ForumCrack

hello,

Voila j'ai prêter mon laptop a une amie pour soit disant écrire sa these , en fait elle l'a vraiment fait , mais elle a fait plus que ca

Donc en la recuperant mon laptop je me rends compte de certains changement , tout un tas de soft et autres conneries provennant d'application de me%£31µ£%§ de facebook and co .

Bien qu'ayant tout effacer je peut pas écraser la configuration actuel avec ma sauvegarde (murphy est-tu la?).

Je recherche donc des moyens de faire une investigation plus ou moins poussée sur de possible malware s'étant inviter sur mon laptop.
Un premier test avec Kernel Detective me sort 680 handles dont plus de la moitier des /device/tcp ( trop bizarre a mon gout ) , de plus mon AV ( antivir ) me detecte des choses suspicieux quand je lance certains soft winrar , daemontool etc... et la je me suis demander quel malware pourrait se balader de binaire en binaire (parano inside )

Mes navigateurs web partent aussi en sucette ( j'utilise chrome et opera ) , il ne lisent plus les videos flash Utube daily ( plante au bout de 15sec ) de plus , souvent il n'arrive meme plus a charger des betes pages web

je ne recherche pas d'outil automatique, mais un ou plusieurs qui lui aussi ne trusterait pas les lib de windows ( en laquel j'ai bien évidement plus du tout confiance ).
Et bien que j'utilise deja certains scanner et detecteur de rootkit j'ai pas non plus confiance en eux

Si vous connaissait donc des outils compiler en statique qui pourrait m'aider a guerir de ma parano ou des outils qui se protege " de l'exterieur "

Peut etre qu'un hook as ete installe et ne redonne pas la main correctement au systeme par la suite...si c'est le
cas, la situation peut etre difficile a recuperer

je partirais sur un livecd 'forensic' (genre helix ou f.i.r.e si ils ont etes maintenus) pour voir ce qui as ete fait sur
ton pc.

etherlord

Y a ce genre de soft aussi :

hXXp://www.greatis.com/unhackme/

j'ai pensée a ça aussi , et la je voit pas trop comment revenir en arriere sans ecraser mes datas (trop important pour etre effacer ).

Pour le forensic , c'est un bordel total mais je suis en train de regarder ca depuis

:)

je pense que je vais supprimer tous les drivers non windows et voir les services aux nom douteux , comme rootkit revealer qui a chaque lancement s'y ajoute sans qu'on lui demande rien et je parle pas des drivers qui reste meme quand le soft n'existe plus

je viens de tester ca...

Hook Analyzer 3.02 - resplendence
Check for rootkits and kernel hooks on your system
for Windows Vista/XP/2003/2000 (x86 only

Dispo ici:

http://www.resplendence.com/downloads_obsolete.htm

c'est juste un status, pas d'action possible, mais niveau information il est pas mal

etherlord

bon j'avance a pas de fourmis quand meme , mais j'avance

un soucis :/

noter bien la ligne en rouge :s en gros chrome utilise le port local 1877 pour un site distant en http qui s'appele point " . "
et je viens de remarquer aussi que souvent chrome et opera utilise l'adresses distante 1.1.1.1

soucis quand je lance process explorer ou un utilitaire du meme genre, certains threads ont le temps de disparaitre
cettes fois-ci je recherche une methodologie pour capturer traffic reseaux objets en memoire et threads bref tout ces trucs qui se creer furtivement pendant le lancement d'un soft ou d'une connexion.

ah oui si j'utilise mon Firewall rien de tout cela

apres peut-etre qu'une partie de ses actions sont normaux , mais j'aime pas trop la normalite

Quand il s'agit de lancer des process et de bouffer de la RAM, il fait pas semblant Chrome

lol je ne peut qu'acquisser , et en plus ca se fout de FF car il bouffe de lamemoire aussi , mais FF n'as pas 15 instance en permanence pour ouvrir google.com

Bon je pense avoir reussit a regler tous les petits problemes mais reste un dont je comprends absolument pas ?????

pendant que le driver permettant de gerer le filesysteme se lance (fltmgr.sys) , un autre se lance toujours en meme temps et a chaque fois son execution se superpose a celui du driver fltmgr.sys , un hook?????(j'ai supprimer tous drivers non windows avant de faire ce test la)

mais sachant que tous les tools que j'ai utiliser ne detecte plus rien et que " cette chose " est marque comme unknow par le tool que j'ai utiliser , j'aurais besoin de quelques lumiere sur comment proceder pour avoir plus d'info

j'ai d'ores et deja commencer a telecharger windbg parce que je voit pas trop dans quel sens aller :/

euh... bonne chance ?

va voir sur le site de Zairon, je crois me souvenir qu'il avait fait un papier sur les hooks, pas au point de repondre a ta question mais
il avait commence le reverse au niveau OS, il y as deja une bonne base pour partir.

j'imagine qu'il faut localiser cette table qui permet au systeme de savoir quel processus est hooke, et voir si il est possible de
manuellement retirer ce qui te pose probleme. encore que j'imagine que cela risque d'etre delicat, l'OS ayant probablement la main
la dessus des le depart. Ou alors voir si une fois que tu as la table, tu dispsoe d'assez d'infos pour creer un desinstalleur propre.

ca m'interesserai de suivre un peu ce que tu fait a ce sujet si tu te lance la-dedans

etherlord

il me semble que zairon se basait sur un rootkit non??? alors que moi je sais meme pas ce que sais que "la chose" sur mon systeme ...

Dans le doute j'ai fait un test sur mon fixe XP en testant le sp0, SP1, SP2, SP3 et ce "unknow driver" n'y est pas

j'ai fait plusieurs fois le test en me disant que c'etait peut-etre le tool que j'utilisait pour logger les drivers qui se lance qui en etait a l'origine , mais force est de constater que c'est pas lui

Mais j'ai pu remarquer un autre details en faisant plusieurs tests , c'est que mon "unknow driver" se lance avant tous les autres drivers , ca m'avance pas des masses mais je sais ou regarder maintenant.

Apres cette chose fait parti peut-etre de mon systeme , mais si c'est le cas je croit que je vais me mefier d'HP (et meme je deviendrais leur principale detracteur), dans tous les cas je vous ferez part de mon avancement

ps : avec un truc comme ca j'aurais pas eue besoin de 30 antibidule lol hxxp://www.hbgary.com/products-services/responder-pro/ (trouver sur le blog de greg hoglund )

Ce dont tu parles ressemble vachement à un filter driver qui s'interpose entre le légitime et le DD
Je ne sais pas vraiment comment le virer mais bon, sachant le nom que ca a tu devrais pouvoir t'en sortir ...