IceSword et Contrôleur d'intégrité, Processus protégés

[horus agressor]

Bonjour,

 

Tesgaz a consacré une page à propos d'IceSword sur Speedweb :

 

IceSword (nouveau logiciel)

http://speedweb1.free.fr/forum-tesgaz/viewtopic.php?t=142

 

...et il fait quelques suggestions excellentes :

 

=> excellent l'idée de mettre IceSword sur une clé USB...Aussitôt dit, aussitôt fait.

 

=> Google est sympa C'est mon ami.

 

=> il me semble qu'il a testé IceSword v. 1.12 ?

 

La version 1.18 est dispo, et il me semble qu'elle intègre deux outilsl de plus , mais peut être me trompe-je :?:

 

http://www.open-files.com/forum/index.php?...92entry459692

 

# A partir de l'USTC ...

-> URL: Ftp://202.38.76.151/pub2/Kernel/Windows/t...ceSword1.18.rar (v1.18 chinese)

-> URL: Ftp://202.38.76.151/pub2/Kernel/Windows/t...Sword1.18en.rar (v1.18 english)

# Divers ...

-> depuis ''megaupload'' ... v1.18 (english) ... Merci à 吴 善韬 ''wushantao''

-> depuis ''rapidshare'' ... v1.18 (english) Merci à ''SpannerITWks'' ...

# Depuis Open-Files ...

-> Image IPBv1.18 (english) Merci à ''Firnus''

-> Image IPBv1.18 (english) Merci à ''Toch''

 

J'ai cela pour la 1.18 :

 

 

=> les boutons sont déplaçables à sa guise, on clique dessus en gardant appuyé, et on déplace les boutons...Eh hop ! C'est regardant la capture de Tesgaz sur SpeedWeb que j'ai capté l'astuce.

 

=> Win32 Services est l'équivalant amélioré de services.msc de Windows, les Services sont accompagnés de leur chemin d'accès complet.

 

Si une ligne rouge est présente...Vous imaginez le pied que c'est de connaître le chemin d'accès exact de la vérole...

 

 

Bon ben voilà, si y'a du nouveau, on le saura

 

Un énorme merci à Jim d'Assiste.Forums pour cet excellent tuyaux

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

Devinez qui c'est

 

Quelques extraits du tuto d'IceSword sur http://www.open-files.com/forum/index.php?showtopic=29383

...Intéressant, et même plus cet outil

 

=> IceSword permet la création de règles pour les processus et les « threads »

 

=> IceSword a la capacité d'interrompre le fonctionnement d'un rootkit

 

=> Fichiers « ordinaires » et utiles ...

 

=> Fichiers « ambigus » mais sains ...

 

=> Rootkit signalé par Microsoft -> WinNT/Ispro.

Règles d'IceSword

[ Process rule ]

IceSword permet la création de règles pour les processus et les « threads ».

Il suffit d'indiquer les références (PID compris) de ce qui doit être autorisé ou, au contraire, interdit.

Détection des fichiers douteux.

 

Pour détecter les traces d'un processus douteux, consultez en priorité ...

 

* [ Process ]

* [ Win32 services ]

Si des programmes exécutables ou des services sont cachés, ils seront affichés en [ rouge ].

 

/!\ Attention /!\ ... Tous les fichiers cachés et toutes les intrusions dans le « noyau » du système ne sont pas le fait de rootkits malfaisants. Certains logiciels « sains » peuvent être amenés à utiliser le « noyau » ou à cacher des fichiers pour plus d'efficacité.

Utilisez Google (ex. Google: hxdef100.exe) ou autre moteur de recherche pour trouver des explications sur les fichiers douteux afin d'agir en toute connaissance de cause.

Vous pouvez également consulter des sites qui vous renseignent sur les processus et services comme Processus Windows, WinTasks Process Library ou Task List Programs.

Neutralisation des fichiers malsains.

 

IceSword a la capacité d'interrompre le fonctionnement d'un rootkit ... « clic droit » sur le fichier malsain ...

Liste non exhaustive des services et processus qui ont suscité des interrogations ou des observations.

Fichiers « ordinaires » et utiles ...

 

* Processus génériques de Windows très courants ...

o C:\WINDOWS\explorer.exe

o C:\WINDOWS\system32\lsass.exe

o C:\WINDOWS\system32\services.exe

o C:\WINDOWS\System32\smss.exe

o C:\WINDOWS\system32\spoolsv.exe

o C:\WINDOWS\System32\svchost.exe

o C:\WINDOWS\system32\winlogon.exe

o C:\Program Files\Messenger\msmsgs.exe ...

