IceSword

Modérateur: Modérateurs et Modératrices

IceSword

Messagede Jim Rakoto » 06 Mai 2006, 19:30

Salut

Trouvé sur le forum de Websecurité, un logiciel de détection, d'informations système , gratuit

IceSword

Le lien pour des explications, le téléchargement et le tutoriel : http://www.open-files.com/forum/index.p ... opic=29383

Très beau travail.

Attention : ce logiciel ne s'adresse pas aux néophytes.

La différence avec Rootkitrevealer est qu'il permet de terminer des processus cachés
http://3psilon.info/index.php?pa=320

Pour mémoire, une navigation passant par DropMyRights vous prémunit déjà contre pas mal de saloperies

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 07 Juin 2006, 07:42

Salut Jim,

Merci pour cet excellent tuyau, j'en connais qui vont être intéressé par IceSword :wink:

Ce qui me fait hésiter à l'installer, c'est :
Il peut cependant entrer en conflit avec certains utilitaires de sécurité actifs avant lui et qui l'empêcheront alors de s'exécuter correctement.
http://www.open-files.com/forum/index.p ... opic=29383


Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 07 Juin 2006, 08:11

IceSword, la version v. 1.12 !! (à différencier de la 1.18, voir plus bas...) installé chez moi :

1) J'ai scanné le fichier *.rar avec Antivir + PestPatrol + A2 = 100% clean puis je l'ai dézippé

2) Juste avant l'"installation" d'IceSword, j'ai configuré Process Guard Full comme suit :

Image

3) J'ai désactivé Antivir, Pespatrol et le TeaTimer de Spybot

Il peut cependant entrer en conflit avec certains utilitaires de sécurité actifs avant lui et qui l'empêcheront alors de s'exécuter correctement.
http://www.open-files.com/forum/index.p ... opic=29383
:roll:

4) J'ai glissé-déposé le dossier IceSword dans C:\Program files et j'ai crée un raccourci

5) J'ai remis les options de Process Guard Full au maximum :

Image

6) J'ai réactivé Antivir, PestPatrol et le TeaTimer

7) J'ai lancé IceSword...et ça fonctionne :wink:

Image

8) J'ai un Ghost en réserve en cas de plantage :wink:

Vraiment excellent, j'm'en va éplucher le tuto, merci Jim

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 07 Juin 2006, 08:48

Re-moi,

Petite précision concernant :

- IceSword

- le Gestionnaire des tâches Windows (tellement vulnérable en cas d'attaque, par un trojan par exemple) et

- Process Guard...

:!: Attention : il faut bien distinguer IceSword v. 1.12 de la v. 1.18 :!:

La v. 1.18 comporte 2 options supplémentaires par rapport à la v. 1.12 et la v. 1.18 doit être configurée différemment dans Process Guard par rapport à la v. 1.12



Il faut configurer Ice Sword dans Process Guard de manière à lui donner l'autorisation de tuer les processus (Capture 1 pour v. 1.12 et Capture 2 pour v. 1.18) à la place du Gestionnaire des tâches de Windows, Gestionnaire que l'on aura bien sûr interdit de tuer les processus via PG (Capture 3) :

=> Capture 1 => IceSword v. 1.12 dans PG
Image


=> Capture 2 => IceSword v. 1.18 dans PG
Image
Pour que IceSword v. 1.18 se lance, il faut cocher <<Install Drivers/Services>> dans "Other options for this application>>, c'est la seul différence de configuration à effectuer dans Process Guard par rapport à la v. 1.12 :!:
(je sais que cet nouvel avertissement fait doublon, mais je trouve utile de le rappeller...).



=> (Capture 3 => le Gestionnaire des tâches - taskmgr.exe - dans PG)
Image
=> décocher <<Terminate protected applications>> empêchera de "terminer le processus" via le Gestionnaire de tâches de Windows.

=> le nouveau "tueur de processus" est maintenant IceSword :

Image

=> pas d'inquiétude, s'il ne sera désormais plus possible de terminer les processus via le Gestionnaire des tâches de Windows, toutes ses autres fonctions restent parfaitement fonctionnelles, la liste des processus est toujours visible, et tout s'affiche normalement dans les autres onglets :

Image

Le pauvre, un vrai Caliméro maintenant, personne ne l'aime ce pauvre Gestionnaire des tâches de Windows, c'est vraiment trop injuste, et tout le monde se lève pour IceSword qui, non seulement tue les processus mais aussi certains processus cachés que Windows "omet" de nous montrer => c'est de cette manière que les rootkit et autres véroles "discrètes" pourront être directement et simplement dérouillées via IceSword, les trucs suspects seront affichés en rouge, mais :!: TOUTES LES LIGNES ROUGES NE SONT PAS NéCESSAIREMENT DES VéROLES :!: alors prudence, IceSword pourrait se retourner contre vous si vous jouez trop aux apprentis-sorciers... :twisted:


Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 07 Juin 2006, 09:32

Re-re-moi :Mouaaarrrrffffffff:

Ce qui suit est précisé dans le tuto, mais je pense opportun de décrire en gros quelques fonctions utiles :

IceSword permet de :

1) Accéder à la BdR via l'onglet Registry

2) Accéder à ses disques + partiton(s) via Files

Image

Vraiment excellent ce log, champion le chinois qui l'a mit au point et qui répond au doux pseudo de « pjf_ », (jfpan20000ARROWBASEsina.com)

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 08 Juin 2006, 06:00

Bonjour,

J'ai édité mon post
Posté le: Mer 07 06 2006 à 09 48
et corrigé mes âneries :roll:

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Jim Rakoto » 08 Juin 2006, 11:04

Salut

Voilà des posts comme on les aime

Un essai d'un logiciel sécurité en images avec trucs et astuces :D

A suivre donc pour voir l'évolution du l'installation :Mouaaarrrrffffffff:


A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 08 Juin 2006, 12:15

Salut Jim,

IMPORTANT : il faut très bien configurer Process Guard, sinon tout cela ne servirait strictement à rien et risquerait même d'être très dangereux, rien de pire d'être convaincu que l'on est en parfaite sécurité, on s'amuse, puis tout s'écroule ! Faut pas se reposer sur ses lauriers, pas sous Windows en tout cas.

=> prendre le temps de lire et d'appliquer TRèS scrupuleusement :

ProcessGuard, Paramétrage des versions lite et full
http://forum.zebulon.fr/index.php?showtopic=66717&hl=#

Protéger les processus
http://benoit.aun.free.fr/securite-faci ... sguard.php

ProcessGuard - Process Guard
http://assiste.com.free.fr/p/internet_u ... sguard.php

C'est bien beau de crouler sous les outils sécuritaires et de se pavaner, mais encore faut-il qu'ils soient tous très bien configurés et encore faut-il connaître le rôle très précis de chacun de ses outils dans sa config.

Bref...

=> Je m'amuse comme un petit fou à dérouiller des processus dans le Gestionnaire des taches de Windows juste pour voir :

Image
cause toujours, tu m'intéresse :Mouaaarrrrffffffff: et hop :
Image
...trop marrant ça :Mouaaarrrrffffffff:

...Mais je dois confesser que ce matin, j'ai fait une belle et sainte boulette, historique, un vrai cancre le Père Horus, mais une brave bête quand même :Mouaaarrrrffffffff: :

Je me suis râté, j'ai dégommé services.exe (au lieu de NOTEPAD.EXE qui me sert aimablement et contre son gré de cobaye :Mouaaarrrrffffffff: c'est marrant de dégommer le notepad (je suis un grand malade, je l'avoue, mais qu'est-ce que je me marre) via IceSword au lieu de le faire via le "nuisible" Gestionnaire des taches de Windows et j'ai brouté grave...J'ai redémarré et Windows m'a demandé de réactiver ma licence :Mouaaarrrrffffffff: Que pouick Sieur Bill, j'avais un Ghost bien au chaud, mon brave Bill, point tu ne m'aura, lève-toi plus tôt mon lapin si tu veux me rattraper :Mouaaarrrrffffffff:

=> je suppose que la morale de ma mésaventure est que si je n'avais pas eu un Ghost nickel-propre, j'eusse été dans le guano jusqu'à la pointe de mon cheveux le plus haut :Mouaaarrrrffffffff:

=> l'autre morale est que je commence à comprendre comment ridiculiser Windows et ses gadgets, et que je prends mon pied, alors, Linux, c'est pas pour tout de suite :Mouaaarrrrffffffff: Windows maîtrisé est un excellent outil, selon moi. On peut s'amuser à lui faire faire des galipettes sans soucis.

Amicalement.

PS : je laisse le soin au "modo(e)s de virer mes smileys s'ils le souhaitent, ils sont aussi nombreux que des processus sur le PC d'un méga-débutant :Mouaaarrrrffffffff: (Yoooh ! Bon délire, sans drogue et sans picoler, c'est le second effet Windows XP, fâ f'est fûr :!: )
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 08 Juin 2006, 18:57

Bonjour,

Les fonctionnalités des rootkit et comment les contrer

19.08.2005

Alexey Monastyrsky
Konstantin Sapronov
Yury Mashevsky
Analyste Virus, Kaspersky Lab

Les auteurs de virus ont toujours fait face à un sempiternel problème : comment conserver la présence des codes malicieux le plus longtemps possible à l'insu des utilisateurs et des solutions antivirus?
http://www.viruslist.com/fr/analysis?pubid=167948065

Le terme rootkit désigne une série de programmes qui permettent au pirate de s'installer sur une machine et d'empêcher sa détection. Pour se faire, les fichiers exécutables (login, ps, ls, netstat etc.) ou bien les bibliothèques (libproc.a) sont modifiés, ou encore, un module noyau est installé. Dans tous les cas, le but est d'empêcher que l'utilisateur ne reçoive des informations indiquant la présence d'activités nuisibles sur son ordinateur.
http://www.viruslist.com/fr/analysis?pubid=167948065

La croissance des rootkit est également favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.
http://www.viruslist.com/fr/analysis?pubid=167948065

Les auteurs de virus ainsi que les développeurs de spyware « légaux » font l'éloge de ces programmes du fait qu'ils sont invisibles pour l'utilisateur et impossibles à détecter par les solutions antivirus.
http://www.viruslist.com/fr/analysis?pubid=167948065

Technologie de Rootkit sous Windows
Masquage de présence dans le système

A l'heure actuelle, on peut diviser en deux sections les méthodes utilisées par les rootkit pour cacher leur présence dans le système:

1. modifications du chemin des programmes exécutables;
2. modification des structures du système .

Ces méthodes sont utilisées pour masquer l'activité dans le réseau, les clés de registre, différents processus c'est-à-dire tous les éléments qui permettent à l'utilisateur, dans une certaine mesure, d'identifier un programme malveillant sur son ordinateur
http://www.viruslist.com/fr/analysis?pubid=167948065

Détection des rootkit

La première étape à franchir pour combattre les rookit est de les détecter.
http://www.viruslist.com/fr/analysis?pubid=167948065


=> vous commencez à mieux comprendre l'alliance stratégique parefeu - antivirus - contôleur d'intégrité (comme Process Guard) - tueur/contrôleur de processus (comme IceSword) autre que le Gestionnaire des taches de Windows XP...

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 08 Juin 2006, 20:49

Bonjour,

Nota : quand je me suis offert mon premier PC il y a plus de 2 ans maintenant, je n'arrêtais pas de me choper des véroles. Je ne disposais d'aucuns outils, ni antivirus, ni parefeu, je ne connaissais pas encore les forums comme celui-ci.

Ma "stratégie" de l'époque en cas d'infection : réinstaller Windows...Pas terrible, il y a mieux ai-je appris avec le temps et grâce à un pote qui a commencé à m'expliquer les choses, un pote que j'ai accepté d'écouter. Cela m'a pris énormément de temps pour commencer à maîtriser Windows, et je suis conscient que cet investissement n'est pas une volonté ni une possibilité pour tout le monde.

S'il y a des procédures et des outils de désinfection efficaces, il y a aussi des moyens pour tout simplement éviter de se choper des véroles, et là son comportement personnel est crucial.

Il y a même des moyens pour empêcher les véroles de "toucher" votre système, véroles conçuent pour désactiver votre panoplie d'outils de sécurité (parefeu et antivirus compris) à votre insu, au cas où, si suite à une erreur, la vérole se serait introduite sur votre C:\.
C'est la stratégie pour laquelle j'ai opté. Cela me permet de rester maître de mon PC, j'aime contrôler moi-même mes processus et les protéger contre toutes interventions malicieuses, j'aime savoir qui fait quoi sur mes PC, j'aime rester maître des programmes que j'ai installé et leur dire "Toi, tu as le droit de te connecter au Net, mais pas toi, je ne te fais pas confiance !"). Mais cela n'est que ma stratégie propre, à chacun(e) de trouver une configuration qui lui convienne


Je me suis dit que se serais une bonne chose d'essayer de donner quelques explications simples, pour tenter de justifier ce sujet...Je vais essayer de faire simple, mais cela ne sera pas très compliqué, vu que je suis moi-même un débutant qui commence à être vaguement éclairé :roll:

=> Vos avis et corrections seraient très bien venues

1) Vous venez d'installer un parefeu, un antivirus, un antispy qui tourne en arrière plan et même une protection de la base de registre (type TeaTimer de Spybot). Vous avez suivi tous les tutos pour bien les configurer.

Vous dites : <<Youpee, je vais pouvoir commencer à surfer peinard, bien à l'abri et en toute sécurité...>>

2) Vous surfez tranquille, vous tomber sur un site qui a l'air sympa et qui propose un programme sympa et gratuit (que je vais nommé "A").

Eh hop, vous le téléchargez et l'installez illoco. Bien sûr, vous êtes tellement sur votre nuage que vous avez négligé de mettre à jour votre antivirus ainsi que les mises à jour de Windows...Du style "ça peut attendre demain !".

3)
Peu de temps après, vous remarquez que votre PC tourne au ralentit, que des écrans bleus commencent à se faire fréquents, que votre messagerie envoie des messages toute seule, que votre disque dur travail tout seul...

4) Il s'agit très probablement d'une infection. "A" contenait une vérole (cheval de Troie, virus,...).

Vous l'avez installé sans le scanner au préalable avec vos outils (antivirus, antispy).

Vous avez fait rentrer vous même l'ennemi dans vos murs... C'est bête ça, hein ;)

La vérole va s'attaquer à vos outils de sécurité, en les désactivant (un peu comme le fait le Gestionnaire des taches de Windows lorsque vous cliquez sur "Terminer le processus"), et certaines véroles sont si bien conçues qu'elles arrivent même à vous faire croire que vos outils de sécurité sont toujours en fonction...

Image
...sauf que ce n'est pas vous qui choississez d'arrêter le processus, c'est la vérole. Triste, hein ?

Vous avez les boules, et c'est compréhenssible.

Mais vous vous débrouillez et vous réussissez à désinfecter votre PC.

Vous vous dites, défaitiste : <<De la daube mes outils de sécurité, ils ne me servent absolument à rien ! Tous des nases sur les forums de sécurité !>> => FAUX ;)

Pour éviter que cette sale mésaventure ne se reproduisent à nouveau, il faut commencer par se poser de meilleures questions, voir remettre son concept de la sécurité en question et se dire :

<<Comment puis-je faire pour protéger mes outils de sécurité contre toutes interventions malicieuses, à mon insu, et donc protéger ainsi mon PC contre les infections? et comment puis-je faire pour que rien ni personne, à par moi-même, ne puisse "Terminer le processus" ?>> => CELA EST POSSIBLE !

1) Installer un "contrôleur d'intégrité" et très bien le configurer (CECI EST VITAL !) de manière à protéger et contrôler ses outils de sécurité, sa messagerie, son browser (Internet Explorer, Firefox,...) et même à protéger le fameux (et fragile !) Gestionnaire des taches de Windows contre toutes interventions malicieuses.

Le contrôleur d'intégrité est une sorte de parefeu, mais interne, alors que le parefeu, lui gère les entrées et les sorties.

Pour imager :

=> Parefeu = un videur à votre porte

=> Contrôleur d'intégrité : le maître de la maison qui regardent si les invités se comportent bien et surtout s'ils ne volent rien quand vous avez le dos tourné. :Mouaaarrrrffffffff:

2) Installer un log style "IceSword" pour avoir ses processus à l'oeil et pour pouvoir, puisque le Gestionnaire des taches de Windows sera "désactivé" (mais les autres onglets restent opérationnels, pas de soucis ;) ), "terminer" vous même les processus, au cas où.

J'entends déjà celles et ceux qui vont dire : <<Il y a aura bien un hacker pour te casser la baraque !"

Oui, cela est possible. C'est pourquoi je reste vigilant et que je m'informe, je remets sans cesse ma configuration en question, je la fais évoluer au mieux, parce que "rien ne dure, tout change".

L'OS parfait ou le log parfait n'existe pas (encore :Mouaaarrrrffffffff: ), mais il y a des choses comme :
IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.
http://www.open-files.com/forum/index.p ... opic=29383
=> c'est le meilleur des mondes possibles.

Et si jamais je devais me faire infecter, je me dirais que ma config n'était pas au point et je me creuserais les méninges pour colmater la faille et pour me recréer une config différente.
Sous Windows, il faut savoir s'adapter, et parfois très vite.

Avec des choses simples et des réflexes simples, ont s'enlèvent déjà beaucoup de soucis...

-= Ressources =-
http://forum.zebulon.fr/index.php?showtopic=64246

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Suivante

Retourner vers Logiciels (tous logiciels) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 5 invités