Question aux experts rootkits
kraignos
Messages postés
46
Statut
Membre
-
kraignos Messages postés 46 Statut Membre -
kraignos Messages postés 46 Statut Membre -
Bonjour a tous,
je me posais la question suivante en cogitant au sujet des rootkits comme celui de bagle, sachant que le principe est de modifier le fonctionnement de l'Os a bas niveau pour masquer/protéger l'infection serait il , une fois les fichiers identifiés (ex mkdel) d'opérer la procédure suivante :
- Boot dos via USB/floppy
- NTFS mounter pour accéder au systeme de fichiers (a ce stade pas de rootkit chargé puisque pas d'os infercté)
- localisation du ou des fichier en cause
- suppression
- redémarage de l'os
- correction des appels défectueux
qu'en pensez vous?
je me posais la question suivante en cogitant au sujet des rootkits comme celui de bagle, sachant que le principe est de modifier le fonctionnement de l'Os a bas niveau pour masquer/protéger l'infection serait il , une fois les fichiers identifiés (ex mkdel) d'opérer la procédure suivante :
- Boot dos via USB/floppy
- NTFS mounter pour accéder au systeme de fichiers (a ce stade pas de rootkit chargé puisque pas d'os infercté)
- localisation du ou des fichier en cause
- suppression
- redémarage de l'os
- correction des appels défectueux
qu'en pensez vous?
A voir également:
- Question aux experts rootkits
- Rootkits download - Télécharger - Antivirus & Antimalwares
- Musique les experts miami ✓ - Forum Musique / Radio / Clip
- Les experts miami streaming vf - Forum Cinéma / Télé
- Les experts, suite ? - Forum Cinéma / Télé
- Générique les experts las vegas paroles - Forum Cinéma / Télé
8 réponses
bonjour,
heu je pense que y'a encore plus simple ^^
télécharge le logiciel gratuit bartpe builder, et crée toi un cd bootable et tu pourras analyser les problèmes par la ;) interface plus pratique ;)
heu je pense que y'a encore plus simple ^^
télécharge le logiciel gratuit bartpe builder, et crée toi un cd bootable et tu pourras analyser les problèmes par la ;) interface plus pratique ;)
oui je suis d'accord et le principe est le même en plus user-friendly mais au dela du moyen pour booter sur un noyau sein et accéder aux fichiers ce que je souhaites avoir comme retour d'expérience c'est si cette méthode a un sens ou non
Bonjour,
Il y a peut-être un malentendu, un rootkit permet l'accès root à une machine. Infecter la machine ne servirait à rien ! Pourquoi faire ? Ton plan de campagne est quelque peu sommaire, voire utopique. Le mieux que je puisse faire est de te suggérer la lecture de: ROOTKITS BSD de Joseph KONG - Editions CampusPress-2007. Cordialement.
Il y a peut-être un malentendu, un rootkit permet l'accès root à une machine. Infecter la machine ne servirait à rien ! Pourquoi faire ? Ton plan de campagne est quelque peu sommaire, voire utopique. Le mieux que je puisse faire est de te suggérer la lecture de: ROOTKITS BSD de Joseph KONG - Editions CampusPress-2007. Cordialement.
je précise que je ne suis pas infecté et que je ne m'amuserais pas a m'autoinfecter juste pour tester :-) car je ne pourrais alors pas tester via une VMWare ... reinstaller mon XP ne m'amuse plus autant en prenant de l'age
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
@grongnet : on parle ici de rootkits de niveau systeme , pas de concepts évolué de type CMOS ou firmware-worms qui sont a ce jour que des démonstrations theoriques
j'ai du mal a conceptualiser qu'un rootkit caché sous forme de service par exemple ou de point de montage reg puisse résister un une suppression a partir d'un système non-infecté, surtout si ce système ne permet pas au fichier de s'executer normalement
la question en fait est la suivante, en supprimant le fichier via un boot alternatif, on ne l'efface pas physiquement du disque mais uniquement de l'adressage NTFS, un rootkit pourrait il se rétablir après une suppression logique au redémarrage du système? quelqu'un a t il déja effectué un essai similaire?
PS: bien sur l'hypothèse de base est d'avoir identifié tous les éléments infectés, s'il en reste d'actifs au redemarrage je suis d'accord qu'il y a un risque certain de réinfection
j'ai du mal a conceptualiser qu'un rootkit caché sous forme de service par exemple ou de point de montage reg puisse résister un une suppression a partir d'un système non-infecté, surtout si ce système ne permet pas au fichier de s'executer normalement
la question en fait est la suivante, en supprimant le fichier via un boot alternatif, on ne l'efface pas physiquement du disque mais uniquement de l'adressage NTFS, un rootkit pourrait il se rétablir après une suppression logique au redémarrage du système? quelqu'un a t il déja effectué un essai similaire?
PS: bien sur l'hypothèse de base est d'avoir identifié tous les éléments infectés, s'il en reste d'actifs au redemarrage je suis d'accord qu'il y a un risque certain de réinfection
@kraignos: je suis allé chercher de la doc ; mais le noyau windows est très différent du linux ( le système ntfs n'est même pas documenté !!). La variété des rootkits est telle que je ne trouvais pas ta question suffisamment précise pour que l'on puisse y répondre. En d'autres termes chaque rootkit exige un plan de campagne sur mesure. Pour finir je n'ai pas jamais vu les sources windows, donc je ne sais rien, et ne peux que me taire. Bon courage.
Salut à tous ,
je ne suis pas expert en matière technique pure et dure ( je n'ai pas fait d'études en informatique ) ,
mais voilà deux liens forts intéressant trouvés sur le site de Malekal :
-> http://www.malekal.com/machine_hackee.php#mozTocId572886
-> http://3psilon.info/Les-rootkits.html
bonne lecture pour ceux qui ne connaissent pas ... ^^
A+
je ne suis pas expert en matière technique pure et dure ( je n'ai pas fait d'études en informatique ) ,
mais voilà deux liens forts intéressant trouvés sur le site de Malekal :
-> http://www.malekal.com/machine_hackee.php#mozTocId572886
-> http://3psilon.info/Les-rootkits.html
bonne lecture pour ceux qui ne connaissent pas ... ^^
A+
ok merci a toi en tout cas ! en effet le rootkit linux/unix (l'original) est bien différent de ce que ca a donné sous windows, ce qui les rend chiant c'est la superposition de plusieurs éléments infectieux qui se régenerent entre eux, du coup on tourne en rond
je cherche une méthode externe, radicale mais pas basée sur les procédures et outils classiques qui peuvent être piégés par le rootkit (ex combofix, hijackthis etc qui sont trucidés par bagle actif d'ou l'astuce de renommer avec le nom d'un des éléments de bagle lui-même). une methode qui prendrait l'infection de travers (et le vieux boot dos, sans ems/xms, sans drivers, en 16bits me semblait bien adapté)
mais demain je vais m'offrir l'ouvrage que tu cites , ca me cultivera :-)
je cherche une méthode externe, radicale mais pas basée sur les procédures et outils classiques qui peuvent être piégés par le rootkit (ex combofix, hijackthis etc qui sont trucidés par bagle actif d'ou l'astuce de renommer avec le nom d'un des éléments de bagle lui-même). une methode qui prendrait l'infection de travers (et le vieux boot dos, sans ems/xms, sans drivers, en 16bits me semblait bien adapté)
mais demain je vais m'offrir l'ouvrage que tu cites , ca me cultivera :-)