* CascSvc.exe ... service NT, il est copié dans le répertoire système pour y être exécuté comme service.

* csrss.exe (Client/Server Runtime Subsystem) ... processus système critique de Windows NT/2000/XP – gestion des fenêtres et des éléments graphiques de Windows – ne peut être arrêté.

* nvsvc32.exe ... processus du pilote de la carte graphique Nvidia.

* wdfmgr.exe ... service de Windows Media Player 10 (Windows User Mode Driver Framework)

 

Ils ne doivent pas apparaître en rouge car ils ne sont pas réputés « douteux ».

Lorsque IceSword les signale en rouge dans [ Log Process / Thread creation ], on peut craindre un dysfonctionnement ou à la présence d'un « malware » qui porte le même nom. (Voir, entre autres, une base de données de processus).

Fichiers « ambigus » mais sains ...

 

* a347bus.sys ... service de alcohol120%

* bfcdi.sys ... service du firewall Jetico

* d346bus.sys ... service de Daemon Tools qui crée les ''CD/DVD Drives'' virtuels

* klif.sys & kl1.sys... services de KAV ... Kaspersky AntiVirus "klif.sys" ... kl1.sys

* fwdrv.sys ... service du firewall Kerio

* pxfsf.sys ... service de PrevX (Prevx Home Intrusion Prevention)

* savedump.exe ... processus de NT memory dump

* ssmypics.scr ... Microsoft "slide show" screen saver

* vsdatant.sys ... ''TrueVector Device Driver'' de Zone Alarm

 

On les trouve le plus souvent (mais pas toujours) dans le module [ SSDT ] où sont signalés les services qui accèdent au tableau utilisé par Windows pour diriger des appels de système vers un traitement approprié.

Ils ne sont inquiétants que si vous n'avez pas le logiciel correspondant

Rootkits malsains (une toute petite liste) ...

Les éditeurs de logiciels de sécurité baptisent les rootkits (comme les virus) suivant leurs convenances particulières. Un même rootkit peut donc avoir plusieurs noms.

 

* « abhcop.sys » & « hcalway.sys » ( c:\Windows\System32\drivers\... ) ... service du rootkit Adware.PigSearch

* « hxdef100.exe » ... processus du rootkit Hacker Defender

* « hpdriver.sys » ( c:\windows\system32\... ) ... service d'une variante du rootkit Troj/Rootkit-AA

* « msdirectx.sys » ( c:\documents and settings\profilename\local settings\temp pour windows 2000/xp. ) ( c:\windows\prefetch )

o ... & « msnt.exe » ( c:\windows\system32 ) ou « fu.exe » (démarrage) / « coolbot.exe » / « winsys.exe »

o ... processus et services du Rootkit - msnt.exe & msdirectx.sys / NtRootKit-F / TROJ_ROOTKIT.H / Rootkit.Win32.Agent.h

o ... clé Registre connue ... HKLM\system\currentcontrolset\enum\root\legacy_msdirectx

* « pe386.sys » ( %WINDIR%\TEMP\ - c:\windows\System32:18467 ) Image IPB

o ... ''SYSENTER'' variante de Backdoor Rustock

o ... peut établir des connexions en tant que processus ''services.exe''

o ... peut céer un fichier ''bot.log'' à la racine du disque système

o ... clés Registre connues ... HKLM\System\ControlSet001\Services\pe386 / HKLM\System\CurrentControlSet\Services\pe386

* « remon.sys » ( c:\windows\system32 ) / « pex.sys » ... services du rootkit/trojan FU Rootkit / Troj/RKFu-A / Hacktool.rootkit

* « rdriv.sys » ( c:\windows\system32 )... service du rootkit/trojan Troj/Rootkit-W / TROJ_ROOTKIT.E (Trojan.Cachecachekit - Rootkit.Win32.Agent.p)

* « root.exe » ( c:\winnt\rewt ) ... processus du rootkit « open-source » AFX Rootkit 2005

* « vanquish.exe » ( c:\windows\system32\%systemroot%\system32 ) (c:\vanquish.log) ... processus du rootkit Vanquish (Vanquish Autoloader)

* « winik.sys » ( c:\windows\system32\drivers\winik.sys ) ... driver du rootkit/trojan win32.agent.q (également présent dans les clés ''Legacy'' du Registre.)

* « WRMSRVICE.SYS » ( c:\windows\system32 )... service du rootkit/trojan TROJ_ROOTKIT.AG

* « Zcjflmoj.sys » ( c:\windows\system32 ) ... service du rootkit/trojan Troj/Bckdr-GPJ

* « zykheptd.sys » ( c:\windows\system32 ) ... service du rootkit/trojan Hesive.B

Rootkit signalé par Microsoft -> WinNT/Ispro.

 

Le rootkits les plus communs comme ''Hacker Defender'', ''Fu Rootkit'' ... peuvent cacher des chevaux de Troie séparés comme W32/Rbot-ACD, WORM_SDBOT.COW etc.--http://www.open-files.com/forum/index.php?showtopic=29383

 

Exemple d'un ensemble complexe rootkit/logiciel de DRM nocif (DRM ''XCP'' de ''Sony'') ...

CITATION

XCP DRM Software (« Rootkit.XCP »)

Ce logiciel de DRM installe deux services qui sont lancés automatiquement au démarrage du système.

-- HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy

-- HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer

 

Il installe également cinq drivers ...

-- HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries

-- HKLM\SYSTEM\CurrentControlSet\Services\$sys$cor

-- HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater

-- HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT

-- HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM

Le premier driver cache la présence du logiciel de DRM. Les autres drivers agissent comme des filtres et pilotent l'unité de CD pour protéger les droits d'auteur.

 

Les fichiers du logiciel sont installés dans le répertoire ''C:\Windows\System32\$sys$filesystem'' qui est caché mais demeure accessible quand le chemin complet est connu ..

-- $sys$DRMServer.exe

-- $sys$parking

-- aries.sys

-- crater.sys

-- DbgHelp.dll

-- lim.sys

-- oct.sys

-- Unicows.dll

Les fichiers complémentaires qu'il installe sont ...

-- C:\windows\CDProxyServ.exe

-- C:\windows\DbgHelp.dll

-- C:\windows\system32\$sys$caj.dll

-- C:\windows\system32\$sys$upgtool.exe

-- C:\windows\system32\AXPSupport.dll

-- C:\windows\system32\ECDPlayerControl.ocx

-- C:\windows\system32\InstallContinue.exe

-- C:\windows\system32\driver\$sys$cor.sys

-- C:\windows\system32\TMPX\APIX.vxd

-- C:\windows\system32\TMPX\ASPIENUM.vxd

-- C:\windows\system32\TMPX\WNASPI.dll

-- C:\windows\system32\TMPX\WNASPI32.dll

-- C:\windows\system32\Unicows.dll

http://www.open-files.com/forum/index.php?showtopic=29383

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

C'est re-moi

 

Voilà comment j'ai finalisé IceSword dans ma configuration :

*Configuration sécurité

Pare-feu + version

( Outpost free , un mini tuto )

 

=> Infos parfeu : Introduction à la notion de firewall + sur Assiste et sur Zébulon

 

allié à ProcessGuard v3.150 Full , lire ceci et cela et encore cette rubrique d'Assiste dédiée aux contrôleurs d'intégrité...

Pourquoi en ai-je besoin ?

Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple:

* Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.

* Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

* Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.

* Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.

* Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.

ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.

http://assiste.free.fr/p/internet_utilitai...rocessguard.php

et à Ice Sword , permet de terminer des processus cachés + détection, d'informations système (gratuit) , infos sur Assiste et sur Zebulon

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

 

Fichiers C:\Windows\system32 à bloquer via le parefeu :

cmd.ex cmdl32.ex drwtsn32.exe net.exe net1.exe nbtstat.exe netdde.exe netsh.exe netstat.exe nwscript.exe pathping.exe ping.exe proxycfg.exe gappsrv.exe rasdial.exe rcp.exe rsh.exe sessmgr.exe shadow.exe shutdown.exe smss.exe systeminfo.exe telnet.exe

 

Amicalement.

Modifié le 11 juin 2006 par horus agressor

[horus agressor]

Bonjour,

 

Un coup de pouce de Vazkor d'Assiste.Forums :

Fichiers C:\Windows\system32 à bloquer via le parefeu :

Pour Windows XP SP2 : cmd.exe cmdl32.exe drwtsn32.exe net.exe net1.exe nbtstat.exe netdde.exe netsh.exe netstat.exe nwscript.exe pathping.exe ping.exe proxycfg.exe gappsrv.exe rasdial.exe rcp.exe rsh.exe sessmgr.exe shadow.exe shutdown.exe smss.exe systeminfo.exe telnet.exe

A propos de ces fichiers que tu conseilles de bloquer par le pare-feu, je dirais que certains doivent seulement être surveillés (choisir Demander dans un premier temps au lieu de Bloquer).

C'est le cas par exemple de la commande Ping, qui peut être utile à certains et être utilisée par des programmes comme Sam Spade.

Il sera toujours temps de les bloquer après une période d'essai si on se rend compte qu'on en a jamais ou très rarement besoin.

http://assiste.forum.free.fr/viewtopic.php?p=75278#75278 re-re Vazkor

Code :

cmd.exe Interpréteur de commandes Windows NT

cmdl32.exe Téléchargement automatique de Microsoft Connection Manager

drwtsn32.exe Débogueur Postmortem Dr Watson (à traiter)

nbtstat.exe Informations sur TCP/IP NetBios

net.exe Net Command

net1.exe Net Command

netdde.exe DDE Réseau - Communication DDE

netsh.exe Invite de commandes réseau

netstat.exe Commande TCP/IP Netstat

nwscript.exe Utilitaire de script de connexion NetWare

pathping.exe Commande PathPing TCP/IP

ping.exe Commande TCP/IP Ping

rasdial.exe Interface utilisateur en ligne de commande pour le client d'accès distant

rcp.exe Commande de copie à distance TCP/IP

rsh.exe Commande TCP/IP shell distant

smss.exe Windows NT Session Manager

telnet.exe Client Telnet Microsoft

http://assiste.forum.free.fr/viewtopic.php?p=75278#75278 re à Vazkor

ATTENTION !

Précision utile pour les utilisateurs de Windows 2000 Pro,

Fichiers C:\WINNT\system32 à bloquer par le pare-feu : ceux cités par Horus Agressor SAUF:

proxycfg.exe gappsrv.exe sessmgr.exe shadow.exe shutdown.exe systeminfo.exe qui n'existent pas sous Windows 2000.

Tous les autres existent en deux exemplaires: un dans system32 avec une copie de sécurité dans system32\dllcache.

http://assiste.forum.free.fr/viewtopic.php?p=75256#75256 Vazkor.

=> Utiliser votre ami Google pour connaître les tenants et les aboutissants de ces *.exe du dossier system32...

 

Amicalement.

[horus agressor]

Ce post fait "triplon"...Mais je le trouve suffisant instructif

 

Sujet sur Antivirus et Firewall, Un test d'extermination révélateur

http://forum.zebulon.fr/index.php?showtopic=66234&st=0

Bonjour,

 

Je viens d'essayer

ADVANCED PROCESS TERMINATION sur ce site :

http://www.diamondcs.com.au/index.php?page=apt

http://forum.zebulon.fr/index.php?showtopic=66234

.

 

Sans mon Process Guard Full, ma config ne résiste à aucuns des Kill...

 

Avec mon PG Full, je passe tout les Kill sans soucis, sauf le Kill 7 et 8, PG n'arrive pas à protéger mon Outpost free qui, pourtant me semble configuré correctement :

 

 

Je ne sais pas si c'est PG qui ne tient pas la route ou Outpost free

 

Je suis prêt à changer de parefeu si besoin...En stock, j'ai :

 

- Zone Alarme free, mais paraît qu'il est pas terrible pour les tests de pénétration...

 

- Jetico, mais il ne me convient pas, trop prise de tête à configurer...

 

- Kerio...Je ne sais pas du tout ce qu'il vaut ?

 

Merci de votre aide.

 

Cordialement.

 

EDIT : aujourd'hui à 06h47 Message #46

http://forum.zebulon.fr/index.php?act=ST&f=52&t=66717&st=45# la honte...

 

Amicalement.

 

=> EDIT : soucis résolu, mauvaise configuration de Process Guard de ma part et confusion dans mes choix...

Modifié le 16 juin 2006 par horus agressor

[horus agressor]

Bonjour,

J'ai désactivé et bloqué les modifications via le Gestionnaire des tâches Windows (Ctrl+Alt+Del simultanément), Services (services.msc) et l'Utilitaire de configuration système (msconfig) via Process Guard :

 

 

...et j'en ai confié la gestion à IceSword v.1.18, en l'autorisant via Process Guard :

 

 

Dans IceSword :

[ File ] ... [ Settings ]

En standard, l'option [ Don't display ''Deleting'' state process ] est activée. En la désactivant on obtient un liste de [ Process ] plus étoffée où figurent des processus signalés en rouge : exemples ...

 

* ''ssmypics.scr'' - Microsoft "slide show" screen saver - dont l'utilité est incertaine,

* ''savedump.exe'' - processus de NT memory dump – qui écrit automatiquement l’ensemble de la mémoire dans le ''pagefile.sys'' lors d'un crash BSOD. Au reboot, Windows copie l’ensemble du ''pagefile.sys'' dans le ''memory.dmp''. Certains le considèrent comme important pour la stabilité du système et qu'il ne doit donc pas être supprimé. D'autres pensent au contraire qu'il n'est pas essentiel et peut être neutralisé pour booster le système.

http://www.open-files.com/forum/index.php?showtopic=29383

Capture :

http://img357.imageshack.us/my.php?image=issettings2ha.jpg

Amicalement.

[horus agressor]

Bonjour,

 

J'ai édité mon post

Écrit lundi 12 juin 2006 à 08h04

 

=> EDIT : soucis résolu, mauvaise configuration de Process Guard de ma part et confusion dans mes choix...

 

Amicalement.

Modifié le 16 juin 2006 par horus agressor

[horus agressor]

Bonjour,

 

Un excellent article sur les rootkits :

Les rootkits

 

Comment les détecter ?

 

...Quelques solutions existent et font leurs preuves.

 

IceSword

Cet outil s'exécute en mode utilisateur (user mode) et permet de lister des informations directement dans le noyau. Les méthodes de programmation utilisées sont complexes et octroit au programmeur un grand mérite, sachant que les documentations kernel windows n'existe pas ou très peu.

 

...

Initialement créé sous les systèmes unix, leur conception s'en est vu simplifiée grâce au code source libre du noyau. Les rootkits sont dorénavant exportés sous windows et produisent de nombreux soucis.

...

La finalité d'un rootkit est d'obtenir un accès à l'ordinateur (backdoor) en toute transparence vis à vis de l'utilisateur et de masquer l'existence d'autres outils.

...

Globalement ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant...

http://3psilon.info/index.php?pa=320

 

Amicalement.

[horus agressor]

Bonjour,

 

L'auteur d'IceSword parle des rootkits (en anglais) :

 

IceSword Author Speaks Out On 'Rootkits'

http://itmanagement.earthweb.com/columns/e...cle.php/3512621

(traducteur : Babel Fish Traduction http://www.babelfish.altavista.com/ )

 

=> voir aussi : Assiste.Forums Index du Forum -> Contrôleurs d'intégrité

http://assiste.forum.free.fr/viewforum.php?f=110

et

Assiste.Forums Index du Forum -> RootKit

http://assiste.forum.free.fr/viewforum.php?f=102

 

Amicalement.

[horus agressor]

Bonjour,

 

J'ai essayé DarkSpy : > Darkspy - IDS et Sophos Anti-Rootkit, Le front antirootkit... http://forum.zebulon.fr/index.php?showtopic=102383

 

Un trojan peut dégommer parefeu et antivirus...Un contrôleur d'intégrité permet de se protéger...Le Gestionnaire des Tâches Windows n'affiche pas tout...IceSword affiche aussi des processus cachés...ça peut être utile...pour quelqu'un qui se préoccupe de ce qui tourne sur son PC en tout cas...utile pour certaines véroles qu'un rapport HijackThis ne montre pas par exemple...

 

A mon humble avis, IceSword pose facile (désolé d'être aussi affirmatif, je me base sur aucunes références "scientifiques", mais sur mon intuition et sur mon esprit critique...) des log comme Rootkit Revealer ou celui de Sophos qui se basent sur une base de données (si j'ai bien compris), alors qu'un log comme IceSword affiche tout ce que le PC a comme processus dans le ventre :

...gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés

http://www.open-files.com/forum/index.php?...mp;#entry459692

C'est un simple programme qui utilise un service en kernel mode (mode noyau) (''IsPubDrv.sys''). Il peut être considéré comme un gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés.

 

IceSword affiche les processus, les services, les ports ouverts ou en attente, les modules qui fonctionnent en mode noyau, les entrées du SSDT (tableau du descripteur de services du système), les plugins BHO, les messages de « crochetage ». C'est aussi un petit outil pour lister les clefs du Registre de Windows (« regedit ») et les disques et dossiers du PC (« explorer »).

 

IceSword se base sur les APIs originales et non modifiées de ''advapi32.dll''. Si un rootkit cache son service du Windows Service Controller (''services.exe'') par « crochetage » d'APIs spécifiques (EnumServiceStatus, EnumServiceGroup etc..), IceSword détecte la différence et la considère suspecte.

 

Cet outil est facile à employer et n'exige pas de connaissances avancées.

http://www.open-files.com/forum/index.php?...mp;#entry459692

...considéré « difficile à contourner » par « Hacker Defender

http://www.open-files.com/forum/index.php?...mp;#entry459692

 

...et vu ce que IceSword bouffe comme ressource : http://img220.imageshack.us/my.php?image=s...re1copiehj3.png

 

Amicalement.