Salut,
j'ai une Fedora Core 2 Linux et récemment j'ai détecté que les binaires
ps, netstat avaient été modifiés (lors d'un backup) alors que je n'avais
pas fait de mise à jour du système (même pas de maj auto).
En comparant avec les binaires officiels, le hash md5 est différent.
Qqn connaîtrait un antivirus ou antirootkit capable de les détecter ?
Je ne sais pas si désassembler les binaires en question va me donner qqch.
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une
nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix :
rootkitrevealer détecte les sales bêtes en comparant le résultat d'un
accès bas niveau (en lisant directement le disque) à ce que donnent
des API haut niveau (lecture des répertoires et fichiers, ou du
registre). Si des fichiers n'apparaissent pas par les API normales, on
peut supposer qu'un rootkit les cache.
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
Gilles RONSIN
Michel Arboi , le dim. 27 févr. 2005 03:17:06, écrivait ceci:
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
Il y a d'ailleurs un article chez MS à ce sujet pour ceux que ça interesse
http://research.microsoft.com/sm/strider/spyware/
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
Michel Arboi <arboi@alussinan.org>, le dim. 27 févr. 2005 03:17:06,
écrivait ceci:
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une
nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix :
rootkitrevealer détecte les sales bêtes en comparant le résultat
d'un accès bas niveau (en lisant directement le disque) à ce que
donnent des API haut niveau (lecture des répertoires et fichiers,
ou du registre). Si des fichiers n'apparaissent pas par les API
normales, on peut supposer qu'un rootkit les cache.
Il y a d'ailleurs un article chez MS à ce sujet pour ceux que ça
interesse
http://research.microsoft.com/sm/strider/spyware/
--
Embryon de site : http://gilles.ronsin.free.fr
Nouvelle astuce : Script de création de raccourcis cible
http://gilles.ronsin.free.fr/#targetlnk
Il est impossible pour un optimiste d'être agréablement surpris.
Michel Arboi , le dim. 27 févr. 2005 03:17:06, écrivait ceci:
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
Il y a d'ailleurs un article chez MS à ce sujet pour ceux que ça interesse
http://research.microsoft.com/sm/strider/spyware/
-- Embryon de site : http://gilles.ronsin.free.fr Nouvelle astuce : Script de création de raccourcis cible http://gilles.ronsin.free.fr/#targetlnk Il est impossible pour un optimiste d'être agréablement surpris.
news
Michel Arboi wrote:
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
ce qui est inefficace si le noyau est affecte (via un module sous linux par exemple).
Michel Arboi wrote:
On Thu Feb 24 2005 at 16:11, Gilles RONSIN wrote:
oops. Désolé. Mais pour les Windows NT c'est tout de même une
nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix :
rootkitrevealer détecte les sales bêtes en comparant le résultat d'un
accès bas niveau (en lisant directement le disque) à ce que donnent
des API haut niveau (lecture des répertoires et fichiers, ou du
registre). Si des fichiers n'apparaissent pas par les API normales, on
peut supposer qu'un rootkit les cache.
ce qui est inefficace si le noyau est affecte (via un module sous linux
par exemple).
oops. Désolé. Mais pour les Windows NT c'est tout de même une nouveauté.
Le principe est intéressant et pourrait être transposé sous Unix : rootkitrevealer détecte les sales bêtes en comparant le résultat d'un accès bas niveau (en lisant directement le disque) à ce que donnent des API haut niveau (lecture des répertoires et fichiers, ou du registre). Si des fichiers n'apparaissent pas par les API normales, on peut supposer qu'un rootkit les cache.
ce qui est inefficace si le noyau est affecte (via un module sous linux par exemple).
