Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

IceSword et Contrôleur d'intégrité, Processus protégés

horus agressor

Par horus agressor
dans Sécurisation, prévention

 Partager

Messages recommandés

nicM Mega Power Member

nicM

Posté(e)
Posté(e)
Le reste de ton post est plus inquiétant sur l efficacité de PG

 

Le nom du coupable stp ?

 

Le rootkit en question s'appelle Wopla (nom Antivir), mais je ne me souviens plus de la numérotation exacte.

 

Il faut modérer en pratique l'impact de cette menace, car si PG est en effet incapable de déceler l'installation de ses services, il faut accepter l'exécution d'un paquet de fichiers temp avant que le rootkit ne puisse s'installer, et il m'a fallu configurer PG de manière à ne pas restreindre l'activité du troyen qui droppe le rootkit. Je veux dire que la protection Block driver/service install était bien activée, évidemment, mais que j'ai du réduire le niveau de protection à côté : Enlever des protections contre la modification, désactiver la protection contre les Golbal Hooks, etc.

 

Ces protections ne concernent pas le rootkit, mais devaient être désactivées pour que le troyen puisse initialiser l'installation de ce dernier. Enfin il s'agit d'une configuration "de test", c'est ce que je veux dire.

 

Je viens de poster quelques captures d'écran ici, si ça t'intéresse.

 

A plus :P ,

Le sioux Full Patch Member

Le sioux

Posté(e)
Posté(e) (modifié)

Bonjour

Et merci NicM :P , ca m interresse, je file voir tes captures d ecran.

(Edit congratulations, you seems to have a good practice in english too)

@+

Modifié par L'indien
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Txon, d'OpenForum, a écrit :

pjf_ n'est plus étudiant. Il a du travail et ne peut plus consacrer de temps au développement de IceSword (ou pas assez).

http://www.open-files.com/forum/index.php?...9655&st=100

...

A ce jour, il semblerait que seule l'équipe de RkUnhooker ait intégré certaines fonctionnalités de IceSword et ceci depuis la version 3.20 de Rkunhooker ...

http://www.open-files.com/forum/index.php?...9655&st=100

...

- « Cooperator » un système d'aide au développement de sa propre version de IceSword (une sorte de SDK)

 

Suivant son habitude, « PJF » ne s'est pas montré très communicatif. Il a cependant créé un -> mini-site <- où il annonce clairement "HELP YOURSELF" pour inciter ceux qui le peuvent à développer IceSword

http://www.open-files.com/forum/index.php?...9655&st=100

 

Mini-site HELP YOURSELF : http://mail2.ustc.edu.cn/~jfpan/

Amicalement.
nicM Mega Power Member

nicM

Posté(e)
Posté(e)
Et merci NicM :P , ca m interresse, je file voir tes captures d ecran.

 

Merci, je fais ce que je peux avec l'anglais :P .

 

Pour Process Guard, je crois malheureusement qu'il faudra faire avec (pas la peine d'attendre une nouvelle version corrigant la chose), apparemment la compagnie n'est plus aux affaires :P :P

 

nicM

horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e) (modifié)

Re !

 

Suite à une suggestion d'un Txon moqueur sur OpenForum, entre à cause du prix de la licence de ProcessGuard full, j'vous ai testé CoreForce http://force.coresecurity.com/index.php et OSSEC http://force.coresecurity.com/index.php?mo...e&page=main , alternatives gratuites de Process Guard full soit disant, mais :P

'tain ! CoreForce se plante en fin d'installation, il refuse de terminer l'installation, un blocage dans la BdR il me semble, malgré une désinstallation dans les règles de Process Guard via le mode sans échec...

 

Re'tain !OSSEC impec jusqu'au moment où je redémarre ma bécane...Impossible de copier-coller quoique se soit dans la boîte "cmd" :marre: ...j'ai lu aussi que

*La détection de rootkit n'est pas encore supportée sur Windows.

http://www.ossec.net/fr/manual.html#starting

:marre: C'est pour Linux ton truc ou quoi ?

 

Ghost, et hop, avec PG à nouveau :ouf:

 

J'ai bien un Ghost "vierge" avec juste Windows pris à sa naissance pure et vierge qui traîne en stock, mais merci le boulot pour remonter une bonne installation depuis là...En dernier recours je passerais à un de tes deux log, si PG me lâche...

 

Il a quoi de moins bien que tes deux log "mon" Process Guard full si ce n'est son prix ?

http://www.open-files.com/forum/index.php?...9655&st=100

Txon a écrit :
Au fait, il bloque des rootkis comme Vanquish ou Unreal.A ton logiciel payant ?

http://www.open-files.com/forum/index.php?...9655&st=100

...Txon parle de ProcessGuard full...

 

 

Amicalement.

Modifié par horus agressor
  • 3 mois après...
horus agressor Godlike Member

horus agressor

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour !

 

Sortie de IceSword 1.22 English Version http://pjf.blogcn.com/diary,8435946.shtml

 

Télécharger depuis le site de l'éditeur, en *.zip : http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip

 

Je l'ai déjà annoncer ailleurs, mais c'est en voulant rechercher le changelog, toujours introuvable d'ailleurs, que je me suis souvenu de ce post...

 

Amicalement.

 

Et désolé pour le retard de cette annonce...

Modifié par horus agressor

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...