[rootkit] A prendre au serieux?

zodd · 25/02/2008, 09h03

Voilà j'ai entendu parlé de rootkit,
D'aprés la définition de wiki, ca ressemble un peu à un trojan ( si je me trompe pas ca ouvre des back door ) mais ca n'est casiment pas détectable..Pensez vous que la menace est réelle?
Devrions nous commencer à installer les anti rootkit?

Louis-Guillaume Morand · 25/02/2008, 09h11

les rootkit existent depuis 300ans

il y a dans les cd audio de sony par exemple (procès perdu et plein d'argent à rembourser). Ces rootkit sont plus souvent des spywares qui analysent des infos commerciales sur l'utilisation de ton pc et les anti-virus voire les ant-ispywares les detectent déjà depuis des années

les pseudos "sponsors" que tu vois sur msnplus ou encore daemontools lite sont en quelque sorte des rootkits car tu n'es pas au courant de toutes les actions qu'ils font ni avec qui ils communiquent

zodd · 25/02/2008, 15h56

Pourtant j'ai lu que c'etait difficilement détectable.. Est ce que avast les "vois"?

Louis-Guillaume Morand · 25/02/2008, 16h00

dans les premieres pages de google

Citation:

Rootkit agent-MET détecté par avast!

donc oui mais forcément pas tous

jbarreau-mainson · 03/03/2008, 15h23

La définiton de louis-guillaume n'est pas tout à fait la mienne. Il ne faut pas confondre un spyware et un rootkit bien que leur intentions soient mauvaises pour les deux

Un rootkit est un programme qui peut :

cacher un(des) programme(s) en cours ou non, un processus.
le(s) port(s) utilisé(s) par ce(s) programme(s)
la taille utilisée par ce(s) programme(s)
la bande passante utilisée par ce(s) programme(s)
etc...

Pour ma part je repondrai "oui" à ta question à savoir si les rootkits sont à prendre au sérieux.

Bien sur les bases des antivirus sont regulierement mises à jour mais des rootkits moddés il en existe et sont souvent UD...

zodd · 03/03/2008, 16h23

Alors qu'elle est la solution? installer un anti rootkit?

Jannus · 04/03/2008, 17h45

Citation:

Envoyé par BeaV*

La définiton de louis-guillaume n'est pas tout à fait la mienne. Il ne faut pas confondre un spyware et un rootkit

Ce n'est pas ce que Louis-Guillaume à dit et je doute qu'il confonde quoique ce soit d'ailleurs.
Par contre le but final d'un rootkit est bien "d'espionner" le PC infecté.
Avec cette particularité que le rootkit se camoufle, ce qui le rend pratiquement indétectable par des moyens "normaux".
Cela dit les AV proposent de plus en plus souvent un "service anti-rootkit".

Installer un anti-rootkit ?
Étant donné que rien ou pratiquement rien ne s'installe "tout seul" sur un PC, le comportement de l'utilisateur et la meilleure protection.
Ne pas cliquer sur tout ce qui se présente, éviter les téléchargements illégaux et les sites X permet déjà d'utiliser un PC et Internet sans trop se casser la tête.
À quoi bon installer AV, etc., si on ne prend aucune précaution ?

jbarreau-mainson · 05/03/2008, 08h46

Citation:

Envoyé par Guardian

Ce n'est pas ce que Louis-Guillaume à dit et je doute qu'il confonde quoique ce soit d'ailleurs.

Citation :

Citation:

Envoyé par Louis-Guillaume Morand

Ces rootkit sont plus souvent des spywares qui analysent des infos commerciales sur l'utilisation de ton pc et les anti-virus voire les ant-ispywares les detectent déjà depuis des années

J'imagine bien que Louis-Guillaume Morand connaisse la différence, je donnais simplement mon point de vue !

Citation:

Envoyé par Guardian

À quoi bon installer AV, etc., si on ne prend aucune précaution ?

+1

TrYde · 11/03/2008, 15h31

Par précaution j'utilise de temps en temps RootkitRevealer de Sysinternals (www.sysinternals.com), c'est gratuit, léger et ça ne coute rien de le lancer le temps d'une pause ou en tâche de fond.

Elboras · 11/03/2008, 20h38

le truc c'est qu'un rootkit s'execute en kernel land, et donc qu'il peut se permettre de faire bcp de chose (comme ce cacher de la liste des processus, atteindre bcp de choses en memoire ...).
Pour pouvoir passer d'userland a kernelland, le rootkit a besoin de faire un "pilote", c'est je crois la seul porte d'entré de windows viable pour passer en "mode kernel". Pr ceci il faut avoir les droits administrateur pour le faire.

Je comprend pas pourquoi les utilisateurs de windows sont perpetuellement en utilisateur administrateur, la meme chose parraiterait insencé sous linux.
La commande runas, permet de faire la meme chose que sudo sous linux, vous pouvez donc rester avec des droits limite et faire un runas par exemple quand vous avez besoin des droits administrateurs.
Ce qui empechera aux virus de se copier dans system32 ou autre, au rootkit de s'initialiser.

Remarque je dis ca et je ne le fais pas quand je suis sous windows

25/02/2008, 09h03	#1
zodd Membre régulier Inscription : septembre 2005 Messages : 193 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : septembre 2005 Messages : 193 Points : 88 Points : 88	[rootkit] A prendre au serieux? Voilà j'ai entendu parlé de rootkit, D'aprés la définition de wiki, ca ressemble un peu à un trojan ( si je me trompe pas ca ouvre des back door ) mais ca n'est casiment pas détectable..Pensez vous que la menace est réelle? Devrions nous commencer à installer les anti rootkit? __________________ Stay a while and listen...
	00

25/02/2008, 09h11	#2
Louis-Guillaume Morand Rédacteur Louis-Guillaume MORAND Consultant @ Microsoft Inscription : mars 2003 Messages : 10 713 Détails du profil Informations personnelles : Nom : Louis-Guillaume MORAND Localisation : France, Hauts de Seine (Île de France) Informations professionnelles : Activité : Consultant @ Microsoft Secteur : Conseil Informations forums : Inscription : mars 2003 Messages : 10 713 Points : 15 946 Points : 15 946	les rootkit existent depuis 300ans il y a dans les cd audio de sony par exemple (procès perdu et plein d'argent à rembourser). Ces rootkit sont plus souvent des spywares qui analysent des infos commerciales sur l'utilisation de ton pc et les anti-virus voire les ant-ispywares les detectent déjà depuis des années les pseudos "sponsors" que tu vois sur msnplus ou encore daemontools lite sont en quelque sorte des rootkits car tu n'es pas au courant de toutes les actions qu'ils font ni avec qui ils communiquent __________________ moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume et je n'aide pas ceux qui écorchent mon nom
	00

25/02/2008, 15h56	#3
zodd Membre régulier Inscription : septembre 2005 Messages : 193 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : septembre 2005 Messages : 193 Points : 88 Points : 88	Pourtant j'ai lu que c'etait difficilement détectable.. Est ce que avast les "vois"? __________________ Stay a while and listen...
	00

03/03/2008, 15h23	#5
jbarreau-mainson Membre éclairé Inscription : octobre 2007 Messages : 448 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : octobre 2007 Messages : 448 Points : 359 Points : 359	La définiton de louis-guillaume n'est pas tout à fait la mienne. Il ne faut pas confondre un spyware et un rootkit bien que leur intentions soient mauvaises pour les deux Un rootkit est un programme qui peut : cacher un(des) programme(s) en cours ou non, un processus. le(s) port(s) utilisé(s) par ce(s) programme(s) la taille utilisée par ce(s) programme(s) la bande passante utilisée par ce(s) programme(s) etc... Pour ma part je repondrai "oui" à ta question à savoir si les rootkits sont à prendre au sérieux. Bien sur les bases des antivirus sont regulierement mises à jour mais des rootkits moddés il en existe et sont souvent UD...
	00

03/03/2008, 16h23	#6
zodd Membre régulier Inscription : septembre 2005 Messages : 193 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : septembre 2005 Messages : 193 Points : 88 Points : 88	Alors qu'elle est la solution? installer un anti rootkit? __________________ Stay a while and listen...
	00

11/03/2008, 15h31	#9
TrYde Membre du Club Inscription : juillet 2005 Messages : 55 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : juillet 2005 Messages : 55 Points : 64 Points : 64	Par précaution j'utilise de temps en temps RootkitRevealer de Sysinternals (www.sysinternals.com), c'est gratuit, léger et ça ne coute rien de le lancer le temps d'une pause ou en tâche de fond.
	00

11/03/2008, 20h38	#10
Elboras Membre confirmé Edouard Viot Ingénieur sécurité Inscription : juillet 2007 Messages : 193 Détails du profil Informations personnelles : Nom : Edouard Viot Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : juillet 2007 Messages : 193 Points : 262 Points : 262	le truc c'est qu'un rootkit s'execute en kernel land, et donc qu'il peut se permettre de faire bcp de chose (comme ce cacher de la liste des processus, atteindre bcp de choses en memoire ...). Pour pouvoir passer d'userland a kernelland, le rootkit a besoin de faire un "pilote", c'est je crois la seul porte d'entré de windows viable pour passer en "mode kernel". Pr ceci il faut avoir les droits administrateur pour le faire. Je comprend pas pourquoi les utilisateurs de windows sont perpetuellement en utilisateur administrateur, la meme chose parraiterait insencé sous linux. La commande runas, permet de faire la meme chose que sudo sous linux, vous pouvez donc rester avec des droits limite et faire un runas par exemple quand vous avez besoin des droits administrateurs. Ce qui empechera aux virus de se copier dans system32 ou autre, au rootkit de s'initialiser. Remarque je dis ca et je ne le fais pas quand je suis sous windows
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email