Détails rootkits

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
computer007

Détails rootkits

par computer007 »

Bonsoir,

Je ne sais pas si la rubrique est bien choisie, mais elle me semblait être la plus adéquate.
Je vais en fait vous présenter mon projet, ce que je cherche à faire et ce qui me pose problème, et bien entendu tout ceci est lié de très prêt à la sécurité, et plus particulièrement aux rootkits.

Pour mes études je suis en train dé réaliser une application .NET qui est chargée de supprimer divers keyloggers.
Je suis en fait passionné de sécurité informatiques, et faire un projet autour de la sécurité me tenait à coeur depuis longtemps.
Tout ça pour dire qu'aujourd'hui l'application fonctionne pour des menaces basiques qui sont installés sur le système, par exemple par des parents qui veulent surveiller leurs enfants, et donc des "menaces" particulièrement simple étant donné que le process apparait dans la liste des processus, etc...
C'est sympa, mais ce qui m'intéresse vraiment est en fait les nouvelles menaces sous forme de rootkits.
J'ai lu les posts de Malekal sur les rootkits et j'ai déjà beaucoup appris (je l'en remercie d'ailleurs). Je voudrais donc rendre mon application capable de supprimer une menace spéciale, mais qui utilise des technologies de rootkits. Ainsi la désinfection serait automatisée, car certaines personnes n'osent pas utiliser GMer par exemple.
Comme vous vous en doutez les méhodes du framework .NET sont capables de récupérer des process et fichiers uniquement visibles.

Mes questions seraient donc les suivantes.
1) Comment récupérer une menace que je pourrais installer sur mon PC, que je tenterais de supprimer manuellement puis par la suite, rendre ceci automatique depuis mon appli? Il est plus facile de chopper une menace involontairement (quoique cela fait depuis bien longtemps que j'ai eu l'occasion de désinfecter mon propre PC) que d'arriver à la récupérer!

2) J'ai compris la base de rootkits, la modification d'une table pour détourner les appels faits au système, etc...
Seulement, comment le driver est il lancé exactement. Une simple ligne dans la base de registre permet de langer un .sys au démarrage, et ce .sys est capable de cacher les process et dossiers? J'ai aussi lu (je ne sais plus où) que des services pouvaient être utilisés, quels liens ont-ils exactement?

3) Maintenant je pars du principe de lé désinfection manuelle d'une menace (je ne sais pas laquelle choisir, mais pas une menace qui soit trop évoluée, je pense que Malekal sera à même de me conseiller quelle menace choisir):
Une fois installé, comment procéder, sans outils externes, mis à part pour m'aider à détecter etc, pour supprimer la menace. Vu que le driver (.sys?) tourne et empêche de détecter le menace, que dois je faire?
SI tout est caché, comment stopper le driver qui pose problème (tout est caché voire verrouillé).
J'espère que vous voyez sur quoi je bloque.

Si quelqu'un pouvait m'expliquer en détails comment fonctionne une menace ciblée par exemple, et un moyen de supprimer manuellement le rootkits sans avoir recours à des logiciels externes (ce qui me permettra ensuite de coder mes actions manuelles en .NET), je lui en serait bien reconnaissant, parce que la sécurité me passionne vraiment et j'aimerais beaucoup mener à bien mon projet. Autre précision, je m'intéresse ici ou rootkit kernel-mode.

Merci à tous,

PS: Honnêtement c'est le premier site de sécurité aussi pointu que j'ai pu trouver sur le net, et c'est d'aileurs à la suite de la lecture d'un article sur celui-ci que j'ai pris conscience des lacunes d'Avast que je conseillais bien trop souvent auparavant.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Détails rootkits

par Cyborg »

Tu as essayé les forums de programmation?

Autant Malekal pourra sûrement te conseiller et te guider pour tester tes progs et faire les manips à la main. Autant, à mon avis, il te faudra t'adresser à des forums plus pointus en programmation pour savoir comment faire ce que font les anti-rootkits habituels ou alors gmer, par exemple.

Question pour les gens qui connaissent pleins de logiciels : il n'y a pas de logiciel incluant un anti-rookits en licence GNU GPL (-> donc accès aux codes sources possible)?

En tout cas, j'suis curieux de savoir un peu comment tu vas faire. PDT_018 Ca t'embêtera pas de décrire un peu les méthodes que t'utilises au fur et à mesure que tu avanceras? PDT_012 Etant programmeur, le principe m'intéresse, même si je n'aurai jamais l'occasion de bosser là-dessus. PDT_006
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
computer007

Re: Détails rootkits

par computer007 »

Bonjour,

C'est effectivement pour la partie compréhension de l'infection et désinstallation manuelle que je suis venu sur le forum demander l'aide de Malekal. Pour ce qui est de la programmation j'aurais juste à traduire mes opérations manuelles en progra donc pour ça j'ai la doc MSDN donc ça devrait aller.

Et il n'y a pas de problème je pourrais venir expliquer comment j'ai procédé en programmation pour supprimer le rootkit.

J'attends donc Malekal pour mieux comprendre toutes les étapes de désinfection, et pour trouver une menace rootkit en kernel-mode pas trop évolué non plus.

Merci d'avance
Contact75

Re: Détails rootkits

par Contact75 »

computer007 a écrit :Bonjour,

C'est effectivement pour la partie compréhension de l'infection et désinstallation manuelle que je suis venu sur le forum demander l'aide de Malekal. Pour ce qui est de la programmation j'aurais juste à traduire mes opérations manuelles en progra donc pour ça j'ai la doc MSDN donc ça devrait aller.

Et il n'y a pas de problème je pourrais venir expliquer comment j'ai procédé en programmation pour supprimer le rootkit.

J'attends donc Malekal pour mieux comprendre toutes les étapes de désinfection, et pour trouver une menace rootkit en kernel-mode pas trop évolué non plus.

Merci d'avance
Cela peut t'interesser :

http://northsecuritylabs.com/downloads/whitepaper-html/

Sinon pour en savoir un peu plus tu peux essayer de te procurer les numéros 33 et 34 de MISC, il y avait de bons articles sur le sujet.

La revue est très bien faite et c'est accessible dès lors que tu as quelques connaissances infos et reseaux.

http://www.miscmag.com/fr/

Sinon (liens en fin d'article)

http://en.wikipedia.org/wiki/Rootkit

dont l'excellent : http://www.antirootkit.com/
computer007

Re: Détails rootkits

par computer007 »

Bonjour,

Merci pour les articles, mais cela ne me détaille pas précisément comment venir à bout d'une menace sans Gmer ou autre par exemple.
Les notions de réseau je les aient je suis en DUT Réseau & Télécommunication.

En fait je chercherais à ce que Malekal m'explique comment faire pour supprimer la menace parce qu'une fois installée elle est cachée, donc quels moyens j'ai pour supprimer l'infection si je sais où elle est?
Je pense à quelquechose mais je ne sais pas comment m'y prendre:
Au démarrage comment empêcher WIndows de charger les services, enfin comment supprimer le fichier .sys avant que Windows ne l'est chargé? Et comment être capable de détecter la menace (je ne parle aps encore de la supprimer) lorsque le driver qui cache l'infection est présent. Comme ça si l'infection est détectée je demande à l'utilisateur de redémarrer, sinon je lui dit que c'est Clean.

Enfin je ne suis pas du tout spécialiste pour cela donc j'aurais bien aimé que Malekal_Morte me dise comment je peux venir à bout d'un rootkit manuellement, et puisse me dire quel rootkit simple je pourrait utiliser (en mode kernel).

Merci beaucoup.
Malekal_morte
Messages : 110293
Inscription : 10 sept. 2005 13:57

Re: Détails rootkits

par Malekal_morte »

Les rootkits kernel-mode, c'est en général pas simple.
Je te passerai deux trois liens avec divers rootkits dans la soirée ou demain.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Détails rootkits

par Cyborg »

computer007 a écrit :Je pense à quelque chose mais je ne sais pas comment m'y prendre:
Au démarrage comment empêcher Windows de charger les services, enfin comment supprimer le fichier .sys avant que Windows ne l'est chargé? Et comment être capable de détecter la menace (je ne parle aps encore de la supprimer) lorsque le driver qui cache l'infection est présent. Comme ça si l'infection est détectée je demande à l'utilisateur de redémarrer, sinon je lui dit que c'est Clean.
Tu voudrais pas plutôt faire un peu comme le scan au démarrage d'Avast? Il programme une analyse qui s'exécutera avant le démarrage complet de Windows. Cependant, je ne sais pas comment faire...
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
computer007

Re: Détails rootkits

par computer007 »

Bonsoir,

Cyborg, oui pourquoi pas, je cherche justement quelle méthode je peux employer pour détecter ce genre de menace.
EDIT: C'est à toi qu'appartient perdu.com?? Mythique ce site! Je n'aurais jamais pensé tomber sur la personne de ce site (si tu es bel est bien le webmaster).

Merci Malekal d'être venu répondre, il n'y a pas de problème j'attends tes liens quand tu auras le temps (et si tu peux m'expliquer brièvement comment faire pour supprimer une menace manuellement ce serait sympa).

Merci beaucoup, bonne soirée à tous PDT_016
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Détails rootkits

par Cyborg »

computer007 a écrit :Je cherche justement quelle méthode je peux employer pour détecter ce genre de menace.
On s'est mal compris. Gmer a des méthodes afin de détecter les rootkits. Ca, c'est la partie que tu recherches : être capable de les trouver / détecter malgré leur statut de planqués.
La référence à Avast était simplement pour te donner un exemple de programme pouvant être lancé au démarrage, un peu comme un lancement en mode sans échec.
computer007 a écrit :EDIT: C'est à toi qu'appartient perdu.com?? Mythique ce site! Je n'aurais jamais pensé tomber sur la personne de ce site (si tu es bel est bien le webmaster).
Absolument pas. Je garde simplement la référence parce que je le trouve sympa.
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
Malekal_morte
Messages : 110293
Inscription : 10 sept. 2005 13:57

Re: Détails rootkits

par Malekal_morte »

computer007 a écrit :Merci Malekal d'être venu répondre, il n'y a pas de problème j'attends tes liens quand tu auras le temps (et si tu peux m'expliquer brièvement comment faire pour supprimer une menace manuellement ce serait sympa).
Mais tu vas avoir du mal car les rootkits kernel-mode avancés qui forment certains botnet évoluent vite.
De plus, elles ont chacun leur particularité (et en prg les particularité ...).
Ex tu prends Bagle... il te patch un fichier exécutable au pif pour que si tu le vires, il se recharge...
D'autres ont des fichiers au démarrage qui sont mis à jour, toujours pour réinstaller le rk si tu le vires.
etc.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
computer007

Re: Détails rootkits

par computer007 »

Bonjour,

Veuillez m'excuser pour cette réponse tardive, l'écran de mon PC portable est tombé en rade => retour SAV et tout le tralala, d'où mon absence.

J'ai bien pris note de vos remarques. Etant donné que ce genre de rootkit utilise des méthodes complexes avec des noms aléatoirs, etc.. j'ai décidé de me rabbatre sur quelquechose de similaire mais qui me semble plus abordable.

J'ai utilisé Process Explorer pour essayer de me familiariser un peu avec ce dernier.

En fait j'ai installé sur un PC de test le logiciel ActualSpy (récupérable ici pour la suite http://www.actualspy.com/download.html). Ce dernier dispose d'une fonction qui permet de cacher le processus du gestionnaire de tâche et de processus (sous XP et Vista).
Process Explorer le détecte bien malgrè qu'il soit caché. Pour ma part je ne comprend pas comment ce processus est caché et comment arriver a le killer sans passer par l'outil justement (faire tout cela manuellement, ProcessExplorer doit juste permette de déterminer comment ça fonctionne pour ensuite pouvoir faire ça manuellement).

Je voulais donc demander à Malekal s'il avait le temps d'essayer d'installer ce logiciel, et de m'expliquer comment il fonctionne et comment je pouvais le supprimer manuellement (killer le processus et avant le faire réapparaitre).
Ca serait vraiment sympa parce que de mon côté je cherche, mais là ce genre de fonctions assez pointues je n'arrive pas vraiment à les assimiler (et vu que je ne connais pas, une fois qu'on sait ça parait simple mais avant...)

Merci beaucoup, PDT_019

Bonne journée
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Détails rootkits

par Cyborg »

Malekal_morte a écrit :Mais tu vas avoir du mal car les rootkits kernel-mode avancés qui forment certains botnet évoluent vite.
Etant programmeur aussi, je pense qu'il voudrait vraiment arriver à le faire sur un exemple précis. PDT_017
Moi, en tout cas, c'est ce que je voudrais.
PDT_005
Le principe, c'est de toucher aux méthodes, etc. PDT_018
Malekal_morte a écrit :De plus, elles ont chacun leur particularité (et en prg les particularité ...).
En prog, c'est les points communs qui nous intéressent. 's'en fout des particularités. PDT_004
Malekal_morte a écrit :Ex tu prends Bagle... il te patch un fichier exécutable au pif pour que si tu le vires, il se recharge...
Et comment fais-tu pour nettoyer un Bagle alors? Parce que là, c'est bien le processus qu'il faut dégager. A la rigueur, le fichier, on s'en fout.
Malekal_morte a écrit :D'autres ont des fichiers au démarrage qui sont mis à jour, toujours pour réinstaller le rk si tu le vires.
etc.
Dans ce cas, il faudrait arriver à bloquer et nettoyer les trucs qui s'installent au démarrage, si une menace a été détectée. D'ailleurs, j'ai pas le souvenir que l'IDS de Comodo ne détecte quoi que ce soit lorsque je lançais un scan au démarrage d'Avast. Hors y'a pas de raison que n'importe qui/quoi puisse exécuter des progs au démarrage de Windows à la manière d'un mode sans échec...

Bon, je parle de façon générique, car je n'ai aucune idée des méthodes à utiliser derrière pour faire ça. PDT_043
Mais arriver à retirer un rootkit en particulier, ça permet de toucher à ce genre de méthode. Et en touchant à ça, on verra ce qui est faisable, et ce qui ne l'est pas...
PDT_003
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
computer007

Re: Détails rootkits

par computer007 »

Bonjour,

Je me permet de reposter parce que l'échéance approche et j'aurais vraiment souhaité faire une démo pour supprimer un processus caché.

Merci à ceux qui pourront m'aider
Avatar de l’utilisateur
Cyborg
Messages : 689
Inscription : 17 avr. 2008 15:46

Re: Détails rootkits

par Cyborg »

Tu as cherché de l'aide sur quel type de site, autre qu'ici?
computer007 a écrit :l'échéance approche
Elle est quand ton échéance, à tout hasard?

Pour ma part, je suis désolé, mais jusqu'à la fin juin/début juillet, j'pourrai pas t'apporter une grande aide PDT_013 , j'ai déjà trop de boulot. PDT_030 (Le sommeil, c'est très sur-fait... PDT_038 )
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
"Ainsi s'éteint la liberté, sous une pluie d'applaudissements." - Amidala
"Aurez-vous le courage de m'affronter?" - Moi
computer007

Re: Détails rootkits

par computer007 »

Désolé de ne pas être repassé plus tôt, j'enchaine les partiels...
L'échéance est pour vendredi prochain (il me reste donc un peu plus d'une semaine), mais il faut compter tous les autres partiels à réviser et rédiger le compte rendu.

Je ne suis pas allé voir sur d'autres sites car je ne connais que Malekal pour ce qui est de la sécurité, assez poussée.
C'est pour cela que j'attends...

J'espère qu'il pourra me filer un coup de main, avec ce que j'ai écrit plus haut.

Bonne journée, et merci

Revenir à « Securite informatique »