Souhaitez-vous participer à la création d'un jeu vidéo inspiré de Stardew Valley, ou le tester lorsque la version bêta sera disponible ? Remplissez notre sondage ou inscrivez-vous à notre lettre d'information (en bas de page)
2

[Labo]Logiciels utiles pour analyser une infection

le 16-06-2010 à 11:26 #
Salut

Ici nous allons voir quels logiciels sont importants pour décortiquer une infection, et comment les utiliser. Tout d'abord, vous devez avoir installé une machine virtuelle avec les logiciels de base... Antivirus, lecteur pdf, etc... ce dont vous avez besoin.

Une fois celle ci lancée, voici les logiciels importants:

[Désinfection]
--------------------------------------------------------------------------------------
Malwarebytes Anti-Malware => générique
AD-remover=> infections diverses
USBFix=> infections USB
Navilog => infections Navipromo
Gmer => Anti-rootkit, permet de voir les fichiers patchés
--------------------------------------------------------------------------------------


[Diagnostique]
--------------------------------------------------------------------------------------
Hijack This
ZHPDiag
RSIT
OTL
--------------------------------------------------------------------------------------


[Monitoring]
--------------------------------------------------------------------------------------
Process Explorer => mieux que le gestionnaire des tâches
IceSword=> permet de voir les connections TCP/IP et les rootkits
InCtrl5 => Permet de voir les clés de registres et les fichiers créés par un malware
WireShark => voir les paquets réseaux et leur contenu (pour les spams par exemple)
ProcessGuard => (IDS) pour bloquer la création et le lancement des fichiers
--------------------------------------------------------------------------------------


La description et l'utilisation des outils viendra par la suite.



Pour ce qui est des outils de désinfection , diagnostique, je ne m'étendrai pas la dessus, car cela s'apprend uniquement en formation.
En revanche, je vais vous présenter les outils de monitoring.



Process explorer

Cet outil remplace avantageusement le gestionnaire des tâches windows, qui dit en passant est souvent la cible des infection. En plus de cela, il affiche les processus parents et fils, avec des couleurs. On peut également voir les caractéristiques du processus en cliquant dessus, notamment ses communication réseau et son emplacement.



Vous remarquerez au passage le nom du fichier infectieux. Ya pas de hasards..
A gauche on voit les communication TCP/IP du fichier infectieux, et donc on voit si le dropper est encore actif.



IceSword

Assez similaire à process explorer, sauf que lui il liste en plus les clés registres, donc les programmes présents au démarrage, les BHO, les Hooks SSDT, et il peux voir les rootkits. Je l'utilise surtout pour visualiser TOUT le flux TCP/IP d'un coup, avec les processus associés.






InCtrl5

Cet outil permet de faire une liste des changements système apportés par un fichier.
Ainsi, on peut detecter les clés de registre ajoutées, les fichiers créés, etc...
De cette manière, on peut voir les modification apportées par une infection.



Exemple de rapport: http://up.sur-la-toile.com/iBu7

Values added: 1
---------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "EBUNWVLUMV"
Type: REG_SZ
Data: C:\DOCUME~1\tigzy\LOCALS~1\Temp\Zjr.exe

Files added: 31
---------------
c:\Documents and Settings\tigzy\Local Settings\Temp\a.dat
Date: 6/25/2010 12:01 PM
Size: 145 792 bytes
c:\Documents and Settings\tigzy\Local Settings\Temp\Zjp.exe
Date: 6/25/2010 12:00 PM
Size: 359 936 bytes
c:\Documents and Settings\tigzy\Local Settings\Temp\Zjq.exe
Date: 6/25/2010 12:00 PM
Size: 172 544 bytes
c:\Documents and Settings\tigzy\Local Settings\Temp\Zjr.exe
Date: 6/25/2010 12:00 PM
Size: 177 152 bytes

Files deleted: 5
----------------
c:\Documents and Settings\tigzy\Bureau\animal-xxx-movie.exe
Date: 6/25/2010 11:59 AM
Size: 117 248 bytes


On voit les fichier créés, le dropper qui a été supprimé, et une clé Run qui est apparue.
Pratique comme outil.




WireShark

Permet de voir les trames circulant sur le réseau. On peut par exemple voir les les commandes IRC envoyées par le botmaster au PC infecté par une infection MSN, ou encore voir le contenu des spams envoyé par un PC zombie.


Une fois lancé, on fait capture => analyse , et choisir la carte réseau connectée au web et cliquer sur "start"



Sur la capture, on voit le paquet HTTP capturé lors d'une requête "sur la toile" sur Google.



Process Guard

C'est un IDS (intrusion detection system), donc à chaque lancement de logiciel, il informe du nom et l'emplacement du logiciel, le bloque jusqu'à confirmation de l'utilisateur;
Pratique pour suivre l'infection, sans qu'elle se propage d'un coup.




(Modifié par tigzy le 29-08-2010 à 11:20)
Re: [Labo]Logiciels utiles pour analyser une infection
le 25-06-2010 à 12:17 #
Ajouts...
Re: [Labo]Logiciels utiles pour analyser une infection
le 29-08-2010 à 02:04 #
Tu peux ajouter Process Hacker, qui est mieux que PE /D

Tu peux aussi ajouter OTS/OTL pour les tools de diag, ils sont moins utilisés, mais largement plus puissant, que HJT/RSIT, et plus modulable que ZHP.

(Modifié par sayce le 29-08-2010 à 02:06)
Re: [Labo]Logiciels utiles pour analyser une infection
le 29-08-2010 à 11:17 #
salut Sayce, je veux bien les rajouter, mais faudrait que je les teste, ou que tu me fasse un petit topo comme j'ai fait

Ok pour OTL

(Modifié par tigzy le 29-08-2010 à 11:18)
Re: [Labo]Logiciels utiles pour analyser une infection
le 18-05-2016 à 23:00 #
Bonjour Tigzy, bonjour à tous,

Je réponds sur le tard à ce labo, ayant quelques questions :
Tigzy, as-tu depuis, fait évoluer ton protocole de test (procédures, logiciels utilisés ?

Perso, j'utilise aujourd'hui FRST, suivi de ZHPDiag, et dans cet ordre car ZHPDiag ne liste pas ou plus, à ma connaissance mais je peux me gourer, les derniers fichiers/dossiers créés/modifiés.

J'utilise les deux outils avant et après infection, afin de comparer les résultats des scans.

Par contre ma VM est, à tort ou à raison pour l'instant, sans AV. Je suis ouvert à toute critique/conseil à ce sujet, ainsi que sur les conseils à propos des logiciels de pistage, s'ils ont évolué ou changé depuis.

Merci.

Oups : J'avais oublié les O61 de ZHPDiag.

(Modifié par CatSeven le 19-05-2016 à 21:07)




Ces discussions pourraient vous intéresser également:


besoin d'aide pour analyser les rapports (logiciels tels que Hijackthis)
aide pour analyser rapport hijackthis
KelKun pour analyser mon LOG suite virus MSN s'il vous plait?
[Win32]Besoin d'aide pour analyser le scan de HijackThis
[Labo]Virtualiser un OS avec VirtualBox