Les anti-rootkits pour Windows

Les rootkits sont des modules logiciels qui s’insèrent au niveau des drivers boot ou des systèmes Windows. Ils en modifient profondément le comportement et en font une machine « zombie », sous contrôle. Ils sont, la plupart du temps, indétectables par les anti-virus. Pour certains d’entre eux, vous pourrez les détecter sous forme de programme dans la liste des process (Ctrl+Shift+Echap), introuvable sur votre disque ou bien dans votre base de registre. Ces exécutables sont en général générés à la volée.

Celui auquel j’avais naguère été confronté avait contaminé la DLL hal.dll d’une machine équipée d’un système Windows XP. Il s’est infiltré dans la machine du fait de la désactivation du mode NAT de la Freebox de la personne à laquelle appartenait cet ordinateur. Le pare-feu de Windows XP n’aura pas résisté aux rafales de paquets sur le port TCP/135.

Les anti-rootkits

La première méthode pour éradiquer les rootkits, c’est d’utiliser un anti-rootkit. En général, ils les détectent. Rarement, ils sont en capacité de les effacer, le système étant sous le contrôle dudit rootkit.

Certains éditeurs intègrent l’anti-rootkit à leur solution anti-virus.

BartPE et la commande expand  pour Windows XP ! ( 1er novembre 2009)

Pour l’éradiquer, j’ai dû ressortir de ma pochette de CD un bon vieux BartPE. Toujours utile  ! Je tiens à préciser que je disposais de la copie des fichiers du répertoire i386 de l’installation de Windows XP. En mode Live CD, j’ai amorcé mon système avec BartPE et lancé l’interpréteur de commandes :

c:
cd\i386
md tmp

J’ai décompressé tous les drivers, dlls et autres exécutables par la création d’un fichier .CMD dans un répertoire temporaire créé pour l’occasion :

for %%i in (*.dl_) do expand %%i  tmp\%%i
copy tmp\*.dl_ c:\windows\system32\*.dll /y

for %%i in (*.ex_) do expand %%i tmp\%%i
copy tmp\*.ex_ c:\windows\system32\*.exe /y

for %%i in (*.sy_) do expand %%i tmp\%%i
copy tmp\*.sy_ c:\windows\system32\drivers\*.sys /y

for %%i in (*.in_) do expand %%i tmp\%%i
copy tmp\*.in_ c:\windows\inf\*.inf /y

Seul problème notoire : j’ai dû réactiver la licence Windows par téléphone. J’ai pris soin enfin d’exécuter le Service Pack 3 de Windows XP.

Utilisation de WinPE pour Windows 7 et Windows 2008 R2.

Je vous ai déjà parlé de WinPE et de la possibilité de créer un LiveCd sous Windows. Vous pouvez copier toutes les fichiers DLL, SYS et autres EXE qui se trouvent dans le répertoire Windows du fichier \sources\install.wim du Dvd, à l’aide du programme GimageX.

Dsfc Dsfc

Les anti-rootkits pour Windows
1 vote, 5.00 avg. rating (95% score)
Tags : , , , , , , ,
Commentaires

la solution est intéressante, mais il est tout à fait possible de faire la même chose à partir de linux
( livec drom) et installer un paquet mscompress ….

Eradiquer un Rootkit sous Windows Xp…

Les rootkits sont des modules logiciels qui s’insèrent au niveau des drivers boot ou système de Windows XP ou 2003. Ils en modifient profondément le comportement et sont, la plupart du temps, indétectables par les anti-virus ou par les anti-rootk…

Laisser un commentaire

(requis)

(requis)


*