Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

IceSword et Contrôleur d'intégrité, Processus protégés

horus agressor

Par horus agressor
dans Sécurisation, prévention

 Partager

Messages recommandés

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Voilà l'avenir je pense, ce qui justifie un bon anti-rootkit et un contrôleur d'intégrité :P

Jusqu'ici, les virus utilisaient majoritairement les failles d'un système d'exploitation ou d'un logiciel. Une nouvelle famille de virus, découverte par Symantec, se base, elle, sur une faille des processeurs AMD.

 

http://www.generation-nt.com/actualites/18...vices-symantec/

 

Leur mode de fonctionnement est assez simple : se présentant sous la forme d'un exécutable, ils contiennent du code permettant d'effectuer des opérations directement par le processeur sans qu'elles n'aient à être demandées par le système d'exploitation, se comportant alors comme une sorte de rootkit, à l'action quasi-invisible aux yeux de l'utilisateur et du système d'exploitation. Le dernier virus en date utilisant cette technique est Chernobyl qui avait en 1998 corrompu le BIOS de millions d'ordinateurs dans le monde....

Il y a aussi cet article : Découverte d'un nouveau type de rootkit http://www.pcinpact.com/actu/news/30107-De...ootkit.htm?vc=1

 

Amicalement.

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Un petit rappel...Faber Toys, je me disais qu'il pouvait jouer son rôle pour celles et ceux qui seraient intéressés à en savoir plus sur ce que leur Windows à dans le ventre. Et il me semble qu'il a son rôle à jouer avec un log comme IceSword ou DarkSpy, mais aussi avec un contrôleur d'intégrité comme Process Guard (et d'autres) ou tout log qui montre les processus, cachés ou non, douteux ou pas, sains ou faisant partie d'une vérole.

 

Faber Toys peut s'installer en français, mais impossible de mettre la main sur une aide en français...

 

Cité dans l'excellent article de tesgaz :

Le Gestionnaire des Tâches :

...

Pour en savoir plus à propos des processus ouverts sur votre PC, et ainsi connaître exactement quels dll ou programmes utilisent le processus, il existe un logiciel sympa : FaberToys. Il fait cela très bien et de plus, il est en Français et Freeware.

http://www.zebulon.fr/articles/gestionnaire_taches.php

ScreenShot

http://www.faberbox.com/fabertoys.asp?action=screenshot

 

Faber Toys - Version 2.6 Build 52

http://www.faberbox.com/fabertoys.asp?action=download

 

faber toys pas d'aide en francais

http://forum.zebulon.fr/lofiversion/index.php/t51967.html

 

Traduction (approximative, avec quelques corrections perso, style "presse-papier" au lieu de "manchette...", AltaVista BabelFish) de quelques extraits de la description de Faber Toys (Features :

http://www.faberbox.com/fabertoys.asp?action=features ) :

Dépendances

* Liste de tous les processus courants

* La liste de tous les modules a chargé par un processus

* Pour chaque processus sont montrés la ligne de commande, PID, la mémoire, nombre de fils, priorité, version, description, processus de parent

* Pour chaque module sont montrés la date, taille, statut d'ActiveX, version, description Possibilité de

* Exportation dans le format de XHTML, de HTML ou de TXT l'information liée à tous les modules d'un processus

* Changez la priorité d'un processus

* Tuez un processus (manière douce - fermeture les fenêtres - ou manière dure)

* liste de processus d'Autorefresh avec l'intervalle fait sur commande

* Les services de point culminant (NT seulement)

* montrez les propriétés

* Montrez l'information profonde (voir la section 'examiner dossier ')

* chemin de dossiers choisi par copy (normale ou DOS 8.3) dans le presse-papier

* Le copy classe dans le presse-papier ou directement dans un dossier

* Chemin de copy de tous les processus dans le presse-papier

* Ouvrez l'annuaire où le dossier est localisé

 

AutoRun

* Montrez les détails (icône, plein chemin, description, si courir, modifié date) de chaque programme lancé au démarrage de système Possibilité de

* Montrez Les Propriétés

* Des articles supprimez/restauration

* Allez à la clef d'enregistrement ou à l'annuaire spécifique de démarrage

* Exécutez l'article choisi

* Si courant, choisissez le processus relatif dans la fenêtre de dépendances

 

Examinez Dossier/Détails

* Information simple (statut de date, de taille, d'ActiveX, version, description)

* analyse de PE

* Information D'Image

* Sections

* La fonction a exporté (décoré/undecorated)

* les modules importés

* Fonction importée par d'autres modules

* Histoire des dossiers récents Possibilité de

* Montrez Les Propriétés

* Exportation dans le format de XHTML, de HTML ou de TXT les informations

* Recherche de fonction spécifique

 

Noms d'emprunt (alias) De Programme

* Énumérez tout le système dit avec l'icône relative, chemin, description, annuaire de fonctionnement, modifié date

* Les alias faux sont montrés en rouge

* Les alias inutilisés sont montrés en grisé

Possibilité de :

* Montrez Les Propriétés

* Éditez, supprimez, ajoutez nouveau alias

* lancer le nouvel alias

 

Explorateur Windows

* Hiérarchiquement vue de toutes les fenêtres existantes Possibilité de

* Filtre pour montrer seulement les fenêtres évidentes

* Lu/éditez les propriétés (hWnd, classe, texte, évidents, statut permis, de position, de WindowState, d'icône, d'Unicode)

* fermer fenêtres

Vos remarques et autres commentaires sont les bienvenus :P

 

Amicalement.

  • 4 mois après...
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Version 1.20 d'IceSword disponible ici :

 

IceSword 1.20 English Version

 

http://mail2.ustc.edu.cn/~jfpan/

 

Impossible de mettre la main sur les "améliorations" apportées à cette nouvelle version :P Ne pas oublier d'autoriser IceSword à installer "Drivers/Services" dans Process Guard full.

 

Vu que ce post est assez touffu, j'en profite pour signaler la sortie de l'excellent, lui aussi, Seemv4.1b.fr (en français !). La v4.2 est en gestation. Plus d'infos dans Seem 4.1, nouvelle version...v4.2 en gestation, Antirootkit et plus encore http://forum.zebulon.fr/index.php?showtopic=113728

 

Amicalement.

  • 3 mois après...
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Des nouvelles du développeur ? Le log répond-t-il toujours à la détection des nouvelles menaces ? ça fait un bail qu'il n'y a pas eu de màj, et cela me semble quelque peu inquiétant vu l'évolution des menaces...

 

Amicalement.

nicM Mega Power Member

nicM

Posté(e)
Posté(e)

Bonjour horrus agressor,

 

Le programme est certes un peu dépassé sur certains points (détection services, drivers, en particulier), mais il reste excellent -le meilleur je pense- quant à la détection dans le registre, et excellent dans la détection des fichiers cachés. Sans parler de sa fonction très pratique de copie de fichiers.

 

Personnellement je l'utilise comme complément aux autres outils disponibles, et dans cette optique, aucun problème d'adaptation aux menaces les plus récentes, il suffit d'utiliser le bon outil pour chaque type de fonctions :P .

 

Au passage, la version 1.20 est toujours la dernière en date, au regard du blog de l'auteur du programme (blog auquel je ne comprends pas un traître mot cela dit, lol).

 

nicM

nicM Mega Power Member

nicM

Posté(e)
Posté(e) (modifié)

Juste en passant (je me répète lourdement :P ),

 

2) On autorise IceSword (ou un autre "tueur de processus" externe) à tuer les processus à la place du Gestionnaire des taches en lui donnant l'autorisation via PG

 

sanstitre1copie1qt.png

 

Dans le cas d'IceSword, c'est inutile :P , vérifie par toi même.

 

:P

Modifié par nicM
Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e)

Bonjour NickM

Tu veux dire que meme interdit par PG Icesword prendrait " le gauche " ??

J essaye cela ce matin en rentrant.

Merci pour l info :P

@+

nicM Mega Power Member

nicM

Posté(e)
Posté(e) (modifié)

Bonjour L'indien, horrus,

 

Bonjour NickM

Tu veux dire que meme interdit par PG Icesword prendrait " le gauche " ??

J essaye cela ce matin en rentrant.

Merci pour l info :P

@+

 

Oui, une fois qu'IceSword a lancé son service, il n'y a rien que PG puisse faire pour l'empêcher de terminer quelque processus que ce soit.

 

Si mes souvenirs sont bons, il peut même terminer PG lui-même (à vérifier cependant, je me trompe peut-être, ayant fait ça il y a longtemps - version 1.12 d'IceSword, à l'époque).

 

En fait, dès qu'un programme est autorisé à lancer un service, il peut ensuite faire à peu près tout ce qu'il veut; y compris bypasser PG.

 

 

Pour info, je suis tombé récemment sur un rootkit qui est capable de lancer son service sans que PG n'y comprenne rien :P , et de le rouler ensuite dans la farine, en restaurant tous les hooks de la ssdt ( =PG ne voit plus rien, pas même les exécutions)... à suivre.

 

:P

Modifié par nicM
Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Bonsoir NicM, HorusAgressor, tlm

Merci pour ces infos, tests effectués , en effet IceSword outrepasse les interdictions de PG

Le reste de ton post est plus inquiétant sur l efficacité de PG

Pour info, je suis tombé récemment sur un rootkit qui est capable de lancer son service sans que PG n'y comprenne rien icon_eek.gif , et de le rouler ensuite dans la farine, en restaurant tous les hooks de la ssdt ( =PG ne voit plus rien, pas même les exécutions)..

Le nom du coupable stp ?

@+

Amicalement

Modifié par L'indien

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...