Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Quizz Sécu 3


Gof
 Share

Quizz n°3  

48 membres ont voté

  1. 1. Q7 : Messageries Email. Des affirmations suivantes, lesquelles sont vraies :

    • Le scan des emails par l'antivirus n'est pas du tout une fonction indispensable
      21
    • Le scan des emails par l'antivirus est une fonction indispensable
      26
    • Tout mail publicitaire qui nous est délivré l'est légalement tant qu'on ne s'y est pas opposé (opt-out)
      14
    • Tout mail publicitaire qui nous est délivré l'est légalement si on s'est inscrit à une liste en acceptant d'en recevoir (opt-in)
      36
    • Il est possible d'anonymiser un email afin qu'on ne sache pas qui est le véritable expéditeur
      35
    • Je peux recevoir un email de ma part sans me l'avoir envoyé
      34
    • Je ne sais pas
      1
  2. 2. Q8 : La Base de Registres. Des affirmations suivantes, lesquelles sont vraies :

    • Certaines clés me sont inaccessibles et cachées, REGEDIT ne montre pas tout
      19
    • La BdR correspond à 2 fichiers sur le disque dur
      7
    • La BdR est "pleine de trous" et doit aussi être défragmentée de temps à autre
      29
    • Les services se trouvent dans la BdR
      22
    • Le contenu du fichier Hosts se trouve dans la BdR
      8
    • Un élément infectieux quel qu'il soit aura toujours une trace dans la BdR
      20
    • HijackThis ne fait qu'exporter des clés et des valeurs de la BdR finalement
      21
    • Je ne sais pas
      3
  3. 3. Q9 : Des clés et valeurs suivantes dans la BdR, lesquelles pourraient permettre d'exécuter un processus infectieux (vilain) au démarrage du système ?

    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "vilain"="c:\vilain.exe"
      39
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe, vilain.exe"
      34
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="vilain.dll"
      33
    • [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer] "Debugger"="C:\vilain.exe"
      15
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi1"="vilain.dll"
      28
    • Je ne sais pas
      3


Messages recommandés

goflm8.png

 

Quizz Sécu # 3

 

***

 

Bonjour à tous, :P

 

Nous vous proposons à travers ce Quizz en trois questions un exercice qui se veut ludique et instructif. Ce troisième d'une longue série nous l'espérons est ouvert à tous les membres inscrits (les invités ne peuvent pas poster). Vous ne pourrez y répondre qu'une seule fois, puis seulement consulter les suggestions de réponses des autres membres. Voici comment les choses vont se passer :

  • Ce Quizz sera ouvert aux suggestions de réponse pendant une semaine. Nous ne souhaitons pas qu'il y ait de commentaires de postés d'ici là, de sorte de ne pas influencer les réponses. Ainsi, tout post dans cette période sera masqué ou supprimé.
     
     
  • A la fin de cette semaine ouverte, nous vous indiquerons alors les bonnes réponses aux questions, en commentant les tendances de celles des membres. Là tous les commentaires et interrogations seront les bienvenus bien évidemment.

 

A l'issue de cette correction, dimanche prochain, un nouveau Quizz de trois questions vous sera à nouveau proposé. En espérant que cet exercice vous sera à la fois plaisant et instructif.

 

Vous pouvez consulter les anciens Quizz si vous le souhaitez :

 

 

Bon Quizz Sécu n°3 :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, :P

 

Fermeture du Quizz à 32 votants.

 

Qu'est ce que cela signifie ? Cela signifie que le Quizz reste ouvert pour ceux qui n'ont pas voté, mais qu'il ne sera pas pris en compte leurs réponses à compter de maintenant dans l'interprétation des réponses proposées.

 

Par la suite nous vous proposerons la résolution de cette série, tous vos commentaires, remarques et suggestions seront alors les bienvenus :P

 

En soirée, un nouveau Quizz vous sera proposé, ouvert également pendant une semaine.

Lien vers le commentaire
Partager sur d’autres sites

Nous vous encourageons à intervenir à la suite de ces réponses. :P

 

goflm8.png

 

***

 

flechedroite.pngQ7 : Messageries Email. Des affirmations suivantes, lesquelles sont vraies :

 

 

doncdroite.pngLe scan des emails par l'antivirus n'est pas du tout une fonction indispensable

doncdroite.pngLe scan des emails par l'antivirus est une fonction indispensable

 

Le scan des emails par l'antivirus n'est pas du tout une fonction indispensable est la bonne réponse. Vous êtes 53% à juger cette affirmation vraie, et 46% pour son contraire. Le score est serré.

 

L'email est un vecteur de diffusion de virus et autres très utilisé, partant de ce constat, les éditeurs suivent et proposent des solutions dédiées. Un scan pop3 (le protocole qui rapatrie les mails) écoute les ports de communication concernés (110 par défaut, pour la réception). Quand quelque chose passe dans ce canal de communication, il avertit dès qu'il identifie une menace. L'utilisateur gagne du temps : le nuisible est bloqué tout de suite, avant même que le mail ne se trouve dans votre client mail.

Cela n'est pas pour autant indispensable. Sans ce module dédié, le module résident de l'antivirus, correctement paramétré, réagira dès que l'utilisateur se place dans une situation vulnérable : toucher à une pièce jointe infectée, essayer de la télécharger sur le bureau ou de l'ouvrir directement. Vous êtes protégé. Seul ce qui vous menace concrètement et réellement est intercepté, au moment critique. Bien sûr votre module résident doit être configuré pour scanner les fichiers sur lecteur et écriture/création.

Pour faire un test, vous pouvez vous rendre sur ce site : system.png GFI Email Security Testing Zone. Voyez si votre antivirus réagit bien. :P

 

 

doncdroite.pngTout mail publicitaire qui nous est délivré l'est légalement tant qu'on ne s'y est pas opposé (opt-out)

doncdroite.pngTout mail publicitaire qui nous est délivré l'est légalement si on s'est inscrit à une liste en acceptant d'en recevoir (opt-in)

 

Tout mail publicitaire qui nous est délivré l'est légalement si on s'est inscrit à une liste en acceptant d'en recevoir (opt-in) est la bonne réponse. Vous l'avez trouvée à plus de 78%. Il va falloir que l'on s'attarde sur les définitions de Opt-in et Opt-Out ( system.png Opt-in - system.png Opt-out). On peut aussi nuancer avec l'ajout de notions de double-Opt-in, de Opt-in-actif/passif, etc.

 

La nuance est importante, et c'est elle qui conditionne la légalité de l'email ou non. Il en ressort non seulement que l'opt-out est interdit en France mais que seul l'opt-in actif est légal dans le cadre d'emailing a destination de personnes physiques (particulier) L'opt-out est autorisé en France s'il s'agit d'emailing concernant des activités commerciales entre entreprises (BtoB). En France, seul l'opt-in actif est légal concernant les envois de messages vers des particuliers ou personnes physiques. En effet, l'article L34-5 du code des postes et des communications électroniques[1] dispose dans ses deux premiers alinéas que : " Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. Pour l'application du présent article, on entend par consentement toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe.

 

Vous pouvez consulter également les règles dor de la prospection par courrier électronique à destination des professionnels, créés par la CNIL (system.png les règles dor de la prospection par courrier électronique) riches d'enseignements.

 

Une plate-forme de connexions entre particuliers, professionnels de l'emailing, et services publics existent ; vous y trouverez des informations à destination des particuliers (victimes du spam) et des professionnels de l'emailing : system.png SignalSpam.

 

 

doncdroite.pngIl est possible d'anonymiser un email afin qu'on ne sache pas qui est le véritable expéditeur

doncdroite.pngJe peux recevoir un email de ma part sans me l'avoir envoyé

 

Les deux affirmations sont vraies. Vous avez été respectivement 62 et 70 % à trouver ces deux bonnes réponses.

 

Tout à fait possible. Vous pouvez recevoir un e-mail qui semble envoyé depuis votre compte, sans qu'il le soit ; la partie expéditeur est envoyée par le serveur SMTP (celui qui envoie les mails) ou un script. Il suffit à un spammeur de programmer un script ou un SMTP pour envoyer la même chose dans le champ "destinataire" et "expéditeur".

Les e-mails peuvent être envoyés en cachant une partie des destinataires (le champ copie cachée), vous pouvez donc recevoir un email qui semble destiné à quelqu'un d'autre : on place un destinataire dans le champ destinataire, et 50 autres (dont votre adresse) en copie cachée.

Lien vers le commentaire
Partager sur d’autres sites

goflm8.png

 

***

 

flechedroite.pngQ8 : La Base de Registres. Des affirmations suivantes, lesquelles sont vraies :

 

 

Je commence par répondre à quelques questions qui ne m'ont pas été posées :P

  • Non, il n'est pas interdit d'utiliser RegEdit et d'aller voir ce qu'est cette base de registre bien mystérieuse.
    Il convient toutefois de savoir qu'il ne faut pas effectuer de modification sans être sûr de ce que l'on fait car, effectivement, ce fichier de paramètres conditionne directement le fonctionnement du système d'exploitation ; il convient également de savoir que les modifications sont enregistrées immédiatement (sans besoin d'une fonction "Enregistrer" avant de quitter).
    Beaucoup de réponses à ce quizz ne sont pas satisfaisantes ; ceci n'est ni un reproche ni une moquerie mais au contraire, c'est une chose excellente que ce point de la base de registre soit abordé et j'espère que mes explications aideront à mieux faire comprendre.
  • Nous sommes dans les sous-forums sécurité de Zebulon et la base de registre serait plus relative au système qu'aux infections virales.
    Oui, c'est exact mais la sécurité antimalware est de plus en plus technique et fait appel à des connaissances du système, du réseau, de la base de registre, etc. Les spécialistes du système sont invités à corriger ou fournir des compléments et commentaires positifs.

 

 

doncdroite.pngCertaines clés me sont inaccessibles et cachées, REGEDIT ne montre pas tout

 

C'est vrai. Un tiers des intervenants a répondu correctement : pas de problème, maintenant, les 2 autres tiers savent mais il n'y a pas malice à ce que certaines clés soient masquées à la vue des utilisateurs de RegEdit.

 

Non, le programme Regedit ne montre pas toutes les clés notamment en matière de sécurité.

Les clés qui ne sont pas accessibles sont des clés qu'il serait dangereux d'altérer : aucun grand mystère là-derrière.

Certains autres éditeurs de base de registres gratuits en montrent juste un peu plus mais encore faut-il comprendre comment traiter ces clés et valeurs mystérieures : de quoi calmer ou exciter les geeks.

 

Pour aller au-delà de la question :

  • system.png Vilma Registry Explorer
  • system.png O&O RegEditor
  • system.png Registry Commander - le site du dév est hors ligne -system.png
  • system.png Resplendence Registrar Lite -je me demande si la gratuité ne s'est pas arrêtée à la version 2.0 que voici - system.png registrar lite 20.
  • etc.
  • ~
  • Oh ! Intéressant ! Un tweaker pour RegEdit : RegEditX -> system.png regeditx, associé à Registry Crawler et en français s'il vous plaît ! :P

 

 

doncdroite.pngLa BdR correspond à 2 fichiers sur le disque dur

 

La base de registre est apparue historiquement avec Windows 95 et elle a beaucoup évolué depuis. Si la BdR de l'époque correspondait bien à 2 fichiers sur le disque dur (System.dat et User.dat), il n'en est plus de même aujourd'hui.

La base de registre s'est étoffée et si des éléments de celle d'XP se retrouvent dans %systemdrive%\Windows\System32\config (et %systemdrive%\Windows\repair pour un système de base), tout son contenu ne se trouve pas sur le disque dur...

... une bonne raison est que la base de registre telle que la visualisent les éditeurs est située en mémoire et mise en place à partie de fichiers du disque mais aussi à partir de ce que vous connectez ou déconnectez lors de la session Windows (les périphériques plug and play comme des clés USB) : ces informations dynamiques se retrouvent dans la ruche HKEY_DYN_DATA qui, elle-même, est rattachée à HKEY_LOCAL_MACHINE.

 

Pas loin de 80 % a répondu correctement :P Cette question n'intéresse que des geeks :P et n'a pas une importance fondamentale pour l'utilisation d'un ordinateur ni pour sa sécurité. Mais soulignons le niveau technique des membres de Zeb' !

 

Pour aller au-delà de la question : quelques pages Web apportant de plus amples informations sur la base de registre :

  • system.png Microsoft Windows Registry
  • system.png How can I edit the registry from the command prompt ?
  • system.png Open and Edit an offline registry (modification d'une base de registre non active - je veux dire appartenant à un disque système abimé)
  • system.png How to recover from a corrupted registry that prevents Windows XP from starting ; voir aussi"Guided Help Download" dont le lien se situe au milieu de la page et qui permet de télécharger un programme qui automatise beaucoup des tâches de récupération - la page principale donnant des détails fort intéressants sur les opérations manuelles.
    J'ai donné le lien de la page anglaise car elle comporte le Guide mais voici le lien vers la page française (sans Guide) -> system.png Comment faire pour récupérer Windows XP à partir d'un Registre endommagé qui empêche le démarrage du système
  • system.png XP-Live CD Project ; il s'agit d'un CD bootable contenant des outils permettant le démarrage d'un ordinateur hors service afin de le réparer.

 

 

doncdroite.pngLa BdR est "pleine de trous" et doit aussi être défragmentée de temps à autre

 

Oui et Non et Non et Oui et Heu, bof (j'en perds mon français et en deviens "Normand") ! :P

 

Ca, c'est une question gênante !!!

 

C'est une double assertion qui amènerait des heures d'explications de la part des MS-MVP interrogés. La chose est très technique et les détails sont mal connus mais la conclusion est claire : oui la base de registre comporte des trous ("pleine", c'est un autre problème) et non, il ne faut pas se risquer à défragmenter. En clair, cocher cette assertion est une erreur.

 

Les explications étant sujets d'interminables discussions, voire disputes, sur les forums, les lignes ci-dessous seront courtes. :P

 

Les éléments inutiles ne le sont qu'en apparence et vouloir à tout prix les éliminer est une erreur et peut conduire à des problèmes futurs.

 

Jamais aucun gain de temps n'a pu être démontrer à la suite de l'exécution d'outils magiques qui arrangent bien les commerçants :P

  • les outils ne sauront pas déterminer qu'une imprimante tombée en panne (et remplacée) est devenue inutile et donc, c'est bien après désinstallation volontaire que le nettoyage peut être fait
  • une clé USB utilisée fréquemment donne lieu à des enregistrements utiles dans la BdR et les désinstaller comme le font des utilitaires, est une mauvaise chose
  • il y a de nombreux exemples d'utilisateurs qui rencontre des dysfonctionnement graves de leur système après utilisation de ce genre d'outils... en même temps que des exemples d'utilisateurs qui lancent les mêmes outis sans pépin !

Gains de performance théoriques voire hypothétiques, risques réels, le choix est vite fait : les outils de nettoyage de base de registre, défragmentation, correction d'erreurs, compactages sont à déconseiller aux utilisateurs qui ne recherchent pas les problèmes !

Merci à Michel, Marc, Georges, Serge... qui se reconnaitront ! :P

C'est à la main qu'un expert entretient sa base de registre et c'est un de ses plaisirs mais ne s'improvise pas expert qui veut !

 

66 % des interrogés ont répondu qu'il fallait défragmenter périodiquement la base de registre... heu 66 % ont tort ou sont de sacré casse-cou. :P

 

 

doncdroite.pngLes services se trouvent dans la BdR

 

C'est vrai : bon à savoir :P ! Juste pour montrer que beaucoup de choses se trouvent dans cette base de registre. Un peu moins de la moitié des intervenants ont la réponse correcte.

 

La liste des services que l'on obtient par Démarrer / Exécuter / services.msc et OK est en fait issue de la base de registre et plus précisément dans

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

 

Pour aller au-delà de la question :

Ce qui est vrai pour les services l'est également pour d'autres fonctions accessibles dans le Panneau de configuration comme "Ajout/Suppression de programmes", "Options Internet" ou autres. Disons que l'accès à ces fonctions permet d'éviter l'accès technique à la base de registre et de proposer une présentation et une mise à jour plus commodes.

 

Comme vous le savez, Windows active par défaut, nombre de services qui ne sont pas utiles à la plupart des utilisateurs (compte tenu de l'utilisation qu'ils font de leur système) voire qui vont à l'encontre de sa sécurité. Il est donc important de réviser ou faire réviser la liste de ces services pour gagner en sécurité et en vitesse.

 

 

doncdroite.pngLe contenu du fichier Hosts se trouve dans la BdR

 

C'est faux : bravo encore à 80 % des membres !

 

Tout n'est tout de même pas dans la base de registre.

Le fichier Hosts se trouve sur le disque dur et, pour XP, à l'adresse :

C:\WINDOWS\system32\drivers\etc\hosts (hosts avec un "s" en fin de nom)

 

Pour aller au-delà de la question :

  • Ce fichier Hosts est utilisé par certains programmes tels que SpyBot Search and Destroy.
  • Le fichier Hosts a été conçu aux tout début de l'Internet pour fournir l'adresse technique nécessaire à la connexion aux autres ordinateurs du réseau. Il comporte une série de lignes Adresse IP / URL permettant d'avoir immédiatement l'adresse IP et d'éviter l'interrogation de serveurs DNS.
    Le fichier Hosts est maintenant fréquemment utilisé dans 4 buts :
    • -1-IP-valide-URL-valide = obtention rapide de l'IP d'un site fréquemment utilisé (tel qu'initialement prévu)
    • -2-IP-locale-URL-valide = blocage par un malware de sites de sécurité
    • -3-IP-fausse-URL-valide = détournement par un malware, de sites valides vers un site infectieux
    • -4-IP-locale-URL-infectieuse = blocage de sites infectieux (utilisation par SSD)

    [*]D'autres systèmes existent pour le blocage de sites infectieux comme par exemple, ce qu'on trouve dans Options Internet / Sécurité / sites sensibles ; les informations sont alors, rangées dans la base de registre.

 

 

doncdroite.pngUn élément infectieux quel qu'il soit aura toujours une trace dans la BdR

 

Faux. Héhé, voila une question intéressante ! :-?

 

Par le passé étaient les "virus" c'est à dire la greffe de lignes de code infectieux au beau milieu d'un programme système. L'infection était alors dépendante du lancement du programme altéré. Ces vrais virus ont disparu.

Les malwares actuels sont non seulement conçus pour un lancement automatique mais en plus, munis de systèmes de réinfection immédiate.

 

Pour aller au-delà de la question :

Une infection comporte un mécanisme d'activation (très souvent logé dans une des clés de la BdR) qui charge en mémoire un programme situé sur le disque dur. Certains programmes éliminent la partie BdR et laissent subsister des fichiers infectieux sur le disque. Sans activation, ces fichiers ne sont pas chargés en mémoire de manière automatique mais s'isl restent sur le disque, on n'est jamais à l'abri d'un utilisateur double cliquant dessus pour voir ce que fait ce programme qu'il ne connait pas ! :-?

Il me faut ajouter qu'un fichier infectieux peut être rangé dans un répertoire "Démarrage" et ainsi, être chargé au lancement du système et ne pas être noté dans la base de registre.

 

Notre procédure de nettoyage d'un système infecté comprend l'élimination des éléments dans la mémoire, dans la base de registre, sur le disque dur et, en outre, un inventaire des moyens de protection associé à des conseils de prévention.

 

 

 

doncdroite.pngHijackThis ne fait qu'exporter des clés et des valeurs de la BdR finalement

 

C'est faux et 2 tiers savent !

 

Si la partie la plus connue de ce programme HijackThis est son rapport qui liste le contenu de clés importantes de la base de registre, il est capable de modifier la BdR pour corriger la ligne. Il liste également les éléments logés dans les dossiers Démarrage.

HijackThis comprend également un ensemble de fonctions différentes et variées dans "Open the Misc Section" : gestion des processus, gestion du fichier Hosts, gestion de ses sauvegardes, suppression d'un fichier au redémarrage, etc.

 

Pour aller au-delà de la question :

2 tiers savent que HijackThis ne montre pas tout et nous utilisons ce programme car nous y sommes très habitués et nous permet un premier coup d'oeil mais ce n'est pas seulement ce programme qui nous permet de fouiller les entrailles du système pour y détecter puis déloger les infections.

 

Je ne sais pas [ 1 ] ** [3 %]

Si ce point a été compris comme "Je ne sais pas tout de la base de registre", il est exact ! :P

 

 

 

Je voudrais revenir sur des mots écrits en début : "Beaucoup de réponses à ce quizz ne sont pas satisfaisantes".

Ceci n'a pas lieu d'être formulé de cette manière sèche !

Les points de ce sujet relatif à la base de registre sont très techniques et si la chose est d'importance pour les acharnés (les "Geeks" qui se donneront une claque à chaque réponse fausse :P ), la connaissance poussée de cette damnée base de registre n'est absolument pas primordiale pour profiter du plaisir qu'offre la navigation sur Internet et c'est bien là ce qui importe à nos amis internautes, membres de Zebulon.

Je souligne néanmoins les bons chiffres donnés à cette partie technique, ce qui nous montre le bon niveau de beaucoup de nos membres !

Lien vers le commentaire
Partager sur d’autres sites

goflm8.png

 

***

 

flechedroite.pngQ9 : Des clés et valeurs suivantes dans la BdR, lesquelles pourraient permettre d'exécuter un processus infectieux (vilain) au démarrage du système ?

 

Toutes les propositions de réponse sont ici vraies. Nous allons voir cela un peu plus en détail.

 

 

doncdroite.png[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "vilain"="c:\vilain.exe"

 

Cette réponse est en effet vraie. Il s'agit de l'entrée de base pour exécuter un processus au démarrage de Windows. HKLM\...\Run, KHCU\...\Run Ce sont notamment ces entrées, suivant la clé parente, que nous retrouvons sous l'onglet "Démarrage" de MSCONFIG, et/ou dans les lignes O4 d'un rapport HijackThis. On peut y retrouver les entrées de démarrage associées à la session, ou d'une manière plus générale, associées à toutes les sessions (all users), quelles qu'elles soient. Les exemples d'infections s'exécutant ainsi sont très nombreux ; elles ne sont pas les plus difficiles à maîtriser, car leur exécution via ces clés est visible et peu discrète. Vous avez été 78 % à trouver cette bonne solution, c'est celle qui a remporté le plus d'adhésion.

 

 

doncdroite.png[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe, vilain.exe"

 

Cette proposition est vraie. Cette entrée permet notamment d'exécuter un processus automatiquement à l'ouverture d'une session Windows. On peut trouver le cas de Mabezat par exemple, que l'on rencontre assez souvent sur les forums (system.png Mabezat). Vous avez été 68 % à trouver cette bonne solution. Félicitations.

 

 

doncdroite.png[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="vilain.dll"

 

Cette proposition est vraie. Les fichiers DLLs indiqués dans cette valeur sont chargés en mémoire des processus des applications qui sont lancées après cette modification du Registre. C'est un emplacement très sensible. Beaucoup d'infections utilisent ainsi ce procédé (system.png Exemple Backdoor.Ginwui). Vous avez été 59 % à trouver cette bonne solution.

 

 

doncdroite.png[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer] "Debugger"="C:\vilain.exe"

 

Cette proposition est vraie. Une sous-clé peut être ajoutée dans cette clé de Registre, ayant pour nom celui d'une applcation légitime, par exemple Explorer.exe. Dans cette sous-clé Explorer.exe , une infection pourrait créer une valeur chaîne nommée "Debugger", dont les données contiennent le chemin d'accès à un fichier, comme "%Windows%\vilain.exe" , et vilain.exe sera exécuté à chaque fois qu'une instance d'explorer.exe sera lancée (system.png Exemple W32.Ridnu.B). Vous avez été 9 % à trouver cette bonne solution. Visiblement elle vous était inconnue :P

 

 

doncdroite.png[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] "midi1"="vilain.dll"

 

Cette proposition est vraie. Des valeurs chaîne dans cette clé de Registre définissent les DLLs de plusieurs applications. On observe ainsi que des nuisibles écrivent dans cette clé et s'installent en tant que pilote .midi, ce qui provoque leur chargement en mémoire par toutes les applications qui utilisent le son, c'est à dire quasiment toutes les applications sur un système. L'infection Daonol utilise ce procédé (system.png Exemple Daonol). Vous avez été 62 % à trouver cette bonne solution. Bravo.

 

 

Enfin, pour 6% des votants, la question et les suggestions de réponse étaient du chinois :P

 

Cette question, et les suggestions de réponse ici proposées, s'inspirent de la liste des lancements de Malware synthétisés par Tony Klein sur le sujet suivant : system.png A Collection of Autostart Locations.

Vous pouvez consulter la traduction française de ce travail, effectuée par NickW sur le forum assiste de Pierre Pinard : system.png Une collection d'emplacements de démarrage automatique.

 

 

 

***

 

Fin donc de cette troisième série du Quizz Sécu. Rendez-vous ce soir pour une nouvelle série ! A vos commentaires :P

Lien vers le commentaire
Partager sur d’autres sites

Non, le programme Regedit ne montre pas toutes les clés notamment en matière de sécurité.

Les clés qui ne sont pas accessibles sont des clés qu'il serait dangereux d'altérer : aucun grand mystère là-derrière.

Certains autres éditeurs de base de registres gratuits en montrent juste un peu plus mais encore faut-il comprendre comment traiter ces clés et valeurs mystérieures : de quoi calmer ou exciter les geeks.

 

s'il n'y a pas de mystère, pourquoi ne pas les montrer ces fameuses clés ? l'oncle SAM peut être ?

 

le problème de la base de registre de Windows, c'est le problème de Windows tout entier, cette superbe base qui est un véritable labyrinthe pour les malwares en question où l'on peut loger tout est n'importe quoi, ne serait-ce que dans la catégorie des drivers qui se trouvent sur la même branche que celle des services

pas difficile d'inventer un drivers qui démarre juste après le boot de la machine et qui infecte l'ensemble du système

 

quand on regarde de près la partie HKEY_CLASSES_ROOT, on a du mal à ne pas imaginer diverses infections qui peuvent venir modifier le comportement de la machine

 

la base de registre est un véritable gruyère, sa gestion chez Microsoft laisse totalement à désirer, c'est d'ailleurs le plus gros soucis de ce système d'exploitation, plus le code fermé que les pirates connaissent mieux que les employés de Microsoft

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir mauricer,

 

Merci pour ta participation à notre quizz et à la discussion !

 

... mais...

 

s'il n'y a pas de mystère, pourquoi ne pas les montrer ces fameuses clés ? l'oncle SAM peut être ?
Lorsque j'écris "pas de mystère", je veux dire que la raison pour ne pas montrer les clés est de ne pas tenter plus que nécessaire : pas de mystère pour la dangerosité à tripoter ces clés.

Même si ma maison est protégée par un chien à longues dents pointues, ce n'est pas une raison pour ne pas fermer mon portail à clé, apposer une pancarte avertissant de la présence de la bête féroce... mais la toute première mesure est bien de ne pas mettre mes Van Gogh en face de la fenêtre.

Que vient faire ce bon vieux SAM dans tes mots ? est-ce un petit anti-américanisme ? est-ce une référence au fichier SAM, Security Accounts Manager qui est une partie de la BdR ?

Soupçonnes-tu les américains ou Microsoft de ne pas réveller leurs secrets pour laisser les pauvres Frenchies dans l'âge de pierre ? :P

 

le problème de la base de registre de Windows, c'est le problème de Windows tout entier, cette superbe base qui est un véritable labyrinthe pour les malwares en question où l'on peut loger tout est n'importe quoi, ne serait-ce que dans la catégorie des drivers qui se trouvent sur la même branche que celle des services

pas difficile d'inventer un drivers qui démarre juste après le boot de la machine et qui infecte l'ensemble du système

Dans ta réponse, tu montres par 2 fois, Windows, du doigt. Tu fais sans doute la promotion d'OS alternatifs sensés être plus sécurisés... oui, je sais mais la même promo est faite pour la "parfaite" sécurité de Mozilla Firefox face à Internet Explorer et on a vu ce qu'il en était ! Ce n'est pas le lieu pour une polémique stérile.

Je ne vois pas de problème de la BdR, de "Windows tout entier" à part la réussite commerciale de MS et le succès de la microinformatique depuis 30 ans.

Je ne vois pas comment éviter toute possibilité de mise en danger juste par une meilleure architecture à partir du moment où le système est ouvert au développement par tout acteur économique (les concurrents de MS). Bien sûr qu'on peut loger tout et n'importe quoi, que les pilotes soient à côté des services ou ailleurs.

Bien sûr qu'il est possible de créer un pilote et à partir du moment où c'est un pilote, il sera facile de le charger en mémoire... comme tout pilote !

 

quand on regarde de près la partie HKEY_CLASSES_ROOT, on a du mal à ne pas imaginer diverses infections qui peuvent venir modifier le comportement de la machine
Bien sûr qu'il est facile d'imaginer... même chose pour cambrioler une banque, on peut imaginer et rêver !

La sécurité routière n'est pas basée sur une seule mesure. On ne reproche pas aux voitures d'être en métal, trop solide par rapport à la chair d'un piéton ! On ne reproche pas aux voitures d'avoir des roues qui lui permettent d'avancer vers ces piétons !

De même, la sécurité informatique ne peut pas être de la seule responsabilité de Microsoft et la prétendue faiblesse de la BdR de Windows.

HKCR est conçu pour contenir les associations de fichiers et, à ce titre, de pouvoir lancer des exécutions par un double clic... tu dois considérer les blackhats comme stupides s'ils ne suivent pas ton conseil et vont chercher des méthodes "à coucher dehors". :P

 

la base de registre est un véritable gruyère, sa gestion chez Microsoft laisse totalement à désirer, c'est d'ailleurs le plus gros soucis de ce système d'exploitation, plus le code fermé que les pirates connaissent mieux que les employés de Microsoft
Tu as sans doute raison mais gruyère ou ouverture de la société Microsoft à des employés qui ne sont pas des experts... où est le gros problème ?

 

~~

 

Je ne vois dans tes propos qu'une attaque de Windows et de Microsoft et des américains sur 36 fronts... ce qui ôte tout sérieux à tes propos déjà bien en marge du quizz ! Dommage que tes arguments ne soient pas plus solides ! Pour le moment, les concurrents ne sont pas très crédibles et toi qui veux coiffer leur chapeau, pas plus. :P

Lien vers le commentaire
Partager sur d’autres sites

Je ne vois dans tes propos qu'une attaque de Windows et de Microsoft et des américains sur 36 fronts... ce qui ôte tout sérieux à tes propos déjà bien en marge du quizz ! Dommage que tes arguments ne soient pas plus solides ! Pour le moment, les concurrents ne sont pas très crédibles et toi qui veux coiffer leur chapeau, pas plus. :P

 

 

des arguments !!! 21300 dans le forum sécurité de zebulon !!!

 

regardez bien Grand Maître IPL, dans le forum OS alternatif le nombre de hijackthis ou de combofix

 

il est vrai que quand l'on devient membre MVP de Microsoft, on se demande la valeur de vos propos sur le sujet de Microsoft puisque ces gens là vous ont invité à devenir de simples larbins qui prêche la bonne parole de Windows

 

ce n'est pas la peine de me répondre, je connais déjà votre réponse

 

 

bonne soirée

Modifié par mauricer
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Mauricer,

 

des arguments !!! 21300 dans le forum sécurité de zebulon !!!

 

regardez bien Grand Maître IPL, dans le forum OS alternatif le nombre de hijackthis ou de combofix

HijackThis et Combofix sont des logiciels pour Windows. Leur absence de la rubrique OS alternatifs semble logique (hors émulation ou virtualisation), non ? Drôle d'argument, cette question du nombre de posts, dans un forum de ce type, et ce d'autant plus que ce quizz porte sur la sécurité sous Windows. Tu cherches simplement à détourner le sujet pour y amener une polémique éculée sur les systèmes d'exploitation.

 

Par ailleurs, est-ce en utilisant des formules type "grand maître" qu'on débat efficacement ?

Avance des arguments (oups, des vrais), et sur les questions du quizz, attaque les idées, pas les gens, ton propos gagnera en crédibilité. :P

 

Après, si tu veux débattre des OS à coups de nombre de posts de désinfection, on splitte tout ça vers le J(V)RAD.

Lien vers le commentaire
Partager sur d’autres sites

j'avais posé une question dans un quiz que vous aviez fait

j'ai donné des arguments sur la sécurité de Vista, du compte limité qui permet d'ouvrir quand meme une invite de commande cmd, d'ouvrir regedit et les autres programmes important de Windows, à ce jour personne n'a répondu

 

 

alors, pas la peine de donner des arguments, vous n'y répondez pas

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...