IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Poweliks : Un malware persistant sans fichier


Sujet :

Sécurité

  1. #1
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut Poweliks : Un malware persistant sans fichier
    Poweliks : Un malware persistant sans fichier
    Une toute nouvelle approche dans la conception d'un virus

    Nous savons tous, les antivirus scannent des fichiers. En effet, les virus ont l'habitude d'être présent sur le système sous la forme d'un fichier, il était donc logique que les antivirus scannent les fichiers pour rechercher ceux-ci. Mais, voici un malware qui change complètement la donne.
    Poweliks est un virus qui réside dans la base de registre de Windows. Il est persistant, car, en effet, il est sauvegardé (contrairement à un virus en mémoire vive, qui serait supprimé après un redémarrage). Voici comment il fonctionne :
    • son point d'entrée est semblable à n'importe quel autre logiciel malveillant : un document Word malicieux diffusé par courriel. Il exploite une faille de Microsoft Word et ainsi, créé une clé dans la base de registre ;
    • la clé se trouve dans une section permettant d'être réactivée à chaque redémarrage. Pour ne pas être détectée, elle est cachée/obfusquée ;
    • le décodage de la clé permet de découvrir deux aspects : la code s'assure que le système possède Microsoft PowerShell d'installé et un code supplémentaire ;
    • le code additionnel est un script PowerShell encodé en Base 64 qui appel et exécute le shellcode (assembleur) ;
    • dernière étape, le shellcode exécute un binaire. Dans le cas analysé, le binaire essaie de se connecter à une adresse IP présente en dure pour recevoir de nouvelles commandes (contrôle à distance), mais l'attaquant peut très bien déclencher n'importe quelle autre action ;
    • toutes les activités sont stockées dans la base de registre. Il n'y a toujours aucune fichier de créé.


    Pour se protéger d'une telle attaque, les développeurs d'antivirus devraient bloquer le fichier Word avant exécution (ou avant la réception dans la messagerie), ou encore, ils devraient détecter l'utilisation de la faille de Word durant l'exécution ou pour finir surveiller la base de registre d'un comportement suspect et bloquer le processus correspondant.

    Analyse

    Pour que Poweliks soit persistant, il faut qu'il s'installe dans la base de registre et plus précisément, dans :
    Au vu du caractère final, on peut sentir que les choses commencent bien.

    La clé contient :
    Code javascript : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    runddl32.exe  javascript:"\..\mshtml,RunHTMLApplication";
    document.write("<script language=jscript.encode>"+
    	(new ActiveXObject("WScript.Shell")).
    	RegRead("HKCU\\software\\microsoft\\windows\\currentversion\\run\\")+
    	"</script>")

    Qui permet d'ouvrir et exécuter le contenu encodé de la clé :
    \\HKCU\software\microsoft\windows\currentversion\run\(default)
    Le caractère spécial utilisé à la fin de la clé initiatrice du lancement du logiciel malveillant permet de cacher la clé des logiciels d'administrations. Par exemple, Regedit (Outil par défaut de Windows pour la base de registre) ne peux lire les caractères non ASCII et donc, ne peut pas ouvrir la clé et l'utilisateur ne peux pas voir la clé.

    Ensuite, pour l'exécution du code, la technique utilisée rappelle les poupées russes. Le code initial contient le code et l'exécute et ce code fait de même avec ce qui suit et ainsi de suite. On démarre avec du JScript, puis un script PowerShell puis un shellcode contenant le code malicieux de Poweliks.


    Étape 1 (JScript)

    La première étape est la clé de la base de registre, en JScript encodé :

    La technique d'encodage provient de Microsoft qui protège ainsi son code source. Toutefois, un chercheur a trouvé comment décoder ce type de message permettant de découvrir que :
    • le script vérifie si PowerShell est installé. Dans le cas contraire, il le télécharge et l'installe ;
    • il exécute le code qui suit, stocké en base64.

    Le code qui suit est évidemment un script PowerShell. Toutefois, PowerShell possède une protection bloquant l'exécution de script inconnu. Mais cela n'a pas suffit, car le créateur du virus fait croire à PowerShell que le script est exécuté en mode interactif et peut donc être exécuté sans que l'utilisateur le sache.


    Étape 2 (PowerShell)

    Le script PowerShell contient une variable stockant un shellcode en base64. Il utilise VirtualProtect() pour faire que la mémoire soit exécutable et CallWindowProcA() pour exécuter le shellcode.


    Étape 3 (Shellcode assembleur)

    Le shellcode alloue de la mémoire avec VirtualAlloc(), ce copie (lui et ses données) à l'adresse mémoire 0x1104 et exécute le code copié.
    À l'adresse 0x1104 se trouve un code exécutable (entête MZ) avec deux chaines intéressantes : MPRESS1 et MPRESS2, provenant d'un compresseur d'exécutable : MPRESS.
    Ce code se connecte à deux adresses IP au Kazakhstan pour recevoir des commandes. Au moment de l'analyse les IPs étaient inaccessibles.

    Le malware est très puissant car il peut télécharger n'importe quel code et peut donc ce qu'il veut : espionnage, cheval de troie, vol, installation d'autres logiciels malveillants...


    Conclusion

    Poweliks est un puissant logiciel malveillant, dont la conception à ralenti la recherche et la compréhension du code. Elle expose une toute nouvelle technique où l'intégralité du logiciel est en mémoire tout en ayant la capacité de survivre aux redémarrages grâce à la base de registre. De plus, l'utilisation d'un caractère non ASCII empêche de très nombreux outils d'afficher la clé de registre, cachant ainsi le logiciel malveillant. Finalement, il peut démarrer n'importe quel logiciel sur un système infecté.


    Votre opinion

    Comment pensez-vous vous protéger de Poweliks ?
    Que pensez-vous de ce niveau de sophistication dans les logiciels malveillants ?


    Source

    Analyse de Paul Rascagnères
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  2. #2
    Expert confirmé
    Avatar de Kropernic
    Homme Profil pro
    Analyste / Programmeur / DBA
    Inscrit en
    Juillet 2006
    Messages
    3 932
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Analyste / Programmeur / DBA
    Secteur : Distribution

    Informations forums :
    Inscription : Juillet 2006
    Messages : 3 932
    Points : 4 239
    Points
    4 239
    Par défaut
    Le chemin dans la base de registre est un tantinet petit à mon goût ^^.
    Kropernic

  3. #3
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    En effet.
    C'est corrigé
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  4. #4
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    Je ne comprends pas le terme "sans fichier" de l'annonce, il est bien stocké quelque part non ?
    Qu'est-ce qui empêche un anti-virus de scanner le répertoire "%SystemRoot%\System32\Config", et ainsi le détecter ?

  5. #5
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    Si vraiment vous scannez le dossier de la base de registre (je ne sais plus sous quelle forme elle est réellement stockée) et que l'antivirus repère un virus, il fait quoi ? Il supprime le fichier de la base de registre ?
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  6. #6
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    Si vraiment vous scannez le dossier de la base de registre (je ne sais plus sous quelle forme elle est réellement stockée) et que l'antivirus repère un virus, il fait quoi ? Il supprime le fichier de la base de registre ?
    La suppression de cette clé n'est pas censé affecter le système, si ?

    EDIT: je parle bien de supprimer la clé, et non pas le fichier qui l'a contient

  7. #7
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    L'antivirus ne traite que les fichiers, en tant que fichier (il n'est pas capable d'analyser le contenu afin d'en extraire la partie infectée). S'il voit un fichier dans une DLL du système, il vous demande de supprimer/mettre en quarantaine la DLL. Il n'est pas capable de virer les parties infectés. Il en sera de même pour la base de registre, certes, il se pourrait que cela corresponde à la définition d'un virus, mais ... s'il supprime le fichier, le système est mort.
    J'imagine que c'est peut être même pire, car même si on supprime le fichier de la base de registre, durant l'exécution de Windows, Windows à la fermeture va dumper la base de registre qu'il a en mémoire pour la remettre dans un fichier (afin que les données soient sauvegardés). Mais sur cette dernière hypothèse, je ne sais pas si c'est ce qui est fait.
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  8. #8
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    L'antivirus ne traite que les fichiers, en tant que fichier (il n'est pas capable d'analyser le contenu afin d'en extraire la partie infectée). S'il voit un fichier dans une DLL du système, il vous demande de supprimer/mettre en quarantaine la DLL. Il n'est pas capable de virer les parties infectés. Il en sera de même pour la base de registre, certes, il se pourrait que cela corresponde à la définition d'un virus, mais ... s'il supprime le fichier, le système est mort.
    J'imagine que c'est peut être même pire, car même si on supprime le fichier de la base de registre, durant l'exécution de Windows, Windows à la fermeture va dumper la base de registre qu'il a en mémoire pour la remettre dans un fichier (afin que les données soient sauvegardés). Mais sur cette dernière hypothèse, je ne sais pas si c'est ce qui est fait.
    Je ne vois pas ce qui empêcherait l'antivirus :

    - soit de réparer la base de registre
    - soit de localiser la clé, et de la supprimer

    L'antivirus ne traite que les fichiers => je crois que certains anti-virus "vérifie" déjà les clés non ? En tout cas ça doit être faisable, les anti-adware le font

  9. #9
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    Je ne comprends pas le terme "sans fichier" de l'annonce, il est bien stocké quelque part non ?
    Qu'est-ce qui empêche un anti-virus de scanner le répertoire "%SystemRoot%\System32\Config", et ainsi le détecter ?
    J'ai testé, les fichiers de ce répertoire sont intouchable (que ce soit pour les supprimer ou pour les ouvrir en lecture).

    Oui, j'imagine que l'antivirus pourrait scanner la base de registre (pas les fichiers de la base de registre), mais je n'en suis pas sur qu'il soit vraiment capable de trouver le virus pour autant. Ce n'est pas le seul contenu encodé de la base.

    Sinon, je suis perdu par votre raisonnement.
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  10. #10
    Membre confirmé
    Profil pro
    C Embarqué / C++ Qt
    Inscrit en
    Janvier 2010
    Messages
    231
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : Janvier 2010
    Messages : 231
    Points : 648
    Points
    648
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    J'ai testé, les fichiers de ce répertoire sont intouchable (que ce soit pour les supprimer ou pour les ouvrir en lecture).

    Oui, j'imagine que l'antivirus pourrait scanner la base de registre (pas les fichiers de la base de registre), mais je n'en suis pas sur qu'il soit vraiment capable de trouver le virus pour autant. Ce n'est pas le seul contenu encodé de la base.

    Sinon, je suis perdu par votre raisonnement.
    Non non je parlais bien de scanner la base de registre en elle-même, et ainsi possiblement détecter cette infection

  11. #11
    Membre régulier
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Janvier 2011
    Messages
    71
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Janvier 2011
    Messages : 71
    Points : 110
    Points
    110
    Par défaut
    En terme de sécurité informatique, la base devrait être de fonctionner sur un compte Utilisateur et non Administrateur.
    Si je ne me trompe pas, ce virus ne pourrait donc pas écrire dans la base de registre sans autorisation du compte administrateur.
    Mais je me trompe peut être...

  12. #12
    Membre à l'essai
    Profil pro
    Inscrit en
    Juillet 2013
    Messages
    4
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2013
    Messages : 4
    Points : 12
    Points
    12
    Par défaut
    Apparement la clef se trouve dans HKCU, soit HKEY_CURENT_USER, donc à moins qu'une politique AD soit mise en place pour éviter la modification du registre, il me semble qu'un utilisateur non privilégié peut toujours modifier la ruche associé à son compte, dont la CURENT_USER.

  13. #13
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2014
    Messages
    345
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Juin 2014
    Messages : 345
    Points : 1 211
    Points
    1 211
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    J'ai testé, les fichiers de ce répertoire sont intouchable (que ce soit pour les supprimer ou pour les ouvrir en lecture).
    L'antivirus a probablement des privilèges supérieurs aux tiens (même en tant qu'Administrateur). Le driver/module s'exécute dans le kernel space (et peut donc contourner la gestion des droits du système de fichiers).

    Dans tous les cas, comme le dit Bestel74, il n'y a rien qui empêcherait un antivirus d'accéder à la base de registre, puisque les utilisateurs peuvent le faire et des programmes le font ...

    Citation Envoyé par brnf1 Voir le message
    En terme de sécurité informatique, la base devrait être de fonctionner sur un compte Utilisateur et non Administrateur.
    Si je ne me trompe pas, ce virus ne pourrait donc pas écrire dans la base de registre sans autorisation du compte administrateur.
    Mais je me trompe peut être...
    Tu ne te trompes pas, un programme non lancé sur un compte administrateur ne peut pas accéder aux racines "système" (HKLM, HKCR, ...).

  14. #14
    Membre à l'essai
    Profil pro
    Inscrit en
    Octobre 2008
    Messages
    9
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2008
    Messages : 9
    Points : 24
    Points
    24
    Par défaut
    Le fait de démarrer un virus depuis une clé de registre est assez courant. La différence est qu’ici la clé contient aussi le virus. Les antivirus sont capables de supprimer des clés de registre dangereuses. La difficulté sera d’identifier toutes les variantes du virus (car il va y en avoir…). Néanmoins, même si l’antivirus ne trouve pas le virus, il pourra détecter son exécution et le bloquer (moteur heuristique de l’antivirus). Le virus se relancera mais il ne sera pas vraiment fonctionnel.

    Comment pensez-vous vous protéger de Poweliks ?
    Comme d'habitude :
    Mesures préventives :
    • Tenir à jour son système et ses logiciels
    • Ne pas utiliser en permanence un compte administrateur
    • Ne pas autoriser les exécutions automatiques (clé USB, macro MS Office, etc.)
    • Ne pas ouvrir n’importe quelle application ou site internet


    Mesures de détections :
    • Disposer d’un firewall qui bloque les entrées et les sorties (bloquer les sorties vers le réseau tor par exemple et analyser ces sorties)
    • Utiliser un proxy (blocage d’URL dangereuses)


    Mesures correctives :

    • Antivirus à jour et correctement configuré (scan des fichiers compressés, un scan complet toutes les semaines, etc.)
    • Disposer d’un autre antivirus qui démarrer idéalement sur un live USB


    Que pensez-vous de ce niveau de sophistication dans les logiciels malveillants ?
    Il est efficace et le concepteur du virus est malin mais on est très très loin d'un stuxnet... (mais c'est largement suffisant pour prendre le contrôle d'un ordinateur d'une entreprise ou d'une administration )

  15. #15
    Membre chevronné
    Avatar de NVCfrm
    Homme Profil pro
    Administrateur Système/Réseaux - Developpeur - Consultant
    Inscrit en
    Décembre 2012
    Messages
    1 036
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Administrateur Système/Réseaux - Developpeur - Consultant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Décembre 2012
    Messages : 1 036
    Points : 1 917
    Points
    1 917
    Billets dans le blog
    5
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    J'imagine que c'est peut être même pire, car même si on supprime le fichier de la base de registre, durant l'exécution de Windows, Windows à la fermeture va dumper la base de registre qu'il a en mémoire pour la remettre dans un fichier (afin que les données soient sauvegardés). Mais sur cette dernière hypothèse, je ne sais pas si c'est ce qui est fait.
    Alors cela signifierait que la suppression des clé par l'antivirus ne sert à rien ?
    Une fois que c'est chopé, il ne peut être tué que lorsque l'OS est éteint. Une perspective très peu intéressante.

    La technique d'encodage provient de Microsoft qui protège ainsi son code source. Toutefois, un chercheur a trouvé comment décoder ce type de message permettant de découvrir que :
    On peut se demander si ça ne leur servait qu'à ça.
    Cet éternel besoin d'avoir une porte dérobée en secret qu'un fouineur indiscret, finit toujours par tomber dessus.

    Le correctif est à attendre de MicroSoft qui a crée cette faille "réservée".
    Ousmane


    Quand on tombe dans l'eau, la pluie ne fait plus peur.

  16. #16
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    Citation Envoyé par NVCfrm Voir le message
    Alors cela signifierait que la suppression des clé par l'antivirus ne sert à rien ?
    Une fois que c'est chopé, il ne peut être tué que lorsque l'OS est éteint. Une perspective très peu intéressante.
    Non, car à la fermeture de Windows, vous copiez l'état de la base de registre vers le fichier sur le disque dur. Donc une clé supprimée durant l'exécution du système, sera bel est bien supprimée.
    Dans le fonctionnement :
    Windows démarre -> il charge la base de registre entièrement en mémoire
    Windows tourne -> des changements sont faits (tout en mémoire)
    Windows s'arrête -> la base de registre est recopiée sur le disque

    (Bon, je pense que c'était une hypothèse fausse, notamment car ce n'est pas du tout résistant aux interruptions brusques du système. Mais comme je l'avais dit, c'était une hypothèse, n'hésitez pas à m'éclaire sur comment fonctionne la base de registre.)
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  17. #17
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2014
    Messages
    345
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Juin 2014
    Messages : 345
    Points : 1 211
    Points
    1 211
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    J'imagine que c'est peut être même pire, car même si on supprime le fichier de la base de registre, durant l'exécution de Windows, Windows à la fermeture va dumper la base de registre qu'il a en mémoire pour la remettre dans un fichier (afin que les données soient sauvegardés). Mais sur cette dernière hypothèse, je ne sais pas si c'est ce qui est fait.
    Et en quoi c'est "pire" ? Quel est le rapport ?

    Citation Envoyé par LittleWhite Voir le message
    [...]
    (Bon, je pense que c'était une hypothèse fausse, [...])
    Si c'est une hypothèse fausse, pourquoi l'expliciter ?

    (Note au cas où : je ne suis pas là pour discréditer tes messages, j'essaie juste de comprendre le raisonnement )

  18. #18
    Membre éprouvé

    Homme Profil pro
    Ingénieur logiciel embarqué
    Inscrit en
    Juillet 2002
    Messages
    386
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur logiciel embarqué
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juillet 2002
    Messages : 386
    Points : 1 163
    Points
    1 163
    Par défaut
    Je ne sais pas ce qu'il en est actuellement, ca fait un certain temps que je ne me suis pas intéressé aux fonctionnement des antivirus, mais a l'époque de win95 ce genre d'outils scannaient la base de registre. Plus récemment je crois me rappeler que les "anti maleware" se chargent du scan, les clefs run, run_once, ... étant particulièrement ciblées. Du temps de xp j'utilisai HijackThis de temps en temps, je ne sais pas si ca existe toujours, et si il gère les symbole non ascii.

    Tout ca pour dire que ... je ne pense pas que ce virus soit a l'abri des anti virus .

  19. #19
    Responsable 2D/3D/Jeux


    Avatar de LittleWhite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mai 2008
    Messages
    26 815
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Mai 2008
    Messages : 26 815
    Points : 218 179
    Points
    218 179
    Billets dans le blog
    117
    Par défaut
    Citation Envoyé par the Hound Voir le message
    Et en quoi c'est "pire" ? Quel est le rapport ?
    Pire, dans le sens, il n'est vraiment pas possible d'accéder à la base de registre par le fichier, même si vous le lisiez directement avec votre logiciel (tel un fichier comme un autre).



    Si c'est une hypothèse fausse, pourquoi l'expliciter ?

    (Note au cas où : je ne suis pas là pour discréditer tes messages, j'essaie juste de comprendre le raisonnement )
    Une hypothèse est une hypothèse. Moi, je n'ai pas vérifié si elle est juste ou fausse (j'ai un peu décroché Windows). Du coup, j'attends vos arguments pour la discréditer, mais, il n'y en a pas réellement
    Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi

    Ma page sur DVP
    Mon Portfolio

    Qui connaît l'erreur, connaît la solution.

  20. #20
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2014
    Messages
    345
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Juin 2014
    Messages : 345
    Points : 1 211
    Points
    1 211
    Par défaut
    Citation Envoyé par LittleWhite Voir le message
    Pire, dans le sens, il n'est vraiment pas possible d'accéder à la base de registre par le fichier, même si vous le lisiez directement avec votre logiciel (tel un fichier comme un autre).
    La base de registre étant indispensable au système, seul celui-ci peut y accéder (du moins par défaut). Si un programme/driver/autre a accès en lecture aux fichiers de cette base, il a probablement assez de privilèges pour y accéder en mémoire.

    forthx, il me semblait aussi qu'à une époque les antivirus scannaient la base de registre, mais ça a peut-être été abandonné depuis (pour des raisons de performance ?). Si quelqu'un a une info je suis preneur.

    Sinon je sais que certains antivirus posent des "hooks" et interceptent tous les appels de fonction en rapport avec la base de registre. Ils peuvent donc tracer les lectures/écritures et détecter les virus à l'enregistrement. (C'est bien pour ça que je ne comprends pas pourquoi il y a un débat sur les fichiers, l'antivirus ne fait pas que scanner des fichiers ... il scanne les processus et modules chargés, le réseau, etc.)

    Une hypothèse est une hypothèse. Moi, je n'ai pas vérifié si elle est juste ou fausse (j'ai un peu décroché Windows). Du coup, j'attends vos arguments pour la discréditer, mais, il n'y en a pas réellement
    En réalité je ne pense pas que cette hypothèse soit totalement fausse, à mon avis c'est à peu près le comportement que tu proposes avec quelques mécanismes de synchronisation pour pas tout perdre en cas de coupure. ( Ou pas, c'est un Windows )

Discussions similaires

  1. Traduire un site web sans fichier de ressource
    Par nine93 dans le forum ASP.NET
    Réponses: 2
    Dernier message: 24/04/2007, 20h19
  2. Réponses: 2
    Dernier message: 09/01/2007, 11h21
  3. [Image] Afficher image récupérée par FTP sans fichier temporaire
    Par grinder59 dans le forum Bibliothèques et frameworks
    Réponses: 3
    Dernier message: 18/05/2006, 10h17
  4. Base sans fichier LDF
    Par mohamed dans le forum MS SQL Server
    Réponses: 1
    Dernier message: 11/01/2006, 16h00
  5. Réponses: 2
    Dernier message: 06/10/2005, 11h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo