Exploration de processus sous Windows avec Process Hacker

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Exploration de processus sous Windows avec Process Hacker

Message par ѠOOT » 18 mars 2014 10:17

J'ai examiné dès l'aube, à l'heure où blanchit la campagne, (^_o) un fichier envoyé hier détecté par seulement un antivirus sur 50 moteurs. L'occasion où jamais de s'attarder 5 minutes sur les gestionnaires de processus. Un processus informatique est un programme en cours d'exécution. La célèbre combinaison de touches CTRL+ALT+SUPPR de Windows permet d'afficher l'horrible "Gestionnaire des tâches de Windows". Les utilisateurs fidèles à Microsoft connaissent bien son grand frère, nettement plus performant, Process Explorer de Mark Russinovich. Par contre, aucun sujet sur le forum concernant le logiciel gratuit et open source sous licence GPLv2 / GPLv3, Process Hacker le magnifique alors c'est l'heure d'y remédier. Voici un exemple d'usage un peu plus poussé qu'à la normale, ça vous donnera un aperçu des capacités de l'outil.

→ L'interface principale est entièrement personnalisable.
Image

Il est facile de distinguer les services des processus utilisateurs.
D'autant que le menu "View" permet d'affiner les affichages.

→ "System Information" : graphiques sur les usages (CPU/Mem/...)
Image

Au passage de la souris sur les courbes, vous affichez l'historique.
Les zones peuvent être cliquées afin d'en afficher les détails.

→ Un double-clique sur le processus affiche ses propriétés.
Image

Ce "svchost.exe" a démarré il y a 12 minutes et 19 sec.
Il y a eu injection de code malveillant sur ce programme légitime.

→ L'onglet "Handles" permet de lister les objets.
Image

Ci-dessus, nous pouvons observer le nom du mutex.

Nous avons la possibilité d'un clique-droit de fermer un handle.
Ce qui s'avère très pratique dans les cas d'un fichier "coincé".

→ L'onglet "Memory" va lister les allocations mémoires.
Image

Le bouton "Strings" permet de lister les chaines de caractères ASCII & UNICODE.
Évaluer un programme en cours d'exécution grâce à ses chaines de caractères.
Procédé qui ne nécessite aucune connaissance et qui fonctionne dans 70% des cas.
Il est aussi possible d'effectuer des recherches avancées, par exemple "http://"
Vous pouvez enregistrer les résultats de vos recherches dans un fichier texte.

Sur l'image, vous avez ces lignes qui sont grisées:
svchost.exe: Image (Commit), 0x1000000, 4 kB, R
svchost.exe: Image (Commit), 0x1001000, 12 kB, RX
svchost.exe: Image (Commit), 0x1004000, 4 kB, WC
svchost.exe: Image (Commit), 0x1005000, 4 kB, R


L'injection de svchost.exe ( X = eXecution )
Private (Commit), 0x4000000, 60 kB, RWX

→ Un double-clique sur l'adresse 0x4000000
Image

Nous voyons bien la présence d'un PE.
Un peu plus loin se trouve son petit frère.

Image
Le bouton "Save" permet d'enregistrer la zone intéressante.

Bien sûr, ça n'est qu'un préliminaire, ça ne dispense pas d'analyses.
Mais en 2 minutes chrono, j'ai évalué si faux positif (VT: 1/50) ou pas :þ


‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Malekal_morte
Site Admin
Site Admin
Messages : 95747
Inscription : 10 sept. 2005 13:57
Contact :

Re: Exploration de processus sous Windows avec Process Hacke

Message par Malekal_morte » 21 mars 2014 21:30

Bizarre vu par où c'est venu, j'aurai dit Reveton.
ca n'a pas l'air de coller pour le peu qu'on voit.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Re: Exploration de processus sous Windows avec Process Hacke

Message par ѠOOT » 22 mars 2014 10:57

Bonjour Malekal,

Nous aurons l'occasion d'en rediscuter.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »