Enquête sur une infection...
Résolu
jivef
Messages postés
1024
Statut
Membre
-
crapoulou Messages postés 42844 Statut Modérateur, Contributeur sécurité -
crapoulou Messages postés 42844 Statut Modérateur, Contributeur sécurité -
Bonjour,
Un de mes clients suspecte des employés d'avoir introduit des virus dans son système informatique en connaissance de cause.
Ils envisage d'ailleurs de porter plainte, mais il me demande de lui indiquer à quelle période les virus ont été introduits dans la machine.
Existe-t-il un programme permettant effectivement de trouver ce genre d'information ?
Est-ce possible ?
Je sais comment récupérer des fichiers supprimés, comment récupérer au moins partiellement un disque dur formaté, mais là, je ne vois pas trop, à moins de trouver le ou les fichiers exécutables du virus et d'être capable de les dater, mais je ne fais pas d'illusion.
Et encore, que penser d'un fichier dont la date affichée serait totalement fausse...
Bien cordialement.
Merci pour vos réponses éventuelles.
Un de mes clients suspecte des employés d'avoir introduit des virus dans son système informatique en connaissance de cause.
Ils envisage d'ailleurs de porter plainte, mais il me demande de lui indiquer à quelle période les virus ont été introduits dans la machine.
Existe-t-il un programme permettant effectivement de trouver ce genre d'information ?
Est-ce possible ?
Je sais comment récupérer des fichiers supprimés, comment récupérer au moins partiellement un disque dur formaté, mais là, je ne vois pas trop, à moins de trouver le ou les fichiers exécutables du virus et d'être capable de les dater, mais je ne fais pas d'illusion.
Et encore, que penser d'un fichier dont la date affichée serait totalement fausse...
Bien cordialement.
Merci pour vos réponses éventuelles.
A voir également:
- Enquête sur une infection...
- Enquete facebook - Guide
- Phrase d'accroche enquete de satisfaction ✓ - Forum Bureautique
- Infection - Forum Virus
- Gaj enquête - Forum Vos droits sur internet
- Phrase d'accroche questionnaire enquête ✓ - Forum Études / Formation High-Tech
4 réponses
Rebonjour,
En démarrant sur la machine avec un Live-CD Linux, j'ai trouvé plein de petits fichier .exe avec des noms apparemment aléatoires sur la racine.
Je les ai supprimés tout en notant leur date (ls -l redirigé vers un fichier pour avoir une capture d'écran).
-rwxrwxrwx 1 root root 114071 2009-11-19 18:15 0qw6vege.exe
-rwxrwxrwx 1 root root 115016 2009-11-13 18:28 6ruaqx.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 8xcrbho6.exe
-rwxrwxrwx 1 root root 114180 2009-11-18 18:12 9g86.exe
-rwxrwxrwx 1 root root 57 2010-01-20 01:46 autorun.inf
-rwxrwxrwx 1 root root 114469 2009-11-20 18:35 lphfa.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 ngp8l.exe
-rwxrwxrwx 1 root root 113508 2009-11-23 18:09 wu1n.exe
-rwxrwxrwx 1 root root 116812 2009-11-12 18:06 yudald.bat
(J'ai retiré de la liste tout ce qui était système, pour info, c'est du Windows XP)
Le fichier .bat de la fin n'est pas un fichier texte, c'est un fichier binaire compilé, donc je suis quasiment certain que c'est un virus également.
Je vais installer un antivirus, mais mon problème n'est pas là.
Mon client voudrait garder des traces de ces infections pour éventuellement qu'elles soient utilisées devant un tribunal.
C'est déliquat, car je ne peux pas mettre les virus dans une éprouvette :-)
Est-ce que le fait de les lister va suffire ?
Je ne suis pas OPJ, donc je ne suis pas sur que ce que je fais aura une valeur...
De plus il n'y a pas mort d'homme, donc je ne sais pas jusqu'où la justice va dans ce type d'affaire.
Si quelqu'un a une expérience dans le domaine.
Merci.
A bientôt.
Jonas
En démarrant sur la machine avec un Live-CD Linux, j'ai trouvé plein de petits fichier .exe avec des noms apparemment aléatoires sur la racine.
Je les ai supprimés tout en notant leur date (ls -l redirigé vers un fichier pour avoir une capture d'écran).
-rwxrwxrwx 1 root root 114071 2009-11-19 18:15 0qw6vege.exe
-rwxrwxrwx 1 root root 115016 2009-11-13 18:28 6ruaqx.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 8xcrbho6.exe
-rwxrwxrwx 1 root root 114180 2009-11-18 18:12 9g86.exe
-rwxrwxrwx 1 root root 57 2010-01-20 01:46 autorun.inf
-rwxrwxrwx 1 root root 114469 2009-11-20 18:35 lphfa.exe
-rwxrwxrwx 1 root root 116090 2009-11-24 18:39 ngp8l.exe
-rwxrwxrwx 1 root root 113508 2009-11-23 18:09 wu1n.exe
-rwxrwxrwx 1 root root 116812 2009-11-12 18:06 yudald.bat
(J'ai retiré de la liste tout ce qui était système, pour info, c'est du Windows XP)
Le fichier .bat de la fin n'est pas un fichier texte, c'est un fichier binaire compilé, donc je suis quasiment certain que c'est un virus également.
Je vais installer un antivirus, mais mon problème n'est pas là.
Mon client voudrait garder des traces de ces infections pour éventuellement qu'elles soient utilisées devant un tribunal.
C'est déliquat, car je ne peux pas mettre les virus dans une éprouvette :-)
Est-ce que le fait de les lister va suffire ?
Je ne suis pas OPJ, donc je ne suis pas sur que ce que je fais aura une valeur...
De plus il n'y a pas mort d'homme, donc je ne sais pas jusqu'où la justice va dans ce type d'affaire.
Si quelqu'un a une expérience dans le domaine.
Merci.
A bientôt.
Jonas
Salut,si tu peux commencer pas faire une image de la partition avec un logiciel de type Acronis true image ou autre,pour ensuite désinfecter le vrai système et garder le backup comme preuve.
(Backup qui pourrait ètre restauré sur un autre DD) poue faire la preuve.
dans une éprouvette :-)
(Backup qui pourrait ètre restauré sur un autre DD) poue faire la preuve.
dans une éprouvette :-)
Salut,
Oui ces exécutables sont bien des virus qui se transmettent pas disques amovibles (clés UBS, disques durs externes, ...)
Oui ces exécutables sont bien des virus qui se transmettent pas disques amovibles (clés UBS, disques durs externes, ...)
