Vous pouvez télécharger la version 0.3 à partir du lien suivant : http://www2.gmer.net/catchme.exe
Pour utiliser catchme vous devez désactiver votre antivirus, ce dernier peut détecter catchme comme un malware (notamment catchme effectue via une DLL des injections dans certains processus dont explorer.exe, la DLL en question peut-être détecté par les antivirus comme malware Trojan.Injector).
Le GUI
Onglet Files
Une fois lancé catchme affiche deux onglets Files et Script.
Dans l'onglet Files, un bouton Scan permet de scanner l'ordinateur à la recherche d'éventuelles rootkits.
Le résultat s'affiche sur la console et dans le GUI accompagné d'une popup indiquant que le scan est terminé.
Un fichier catchme.log est alors créé sur le bureau contenant les résultats du scan.
Le bouton Zip permet de zipper le contenu des fichiers dans un fichier catchme.zip qui sera créé sur le bureau (et pas ailleurs).
Une fois le zip créé.. une popup "files zipped successfully"
Vous avez la possibilité d'ajouter des fichiers dans le zip à partir du bouton Add
Ca peut permettre par exemple d'ajouter un fichier infectieux, non rootkités, dans le zip pour analyse, en plus de ceux rootkités.
Onglet Script
L'onglet Script comme son nom l'indique permet de passer un script pour effectuer des opérations (copie de fichiers, suppressions etc).
La syntaxe des divers commandes :
Collecter des fichiers %Desktop%\catchme.zip (peut-être utile pour récupérer un fichier rootkité)
Détruire la structure PE des fichiers, le fichier reste en place mais ne peux être exécuter (erreur win32) - les fichiers sont copiés dans %Destop%\catchme.zipfiles:
C:\MesfichiersAsupprimer
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
Supprimer les fichiers - les fichiers sont copiés dans %Destop%\catchme.zipfiles to kill:
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
Une fois le script copier/coller.. il faut cliquer sur le bouton Run pour lancer l'exécution.Files to delete:
C:\MesfichiersAsupprimer1
C:\MesfichiersAsupprimer2
catchme en ligne de commandes :
On peut utiliser catchme en ligne de commandes (cmd.exe) ou via des batchs..
L'aide obtenu via la commande catchme -h ou -help
Usage: catchme.exe [options]
-p processes scan --> effectue un scan de processus
-s servicess scan --> effectue un scan de services
-r autostart entries scan --> scan des clefs du registres utilisées pour démarrer des programmes
-f [folder] files scan --> effecute un scan de fichiers
-c source destination copy file --> copie un fichier (rootkits ou non)
-k filename kill file --> détruit un fichier (rootkité ou non )en le zippant dans catchme.zip
-K filename kill file without making a copy --> détruit un fichier sans effectuer de zip
-e delete kill file --> supprimer un fichier (rootkité ou non ) en le zippant dans catchme.zip
-E delete kill file without making a copy --> supprime un fichier sans effectuer de zip
-o filename dummy --> remplace un fichier endommagé, cela peut être utile dans le cas où Windows ne parvient pas à supprimer un fichier...
-O filename dummy --> remplace un fichier endommagé sans faire de copie du fichier "dummy"
-r raw registry scan : scan du registre :
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft ( C:\WINDOWS\system32\config\software )
* HKEY_CURRENT_USER\Software\Microsoft ( %USERPROFILE%\ntuser.dat )
-s raw registry scan : scan du registre :
* ajout du scan du registre (en raw)
* HKEY_LOCAL_MACHINE\SYSTEM ( C:\WINDOWS\system32\config\system )
-u do not display GUI --> effectuer les actions sans ouvrir le gui
-a display all information --> mode verbose, affiche des informations supplémentaires
-t show all Alternate Data Streams --> voir les ADS
-g grab hidden files to %DESKTOP%\catchme.zip --> tous les fichiers détectés lors des scans seront ajoutés dans catchme.zip
-n use NTAPI --> utilise le mode de scan de catchme 0.2 (direct INT 2E call) - Etant donné la v0.3 utilise un accès direct NTFS.. Dans le cas où le FS est en FAT32.. catchme switchera automatiquement sur ce mode.
-d scan subfolders ( use with options -f and -a ) --> scan récursif
-h display this help -- d'après vous ?
Exemple d'utilisation :
catchme.exe -a -p --> scan de processus en mode verbose
catchme.exe -a -s --> scan de services en mode verbose
catchme.exe -a -f C:\WINDOWS --> scan le dossiers Windows en mode verbose
catchme.exe -a -d -f C:\WINDOWS --> scan le dossiers Windows récursivement (les sous-dossiers seront scannés) en mode verbose
catchme.exe -k C:\WINDOWS\system32:pe386.sys --> supprime l'ADS pe386.sys en effectuant un backup
catchme.exe -c C:\WINDOWS\system32:pe386.sys C:\pe386.sys --> copie l'ADS vers C:\pe386.sys