Discussion :

[dvechamb]

bonjour
je voudrais savoir si il est possible de faire un programme de façon que :

quand on le lance ; et qu'avec un autre programme on lance les fonctions enumprocessmodules et GetModuleFileNameEx (http://msdn.microsoft.com/en-us/libr...8VS.85%29.aspx)

-une de ces deux fonctions retourne forcément faux;

- GetModuleFileNameEx retourne un mauvais nom de module.


(je ve dire ca pourrait etre une technique de furtivité pour un virus)

merci d'avance.

[bacelar]

Oui.

Mais généralement, les virus sont bien moins complexes que vous semblez le croire.

[homeostasie]

Oui en effet, cela pourrait être le cas en programmant un rootkit "kernel land" ou "user land" même si ce dernier reste bien moins évolué en terme de furtivité mais plus portable sur les différents noyaux Windows.

Disons que la mise en place de telle technique est plutôt utilisé dans le but de maintenir discrètement un accès à distance sur une machine corrompu.

[dvechamb]

merci. en fait je voudrais savoir quel cas est possible:

-une de ces deux fonctions retourne forcément faux si oui laquelle

- GetModuleFileNameEx retourne un mauvais nom de module.

[homeostasie]

une de ces deux fonctions retourne forcément faux si oui laquelle

Ah bon, pourquoi il y en aurait forcément une qui retournerait faux...
Ici, si je comprends bien, on cherche à cacher un processus. Donc oui cela est possible et EnumProcessModules() ne le listera pas car on l'aura cacher soit à un niveau plus bas, soit avec un hook d'API.
Puis GetModuleFileNameEx() fournit le chemin complet d'un module chargé dans un processus donné, donc je ne vois pas trop le rapport de faire ensuite appel à cet API puisque le processus n'existe plus. La cuillère n'existe pas. (c.f. Matrix).

GetModuleFileNameEx retourne un mauvais nom de module.

Sinon oui, cela est toujours possible.

Bref, je ne comprends ou tu veux en venir...

N.B.: Inutile de m'envoyer en PV le message que tu postes dans ton topic!

[dvechamb]

merci.

"on l'aura cacher soit à un niveau plus bas, soit avec un hook d'API."
et dans ce cas est ce que tu sais si enumprocessmodules retourne faux ou vrai?

[bacelar]

enumprocessmodules n'est pas un détecteur de root kit.

Il retournera "true" si le piratin à fait correctement son travail.

[dvechamb]

merci et je voudrais savoir si GetmodulesFileNameEx retourne un mauvais nom de module, est ce qu'il est possible que ce soit un nom d'un autre fichier existant ou est ce que ce sera forcément une chaîne de caractères qui ne veut rien dire.

[homeostasie]

enumprocessmodules n'est pas un détecteur de root kit.
Il retournera "true" si le piratin à fait correctement son travail.

C'est clair et net. ;-)
En fait que cela soit enumprocess() ou enumprocessmodules(), au final ces APIs font leur travail et récupèrent seulement ce que les appels systèmes leurs retournent. Elles y voient que du feu et ne peuvent pas être du tout consciente que plus bas on leur a caché l'existence de processus. Elles retourneront tout naturellement TRUE.

S'il y a un rootkit, ça peut être absolument tout ce que le pirate veut, non?

Théoriquement oui, tant que l'on se place toujours à un niveau plus bas ou égal à celui du détecteur de rootkit.
On peut cacher des fichiers, des registres, des processus, des modules, des connexions réseaux, les photos et vidéos pornographiques de sa soeur...