GMER

[TA-K-2-PT]

heuuu pardon de cherche encore la petite bete,mais la protection residente d'un antivirus n'a pas le meme fonctionnement qu'un controleur d'integrité (comme le tea timer de spybot,ou SSM [je sait pas si les IPS sont des controleur d'integrité] ).

 

parceque (si je me trompe pas) en modifiant un fichier on modifie sa cle de registre,et là la protection resident d'un antivirus ne voit pas la modification du registre

 

J'essaye de comprendre,parce que finalement le fait d'avoir par pexle le tea timer de spybot,on a des fenetre pour accepter ou refuser tel modification.

 

Alor que l'antivirus n'as pas bougé

 

A ce moment rajouter des antispy par exple avec protection residente,ou IPS,IDS,en fait se serait comme mettre 3 mur identiques a la suite au lieu d'un.

 

Et puis si j'ai bien comprit le principe d'un rootkit est "d'aveugler" l'antivirus,donc a se moment "la porte est ouverte" si je puit dire.

 

Sa me semble bizard ça

Modifié le 28 septembre 2007 par TA-K-2-PT

[ken49]

Modifié un fichier ne modifie pas la clé de registre, mais modifie sa signature ou empreinte (divers mode de génération de signature existe).

 

Un programme qui se met à jour va changé de signature, il sera scanner par ton anti virus résident et sauf si il est infecté tu ne verra rien.

 

en revanche si via un exploit quelqu'un essaye de changer un programme existant par une version à lui incluant un spyware, malware ... mais pas un virus, l'anti virus ne dira rien : pas de virus !

Mais spybot (via tea timer) t'avertira.

 

Personnellement comme anti virus j'ai nod32 (payant - période d'essai de 3 mois trouvable simplement sur internet) et spybot 1.5 : je n'ai jamais eu de problème de puis plus de 7 ans. (avec avg et spybot, sur une machine de "test" en labo :

la machine a eu 2 virus par an en moyenne, idem avec norton) seul norton s'est fait "aveugler".

 

En conclusion spybot plus un BON anti virus, derrière un firewall bien configuré avec un comportement "normal" : pas de problème.

[horus agressor]

Bonjour !

 

Enfin une nouvelle mise à jour de GMER ! The latest version of GMER 1.0.14.14116 http://www.gmer.net/files.php

 

Changelog :

# 1.0.14

 

- Improved files scanning

- Improved registry scanning

- Improved "delete file" function

- Added disk browser

- Added registry browser and editor

- Added registry exports

- Added "Kill file" and "Disable service" options to help remove stubborn malware

- Added new option "gmer.exe -nodriver"

- Added new option "gmer.exe -killfile"

 

gmer.exe -killfile C:\WINDOWS\system32\drivers\runtime2.sys

 

gmer.exe -killfile C:\WINDOWS\system32:pe386.sys

- Simplified displaying of device hooks

- Added detection and removal of MBR rootkit

http://www.gmer.net/files.php

Amicalement.

[Falkra]

Une très bonne chose, et certaines détections sont expliquées : par exemple le fichier vsdatant.sys, qui peut être détecté par Gmer mais est parfaitement légitime. Maintenant il est écrit à côté qu'il appartient à ZoneAlarm, et ainsi de suite pour d'autres.

[horus agressor]

Bonjour !

 

Quelqu'un ou quelqu'une a-t-il ou a-t-elle des nouvelles de RkU ? J'ai renoncé à les suivre suite à leurs déboires avec leur hébergeur Impossible d'atteindre leur site...

 

Amicalement.