| Auteur |
Message |
Carte Mère
AidoAntivirus
Messages: 846
Tutoriaux : 0
|
 Posté le:
Mer 01 Aoû 2007 13:25 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
   |
Bonjour à tous, 
Tutoriels HijackThis et petits trucs perso succincts
 Je poste ici un
petit post synthétique de tutoriels liés à HijackThis, de
liens d'analyse, etc. Tout cela est destiné à des internautes déja un peu familiers de l'outil et
les méthodes. J'espère que les liens suivants vous apporteront quelques informations importantes, de
la méthodologie, et peut-être susciteront quelques vocations chez d'autres.
 Règle de baseS'il ne devait y
avoir qu'une seule règle, ce serait celle-ci : Ne jamais endommager
le pc d'un internaute par une de vos manipulations. Ne faites que ce dont vous êtes absolument sûrs.
Ce que vous allez pouvoir lire et trouver ci-dessous ne représente pas une méthode
d'éradication des malwares, mais juste quelques explications sur l'outil principal utilisé (HijackThis) et sur quelques liens utiles et "trucs"
persos.
Introduction à HijackThisComme
vous l'avez remarqué, nous utilisons beaucoup sur ce forum un outil que l'on appelle HijackThis. Cet outil ne fait pas tout, mais est bien pratique, et
il est important de savoir comment il fonctionne et quelles sont ses fonctionnalités.
Aujourd'hui les infections ont beaucoup évolué par rapport à l'époque d'élaboration de l'outil ;
même si son utilisation est encore pertinente, beaucoup d'infections s'y sont habituées et savent à
présent s'en prémunir. L'emploi d'outils complémentaires est de plus en plus d'actualité, viendra
sans doute un jour où HijackThis sera mis à un repos bien
mérité.
Présentation
HijackThis | Citation: | | HijackThis est un programme écrit par Merijn Bellekom, à l'époque étudiant Hollandais en chimie,
développant HJT alors sur le forum SpyWareInfo à partir d'un
document rédigé par le webmestre, Mike Healan. L'auteur est à présent diplomé en informatique (Univ. d'Utrecht). Zebulon.fr |
| Citation: | | HijackThis est
un utilitaire qui demande des connaissances avancées de Windows et les systèmes d'exploitation en
général. Si vous supprimez un objet sans savoir ce que cela est, vous risquez d'endommager Windows
ou Internet Explorer. HijackThis permet de supprimer les entrées de la base de registre mais ne
supprime pas les fichiers du disque dur. (sauf cas particuliers des O2 et O3 nécessitant une
confirmation de l'utilisateur).Malekal.com |
| Citation: | C'est vrai
qu'HijackThis est un programme merveilleux qui permet de voir les infections du système (les vraies
infections, pas les fichiers infectieux du disque).
Certains membres encensent HJT, mais ont oublié qu'HJT n'a pas toujours existé et qu'on traitait les
virus quand même (mais les spywares de ce niveau n'existaient pas).
HijackThis a une trop grande place sur les forums de sécurité qui sont submergés de fichiers
log.
- Une prévention correcte éviterait les infections.
- Une maintenance normale du système réduirait le nombre d'infections : suppression des fichiers
inutiles en particulier dans les répertoires temporaires et nettoyage de la base de registres.
- Les programmes classiques de scan anti-virus, anti-spywares et anti-troyens, bien utilisés,
éviteraient le recours à HijackThis et à l'interprétation du rapport et au nettoyage.
Zebulon.fr |
Liens d'auto-formationIl est important de prendre connaissance de ces liens, afin de comprendre le fonctionnement
de l'outil, ses limites, ses capacités. Vous verrez, en lisant ces tutoriels, qu'il est important de
connaitre un minimum le système pour pouvoir isoler les entrées infectieuses.
Liens complémentaires d'analyses d'un rapport
HijackThisCette liste n'est pas exaustive, elle n'est là que pour vous donner un
exemple de bases de données publiques.
