73 replies to this topic

[Txon]

L'enregistreur de frappes à l'apparence de Monsieur Tout-le-monde. C'est ce qui fait sa force.

Et comment le détectes-tu ce keylogger ? Pour l'analyser, encore faut-il l'avoir trouvé !

 

En ce qui me concerne, ce que j'ai à craindre, c'est:

soit l'utilisation très peu probable d'un système de surveillance non déclaré,

soit l'infection du réseau par une entité externe, classiquement, possiblement utilisée, mais dont j'ai mentionné à maintes reprises l'existence à qui de droit.

Dans les deux cas je n'ai donc rien de personnel à craindre, mais en revanche, j'aimerais avoir le coeur net sur ce qu'il se passe.

Il y a une solution commune aux deux problèmes, la surveillance des communications effectuées par l'ordinateur. Mais attention, certaines d'entre elles sont très brèves : ouverture d'un port, envoi de quelques ko, fermeture du port.

 

Encore faut-il connaître les applications saines qui peuvent (ont le droit de) communiquer, vers où et par quel port, afin d'éviter toute confusion. Eventuellement, il faut les désactiver.

Tcpdump (Linux) - WinDump (Windows) - Wireshark - Tshark - Bmon - Ifstat - Vnstat - Ntop - Darkstat et d'autres peuvent aider. Voir -> Introduction à l'analyse réseau (Philippe Latru) et -> Analyse du trafic réseaux (documentation Ubuntu)

Ton firewall aussi peut sans doute enregistrer l'historique des communications, détecter les ports ouverts, rendre ces ports aussi invisibles que possible etc.

 

@+

[noisette]

J'ai installé le pare-feu Comodo, et s'il n'est pas déjoué avant son démarrage, c'est vrai qu'il pourra me renseigner.

 

Je vais initialiser le truc et je regarderai (dans un mois. ).

 

 

L'enregistreur de frappes à l'apparence de Monsieur Tout-le-monde. C'est ce qui fait sa force.

 

Comme une fameuse calculette .

[tristan]

Re,
@Txon
Pour analyser le fonctionnement d'un malware il faut l'introduire sciemment dans son système. Je n'ai donc pas à me poser la question de sa détection.
@Noisette
Hahahahahaha...
Une technique de camouflage dévoilée sur la place publique est mort-née (http://www.sarc-wv.com/).

[noisette]

C'était un clin d'oeil, tu l'as compris. Sinon, pour répondre à ta remarque, je persiste à croire qu'il ne faut pas confondre un cache-cache avec une battue, on doit pouvoir trouver des gradations (mais c'est sûr, s'entendre sur les mots, c'est utile).

[Txon]

@Txon
Pour analyser le fonctionnement d'un malware il faut l'introduire sciemment dans son système. Je n'ai donc pas à me poser la question de sa détection.

Introduire sciemment un malware dans son PC n'arrange rien à l'affaire sauf si tu connais déjà l'emplacement de ses éléments, et si tu en as déjà connaissance, le reste à moins d'intérêt.

Si le rootkit employé pour cacher les différents composants du maliciel est bien conçu, tu ne trouveras rien à moins d'une détection en bonne et due forme.

Voir ou revoir plus haut ce qui se passe avec un "bon maliciel".

 

@+

 

[tristan]

L'analyse d'un objet est l'examen de l'information pour mieux appréhender les relations entre les parties et le tout. C'est uniquement à partir de cette information disséquée qu'il est possible de comprendre le fonctionnement de l' objet. Si tu as connaissance de "l'emplacement de ses éléments", c'est qu'un travail d'analyse a été préalablement fait par quelqu'un. La question de l'oeuf et la poule ne se pose pas. Maintenant, si tu connais une autre méthode que le reverse engineering pour comprendre le fonctionnement de conficker par exemple, je suis impatient de la lire.
 

" tu ne trouveras rien à moins d'une détection en bonne et due forme."

 

D'après toi, comment Mark Russinovich a-t-il pu découvrir le rootkit de Sony ? Une détection ?

[Neuromancien]

Salut

 

 

D'après toi, comment Mark Russinovich a-t-il pu découvrir le rootkit de Sony ? Une détection ?

 

Voici l'histoire: http://blogs.technet...ne-too-far.aspx

[Txon]

Maintenant, si tu connais une autre méthode que le reverse engineering pour comprendre le fonctionnement de conficker par exemple, je suis impatient de la lire.
 

" tu ne trouveras rien à moins d'une détection en bonne et due forme."

 

D'après toi, comment Mark Russinovich a-t-il pu découvrir le rootkit de Sony ? Une détection ?

[1] Je n'ai jamais dit que la rétro-ingénierie ne devait pas être utilisée pour comprendre le fonctionnement d'un maliciel. J'affirme qu'avant de l'étudier, il faut le trouver.

[2] La réponse donnée par Neuromancien à ta question concernant Mark Russinovich te satistait-elle ? C'est bien grâce à son outil RootkitRevealer qu'il a trouvé des éléments cachés du rootkit de Sony.

Voici l'histoire: http://blogs.technet...ne-too-far.aspx

 

A part ça et pour en revenir au sujet principal ...

Comodo: Internet Security Premium (AV test mai/juin 2013)

 

@+

[Th-Crown]

L'analyse d'un objet est l'examen de l'information pour mieux appréhender les relations entre les parties et le tout. C'est uniquement à partir de cette information disséquée qu'il est possible de comprendre le fonctionnement de l' objet. Si tu as connaissance de "l'emplacement de ses éléments", c'est qu'un travail d'analyse a été préalablement fait par quelqu'un. La question de l'oeuf et la poule ne se pose pas. Maintenant, si tu connais une autre méthode que le reverse engineering pour comprendre le fonctionnement de conficker par exemple, je suis impatient de la lire.
 

" tu ne trouveras rien à moins d'une détection en bonne et due forme."

 

D'après toi, comment Mark Russinovich a-t-il pu découvrir le rootkit de Sony ? Une détection ?

Bonjour Tristan.

 

Cela fait plusieurs fois que tu lances des remarques intéressantes, qui semblent démontrer que tu en connais un rayon là-dessus. Je suis curieux d'en savoir plus sur les points que tu abordes. As-tu le temps, la volonté de partager tes compétences en ouvrant des sujets sur le forum, du genre Txon et "comment installer Linux ? Je sais que cela demande beaucoup d'investissement de ta part. Mais en même temps, je pense que tu aurais des lecteurs assidus, bavant devant ta prose, car pleine d'infos techniques qui leurs manquent (j'en ferais partie). En plus, cela nous changerait du sujet "tests d'antivirus". Cela amènerait aussi une nouvelle clientèle sur le forum.

Enfin, ce n'est qu'une idée. Mais j'l'aime bien moi.

[tristan]

Salut à tous
Salut BBoss

@Neuromancien
Je te remercie de ta contribution au débat.

Mark Russinovich suspecte, d'une manière fortuite, la présence d'un objet équivoque en testant son logiciel RKR (le hasard fait bien les choses parfois). Les objets non identifiés ne sont pas interrogeables, il se garde donc de faire une conclusion hâtive :

 

"Given the fact that Im careful in my surfing habits and only install software from reputable sources I had no idea how Id picked up a real rootkit, and if it were not for the suspicious names of the listed files I would have suspected RKR to have a bug".

 

 

Pour en avoir le coeur net, il décide d'investiguer l'objet en faisant appel à d'autres outils dont IDA.

 

"I studied the drivers initialization function, confirmed that it patches several functions via the system call table and saw that its cloaking code hides any file, directory, Registry key or process whose name begins with $sys$. To verify that I made a copy of Notepad.exe named $sys$notepad.exe and it disappeared from view".

 

Sacré Notepad !

Ce n'est qu'au terme d'une analyse méthodologique qu'il arrive à le désigner comme un rootkit, à décrire sa structure et son fonctionnement, et à montrer du doigt l'éditeur. Ce n'est donc que par la démarche analytique qu'il est parvenu à une conclusion scientifiquement indiscutable.

On peut parfois entrevoir les manifestations d'un objet ténébreux en s'interrogeant à la faveur d'un bug, d'une interaction conflictuelle, d'une lecture d'un log, de l'analyse d'un programme quelconque. "La détection en bonne et due forme" n'est pas la seule condition sine qua non. ^^

Bonjour Th-Crown,

Je ne suis qu'un feu follet sur ce forum.

[Th-Crown]

Salut à tous
Salut BBoss

@Neuromancien
Je te remercie de ta contribution au débat.

Bonjour Th-Crown,

Je ne suis qu'un feu follet sur ce forum.

Dommage que tu ne sois qu'un feu follet. Vraiment dommage ! L'es-tu moins ailleurs ?

[tristan]

Bonjour Th-Crown,

Je suis un feu follet ici et ailleurs. Je suis assez inconsistant de ce côté là.

[Th-Crown]

Bonjour Th-Crown,

Je suis un feu follet ici et ailleurs. Je suis assez inconsistant de ce côté là.

"Inconsistant" tu es particulièrement sévère sur toi même pour te nier toute importance. Ne te serais-tu pas trompé de terme au lieu de inconstant ?

[vigen]

Si je peux me permettre...

 

Je pense que le problème des virus et autres joyeusetés va se stabilisé...

 

Les personnes voulant les données rapidement, se "servant" directement sur les serveurs....En effet, pourquoi allez chercher quelques numéros de cartes, sur quelques machines de particuliers, quand en une seule attaque tu peux en prendre un millier ?

Ce message a été modifié par vigen - 10 août 2013 - 14:18 .