rootrepeal - Un anti-Rootkit

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Contact75

rootrepeal - Un anti-Rootkit

par Contact75 »

Je cite la source :

http://infomars.fr/forum/index.php?showtopic=1921


Principales particularités, selon son auteur ...

* Facile à utiliser : un usager avec peu ou pas d'expérience en informatique peut s'en servir.
* Puissant : il devrait être en mesure de détecter tous les rootkits publiquement disponibles. Stable : il devrait fonctionner avec le plus grand nombre de configurations de systèmes possible et, en cas d'incompatibilité, ne pas planter l'ordinateur hôte.
* Sans danger : pour se protéger, il n'utilise pas des techniques semblables à celles des rootkits (crochetages etc.)


Principales caractéristiques techniques, selon son auteur ...

* Scan des "drivers" : il balaie le système à la recherche des "drivers" dans le "noyau", affiche tous ceux qui s'y trouvent, met en évidence ceux qui sont cachés et indique si le fichier correspondant est visible sur le disque.
* Scan de fichiers : il balaie les disques fixes à la recherche de fichiers cachés, bloqués ou falsifiés(*)
* Scan des "processus" : il balaie le système pour afficher les processus en cours d'exécution et indique si le processus est caché ou bloqué.
* Scan de la SSDT

"SSDT hooking" Le "crochetage" du tableau de descripteur de service du système (SSDT) en vue de sa modification est une des techniques fréquemment utilisée par les rootkits. En modifiant cette table, ils peuvent réorienter l'exécution vers leur code au lieu du module de traitement (fonction) originellement appelé. Certaines de ces fonctions sont visées tant par les rootkits malsains que les antirootkits ... exemples : NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory ...


Fonctionne sous Windows XP, VISTA,(X86) Windows Server 2003 et également sous les VM

Toutes les explications d'usage, d'installation ici : (en FR)

http://infomars.fr/forum/index.php?showtopic=1912


Le lien de téléchargement

http://rootrepeal.googlepages.com/
Malekal_morte
Messages : 110259
Inscription : 10 sept. 2005 13:57

Re: rootrepeal - Un anti-Rootkit

par Malekal_morte »

J'avais ce TDSSServ (de ce post http://forum.malekal.com/viewtopic.php? ... 40#p107005) qui tournait sur une VM quand tu as posté.

Donc test rapidos.

Il détecte le driver du rk :
Image

Sur des rootkits usermode (ce sont les Worm.Win32.AutoRun.xxx de la partie MSN du forum).
Pareil les processus sont détectés :
Image

Par contre, côté suppression ça se corse.
Pour notre ami TDSSServ, RootrePeal dit avoir supprimé le driver (fichier) mais au reboot, le rk est encore actif.
Pour les infections MSN... Tout simplement un BSOD quand tu tentes de terminer le processus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: rootrepeal - Un anti-Rootkit

par Contact75 »

Malekal_morte a écrit : Par contre, côté suppression ça se corse.
Pour notre ami TDSSServ, RootrePeal dit avoir supprimé le driver (fichier) mais au reboot, le rk est encore actif.
Pour les infections MSN... Tout simplement un BSOD quand tu tentes de terminer le processus.
Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)
Vigil XP

Re: rootrepeal - Un anti-Rootkit

par Vigil XP »

Contact75 a écrit : Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)
Oui cette outil est pas mal, perso ça fait un moment que je l'utilisais pour analyser ma machine windows... mais depuis la "nouvelle version" j'ai un BSOD au lancement :/.
Contact75

Re: rootrepeal - Un anti-Rootkit

par Contact75 »

Vigil XP a écrit :
Contact75 a écrit : Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)
Oui cette outil est pas mal, perso ça fait un moment que je l'utilisais pour analyser ma machine windows... mais depuis la "nouvelle version" j'ai un BSOD au lancement :/.
Meme avec la version 1.1.1 ?

http://rootrepeal.googlepages.com/RootRepeal_1.1.1.rar
Vigil XP

Re: rootrepeal - Un anti-Rootkit

par Vigil XP »

Oui c'est assez violent, je pense que je vais envoyer "une capture"... En espérant que cela puisse résoudre le problème !
If you have experienced a crash of RootRepeal, please include the words "RootRepeal crash" in the subject line, and I will try to get back to you as quickly as possible.
So W8 & See, mais excellent outil !

edit : petite précision au lancement de l'exécutable.
"Multiple IRP request"
Dernière modification par Vigil XP le 07 sept. 2008 10:55, modifié 3 fois.
Malekal_morte
Messages : 110259
Inscription : 10 sept. 2005 13:57

Re: rootrepeal - Un anti-Rootkit

par Malekal_morte »

Attention ce n'est pas forcément la faux de l'anti-rootkit.
Gmer aussi fait pas mal de BSOD (il peut aussi niquer la bdr quand on joue avec l'onglet registry).

Ex : sur ma VM avec Online Armor, quand je lançais un scan gmer BSOD durant le scan à coup sûr.
Si rk actif c'était casi au scan du lancement de gmer.

Enfin dans ce cas là difficile de dire la faute à qui mais bon certains mélanges ça donne des BSOD.
TT façon ils font tellement de choses "limites" que bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: rootrepeal - Un anti-Rootkit

par Contact75 »

Vigil XP a écrit :Oui c'est assez violent, je pense que je vais envoyer "une capture".. En espérant que cela puisse résoudre le problème !

edit : petite précision au lancement de l'exécutable.
Perso pas de problèmes et pourtant j'ai un Win XP Tweaké (ce qui est la cause dixit les auteurs de la plupart des crashes)

Néanmoins voir du coté de la suite de protection (antivirus/Firewall etc) et tout ce qui se lance à bas niveau
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »