Rootkit Revealer

[Jack_Burton]

Bonjour a tous,

 

Une mise a jour de ce logiciel vient d etre mis en ligne passant de la version 1.6 a la version 1.7.

La version 1.6 n était absolument pas au point avec la détection de faux positifs. Je vous en avais d ailleurs parlé sur la discussion Fausses alertes des logiciels anti-malwares :

Aujourd'hui est sortie une mise a jour pour le logiciel RootkitRevealer de sysinternals! Attention avant la suppression des "fichiers infectés". Il ne fait aucun doute que cette mise a jour (v1.60) ne soit pas au point! Elle m a détecté de multiples Rootkits dans des fichiers tout a fait légitimes!!

J espere que sysinternals va corriger le tir (je ne me fais pas de soucis pour cela icon_wink.gif )!

Comme prévu, cette mise a jour corrige le probleme.

Vous pouvez a présent mettre a jour votre logiciel.

Vous pouvez le télécharger ici

Modifié le 3 février 2006 par Jack_Burton

[Invité tesgaz]

Salut Jack_Burton,

 

merci pour l'info, et hop, sur ma clé USB

[regis56]

Bonjour Jack_Burton et tesgaz !

 

voici mon scan RootkitReveal

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFD95C.tmp 03/02/2006 19:14 32.00 KB Visible in Windows API, but not in MFT or directory index.

 

vous en pensez quoi?

[dingdong]

Bonjour Jack_Burton et tesgaz !

 

voici mon scan RootkitReveal

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFD95C.tmp 03/02/2006 19:14 32.00 KB Visible in Windows API, but not in MFT or directory index.

 

vous en pensez quoi?

 

 

 

Bonjour regis56,

 

selon ma petite et récente expérience, je parierai sur un rootkit en mémoire.

Un reboot devrait le faire disparaitre.

 

Un avis plus autorisé serait préférable

 

bonne soirée

dingdong

[nonoalex]

salut a toi regis 56

j'ai le meme probleme

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\IncomingCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

HKLM\SOFTWARE\Zone Labs\ZoneAlarm\BlockCount 03/02/2006 19:14 4 bytes Data mismatch between Windows API and raw hive data.

 

as tu résolu se problème?si oui pourrais tu me dire la réponse pour l'éliminé

je te remercie d'avance

alex

[mushylex]

Vide

Modifié le 8 juin 2022 par mushylex
Vide

[Sacles]

Bonjour,

 

1/ Google

 

2/ Rechercher RootkitRevealer

 

3/ Le site à trouver est www.sysinternals.com/Utilities/RootkitRevealer.html . Tu cliques donc sur "Traduire cette page" (juste à droite de Sysinternals Freeware - RootkitRevealer) et tu as ta traduction.

 

 

Amicalement.

Modifié le 3 juin 2006 par Sacles

[horus agressor]

Bonjour,

 

Un excellent article sur les rootkits :

Les rootkits

 

Comment les détecter ?

 

...Quelques solutions existent et font leurs preuves.

 

RootKit Revealer

Un autre outil plus connu que les précedents, créé par l'excellent Mark Russinovich, permet également d'afficher les fichiers cachés et les clés de la base de registre. Néanmoins il ne permet de terminer un procesus cacher ou encore de stopper un service caché...

...

...

Initialement créé sous les systèmes unix, leur conception s'en est vu simplifiée grâce au code source libre du noyau. Les rootkits sont dorénavant exportés sous windows et produisent de nombreux soucis.

...

La finalité d'un rootkit est d'obtenir un accès à l'ordinateur (backdoor) en toute transparence vis à vis de l'utilisateur et de masquer l'existence d'autres outils.

...

Globalement ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant...

http://3psilon.info/index.php?pa=320

 

Amicalement.

[Sacles]

Bonjour,

 

Pour la détection des Rookits, il y a aussi BlackLight de F-Secure.

 

Il s'agit toujours d'une version bêta.

 

Amicalement.

[horus agressor]

Salut Sacles,

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

Il utiliserait un algorithme semblable à celui de Blacklight (inclus dans les produits payants de F-Secure).

http://www.open-files.com/forum/index.php?showtopic=29383

 

Mais il est utile de mentionner le plus de références possibles, chacun(e) fera son choix, il y a les allergiques au "gratuit" auxquels ils faut penser de temps à autres.

 

Amicalement.