tout s'explique tout s'explique en informatique tutoriels informatiques tuto tutos tutoriels tutoriel tutoriaux tutorial cours logiciel formation kachouri kachouri.com e-learning gratuite free connaissances aide informatique windows windows 7 windows windows xp linux microsoft windows 7 application windows vista formation en ligne didacticiel formations en ligne formation a distance formation gratuite en ligne podcast e-formation paint shop
Tout s'explique en informatique...
Je ne sais pas... Je clique là !!!
Saviez-vous que vous pouvez utiliser un logiciel pour convertir vos fichiers vidéos?
Catégories
Rechercher
Connexion
Menu général
Publicité
Les Kachouri's
Adoptez Kachouri
Un Anti-Rootkit est-il 100% efficace ?
Signaler une faute
Pdf
Flux Rss
Flux Atom
Comment tester le logiciel anti-rootkit de Sophos
I. Introduction de Sophos Anti-Rootkit
Le "rootkit" Windows, est un code malicieux vraiment complexe qui se greffe sur le noyau même du système d'exploitation et très difficile à détecter et à éradiquer. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. En réalité, les rootkits sont loin d'être une nouveauté; ils existent sous Linux depuis très longtemps. L'idée de ce tutorial n'est pas de vous apprendre à créer un rootkit, ou de le mettre en place mais plus de tester votre système afin de savoir s'il existent... Bien évidemment avec des outils afin que toute personne puisse les détecter même si la tâche reste difficile et délicate.
II. Tout s'explique en images
1. Installation de Sophos Anti-Rootkit
Une fois que vous vous êtes rendu sur le site officiel, après avoir téléchargé le logiciel et lancé l'exécutable "sarsfx.exe" vous aurez ceci :
Il vous suffira alors de cliquer sur "Accept" pour lancer l'installation et en "Acceptant" vous serez ainsi d'accord avec les termes de la licence "Sophos End-User Licence Agreement for Anti-Rootkit Tool". Une fois ceci effectué vous obtiendrez ceci :
Vous apercevrez ainsi que "Sophos Anti-Rootkit 1.1" s'installera à la racine de votre disque dur dans le dossier du nom de "SOPHTEMP", puis cliquez sur "Install (Installer)". Une fois ceci effectué, vous aurez la fenêtre qui se fermera uniquement, c'est pour cette raison que nous avons bien pris note que "Sophos Anti-Rootkit 1.1" s'installera dans le dossier qui se trouve ici : "C:\SOPHTEMP", vous n'aurez plus qu'à vous rendre dans ce dossier :
2. Utilisation de Sophos Anti-Rootkit
Pour lancer "Sophos Anti-Rootkit 1.1", vous devrez vous rendre dans le dossier "C:\SOPHTEMP" et cliquer sur "sargui.exe", ou créer un raccourci bureau du fichier "sargui.exe", on obtiendra alors ceci :
Il vous suffira alors de cliquer sur "Start scan (lancer le scan)" pour vérifier si votre système contient à la base un Rootkit, vous obtiendrez alors ceci :
Vous pouvez à tout moment stopper le scan en cliquant sur "Stop scan", une fois que votre système sera vérifié, vous aurez ce message :
Voilà une bonne nouvelle, vous n'avez pas de Rootkit détecté par "Sophos Anti-Rootkit 1.1".
3. Test de Sophos Anti-Rootkit
Pour notre test, il nous faut trouver un "Rootkit", pour cela une recherche sur un moteur de recherche et nous voilà muni d'un outil pour notre test, nous l'installons à la racine de notre disque dur ici "C:\Kachouri Tuto" et nous le lançons (il est bien évident que ceci est juste pour tester et qu'il faut savoir ce que l'on fait, ne lancez pas pas n'importe quoi sur votre pc !). Pour plus d'efficacité nous vérifions qu'il est bien actif, et une fois cette manipulation effectuée, relancez le scan avec "Sophos Anti-Rootkit 1.1" logiquement vous devez avoir ceci :
Comme vous le remarquerez "Sophos Anti-Rootkit 1.1" a détecté notre "rootkit" de test... Et une fois le scan effectué, vous devez avoir un récapitulatif vous indiquant le nombre de "Rootkit" détectés, comme ceci :
Une fois que vous avez détecté et trouvé un "rootkit" sur votre ordinateur, la démarche à suivre est d'essayer de le supprimer, dans la majorité des cas vous ne pourrez pas supprimer directement le fichier car celui-ci sera utilisé par votre système. Si on reprend notre exemple et que je souhaite supprimer directement le fichier du nom de "System.exe" qui se trouve dans le dossier "C:\Kachouri Tuto" comme ceci :
Et que vous cliquez droit dessus puis sur "Supprimer" vous aurez ce message :
A ce message : "Voulez-vous vraiment envoyer 'System.exe' à la Corbeille ?", nous allons cliquez sur "Oui" après quelques instants, on obtiendra alors ceci :
"Impossible de supprimer System : Accès refusé. Vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement." Il ne nous est pas possible de le supprimer directement. Rien ne sert non plus de redémarrer car le rootkit sera toujours actif sur votre système. Pour cela si vous ne le connaissez pas, il vous suffit soit d'installer un Anti-virus, mais très peu efficace pour la suppression des rootkit, ou essayer plus de trouver des informations au sujet de ce rootkit sur Internet en recherchant sur un moteur de recherche son nom à défaut de le savoir le nom de son fichier qui est "System.exe", et de récupérer le maximum d'informations pour mieux le supprimer manuellement ou faire appel à des personnes qui maitrisent un peu plus que vous le sujet afin qu'ils puissent supprimer tous les fichiers sans endommager ni perdre vos données. Et cela peut être très délicat avec les rootkit, qui se logent souvent au coeur du système en utilisant des hook.
4. Faiblesse de Sophos Anti-Rootkit
Si le même fichier est déposé dans le dossier "C:\System Volume Information" et bien sûr actif, comme ceci :
Et que vous refaites un scan avec "Sophos Anti-Rootkit 1.1", vous vous apercevrez déjà de la faiblesse de faire confiance a un logiciel uniquement, car celui-ci ne le détectera pas et pourtant il est en activité dans la liste des processus. Comme ceci :
Cela nous prouve que "Sophos Anti-Rootkit 1.1" ne détecte pas le fichier malveillant lorsqu'il se trouve dans "C:\System Volume Information".
III. Conclusion du tutoriel
En conclusion, il faut vraiment être prudent, et ne pas croire qu'avec un simple logiciel vous allez pouvoir détecter tous les rootkit, car il existera toujours des génies de l'informatique qui seront capables de déjouer les protections et faire en sorte qu'elles soient indétectables par n'importe quel logiciel. Ce tutorial a pour but de prendre conscience de ce phénomène qui prend de plus en plus d'ampleur et infecte aussi de plus en plus de machine à l'insu de ses propriétaires.
Ce tutoriel a été lu 829 fois
Adresse du site internet: http://www.kachouri.com
Toute reproduction partielle ou totale de la présente
publication est interdite sans l'autorisation de l'auteur.
Partager cet article sur les réseaux sociaux:
Les tutoriels de la catégorie Securite peuvent vous intéresser...
Commentaires
Réagir
Les consignes avant de réagir :
Devant être lu par tous types de public, nous vous remercions de rédiger votre commentaire en utilisant le langage le plus clair possible sans faire usage d'abréviations ou de "jargon" SMS (Tout commentaire non conforme à ces consignes ne pourra être validé).
Bienvenue, pour réagir vous devez vous connecter
Connexion
Si vous n'avez pas encore de compte sur les forums, allez tout de suite vous inscrire. C'est rapide et gratuit! Vous pourrez ensuite réagir immédiatement aux actualités. En cas de problème, utilisez notre formulaire de contact.
|
Contact | | Rédacteurs | | Partenaires | | Eco-attitude | | Annuaire | | Forum |
| Revue de presse | | Bannières | | Mentions légales |
| Flux RSS Tutoriels | | Flux RSS Astuces | | Flux RSS Saviez-vous |
| Tout s'explique | | Astuces | | Formation vidéo | | Lexique informatique |
Copyright © 2006-2010 Kachouri.com
- Tous droits réservés - Reproduction totale ou partielle interdite.
Kachouri® est une marque déposée à l'INPI Paris - Numéro national : 093681194 - Déclaration CNIL numéro : 1387654 |