Information camouflée dans le Master Boot Record

Started by tristan, 06 mai 2009 01:56

Vous ne pouvez pas répondre à ce sujet

4 replies to this topic

#1 tristan

Phobosien

Zimien
516 Messages :

Gender:Male

Posté 06 mai 2009 - 01:56

..

Ce message a été modifié par tristan - 09 juin 2009 - 01:57 .

Retour en haut

#2 VB 6

namecap'S

Eminence Verte
4 897 Messages :

Gender:Male

Posté 06 mai 2009 - 11:29

Salut, tristan.
Quelle est intérêt de camoufler une information dans la section message du MBR ?

Bonne journée,
et merci pour ton poste.

VB6.

"Deux choses sont infinies : l'univers et l'imbecilites humaines".
Albert Einstein.

Retour en haut

#3 Txon

AïoligaToR

Administrateur
10 854 Messages :

Gender:Male

Posté 06 mai 2009 - 16:56

Bravo tristan !

CITATION(VB 6 @ 6/05/2009, 12:29:55) <{POST_SNAPBACK}>

Quelle est intérêt de camoufler une information dans la section message du MBR ?

CITATION(iLWF @ Lexique du Windows furtif)

'MBR'' (Master Boot Record) ... secteur principal de démarrage ... enregistrement dans le premier secteur du disque de démarrage (secteur d'amorce). Il comprend une ''routine'' (code exécutable par le BIOS), une zone réservée aux messages d'erreur et les informations de la table des partitions. Il est lu et exécuté par le BIOS au début de la mise en route de l'ordinateur et a pour fonction d'établir le lien avec la table de partition active. Les attaques portées sur la MBR sont connues depuis les virus sous DOS.
--- --- ---

Tous les systèmes dérivés de Windows NT, y compris Vista, permettent la modification du MBR, même en ''mode utilisateur''. La ''routine'' du MBR s'exécute avant le chargement du système d'exploitation et peut donc contrôler le démarrage de celui-ci. Certains maliciels détournent les interruptions du BIOS, en particulier INT 13h qui permet l'accès aux services de gestion des disques à bas niveau et la lecture ou l'écriture dans des secteurs précis afin de contrôler le déroulement des opérations effectuées sur le disque par le système d'exploitation au cours de son lancement , pour les modifier. Une preuve de cette possibilité a été apportée par le rootkit ''eEye BootRoot'' en 2005. Depuis des rootkits malicieux apparaissent comme « MBR Rootkit » (aka « PSW-Sinowal », « Backdoor.MaosBoot » , « Trojan.Mebroot »).

A voir aussi -> Windows Seven / Vbootkit et Vbootkit.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)

Retour en haut

#4 Txon

AïoligaToR

Administrateur
10 854 Messages :

Gender:Male

Posté 06 mai 2009 - 17:50

CITATION(tristan @ 6/05/2009, 18:15:33) <{POST_SNAPBACK}>

J´ai souhaité explorer d´autres cibles habituellement proposées comme le mp3, l´exécutable, l´image, ou encore la vidéo

.
Bizarrement cette solution n´a jamais été mise en avant.

Un petit topo sur les images .gif "plombées" pour commencer ?
Des "news" -> ICI et LA <- par exemple.

Pour ce qui est des vidéos, on peut partir du principe que le camouflage d'informations utilisé, par exemple, en stéganographie pourrait servir de base à l'introduction de maliciels.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)

Retour en haut

#5 Txon

AïoligaToR

Administrateur
10 854 Messages :

Gender:Male

Posté 07 mai 2009 - 15:19

CITATION(VB 6 @ 6/05/2009, 12:29:55) <{POST_SNAPBACK}>

Quelle est intérêt de camoufler une information dans la section message du MBR ?

Il y a une autre réponse -> ICI.

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)

Retour en haut

Back to Sécurité

0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)