Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Mini Tuto Process Explorer

Invité tesgaz

Par Invité tesgaz
dans Sécurisation, prévention

 Partager

Messages recommandés

  • 10 mois après...
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour,

...

Il est donc possible qu'un thread se crochette à un processus légitime en cours, que l'on appelle pour l'occasion (un hook) afin d'en modifier son fonctionnement....

, un contrôleur d'intégrité comme Process Guard "full" permet de bloquer les hook (crochetage, voir SSDT), entre autre (ProcessGuard - Process Guard http://assiste.com.free.fr/p/logitheque/processguard.php ).
SSDT :

SSDT ou System Service Descriptor Table est un tableau de descripteur de service situé dans le noyau de système d'exploitation, utilisé par Windows pour diriger des appels du système vers un traitement approprié : table d'adressage des API.

 

"SSDT hooking" Le "crochetage" de la table SSDT en vue de sa modification est une des techniques fréquemment utilisée par les rootkits. En modifiant cette table, ils peuvent réorienter l'exécution vers leur code au lieu du module de traitement (fonction) originellement appelé. Certaines de ces fonctions sont crochetées tant par les rootkits malsains que les antirootkits ... exemples : NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory ...

 

Par voie de conséquence cette table du noyau est l'une des plus contrôlées par les utilitaires de détection des rootkits. Sa restauration en cas de modification non désirée est un "+" qu'offrent seulement les meilleurs anti-rootkits.

http://fr.wikipedia.org/wiki/SSDT

Process Explorer est, à mon avis, un excellent complément à des log comme IceSword, Seem et GMER, entre autre. Et merci pour ton excellent tuto tesgaz :P

 

IceSword : un IDS + : http://www.open-files.com/forum/index.php?showtopic=29383

 

Seem 4.1 : http://www.open-files.com/forum/index.php?showtopic=30793

 

GMER : http://gmer.net/files.php

 

Amicalement.

  • 8 mois après...
nounours26 Mega Power Member

nounours26

Posté(e)
Posté(e)

salutations , mes petits regleages perso : je modifie les parametres d'affichage par le menu VIEW et SELECT COLUMNS , cocher les cases Image Path + Command Line ainsi que Private Bytes + peak Private Bytes . Image Path designe le chemin vers le repertoire source , Command Line la commande a l'origine de l'execution du processus et les 2 autres options designent l'espace alloue au processus et les pics de consommation memoire eventuels . Ceci est le condensé d'un article que j'ai lu l'année derniere

  • 1 an après...
h2b Junior Member

h2b

Posté(e)
Posté(e)
Salut all,

 

 

Dans la série des outils Windows, nous avons le gestionnaire des taches. Presque tout le monde le connait. Il permet de connaître les processus en cours et éventuellement d'arrêter un processus. Pour celui qui ne le connait pas, voici l'article : http://speedweb1.free.fr/frames2.php?page=service2

 

Le décors est planté !

Malheureusement, cet outil est rudimentaire et n'apporte pas toujours la solution à la fermeture d'un processus ou éventuellement la connaissance d'un disfonctionnement

 

 

Il existe un excellent remplacant qui se nomme : Process Explorer que vous trouverez sur le site de Systinternals: http://www.sysinternals.com/Utilities/ProcessExplorer.html

 

3 versions différentes existent en fonction de votre systeme d'exploitation (en fin de page)

ne vous trompez pas en le téléchargeant

 

Dans la suite de ce mini-tuto, je le nommerai "PE" (Process Explorer)

et GdT (Gestionnaire des taches)

Sans entrer dans les détails, je vais essayer de vous donner un aperçu des avantages à utiliser ce programme à la place du gestionnaires des taches de Windows

 

 

Process Exploreur a de nombreuses fonctions qui vont vous permettre d'aller plus loin dans la recherche de processus, de thread ou de fichiers qui infectent votre machine

 

 

Nous allons en voir quelques unes des plus importantes pour mieux connaître votre système et ainsi vous aidez à déterminer la cause d'un disfonctionnement par exemple !

 

 

Ce soft peut s'exécuter à partir d'une clé USB, c'est un exécutable, il n'installe rien sur le système d'exploitation, ce qui en fait un choix de première classe en cas de soucis avec le gestionnaire des taches.

 

A l'ouverture de Process Explorer, vous aurez plusieurs volets et vous constatez qu'il indique les processus en arborescence, ce qui est trés pratique pour voir quel processus dépend de l'autre, etc :

process1.png

 

 

Les plus du soft :

on peut remplacer le gestionnaire des taches (GdT) par Process Explorer. (PE)

Pour cela, il suffit de cocher dans les options : Replace Task Manager

gestion-defaut.png

 

Argument important quand on sait que dans la plupart des cas, certains virus désactivent le Gestionnaire des taches

Compte-tenu que Process Explorer n'a pas le même nom, il aura l'avantage de fonctionner quelque soit la restriction sur le gestionnaire des taches !

Il peut également se placer directement dans le systray ( à droite de la barre des taches) et de ce fait, être toujours à porter de la main

il faut juste cocher l'option Hide When Minimized

 

Grace à Process Explorer, on peut également démarrer une application ou un processus avec la commande "runas"

runas.png

 

 

Bon, maintenant, passons aux choses sérieuses.

Un virus récalcitrant ne se kill (tue) pas facilement avec le gestionnaire des taches, c'est ici que PE devient indispensable

la premiere chose à faire, c'est de voir ce qui tourne derriere un processus

clic droit sur le processus en cours ---> Properties ---> Thread

propriete1.png

 

(Qu'est-ce qu'un Thread ? = un thread est un processus léger, correspondant à l'exécution d'un petit programme, ou d'une routine d'un programme plus gros (le processus parent par exemple)

Il est donc possible qu'un thread se crochette à un processus légitime en cours, que l'on appelle pour l'occasion (un hook) afin d'en modifier son fonctionnement. L'intérêt de PE est qu'il permet de voir tout les Threads et ainsi de pouvoir vérifier la véracité du programme par l'intermédiaire de votre navigateur (un petit coup de google et vous saurez quoi faire)

 

Il est donc possible de connaître un processus par l'intermédiaire de votre navigateur (IE) par défaut s'ouvrira sur Google en cliquant sur le processus

 

recherche-google.png

 

Si dans le processus, le nom d'un thread vous parraît suspect, n'hésitez pas de faire une recherche afin dans connaître le plus possible sur ce fichier avant de le killer (tué)

C'est ici qu'on trouve la superiorité de ce programme face au GdT

 

A propos de Killer, le GdT ne permet pas de killer n'importe quoi, en voici la preuve

mutilation.png

 

Et oui Windows ne veut pas se suicider !! hein :P

 

 

Nous allons faire la même chose avec PE maintenant :

kill-smss.png

 

Allez, on est gentil, on va en tuer un autre de windows pour le plaisir :

mais ce coup là avec la commande Kill process tree (qui permet de killer tout les processus de la hiérarchie)

 

kill-winlogon.png

 

Ce qui a pour effet de nous donner comme résultat, ceci :

constat.png

 

Il ne reste plus grand chose me direz-vous !

Important : (Ne pas faire n'importe quoi ! c'est juste un test pour faire les images)

 

 

biensur, l'objectif n'est pas de killer les processus de Windows, mais, la puissance de ce programme vous permettra de tuer un malware et sa hierarchie sans aucune hésitation, et c'est tout l'intérêt de ce programme

 

 

On peut également faire un rapport complet avec PE pour le faire : ---> File --> Save as

Process	PID	CPU	Description	Company Name
System Idle Process	0	99.01		
Interrupts	n/a		Hardware Interrupts	
DPCs	n/a		Deferred Procedure Calls	
System	4			
 smss.exe	240		Gestionnaire de session Windows NT	Microsoft Corporation
  csrss.exe	340		Client Server Runtime Process	Microsoft Corporation
  winlogon.exe	368		Application d'ouverture de session Windows NT	Microsoft Corporation
services.exe	412		Applications Services et Contrôleur	Microsoft Corporation
 svchost.exe	632		Generic Host Process for Win32 Services	Microsoft Corporation
 svchost.exe	1004		Generic Host Process for Win32 Services	Microsoft Corporation
lsass.exe	424		LSA Shell (Export Version)	Microsoft Corporation
explorer.exe	924		Explorateur Windows	Microsoft Corporation
procexp.exe	1100	0.99	Sysinternals Process Explorer	Sysinternals

Process: winlogon.exe Pid: 368


Name	Description	Company Name	Version

activeds.dll	DLL de la couche de routage AD	Microsoft Corp
.......................... etc ................

 

 

() A savoir,

- il fonctionne en mode sans echec ou en mode normal

- on peut l'utiliser à partir d'un autre support autre que la partition de windows

- il s'ouvre de la même manière que le GdT avec les raccourcis clavier si vous le remplacez par celui-ci

- il est complémentaire à l'excellent programme Autoruns fourni par la même société dont vous trouverez un mini-tuto ici : http://speedweb1.free.fr/forum-tesgaz/view...c.php?p=151#151

 

Bonus games,

 

ce soft a une option de transparence pour les fous de la customisation

transparence.png

 

 

voila, j'ai fait juste un petit tour d'horizon de ce programme, je vous le laisse découvrir et le tester tranquillement chez vous, vous verez par la suite que vous ne pourez plus vous en passer. Un grand nombre d'option supplémentaire est présent sur ce soft, il vous appartient maintenant de les aprivoiser

Seul bémol, ce soft est en anglais

 

() - en cours de rédaction, un sujet complet sur tout les outils que l'on peut remplacer sans aucune hésitation sous Windows, Process Explorer et Autoruns en font parti, ce sujet sera présent dans les articles sur mon site prochainement

 

MERCI beaucoup !http://forum.zebulon.fr/style_emoticons/default/icon_biggrin.gif

  • 5 mois après...
michel_d Junior Member

michel_d

Posté(e)
Posté(e)

bonjour tesgaz et à tous, merci zebulon

 

je redécouvre process-explorer et trouve votre mini-tuto un peu tard il est vrai mais j'espère avoir encore une réponse !

voilà :

1) à plusieurs endroits du tuto il y a < Image IPB > j'ai beau cliquer dessus, je ne vois pas l'image

2) il est également écrit < 3 versions différentes existent en fonction de votre système d'exploitation (en fin de page) >

je ne vois pas, j'ai téléchargé la version v11.33 (qui a les menus en Anglais, dommage) et je suis sous vista, à priori ca marche

merci à tous pour une éventuelle réponse :P

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...