Distinguer un ctfmon valable de son homologue[RESOLU]

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Fanel

Distinguer un ctfmon valable de son homologue[RESOLU]

par Fanel »

Comment faire pour savoir si la ligne ctfmon.exe n'est pas infectée sachant que sa déclinaison "pourrie" a le même nom "ctfmon" et la même commande "ctfmon.exe" ?
Dernière modification par Fanel le 08 déc. 2007 00:30, modifié 1 fois.
KERMALIN4

Re: Distinguer un ctfmon valable de son homologue indésirable

par KERMALIN4 »

Salut

NOTA: Le fichier sera toujours situé dans le System32 dossier. Si 16 se situe ailleurs, il sera probablement un ver ou un cheval de Troie!
Image
PDT_028
Fanel

Re: Distinguer un ctfmon valable de son homologue indésirable

par Fanel »

Clair comme de l'eau de roche... merci à toi PDT_008
Sacles

Re: Distinguer un ctfmon valable de son homologue[RESOLU]

par Sacles »

Bonjour,

Un fichier a une sorte d'empreinte digitale: son MD5 (il y a d'autres systèmes).

L'utilisateur peut donc contrôler l'intégrité de la version d'un fichier grâce son empreinte. Ceci peut se faire avec un programme comme md5sum pour le MD5.

md5sum: http://www.mstsoftware.com/en/Products/Freeware

Cette mesure permet, par exemple, d'éviter de télécharger ou d'exécuter une version contenant un virus informatique ou tout autre code suspect.

Voici le MD5 de "mon" ctfmon: 64e41e8fee655b03e3f19ded21ba5118

L'analyse d'un fichier chez VirusTotal donne son MD5 (en plus de son analyse par une trentaine d'antivirus).

VirusTotal: http://www.virustotal.com/fr/

----------------------

Ce système est aussi utilisé par les contrôleurs d'intégrité (HIPS) pour vérifier si un fichier qui veut s'exécuter n'a pas été altéré par une peste par rapport à sa version lors de la 1re analyse par le HIPS

Le MD5 est de plus en plus remplacé par le SHA (1 ou 256).

Salut.
Fanel

Re: Distinguer un ctfmon valable de son homologue[RESOLU]

par Fanel »

Merci à toi,
Je travaille à ton propos.... ( parce que je vois qu'il me manque certaines bases pour réellement comprendre...)
Ha les joies de l'apprentissage désintéressé PDT_009
KERMALIN4

Re: Distinguer un ctfmon valable de son homologue[RESOLU]

par KERMALIN4 »

Les IDS / HIPS reconnaissent un fichier par son EMPREINTE MD5. Cette empreinte peu être modifier suite à une infection mais également suite à une mise à jour.
Sacles

Re: Distinguer un ctfmon valable de son homologue[RESOLU]

par Sacles »

Bonjour,
Cette empreinte peu être modifier suite à une infection mais également suite à une mise à jour.
D'accord, c'est pourquoi, je fais toujours mes mises à jour en mode apprentissage de mon HIPS (important pour les mises à jour de l'OS).

Le MD5 (pour moi le SHA256) est alors automatiquement adapté si on prend la peine de lancer directement le programme après la mises à jour. Il n'y a dès lors aucune confusion possible entre infection et mise à jour.

Salut.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »