Ce programme qui scanne votre ordinateur afin de rassembler un certains nombres d'informations comme les applications en cours d'exécution, certains éléments sensibles du registre, la configuration machine etc..
Un peu ce que fait HijackThis ou RunScanner
L'interface se présente avec à gauche sous forme de liste les éléments du système dont vous souhaitez obtenir des informations et à droite le résultat.
Les éléments listés sont identifiés par des couleurs selon leur dangerosité, vert légitime, rouge connu comme étant une menace.
Il est possible en haut de la fenêtre de filtrer l'affichage selon la dangerosité.
Par exemple, vous pouvez masquer les éléments légitimes (vert).
Voici une petite présentation rapide des éléments listés.
Un programme comme celui-ci c'est bien pour visualiser certains éléments du système mais si en plus ça peut nous indiquer si l'on est infecté ou pas, c'est encore mieux.
J'ai donc testé le programme avec deux rootkits :
- Un facile rootkit userland type Magic.Control
- et un rootkit kernel-mode type Trojan.Srizbi
Pour avoir une listé à jour, vous devez aller dans le menu File / Generate, cela peut prendre quelques secondes.
Running Processes
Liste les processus en cours d'exécution. Eset SysInspector liste les modules pour chaque processus avec leur description.
Dans la liste de gauche, on voit bien le processus ubiov.exe qui est le composant de publicitaire installé furtir installé par MailSkinner.
Eset SysInspector n'a donc aucun problème pour le détecter.
Important Registry Entries
Liste les éléments sensibles du registre (Pour plus d'informations, se reporter à la page Tutorial sur la base de registre Windows)
Cette partie est assez complète puisque Eset SysInspector liste les clefs du registre suceptibles de chargés des programmes au démarrage de Windows (donc utilisés par les malwares).
Les éléments du registre relatives à Internet Explorer, les BHO, Winlogon entrées etc.
Pour chaque clefs listées, un clic droit et Open In Regedit, ouvre le programme Regedit sur la dite clef, ce qui est assez pratique.
De même sur un fichier listé, un clic droit et Open file location ouvre le dossier avec le fichier mentionné.
Network Connections
Liste les ports ouverts et connections établies.
Vous pouvez lister selon le protocole TCP ou UDP.
Pour plus d'informations, se reporter à la page Ports ouverts et sécurités
Enfin DNS Servers listent les serveurs DNS configurés sur vos interfaces réseaux.
Services
Liste les services Windows (pour plus d'informations, voir Dossier sur les processus et les services Windows)
Vous remarquerez la fenêtre du scanneur rootkit gmer, ce dernier affiche le service Wuf35 (c'est notre Trojan.Srizbi).
Ce service n'est pas listé par Eset SysInspector. Il semblerait donc que Eset SysInspector ne soit pas capable de voir ce rootkit.
Drivers
Eset SysInspector est aussi capable de lister les drivers chargés.
De même, gmer nous montre la présence du driver Wuf35.sys que Eset SysInspector ne semble pas voir.
Critical Files
Liste le contenu des fichiers systèmes win.ini et system.ini
Liste aussi le fichier HOSTS
System Information
Donne des informations systèmes comme la configuration matérielle, les mises à jour installés, les utilisateurs etc.
File details
Donne la liste des fichiers ouverts avec informations sur ces derniers.
Une fois interressante est la recherche via le champ en haut à droite.
Les résultats s'affichent alors sous forme de liste, il est possible de détailler les informations en cliquant sur la flèche devant chaque entrée.
Remarques personnelles :
La quantité d'information est assez interressante accessible facilement grace au menu de gauche.
De plus, il est possible de filtrer ce qui est assez interressante.
On regrettera cependant qu'Eset SysInspector ne soit pas capable de voir les rootkits kernel-mode.
La possibilité de générer un rapport serait aussi interressant.
La page de téléchargement de la version béta Eset SysInspector : http://www.eset.eu/download/beta