Les antirootkits...bof sauf 4

Modérateur: Modérateurs et Modératrices

Les antirootkits...bof sauf 4

Messagede Jim Rakoto » 11 Mar 2007, 19:05

Salut

Un article intéressant de Openfiles qui reprend les tests fait par l'équipe de RkUnhooker.

Ils ont testé RKUnhooker ainsi que Avira, AVG, AVZ, BitDefender RkUncover, Blacklight, catchme, DarkSpy, flister, GMER, Helios, Hidden Finder, Hook Analyzer, Hook Explorer, IceSword, klister, McAfee Rootkit, Detective, modGREPER, Panda ARK (Tucan), Process Master (hf), Process Master, RAIDE, Rootkit Revealer, RkDetector 2, RkDetector, Rootkit Buster, Safe’n’Sec, RkTrap, SafetyCheck, Sophos ARK, SEEM, SVV, UnHackMe, VICE.

En comparant leurs réactions face à des rootkits comme afx 2005 (rootkit de test), all-in-one (malware), badrkdemo (test rk), gromozon (malware), hxdef (test rk), haxdoor (malware), phide_ex (test rk), rkdemo v1.0/1.1/1.2 (test rk), rustock.a / rustock.b (malware), unreal.a (test rk), vanquish (test rk).

Les résultats sont assez désespérants.

Les résultats, publiés avec le titre évocateur « Modern ARK’s - illusion of detection ? », ne surprennent pas vraiment. Les antirootkits les plus anciens sont complètement dépassés. Les outils réputés ne donnent pas les meilleurs résultats. Beaucoup ne détectent que quelques uns des rootkits. La majorité est incapable de les éradiquer.

Même RkUnhooker dans sa version 3.20 n’est pas parfait. Par exemple, le driver de "phide_ex" ne serait pas détecté sans « bidouillage ». Pourtant, c’est actuellement le plus performant.

Dans la catégorie des logiciels auxquels on peut encore attribuer quelque confiance, et après RkUnhooker, se trouvent Gmer, DarkSpy et IceSword, tous gratuits. Aucun des autres n’est vraiment crédible. Certains, même payants, sont totalement lamentables.


Source : http://www.open-files.com/article507.html


Les plus mauvais

* Les plus mauvaises appréciations correspondent à des ARKs obsolètes ou qui comportent des insuffisances et même des erreurs de conception ...

AVG (Grisoft), RkUncover (BitDefender), catchme (Gmer), les ARKs de Joanna Rutkowska (les premiers, maintenant trop anciens), Helios (MIEL e-Security), Hook Analyzer (Resplendence), Hook Explorer (iDefense), Rootkit Detective (McAfee), Panda ARK (Tucan - Panda Software), Process Master hf (Octopod), Raide (Peter Silberman), RkDetector (Andrès Tarasco), Rootkit Buster (Trend Micro), Safe'n'Sec RkTrap (Safensoft), VICE.

* Guère mieux, UnHackMe (payant - Greatis software) reçoit la mention « -infini ».
* Encore mauvais, Process Master (Octopod) et Hidden Finder (payant - WenPoint) ont -1.
* Déjà un peu mieux, SafetyCheck, Antivir (payant - Antivir), Blacklight (payant - F-Secure), Seem et Sophos ARK recoivent une note entre 1- et 1+

* A l'étage au dessus se trouvent Rootkit Revealer (Sysinternals) avec 2- et AVZ (Zaytsev Oleg) avec 2.



Et puis les meilleurs

RKUnhooker, Icesword, Darkspy, Gmer


http://www.open-files.com/forum/index.p ... opic=31333

Il est possible de faire ses propres tests, voir le lien ci-dessus.

Note : ne pas faire tourner deux antirootkits en même temps

Ne pas lancer Darkspy avec KAV6 (qui a un antirootkit)

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 11 Mar 2007, 20:12

Jim Rakoto a écrit:...
RKUnhooker, Icesword, Darkspy, Gmer
...
Bonjour Jim et merci pour cette info :wink:

Dommage que Darkspy me fasse un écran bleu de la mort :( IceSword et Gmer me satisfont jusqu'à maintenant même si mes PC semblent désespérément propres :? Mais les meilleurs sont des freeware, cool :D

J'espère que les internautes commenceront à réaliser que les rootkits (même si Tesgaz n'apprécie pas le sens de ce mot sous Windows...) deviennent une menace aussi sérieuse, sinon plus, que les virus tels que "traîtés" par les antivirus "classiques", même si ces derniers ne sont de loin pas à négliger.

Black Hat 2007 : une conférence sous le signe de la suspicion, extraits de l'article :
...Joanna Rutkowska, est de nouveau montée à la tribune (lire l'article La sécurité de Vista mise en question du 08/08/2006). Elle y a présenté un PoC (proof-of-concept) permettant de dissimuler un code d'attaque, son utilisation de la mémoire, même aux outils de détection des rootkits les plus performants.

La méthode de détection des rootkits consiste à inspecter le canal d'accès direct à la mémoire, appelé DMA (Direct Memory Access). Celui-ci désigne un accès à un emplacement de la mémoire vive (RAM), avec une adresse de début et une adresse de fin. Le code furtif mis au point par Joanna Rutkowska n'interdit pas de découvrir l'infection du système, mais il empêche d'obtenir l'image de la mémoire où il se dissimule....
http://solutions.journaldunet.com/0703/ ... 2007.shtml
:? et re-:? avec
...John Heasman a quant à lui démontré la possibilité de cacher des programmes malveillants dans n'importe quels composants PC (carte graphique, lecteur DVD, batterie) en utilisant l'espace mémoire dont ils disposent. Changer le disque dur ou réinstaller le système d'exploitation ne permettrait pas conséquent pas de se défaire de la menace. Début 2006, John Heasman avait déjà présenté des travaux sur la conception d'un rootkit résidant au sein du BIOS (Basic Input Output System)....
http://solutions.journaldunet.com/0703/ ... 2007.shtml
En tant que semi-novice, il me semble avoir comprit que les rootkits utilisent la technique du "crochetage" (sympa de voir un article de 3psilon, une des conceptrices de Seem, un anti-rootkit que j'ai mis à ma panoplie : Seem - System Eyes & Ears Monitor, sur http://seem.about.free.fr/ , en 2ème position sous Google avec les critères "crochetage, hook" dans les pages francophones :D )
"Crochetage" ou "accrochage" - ("Hook" - "Hooking") : technique utilisant des "crochets" pour provoquer une séquence de traitement différente de l'originale. Après un crochetage, la séquence se déroule dans un ordre particulier. Le nouveau crochet enregistre sa propre adresse pour effectuer son traitement et revient à l'original à un moment donné, généralement à la fin. « Unregistering » (ou « restore ») signifie remettre en place le procédé original.
L'accrochage ou crochetage peut être employé pour beaucoup de raisons y compris la correction ou l'extension des fonctionnalités originales. Il peut aussi être utilisé pour injecter un code potentiellement malveillant dans le traitement....
http://3psilon.info/Nouvel-article,45.html
...ceci justifie donc, à mon avis, l'installation d'un contrôleur d'intégrité style Process Guard full, voir http://assiste.com.free.fr/p/logitheque ... sguard.php , mais bon, il y les "pro" de la Toile qui peuvent s'en passer, mais pas un utilisateur comme moi :roll:

Quand Process Guard me bloque des "tentatives de pénétration de mon système" (je ne suis pas certain d'employer les termes justes...) par IE, je ne me pose pas de question avec un truc aussi intrusif qu'IE, mais quand je vois des log comme Foobar, SIW et AudioVideo to exe être empêchés par PG de crocheter mon système, je deviens un peu sceptique...Mais mon scepticisme provient sûrement de mon ignorance :? Je me demande pourquoi des logs comme ceux précités tentent de crocheter "mon" Windows XP SP2...

Amicalement.

PS : Désolé pour la longueur du post, mais parfois le Père Horus se lâche en essayant d'être constructif, ça change de certains éclats "horusiens" assez peu brillants :?

Une tite capture de Process Guard full qui montre les protections offertes, voir le tuto Assiste cité plus haut :
Image
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede bellafago » 14 Mar 2007, 20:50

bonjour,

Il existe aussi RPK profiler pour Linux ...
RKProfiler LX est gratuit mais son code n'est pas pour autant placé sous une licence Open Source ; sa documentation ainsi que son téléchargement sont disponibles sur le site « trapkit.de » .

Site de téléchargement : Trapkit ,
Et source du document : secuobs .com , un peu hors sujet , effectivemment , car il s'agit de Linux ... et apparemment , ne tourne " que " sur 32 bits ...

@+
Avatar de l’utilisateur
bellafago
 
Messages: 5389
Inscription: 14 Avr 2005, 12:49

Messagede noisette » 25 Juil 2007, 20:23

Bonjour à tous,

je viens avertir de la sortie de la version 3.7 de RkUnhooker, disponible sur le site officiel.

Par ailleurs, un dossier de francisation est disponible sur cette page.

:-)
noisette
 
Messages: 3
Inscription: 26 Mai 2007, 06:39


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité