11 replies to this topic

[Txon]

Salut !!!


Il ne s'agit pas ici d'un accessoire pour personnage de jeu ou de « manga », mais d'un « HIDS », un logiciel de détection des intrusions à usage individuel.

C'est un puissant antirootkit (ARK) et aussi un utilitaire multifonctions développé par « pjf_ » (jfpan20000@sina.com) à partir de fin 2005, alors qu'il était étudiant à l'USTC (Univesity of Science and Technology of China) et membre de la Xfocus Team.

C'est un simple programme qui utilise un service en kernel mode (mode noyau) (''IsPubDrv.sys''). Il peut être considéré comme un gestionnaire de tâches évolué ayant la capacité de lister les fichiers cachés.
... ... ...
Cet outil est facile à employer et n'exige pas de connaissances avancées.

Même si son fonctionnement demeure peu compréhensible pour les vrais novices, ses fonctions de base restent simples. De nombreux débutants comme des usagers plus confirmés en informatique sont séduits par cet utilitaire qui, malgré son âge, demeure un des meilleurs de sa catégorie, nettement supérieur au très célèbre RootkitRevealer de Microsoft-Sysinternals.

Depuis toujours IceSword fonctionne sous Windows XP. Depuis janvier 2007, il est adapté à Windows Vista.

... la suite ...

@+

[Le sioux]

Bonjour tout le monde
Bonjour Txon

A signaler

Màj d'IceSword : Download - Current Version - 1.22 - English http://www.antirootkit.com/software/IceSword.htm

Icesword 1.20 for Windows Vista http://www.antirootkit.com/software/IceSword.htm disponible.

Merci a HorusAgressor http://assiste.forum.free.fr/viewtopic.php?p=108604#108604

@+

[Txon]

Màj d'IceSword : Download - Current Version - 1.22 - English http://www.antirootkit.com/software/IceSword.htm

Icesword 1.20 for Windows Vista http://www.antirootkit.com/software/IceSword.htm disponible.

Salut et merci l'indien !!!

L'essentiel du changement de IceSword 1.22 par rapport à la version 1.20 porte sur sa dernière partie. L'ancien système de contrôle a été complété. Un "Advanced Scan" permet entre autres la détection des crochets "inline" (comme savent le faire RkU depuis la v3.30 et la toute dernière version 4.5 de Seem).
Deux catégories ... [General Scan] et [Module Scan] et aussi [Restore] une intéressante possibilité de restaurer les éléments crochetés en leur état initial (ne l'utiliser qu'en connaissance de cause).

@+

[herve91]

Bonjour,

J'ai simplement en temps réel Mon firewall, ST et Antivir et les autres logiciels pour faire des scans à la demande.

Je suis chez ClubInternet et par défaut le firewall de la box est déactivé. Même si je l'active, il est a nouveau déactivé à chaque changement de révision du firmware .
Dernierement j'ai fait un test avec PCsecurity test, j'ai eu un mauvais résultat qui était du à cette déactivation et après l'activation du firewall de la box , j ai eu 100%. Meme chose si je vais un site pour faire ce genre de test, il y a toujours 4 ports d'ouverts et les autres fermés mais non masqués quand il est déactivé et tous masqués quand il est activé.

Mon pc n'est pas costaud c'est un AMD 2.4Ghz, 768 Mo de ram avec 3 XP professionnel à jour ( 2 en francais et un en chinois).
Le 1er Xp sert surtout à faire de la bureautique et Internet.
Le 2eme orienté pour de l'automatisme
et le 3eme pour ma femme quand elle écrit en chinois....

Par contre, j'essaye d'optmiser le registre avec un bon bouquin et je viens de mettre un disque virtuel en ram et déplacé les fichiers temporaires de Windows, Internet Explorer et aussi le cache de Firefox...
J'ai remarqué beaucoup moins d'accés disques meme si j'ai toujours entre 90 et 110 Mo en swap...
Le seul ralentissement que je constate encore c'est quand je suis sur Internet mais cela provient de ma ligne avec CI.



Par contre Txon si tu veux bien m'aider avec le logiciel IceSword dans l'onglet SSDT j'ai une ligne en rouge avec dans Kmodule c'est unknow et dans name : NtWriteVirtualMemory, jai aussi d'autres lignes en rouges mais les drivers proviennent de ST et de OA.
Pour revenir à OA depuis que je l'ai installé, j ai des problèmes avec ce logiciel et la sanboxie ....
Je pense que je devrais faire un autre post pour cela car au debut c'etait surtout pour aider Nazaire..

Hervé

[Txon]

Par contre Txon si tu veux bien m'aider avec le logiciel IceSword dans l'onglet SSDT j'ai une ligne en rouge avec dans Kmodule c'est unknow et dans name : NtWriteVirtualMemory, jai aussi d'autres lignes en rouges mais les drivers proviennent de ST et de OA.
Pour revenir à OA depuis que je l'ai installé, j ai des problèmes avec ce logiciel et la sanboxie ....

Sauf erreur de ma part ...
Writeprocessmemory et Readprocessmemory sont des « classes » pour lire ou modifier un processus en mémoire.
Writeprocessmemory utilise 3 fonctions de la libraire « ntdll » :
NtProtectVirtualMemory, NtWriteVirtualmemory and NtFlushInstructionCache.
NtWriteVirtualmemory peut éventuellement être utilisé pour écrire un « code » de rootkit.

Voici comment NtWriteVirtualMemory check un pointeur :
Dump de NtWriteVirtualMemory():
and [ebp+ms_exc.disabled], 0
mov eax, _MmUserProbeAddress
cmp ebx, eax
jnb loc_5257A0
loc_505FD0:
mov eax, [ebx]
[..]
loc_5257A0: ; le mauvais cas ou l’adresse pointe dans le kernel space
mov dword ptr [eax], 0
jmp loc_505FD0
kd> dd nt!MmUserProbeAddress L 1
80557bb4 7fff0000
Quand on regardes ca, on comprend d’abord pas vraiment pourquoi dans le mauvais cas il essaie d’ecrire 0 a MmUserProbeAddress et continue …
C’est tout simplement pour lever une exception catch plus loin (pour return un status d’access denied).
Alors si la page en question est writeable, l’exception n’est pas leve et on peut ecrire en ring0 … on imagine la suite facilement .
Donc okay mais attention, pas writeable.

Je n'ai jamais eu à le faire, mais à priori, pour contrôler la librairie « ntdll » tu devrais pouvoir essayer >>> NTDLL.DLL (résultat non garanti).

As-tu trouvé des traces de ce « hook » ailleurs avec IceSword ?
Peux-tu contrôler ce qu'en dit RkUnhooker, tant dans la section SSDT que dans la section [Code Hooks Detector]

Quel(s) logiciel(s) de protection utilises-tu ou as-tu utilisé dans le passé sur ce PC (exemple Outpost Firewall Pro) ?

Après avoir fait une sauvegarde système + logiciels installés, peux-tu ...
Avec IceSword essayer la fonction [Restore] sur le crochetage en question (click droit).
Avec RkUnhooker essayer la fonction [Unhook Selected] sur ce « hook » ???

Agur !

[herve91]

Bonsoir

Merci de m'avoir répondu.
Désolé mais je ne sais pas comment on fait pour mettre des images écrans?

Par contre depuis que j'ai installé Online Armor sur ce Xp j'ai des logiciels qui rencontrent des problèmes et principalement Explorer pour m'en sortir il faut que je ferme la session en cours.
J'ai déja réinstallé cette dll "ntdll.dll" et cela ne change rien suite à une recherche sur google de ce problème.

Quand je démarre Rootkit Unhooker il me lance un Warning avec le nom d'un module qui oawatch.dll qui est une dll de Online Armor. En tapant ce nom sur google cela m envoie sur des forums de OA.
Cela viendrait qu'elle soit corrompue.

Avec IceSword il m'indique au démarrage "Some occur during initializtion please check system dll in memory",
je ne suis pas un grand doué de l'english mais cela j'ai compris, mais par contre il se lance quand même.

Je n'arrive plus a installé SandBoxie3.22 ou 3.21...

Sur l'autre partition Xp j'avais aussi installé Online Armor et j'ai eu deux trois rédémarrages intempestifs du système. Depuis que j'ai installé Comodo3 cela fonctionne correctement...

Bon je ne vais pas me prendre la tête je vais installer installer Comodo à la place de OA sur mon 1er Xp.
Ensuite je vais regarder ensuite avec Rootkit Unhooker.
Je ne peux pas planter mon PC car mon épouse en a besoin absolument....

Je te tiendrais au courant....
Hervé

[Kyro]

pour faire des screens : la touche impr écran ou print screen en suite sous paint ctrl+v puis tu upload sur pix.nofrag.com

[herve91]

Bonsoir,

Merci Kyro,

mais je suis assez stupide cette méthode je la connaissais mais je pensais qu'il fallait procéder d'une autre façon.
autant pour moi, je vais aller me taper la tête contre le en disant Hervé tu es stupide réfléchit un peu ....
ensuite

Hervé

[Txon]

Salut !
J'ai répondu (comme je pouvais) à ton dernier message >>> ICI
N'hésite pas à mettre des "screenshots" quand tu as des merdouiles dans ton PC.
Agur !

Bonjour,

Suite à mes 4 modules inconnus , j'ai utilisé la fonction restore avec IceSword.
Le mot unknow a été remplacé par Windows\system32\ntoskrnl.exe et la couleur est passée du rouge au noir....
Je vais voir à un prochain démarrage ce que cela donne.

Avec Antivir j'ai un scan avec la fonction Rootkit search = rien
J'ai fait de même avec AVG anti-rootkit et Sophos Anti-rootkit = rien
Auss avec ST et Antivir pour pour les virus et autres = rien

Sinon depuis que j'ai réinstallé Comodo, je n'ai plus ces blocages. J'ai pu réinstaller Sandboxie 3.22, après avoir débloqué dans Comodo de certains drivers de ce logiciels
Comodo -> Summary en bas "Waiting for your review" et de les déplacer vers "My Own Safe Files"...
Très contraignant mais bon.

Je ne pense pas que le pc a été contaminé mais je vais continuer à le surveiller.

Merci pour les conseils et cordialement

Hevé

IceSword a fait son boulot. Dans le cas que tu cites, il a "décrocheté" ntoskrnl.exe.
mais attention ... Tous les crochetages ne sont pas malsains, même quand ils sont signalés en "rouge" dans IceSword. Beaucoup proviennent de logiciels "sains" (firewalls et ARKs en particulier).

Pour le reste, il est clair que Antivir est un très bon antivirus mais pas un ARK (anti-rootkit) à proprement parler. De leur côté, tant AVG que Sophos anti-rootkit ne servent pas à grand chose dès qu'ils ont à faire à de vrais rootkits bien pensés.

Agur !

[herve91]

Bonsoir

Bonjour Txon et aussi aux autres .....

IceSword a fait son boulot. Dans le cas que tu cites, il a "décrocheté" ntoskrnl.exe.
mais attention ... Tous les crochetages ne sont pas malsains, même quand ils sont signalés en "rouge" dans IceSword. Beaucoup proviennent de logiciels "sains" (firewalls et ARKs en particulier).

Pour le reste, il est clair que Antivir est un très bon antivirus mais pas un ARK (anti-rootkit) à proprement parler. De leur côté, tant AVG que Sophos anti-rootkit ne servent pas à grand chose dès qu'ils ont à faire à de vrais rootkits bien pensés.

Agur !

Je n'ai jamais pensé une seule seconde que les logiciels que j'utilisais performants à 100% et cela serait une hérésie de le penser

Ce que j'essaye de faire c'est de m'informer et de trouver les meilleures solutions surtout depuis que mon PC est devenu un PC zombie....

J'essaye de trouver le meilleurs compromis qui ne soit pas ardu et ce n'est pas évident déja pour moi qui je pense à une petite culture informatique mais pour mon épouse c'est une autre histoire surtout quand elle doit répondre à une alerte d'un des logiciels c'est la grosse panique et elle n'est pas la seule je pense et je le comprends très bien aussi.

Pour revenir à mes 4 modules ils sont redevenus "inconnus" après un redémarrage.

Je narrive pas à mettre un screen de IceSword en allant sur le site : pix.nofrag.com
Le téléchargement de l'image s'est bien passé mais ensuite j'ai voulu copier un des 4 choix mais je n'y arrive pas..

Hervé

[noisette]

Salut,

je ne sais pas ce qu'il se passe avec pixnofrag aujourd'hui, tente http://www.freeimagehosting.net/ peut-être.

[herve91]

Salut,

je ne sais pas ce qu'il se passe avec pixnofrag aujourd'hui, tente http://www.freeimagehosting.net/ peut-être.

Bonjour,

Je vais essayer à nouveau

je viens de télécharger l'image c'est ok et je vais prendre le code

To insert this image in a forum post, use the following code:





Bon je viens de faire faire une prévisualisation et cela à l'air Ok

Merci

Hervé