Les Rootkits en 64 Bits ?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
gueguet

Les Rootkits en 64 Bits ?

par gueguet »

Bonjour !

J'ai quelques petites questions a vous poser sur les rootkits :
  • Tout d'abord les Helpers , avez vous deja vu un rootkit sur un Ordinateur en 64 Bits ?
    Les Anti-Rootkits ( Anti-Stealth de NOD32 par exemple ) sont t-ils efficaces ?
    PatchGuard Fait-il bien son travail ?


Merci encore et bonne journée !
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Salut,

Normalement il y en a moins.
Le truc c'est que les programmes qui permettent de les déceler (style GMER, Combofix) marche pas sur du 64 bits puisqu'ils ne peuvent pas charger de driver non signé.
J'imagine que pour les rootkits, c'est la même chose.

Voir cette étude made in MS : http://blogs.technet.com/b/mmpc/archive ... tkits.aspx
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: Les Rootkits en 64 Bits ?

par sioban »

Il y a eu des proofs of concept lors du dernier Blackhat : http://blackhat.com/html/bh-usa-07/bh-u ... #Rutkowska

Je sais que plusieurs AV qui ont des moteurs antirootkits sont portés sous 64bits comme SAR de sophos.
C'est que la menace est réélle.

Donc à la question : Patchguard fait-il bien son travail la réponse est non.
Et à la question, est-ce que la méthode de protection de M$ est bénéfique, la réponse est au mieux : cela temporise pour l'instant.

Le soucis c'est que les rootkits ne vont pas attendre que les désinfecteurs ai obtenu une licence qu'ils ne pourront pas payer.
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Bha ça dépend ce que tu entends par travail pour le PatchGuard ?

A l'heure actuelle, il fait quand meme son boulot dans le sens où il y a bcp bcp bcp moins de rootkits sur 64 bits.
Suffit de voir sur les forums de désinfections, aucun post pour du TDSS/Alueron sur les architectures 64 bits.

Maintenant les solutions, en sécurité, c'est comme tout, c'est jamais acquis sur la duré.... y a tjrs moyen.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: Les Rootkits en 64 Bits ?

par sioban »

oui la réponse devrait plutôt être "oui à moyen termes" :D
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: Les Rootkits en 64 Bits ?

par sioban »

Bon ben ça c'est fait.
Il n'y a plus qu'a espérer que les outils de nettoyage s'accordent...
moment de grace

Re: Les Rootkits en 64 Bits ?

par moment de grace »

bonjour à vous

je suis tombé sur cette discussion pour des recherches perso

et je vous donne ce lien qui pourrait compléter le sujet

http://www.developpez.com/actu/20407/Wi ... sur-le-Web

@+
peplvm

Re: Les Rootkits en 64 Bits ?

par peplvm »

Salut,

Au moins perso, j'apprends l'existence de ``Prevx`` grâce à ton lien.
sioban

Re: Les Rootkits en 64 Bits ?

par sioban »

Il y a des liens prevx sur virustotal depuis un bout de temps ;)
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Un autre malware rootkit dispo en 64 bits : Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy
(Les bankers viennent en général du Brésil).
Les noms des drivers : plusdriver.sys and plusdriver64.sys

source : http://www.securelist.com/en/blog/11266 ... _to_64_bit
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
scapula

Re: Les Rootkits en 64 Bits ?

par scapula »

oui il existe des rootkit pour les systèmes en 64x actuelement j'utilise un rootkit de type ring3 pour le unhook des apis de mon programme qui fonctionne parfaitement sur les 64x. PatchGuard que dire de lui si je me souviens bien il bloque les fichiers .sys de type drivers qui sont souvent utilisé par les rootkits malheureusement pour lui pas tous les malwares utilisant les méthodes rootkit utilise des drivers.
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

il bloque les fichiers .sys de type drivers qui sont souvent utilisé par les rootkits
Il bloque les drivers non signés.
Surement aussi que ça rajoute une surcouche de protection.

Mais bon comme TDSS, il tape dans le MBR.
Par contre ZAcess patch les drivers existants et marche sur 64 bits.
Donc des contournements, il en existe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110273
Inscription : 10 sept. 2005 13:57

Re: Les Rootkits en 64 Bits ?

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »