F-SECURE BLACKLIGHT version spéciale

Modérateur: Modérateurs et Modératrices

F-SECURE BLACKLIGHT version spéciale

Messagede ogu » 17 Oct 2007, 12:12

Bonjour!


Ceux qui comme moi regrettent l'excellent -et très simple- F-Secure Blacklight, un scanner antirootkit permettant de renommer puis de supprimer les virus indétectables (TUTO ICI),qui n'était hélas plus disponible sur le site de F-Secure (qui a décidé de ne pas renouveller la licence gratuite (c'était une version Béta) puis de l'intégrer à sa suite antivirus) se réjouissent: en fouillant un peu, je suis tombé sur une version spéciale de BlackLight (avec interface, pas la version ligne de commande), fournie avec un CD dans le magazine de sécurité allemand C'T, et sans limitation d'utilisation.Il suffit d'accepter la licence , que je n'ai pas sous les yeux pour vous la détailler...Naturellement, il semble que tout ceci soit légal (le magazine a pignon sur rue et le soft dispose d'une licence à accepter),mais si jamais les modos avaient le moindre doute, qu'ils n'hésite pas à supprimer ce post.Dans ce cas, il est bon de signaler que le scan en ligne de F-Secure (à partir d'Internet Explorer) inclut la détection des rootkits à partir de BlackLight.


Le site (ID Réseaux) hébergeant cette version spéciale de BlackLight se trouve ici:

http://id-reseaux.info/blog/index.php?post...version-special

L'executable à télécharger se trouve au milieu de la page dans la rubrique "annexe" et se nomme "blliroel.zip".

J'ai questionné le bloggeur sur la provenance de cette version, sa réponse a été immédiate et semble convaincante.Par méfiance j'ai testé l'executable sous la protection de Prosecurity et son activité semble identique à celle de feu BlackLight Béta.Par ailleurs les deux executables ont strictement le même poids:899952 bytes, bien que le MD5 change.A priori cette version est donc sans danger.

L'analyse antivirus de VirusTotal n' a rien donné non plus:

Image

Merci à l'auteur d'ID Réseaux d'avoir fait partager sa trouvaille..
Avatar de l’utilisateur
ogu
 
Messages: 204
Inscription: 02 Juil 2006, 18:41
Localisation: Seine Saint Denis

Messagede nardino » 17 Oct 2007, 22:48

Bonsoir Ogu,

Merci pour l'info, mais je pense qu'il est risqué de préconiser l'usage de cet outil sur les forums dans les procédures de recherche.
Quelqu'un ayant des connaissances en droit pourra nous informer à ce sujet.
Ce n'est certes pas présenté comme un plagiat, mais le nom du fichier n'est plus en adéquation avec ce qui apparait sur celui-ci.
Cependant pas de scrupules à l'utiliser à titre perso. :wink:

@+
nardino
 
Messages: 377
Inscription: 31 Juil 2006, 14:34

Messagede ogu » 18 Oct 2007, 11:42

Nous sommes bien d'accord Nardino, c'est pour ça que j'ai été prudent (analyse antivirus et comportementale), que j'ai vérifié la source (mais je ne parle pas allemand!!), et que j'ai prévenu les modos du caractère "peu ordinaire" de ce BlackLight !

Au niveau du droit, il semblerait que cette version était légale au moment de sa distribution; or la licence étant sans limitation de durée, j'imagine qu'on peut l'utiliser sans souci...

BlackLight m' a toujours impressioné par sa rapidité et sa simplicité: il scanne, il indique, on renomme et on efface, rien de plus pratique!C'est pour ça que, comme tu l'indiques, je n'hésite pas à m'en servir à titre perso!
Avatar de l’utilisateur
ogu
 
Messages: 204
Inscription: 02 Juil 2006, 18:41
Localisation: Seine Saint Denis

Messagede Vazkor » 18 Oct 2007, 13:24

Salut,

Je me suis amusé à faire une comparaison binaire des deux fichiers.
Même si leur taille réelle ne diffère que de 8 malheureux octets, les binaires sont forts différents.

Et c'est normal puisqu'il s'agit de deux versions différentes.
Mais elles sont toutes deux de F-SEcure Corporation :
blbeta.exe = 878 Ko (899 960 octets) version 2.2.1055.0 datée du 03/03/2007, signature numérique de décembre 2006
blliroel.exe = 878 Ko (899 952 octets) version 2.2.1064.0 datée du 03/07/2007, signature numérique du 13 juin 2007

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9776
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede nardino » 18 Oct 2007, 20:10

Salut Vazkor,

Ce sont peut-être les huit octets qui limitent l'utilisation. :D

@+
nardino
 
Messages: 377
Inscription: 31 Juil 2006, 14:34

Messagede Vazkor » 19 Oct 2007, 02:22

Bonjour Nardino,

J'ai comparé les deux fichiers avec Total Commander en mode binaire. Les différences étant affichées en rouge, c'est près d'un quart des fichiers qui était différent. Et il ne s'agissait pas d'un simple décalage du code.

Non, il ne s'agit pas d'un simple patch, du genre remplacement d'un Jmp conditionnel par un Jmp absolu ou relatif, ou d'un Call par des NOP, ce qui bien souvent ne modifie pas la taille du fichier.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9776
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités