Image IPB ... ... ... Image IPB

 

Malheureusement il ne définit pas le driver caché mais ce qui a contribué à le lancer (ce dont se sert son lanceur). «ntqsi.sys» a été stoppé par son lanceur «ArnService».

 

[3] «fhide.sys» (D.I.U)

Là non plus, pas de problème pour ce rootkit ... Pas vu, pas pris par «Sophos Anti-Rootkit» ... Ni avec "sargui.exe" ni avec "sarcli.exe" ...

Image IPB

 

Je pense qu'il faudra attendre une autre version, très améliorée, pour qu'il devienne convainquant.

http://www.open-files.com/forum/index.php?showtopic=30147

Tout est dit...

 

Amicalement.

lordtoniok Godlike Member

lordtoniok

Posté(e)
Posté(e)

hmmm je pense qu'on ne doit pas en vouloir a un anti rootkit de pas trouver tout les rootkit étant donné que ceux si sont créer dans le but de ne pas être détecté...

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Re,

 

Avoir plusieurs antirootkit alors :P

 

Un contrôleur d'intégrité comme Process Guard (dans sa version full en tout cas) donne le chemin précis de chaque processus qui voudrait s'ouvrir, une manière de tracer les rootkit et autres processus suspects :P Mais il faut être attentif et ne pas accepter n'importe quoi...

 

Amicalement.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...