Je cite la source :
http://infomars.fr/forum/index.php?showtopic=1921
Principales particularités, selon son auteur ...
* Facile à utiliser : un usager avec peu ou pas d'expérience en informatique peut s'en servir.
* Puissant : il devrait être en mesure de détecter tous les rootkits publiquement disponibles. Stable : il devrait fonctionner avec le plus grand nombre de configurations de systèmes possible et, en cas d'incompatibilité, ne pas planter l'ordinateur hôte.
* Sans danger : pour se protéger, il n'utilise pas des techniques semblables à celles des rootkits (crochetages etc.)
Principales caractéristiques techniques, selon son auteur ...
* Scan des "drivers" : il balaie le système à la recherche des "drivers" dans le "noyau", affiche tous ceux qui s'y trouvent, met en évidence ceux qui sont cachés et indique si le fichier correspondant est visible sur le disque.
* Scan de fichiers : il balaie les disques fixes à la recherche de fichiers cachés, bloqués ou falsifiés(*)
* Scan des "processus" : il balaie le système pour afficher les processus en cours d'exécution et indique si le processus est caché ou bloqué.
* Scan de la SSDT
"SSDT hooking" Le "crochetage" du tableau de descripteur de service du système (SSDT) en vue de sa modification est une des techniques fréquemment utilisée par les rootkits. En modifiant cette table, ils peuvent réorienter l'exécution vers leur code au lieu du module de traitement (fonction) originellement appelé. Certaines de ces fonctions sont visées tant par les rootkits malsains que les antirootkits ... exemples : NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory ...
Fonctionne sous Windows XP, VISTA,(X86) Windows Server 2003 et également sous les VM
Toutes les explications d'usage, d'installation ici : (en FR)
http://infomars.fr/forum/index.php?showtopic=1912
Le lien de téléchargement
http://rootrepeal.googlepages.com/
rootrepeal - Un anti-Rootkit
- Messages : 114761
- Inscription : 10 sept. 2005 13:57
Re: rootrepeal - Un anti-Rootkit
J'avais ce TDSSServ (de ce post http://forum.malekal.com/viewtopic.php? ... 40#p107005) qui tournait sur une VM quand tu as posté.
Donc test rapidos.
Il détecte le driver du rk :
Sur des rootkits usermode (ce sont les Worm.Win32.AutoRun.xxx de la partie MSN du forum).
Pareil les processus sont détectés :
Par contre, côté suppression ça se corse.
Pour notre ami TDSSServ, RootrePeal dit avoir supprimé le driver (fichier) mais au reboot, le rk est encore actif.
Pour les infections MSN... Tout simplement un BSOD quand tu tentes de terminer le processus.
Donc test rapidos.
Il détecte le driver du rk :
Sur des rootkits usermode (ce sont les Worm.Win32.AutoRun.xxx de la partie MSN du forum).
Pareil les processus sont détectés :
Par contre, côté suppression ça se corse.
Pour notre ami TDSSServ, RootrePeal dit avoir supprimé le driver (fichier) mais au reboot, le rk est encore actif.
Pour les infections MSN... Tout simplement un BSOD quand tu tentes de terminer le processus.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: rootrepeal - Un anti-Rootkit
Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)Malekal_morte a écrit : Par contre, côté suppression ça se corse.
Pour notre ami TDSSServ, RootrePeal dit avoir supprimé le driver (fichier) mais au reboot, le rk est encore actif.
Pour les infections MSN... Tout simplement un BSOD quand tu tentes de terminer le processus.
Re: rootrepeal - Un anti-Rootkit
Oui cette outil est pas mal, perso ça fait un moment que je l'utilisais pour analyser ma machine windows... mais depuis la "nouvelle version" j'ai un BSOD au lancement :/.Contact75 a écrit : Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)
Re: rootrepeal - Un anti-Rootkit
Meme avec la version 1.1.1 ?Vigil XP a écrit :Oui cette outil est pas mal, perso ça fait un moment que je l'utilisais pour analyser ma machine windows... mais depuis la "nouvelle version" j'ai un BSOD au lancement :/.Contact75 a écrit : Donc à garder comme outil d'analyse et éviter de s'aventurer au-dela :-)
http://rootrepeal.googlepages.com/RootRepeal_1.1.1.rar
Re: rootrepeal - Un anti-Rootkit
Oui c'est assez violent, je pense que je vais envoyer "une capture"... En espérant que cela puisse résoudre le problème !
edit : petite précision au lancement de l'exécutable.
"Multiple IRP request"
So W8 & See, mais excellent outil !If you have experienced a crash of RootRepeal, please include the words "RootRepeal crash" in the subject line, and I will try to get back to you as quickly as possible.
edit : petite précision au lancement de l'exécutable.
"Multiple IRP request"
Dernière modification par Vigil XP le 07 sept. 2008 10:55, modifié 3 fois.
- Messages : 114761
- Inscription : 10 sept. 2005 13:57
Re: rootrepeal - Un anti-Rootkit
Attention ce n'est pas forcément la faux de l'anti-rootkit.
Gmer aussi fait pas mal de BSOD (il peut aussi niquer la bdr quand on joue avec l'onglet registry).
Ex : sur ma VM avec Online Armor, quand je lançais un scan gmer BSOD durant le scan à coup sûr.
Si rk actif c'était casi au scan du lancement de gmer.
Enfin dans ce cas là difficile de dire la faute à qui mais bon certains mélanges ça donne des BSOD.
TT façon ils font tellement de choses "limites" que bon.
Gmer aussi fait pas mal de BSOD (il peut aussi niquer la bdr quand on joue avec l'onglet registry).
Ex : sur ma VM avec Online Armor, quand je lançais un scan gmer BSOD durant le scan à coup sûr.
Si rk actif c'était casi au scan du lancement de gmer.
Enfin dans ce cas là difficile de dire la faute à qui mais bon certains mélanges ça donne des BSOD.
TT façon ils font tellement de choses "limites" que bon.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: rootrepeal - Un anti-Rootkit
Perso pas de problèmes et pourtant j'ai un Win XP Tweaké (ce qui est la cause dixit les auteurs de la plupart des crashes)Vigil XP a écrit :Oui c'est assez violent, je pense que je vais envoyer "une capture".. En espérant que cela puisse résoudre le problème !
edit : petite précision au lancement de l'exécutable.
Néanmoins voir du coté de la suite de protection (antivirus/Firewall etc) et tout ce qui se lance à bas niveau
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 1 Réponses
- 52 Vues
-
Dernier message par angelique