Page 1 sur 1

F-SECURE BLACKLIGHT version spéciale

MessagePosté: 17 Oct 2007, 12:12
de ogu
Bonjour!


Ceux qui comme moi regrettent l'excellent -et très simple- F-Secure Blacklight, un scanner antirootkit permettant de renommer puis de supprimer les virus indétectables (TUTO ICI),qui n'était hélas plus disponible sur le site de F-Secure (qui a décidé de ne pas renouveller la licence gratuite (c'était une version Béta) puis de l'intégrer à sa suite antivirus) se réjouissent: en fouillant un peu, je suis tombé sur une version spéciale de BlackLight (avec interface, pas la version ligne de commande), fournie avec un CD dans le magazine de sécurité allemand C'T, et sans limitation d'utilisation.Il suffit d'accepter la licence , que je n'ai pas sous les yeux pour vous la détailler...Naturellement, il semble que tout ceci soit légal (le magazine a pignon sur rue et le soft dispose d'une licence à accepter),mais si jamais les modos avaient le moindre doute, qu'ils n'hésite pas à supprimer ce post.Dans ce cas, il est bon de signaler que le scan en ligne de F-Secure (à partir d'Internet Explorer) inclut la détection des rootkits à partir de BlackLight.


Le site (ID Réseaux) hébergeant cette version spéciale de BlackLight se trouve ici:

http://id-reseaux.info/blog/index.php?post...version-special

L'executable à télécharger se trouve au milieu de la page dans la rubrique "annexe" et se nomme "blliroel.zip".

J'ai questionné le bloggeur sur la provenance de cette version, sa réponse a été immédiate et semble convaincante.Par méfiance j'ai testé l'executable sous la protection de Prosecurity et son activité semble identique à celle de feu BlackLight Béta.Par ailleurs les deux executables ont strictement le même poids:899952 bytes, bien que le MD5 change.A priori cette version est donc sans danger.

L'analyse antivirus de VirusTotal n' a rien donné non plus:

Image

Merci à l'auteur d'ID Réseaux d'avoir fait partager sa trouvaille..

MessagePosté: 17 Oct 2007, 22:48
de nardino
Bonsoir Ogu,

Merci pour l'info, mais je pense qu'il est risqué de préconiser l'usage de cet outil sur les forums dans les procédures de recherche.
Quelqu'un ayant des connaissances en droit pourra nous informer à ce sujet.
Ce n'est certes pas présenté comme un plagiat, mais le nom du fichier n'est plus en adéquation avec ce qui apparait sur celui-ci.
Cependant pas de scrupules à l'utiliser à titre perso. :wink:

@+

MessagePosté: 18 Oct 2007, 11:42
de ogu
Nous sommes bien d'accord Nardino, c'est pour ça que j'ai été prudent (analyse antivirus et comportementale), que j'ai vérifié la source (mais je ne parle pas allemand!!), et que j'ai prévenu les modos du caractère "peu ordinaire" de ce BlackLight !

Au niveau du droit, il semblerait que cette version était légale au moment de sa distribution; or la licence étant sans limitation de durée, j'imagine qu'on peut l'utiliser sans souci...

BlackLight m' a toujours impressioné par sa rapidité et sa simplicité: il scanne, il indique, on renomme et on efface, rien de plus pratique!C'est pour ça que, comme tu l'indiques, je n'hésite pas à m'en servir à titre perso!

MessagePosté: 18 Oct 2007, 13:24
de Vazkor
Salut,

Je me suis amusé à faire une comparaison binaire des deux fichiers.
Même si leur taille réelle ne diffère que de 8 malheureux octets, les binaires sont forts différents.

Et c'est normal puisqu'il s'agit de deux versions différentes.
Mais elles sont toutes deux de F-SEcure Corporation :
blbeta.exe = 878 Ko (899 960 octets) version 2.2.1055.0 datée du 03/03/2007, signature numérique de décembre 2006
blliroel.exe = 878 Ko (899 952 octets) version 2.2.1064.0 datée du 03/07/2007, signature numérique du 13 juin 2007

@+

MessagePosté: 18 Oct 2007, 20:10
de nardino
Salut Vazkor,

Ce sont peut-être les huit octets qui limitent l'utilisation. :D

@+

MessagePosté: 19 Oct 2007, 02:22
de Vazkor
Bonjour Nardino,

J'ai comparé les deux fichiers avec Total Commander en mode binaire. Les différences étant affichées en rouge, c'est près d'un quart des fichiers qui était différent. Et il ne s'agissait pas d'un simple décalage du code.

Non, il ne s'agit pas d'un simple patch, du genre remplacement d'un Jmp conditionnel par un Jmp absolu ou relatif, ou d'un Call par des NOP, ce qui bien souvent ne modifie pas la taille du fichier.

@+