Aller au contenu


Avast! antirootkit tool


  • Sujet fermé Ce sujet est fermé
4 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 18 octobre 2008 - 17:02

« News » de présentation du sujet -> Avast! antirootkit



ARK pour Windows 2K, NT, XP, Vista.

Caractéristiques aux vues des premiers essais effectués avec trois systèmes Windows XP SP2 ,
deux « Pro » et un « Home edition », avec, dans un des cas, un lancement depuis une clé USB,
en présence de Avast! Antivirus ou Antivir, Spyware Terminator, IceSword, RkUnhooker ...


Comme les autres ARKs, Avast! Antirootkit tool fonctionne dans un compte avec des droits d'administrateur. Si le votre n'en dispose pas ou plus, voyez -> ICI.


Caractéristiques générales


[1] Installation et fonctionnement. ... Pas d'installation au sens traditionnel du terme ...
Dans les exemples ci-dessous, le programme swar.exe », a été renommé « avast! antirootkit tool 0.9.6 swar.exe » avant le lancement, pour éviter les parades d'éventuels maliciels qui se baseraient sur son nom d'origine pour le contrer,

Au cours de son exécution, Avast! Antirootkit crée
  • Un fichier « .log » dans le répertoire d'où il a été lancé pour mémoriser le résultat du scan effectué.
  • Des fichiers de travail dans \Documents ans Settings\xxx\Local Settings\Temp



[2] Clés de "Registre Windows"
Relativement peu de clés ajoutées dans le Registre.
...


[3] Processus, "driver" et "bibliothèque".
  • Un seul processus, « swar.exe », ici renommé « avast! antirootkit tool 0.9.6 swar.exe »,
  • un "driver" « aswArKrn.sys »,
  • une bibliothèque logicielle « aswArHlp.dll »
Vos logiciels de défense devront les laisser fonctionner.
... ...


[4] Vu par IceSword et RkUnhooker.
Un message d'alerte de IceSword lancé après Avast! Antirootkit, quand les [Advanced Settings] sont sélectionnés.

Très faible consommation en mémoire, quelques crochetages dans les « Messages Hooks » ...
... ...

De très nombreux crochetages "Inline" ...
...


Les mots entre " " ont une explication dans le Lexique du Windows furtif

.../...

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 20 octobre 2008 - 12:03

...\...



Téléchargement sur le forum de Alwil / Avast!

Version actuelle de aswar.exe : 0.6.9 « beta »
-> ICI <-

Veuillez nous signaler toute impossibilité de téléchargement depuis ce forum,
afin que nous mettions ce logiciel à disposition sur Infomars. Merci.




Paramètres - Show Scan Options


[1] [Scan Settings ... Cases cochées en standard qu'il ne faut décocher que pour limiter les recherches à une catégorie donnée.
  • [Hiden Files and Directories] Recherche des dossiers et fichiers cachés (dans la partition système du disque),
  • [Hidden Registry Keys and Values] Recherche des clés et valeurs cachées du "Registre Windows",
  • [Hidden Services and Drivers] Recherche de "services" et "drivers" cachés,
  • [Hidden Processes] Recherche de "processus" cachés.



[2] Advanced Settings ... Cases non cochées en standard, à cocher pour des performances accrues.
  • [Run the scan in another process address space] pour exécuter le balayage à une autre adresse mémoire (afin d'éviter certains types de "hooks"),
  • [Advanced mode (try to bypass I/O stack hooking rootkits)] mode avancé pour essayer de détecter les rootkits qui crochètent les I/O dans les "stacks",
  • [Log all scanned items] pour enregistrer dans le fichier « .log » tous les éléments scannés.

Note : les deux tiers des tests effectués l'ont été toutes options activées, sans aucun incident notable de fonctionnement .

Les mots entre " " ont une explication dans le Lexique du Windows furtif

.../...

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 20 octobre 2008 - 12:13

...\...



Scan et nettoyage.

Deux phases ... Recherche de rootkits actifs, puis, en option, possibilité d'effacer tous les « objets » détectés pendant les scan.



[1] Scan ...

Avis important ...

Afin d'éviter les faux positifs, il convient d'interrompre le fonctionnement de tous les programmes en cours ... et tout particulièrement de ceux qui ont des fonctionnalités proches de celles des rootkits malveillants : les logiciels de défense (pare-feu, antimaliciels divers ...).

La recherche de maliciels ne se fait que dans la partition système active et le "Registre Windows".

Exemple de résultats du scan lorsque le système est « propre » ...

Pas de rootkit.


Les mots entre " " ont une explication dans le Lexique du Windows furtif

.../...

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#4 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 20 octobre 2008 - 12:18

...\...



[2] Exemples de systèmes infectés.
... a ... exemple provenant du forum de Alwil / Avast! (fichier « .log »).
CITATION(psw)
avast! Antirootkit, version 0.9.4
Scan started: 25 Март 2008 г. 11:32:54

File C:\lich.exe **HIDDEN**
File C:\lich.sys **HIDDEN**
SaveSettings="1" **HIDDEN**
Scan finished: 25 Март 2008 г. 12:47:50
Hidden files found: 2
Hidden registry items found: 60
Hidden processes found: 0
Hidden services found: 0
Hidden boot sectors found: 0

... b ... essai réalisé pour Informars (copie d'écran et fichier « .log »).




Les mots entre " " ont une explication dans le Lexique du Windows furtif

.../...

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 20 octobre 2008 - 12:26

...\...




[3] Désinfection (optionnelle).
Attention ! Les débutants et ceux qui ne sont pas certains que les fichiers et clés du Registre trouvés correspondent à des rootkits malveillants sont priés de ne pas utiliser cette option. Ils peuvent pas contre publier sur Informars le fichier « .log ». Nous ferons tout notre possible pour les aider.

Dans la liste des clés et fichiers cachés, il suffit de décocher ceux qui correspondent à des faux positifs, puis de cliquer sur [Fix Now!]



Un redémarrage du système [Restart now!] sera nécessaire pour finaliser l'opération.


Les mots entre " " ont une explication dans le Lexique du Windows furtif


Pour nous faire part de vos commentaires
(critiques, corrections d'erreurs, demandes de renseignements complémentaires, suggestions ... ),
veuillez cliquer ...
-> ICI <-

@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)