Distinguer un ctfmon valable de son homologue[RESOLU]
Distinguer un ctfmon valable de son homologue[RESOLU]
Comment faire pour savoir si la ligne ctfmon.exe n'est pas infectée sachant que sa déclinaison "pourrie" a le même nom "ctfmon" et la même commande "ctfmon.exe" ?
Dernière modification par Fanel le 08 déc. 2007 00:30, modifié 1 fois.
Re: Distinguer un ctfmon valable de son homologue indésirable
Salut
NOTA: Le fichier sera toujours situé dans le System32 dossier. Si 16 se situe ailleurs, il sera probablement un ver ou un cheval de Troie!
NOTA: Le fichier sera toujours situé dans le System32 dossier. Si 16 se situe ailleurs, il sera probablement un ver ou un cheval de Troie!
Re: Distinguer un ctfmon valable de son homologue indésirable
Clair comme de l'eau de roche... merci à toi 
Re: Distinguer un ctfmon valable de son homologue[RESOLU]
Bonjour,
Un fichier a une sorte d'empreinte digitale: son MD5 (il y a d'autres systèmes).
L'utilisateur peut donc contrôler l'intégrité de la version d'un fichier grâce son empreinte. Ceci peut se faire avec un programme comme md5sum pour le MD5.
md5sum: http://www.mstsoftware.com/en/Products/Freeware
Cette mesure permet, par exemple, d'éviter de télécharger ou d'exécuter une version contenant un virus informatique ou tout autre code suspect.
Voici le MD5 de "mon" ctfmon: 64e41e8fee655b03e3f19ded21ba5118
L'analyse d'un fichier chez VirusTotal donne son MD5 (en plus de son analyse par une trentaine d'antivirus).
VirusTotal: http://www.virustotal.com/fr/
----------------------
Ce système est aussi utilisé par les contrôleurs d'intégrité (HIPS) pour vérifier si un fichier qui veut s'exécuter n'a pas été altéré par une peste par rapport à sa version lors de la 1re analyse par le HIPS
Le MD5 est de plus en plus remplacé par le SHA (1 ou 256).
Salut.
Un fichier a une sorte d'empreinte digitale: son MD5 (il y a d'autres systèmes).
L'utilisateur peut donc contrôler l'intégrité de la version d'un fichier grâce son empreinte. Ceci peut se faire avec un programme comme md5sum pour le MD5.
md5sum: http://www.mstsoftware.com/en/Products/Freeware
Cette mesure permet, par exemple, d'éviter de télécharger ou d'exécuter une version contenant un virus informatique ou tout autre code suspect.
Voici le MD5 de "mon" ctfmon: 64e41e8fee655b03e3f19ded21ba5118
L'analyse d'un fichier chez VirusTotal donne son MD5 (en plus de son analyse par une trentaine d'antivirus).
VirusTotal: http://www.virustotal.com/fr/
----------------------
Ce système est aussi utilisé par les contrôleurs d'intégrité (HIPS) pour vérifier si un fichier qui veut s'exécuter n'a pas été altéré par une peste par rapport à sa version lors de la 1re analyse par le HIPS
Le MD5 est de plus en plus remplacé par le SHA (1 ou 256).
Salut.
Re: Distinguer un ctfmon valable de son homologue[RESOLU]
Merci à toi,
Je travaille à ton propos.... ( parce que je vois qu'il me manque certaines bases pour réellement comprendre...)
Ha les joies de l'apprentissage désintéressé
Je travaille à ton propos.... ( parce que je vois qu'il me manque certaines bases pour réellement comprendre...)
Ha les joies de l'apprentissage désintéressé
Re: Distinguer un ctfmon valable de son homologue[RESOLU]
Les IDS / HIPS reconnaissent un fichier par son EMPREINTE MD5. Cette empreinte peu être modifier suite à une infection mais également suite à une mise à jour.
Re: Distinguer un ctfmon valable de son homologue[RESOLU]
Bonjour,
Le MD5 (pour moi le SHA256) est alors automatiquement adapté si on prend la peine de lancer directement le programme après la mises à jour. Il n'y a dès lors aucune confusion possible entre infection et mise à jour.
Salut.
D'accord, c'est pourquoi, je fais toujours mes mises à jour en mode apprentissage de mon HIPS (important pour les mises à jour de l'OS).Cette empreinte peu être modifier suite à une infection mais également suite à une mise à jour.
Le MD5 (pour moi le SHA256) est alors automatiquement adapté si on prend la peine de lancer directement le programme après la mises à jour. Il n'y a dès lors aucune confusion possible entre infection et mise à jour.
Salut.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
-
Carte SDHC protegée en ecriture sous win10 [Résolu]
par gandalf2b » » dans Windows : Résoudre les problèmes - 8 Réponses
- 104 Vues
-
Dernier message par Parisien_entraide
-
-
- 17 Réponses
- 198 Vues
-
Dernier message par Claes307
-
-
Problème pour supprimer un dossier sur Windows 10 [résolu]
par intersid » » dans Windows : Résoudre les problèmes - 6 Réponses
- 167 Vues
-
Dernier message par intersid
-
-
- 3 Réponses
- 91 Vues
-
Dernier message par Malekal_morte
-
-
Code erreur 0x80073701 lors de la derniere maj win10 [résolu]
par Nevereend » » dans Windows : Résoudre les problèmes - 11 Réponses
- 310 Vues
-
Dernier message par Malekal_morte
-