Projet de Developpement "Sécurité"

[ipl_001]

Bonsoir à tous,

 

Voici une discussion sur laquelle nous avons eu de grosses difficultés malgré la grosse artillerie -> "Log de HijackThis & abreula.dll" - http://forum.zebulon.fr/index.php?showtopic=65491

 

Egalement, un programme semblable à HijackThis (c'est à dire un logiciel qui liste les clés stratégiques de la bese de registres) -> http://www.silentrunners.org/ (ce que je vois d'intéressant en lui, est qu'il fouille dans des clés toutes spéciales !)

[sebdraluorg]

re as tous,

 

Je partage assez ton point de vue Tesgaz

sur le fait d'etablir une strategie de restriction c'est un des points primordial.

 

Mais je pense qu'une surveillance residente reste quand meme indispensable

 

Sinon voici encore une discusion qui rejoint celle-ci:

http://forum.zebulon.fr/index.php?showtopic=63369&st=0

ce serait bien de continuer a etablir la liste....

 

Sinon au niveau programation j'ai ete me promener chez Krosoft

vla ce qui m'a semble interessant:

http://msdn.microsoft.com/library/default....isual_basic.asp

http://msdn.microsoft.com/library/default....e_functions.asp

http://msdn.microsoft.com/library/default....y_functions.asp

http://msdn.microsoft.com/library/default....enumeration.asp

 

 

Sinon reste encore une question qui me semble avoir son importance

A quel(s) version(s) de Windows sera destine cette application ?

Pcq a voir les derniers stats de Zebulon sur le pourcentage des differentes versions utilisees

ne serait il pas preferable de se limiter a XP (82%) - voir XP et 2000 ?

 

@+

[hexanium]

Salut,

 

Bien au vu de ces posts il remonte plusieurs questions:

 

 

- Qu'allons nous faire ? De prévention ? de la surveillance ? Les 2 ???

Les Clefs, les process ? les 2 ? autre ?

Qui (s) est pret a définir ?

 

-Un projet de cet ordre est t'il pretinant ? Cela vaut 'il le coup de ce lancer la dedans ? durée de vie, etc...( Cf: LongHorn & co.) ?

 

- Un projet ce cet ordre est 'il réalisable ?

 

- Avons nous les ressources suffisante ? (Personnes, connaissances, technique, hebergement, etc...)

 

- Qui pourra fera le support du soft ?

 

 

De toute facons, réalisable ou pas, se pencher sur le probleme fait tjrs avancer la science, donc je pense que les reflexions sur ce sujet ne sont pas une perte de temps meme si le projet est iréealisable.

 

Pour ce qui est de la défnition je ne possede pas assez de culture "sécurité".

Je peux peut etre ajouter ma valeur dans le codage... à vous de décider de démarrer ou non ce projet.

 

Si oui il va falloir:

Mettre en place une liste de diffusion, une newsgroups, etc... et ce genre d'outils pratique a la mise en place de projet...

 

La question assez importante dans le cas ou le projet est lancé est:

Qui est pret à manager ?

 

 

J'edite ce post, sebdraluorg à posté pendant que je rédigeais...

J'avais pas vu ces mesages, tres intéraissant le listing des clefs, je ne les connaissais pas toutes. Cela ajoute une question:

 

-Qui est pret à maintenir à jour un listing en ligne de ce genre d'information, il faut que le maintient soit centralisé et versionné pour plus de clareté. Cela poserais une bonne base pour un développement. (pour commencer un soft de surveillance par exemple...)

 

-Coté OS je pense effectivement qu'il faille se limité déja à du XP/2000 puis anticipé la prochaine... Qu'ne penssez vous ?

 

-Coté techno je vois beaucoup de script en vbs, perso je ne suis pas vraiement pour les applis VB pour les perf et pour le deploiement... Je conseillerais naturellement du C++ ou du Delphi ou mixer les technos. coté Asm x86 j'ai quelques restes, c'est comme le velo....Qu'en penssez vous ?

 

 

Hexanium

Modifié le 1 mai 2005 par hexanium

[sebdraluorg]

-Coté techno je vois beaucoup de script en vbs, perso je ne suis pas vraiement pour les applis VB pour les perf et pour le deploiement... Je conseillerais naturellement du C++ ou du Delphi ou mixer les technos. coté Asm x86 j'ai quelques restes, c'est comme le velo....Qu'en penssez vous ?

Yep c'est pcq je n'ai jamais utilise que VB mais il est clair que pour de la prog systeme c po le top donc je serai po d'un grand secours au niveau programation...

[ipl_001]

Rebonsoir à tous,

...

Sinon voici encore une discusion qui rejoint celle-ci:

http://forum.zebulon.fr/index.php?showtopic=63369&st=0

ce serait bien de continuer a etablir la liste....

Comment se fait-il que cette discussion soit dans JRAD ? Comme si ça ne valait pas un clou !!!

[sebdraluorg]

Salut,

 

Comment se fait-il que cette discussion soit dans JRAD ? Comme si ça ne valait pas un clou !!!

lol bin en fait le forum Securite n'existait pas encore et programation n'etait pas vraiment sa place non plus donc je savais pas trop ou poster

[Invité tesgaz]

Salut à tous,

 

pour faire avancé le schmilblick,

 

j'ai à disposition, un pc de test pour XP ou/et 2000, à voir en fonction de l'objectif

je suis prêt à donner un coup de main pour répertorier les clés et ou les dossiers/fichiers, etc..

en fonction de l'objectif du logiciel

je peux donner environ 2 heures par jour pour que le projet devienne réalité.

Vous pouvez compter sur moi pour vous aidez

 

() je n'ai pas de compétence en programmation, mais je pense que le programme en C++ serait de meilleure qualité

 

 

voilà, à suivre,

messieurs/dames les membres, nous avons besoins de vos compétences personnelles,

 

développeurs, graphistes, correcteurs de bugs, ortographiques, visionnaires, interprètes, etc, n'hésitez pas venez nous rejoindre pour une belle aventure.

 

En un mot, quelque soit vos compétences, vous pouvez participer à ce projet..

 

bien à vous..

[O.Fournier]

J'ai tout lu le "projet" dans ... trois posts au moins ! J'ai encore rien dit, euh ...

 

Mais vite en passant parce que l'ami Tesgaz n'est jamais à court d'enthousiasme !

 

messieurs/dames les membres, nous avons besoins de vos compétences personnelles,

 

développeurs, graphistes, correcteurs de bugs, ortographiques, visionnaires, interprètes, etc, n'hésitez pas venez nous rejoindre pour une belle aventure.

 

O.K. pour "correcteur orthogaphique" et "visionnaire" ...

 

T'as oublié : "simplificateur" et aussi un porte-parole des "newbies la cata" (tu sais ceux -et celles- qui se chopent tout ce qui traîne dés qu'ils se connectent).

 

Dés que j'ai quelquechose de plus intelligent à apporter, je l'ouvrirai ...

[hexanium]

Salut,

 

Bien, j'avais une petite heure devant moi, j'ai commené à regarder déja les possibilités techniques de surveillance des ressources.

J'ai commencé donc par le registre, je voudrais commencer par le commencement et étudier un peu cette fameuse API "RegNotifyChangeKeyValue" dont j'entend parlé partout.

 

Un petit tour sur le SDK:

 

Ce n'est pas super clair, j'ai donc monté une petite implémentation, c'est juste une petite base d'étude qui met juste en évidence le fonctionnement de cette fonction. J'ai codé ca en quelques minutes, et fait 2, 3 essais.

 

Avec cette fonction on récupere bien les modifications de la clef spécifié, mais je n'est pas assez poussez pour avoir une vrai description de la nature de la modification de la clef,qui est l'emetteur, etc... et j'ai quelques soucis pour ouvrir certaines clefs

 

le source et l'exe sont ici:

http://www.hexanium.com/zebulon/tools/checkregkey.zip

 

Il serait intéraissant de savoir si cette API est seine pour effectuer la surveillence de nos clefs...

 

Je vais essayer de la "bouriner" un peu, si vous voulez en faire de meme hesitez pas.. voir ce qu'elle a dans le ventre...

 

Cette API permet simplement la notification du changement, elle ne peut en interdire l'execution (à ma connaissance...) vous validez ?

 

Il faudrais des informations concernant les moyens techniques disponiblent sur l'interception et authorisation de ces modification du registre...

Je vais pousser mes recherches mais si vous avez des info, hesitez pas à me les faire parvenir.

 

Sur windows pour espionner les ressources il existe un moyen, c d'intercepter les messages windows WM_... car avec cette methode je crois qu'il est possible de faire que le message n'arrive pas à destination. un véritable "shunt" (suis pas sûr à 100% à vérifier) validez vous déja ces affirmations ? et savez vous si il est possible d'intercepter les messages de gestion du registre ? et de gestion des processus ?

 

Hexanium

Modifié le 2 mai 2005 par hexanium

[sebdraluorg]

Salut,

 

Bah y en a qui choment po lol

 

sinon je pense que le moyen le plus simple de determner la modification effectue est de faire un tracages de la cle et des ses sous cles et valeurs a l'instalation ou premiere execution et de faire une comparaison lors de la notification...

 

EDIT:

 

pcq FormatMessage ne renvoi que erro succes si la cle a ete modifies il me semble

Modifié le 2 mai 2005 par sebdraluorg