N° version windows (j'utilise le robot de Hijackthis.de pour m'assurer que les versions windows sont à jour)
Running processes O2 & O3O4O9O10O16O17O18O20O21O22O23
Pratique, faites en une barre
d'outilsSous Firefox, je me suis également fait une barre d'analyse afin de ne pas
perdre de temps.
- faites un clic-droit à droite de Outils ? et cochez Barre personnelle afin de l'afficher.
- par défaut, vous y trouverez déja quelques liens, supprimez ceux dont vous n'avez pas besoin
- Pour insérer un lien, vous pouvez le faire glisser en maintenant le clic-gauche de la souris
enfoncée d'une page internet ou de votre marque-page jusqu'à la barre
- Vous pouvez également marquer la page via l'onglet Marque-pages et
sélectionner Barre personnelle dans la fenêtre Créer dans puis Ok
- Vous pourrez modifier les noms de ces raccourcis en faisant un clic-droit puis Propriétés. Choisissez des noms courts afin de visualiser toute votre
barre d'un seul coup d'oeil.
Une capture de ma barre d'analyse pour vous donner une idée : 
Liens supplémentaires
Pour poursuivreVoila, je pense
que vous y verrez un peu plus clair. Ce qu'il faut bien réaliser, c'est qu'il y a quelques années
(que je n'ai pas connues) HijackThis servait à identifier et
traiter les infections. Il suffisait dans la plupart des cas, de corriger une entrée registre, et
ensuite de supprimer le fichier associé.
Aujourd'hui cela n'est quasiment plus vrai, les infections ont évolué ; HijackThis ne vous servira qu'à identifier l'infection en début d'analyse, et à
corriger enfin les entrées registres en fin d'analyse !
Exemple
Cette entrée O4, une entrée registre en Run qui va donc exécuter l'exe "pointé" au démarrage du système : | Citation: | | O4 - HKLM\..\Run:
[icq.com] rundll32.exe "C:\WINDOWS\system32\bwfxskly.dll",forkonce |
Une recherche sur Castlecops-O4 avec en mot-clé icq.com
n'indiquera pas la malveillance de l'entrée. Une recherche avec le nom de la DLL n'aura pas de
référence. Pourtant nous sommes là en présence d'un vundo nouvelle mouture, assez pénible à éradiquer. Corriger cette
ligne uniquement ne vous servira à rien, et la suppression du fichier ne vous sera pas possible en
l'état.
 Comment faire ? Comment reconnaître alors ?
- Première chose, comprendre un minimum le système. Savoir ce que signifie une entrée, et l'objet
de son emplacement dans les lignes HijackThis. Les tutoriels pointés plus haut sont là pour ça.
- Deuxième chose ; lorsque l'on ne connait pas une entrée. Chercher et chercher. Fouillez d'abord
les bases de données indiquées, elles sont là pour référencer les entrées génériques et connues.
- Enfin, en cas d'absence d'informations => google.
Un bon helper sait chercher l'information qui lui manque. Regardez comment est traité un fichier, et
surtout par qui. Choisissez vos références, n'allez pas singer n'importe qui.
L'humilité est indispensable
dans une désinfection. Personne n'est en mesure de tout connaître.
- La meilleure des méthodes pour apprendre est de faire ses propres analyses de son côté, tout
seul sans faire prendre de risques à qui que ce soit, et de les comparer avec la procédure
recommandée par un helper. Ne pas hésiter non plus à poser des questions en MP.
- Si vous vous décidez à intervenir dans un sujet, soyez humbles et ne faites que ce dont vous
êtes sûrs.
- Respectez une méthodologie précise dans vos interventions : cette page
d'Ipl_001 vous révèle ce vers quoi il faudrait idéalement
tendre. Notez que si vous commencer à intervenir sur un sujet, vous devez vous sentir capable
d'aller au terme de la désinfection.
- Respectez les sujets, si un helper intervient dans un sujet, c'est à lui qu'il revient de le
finir, sauf s'il l'indique expressément. C'est non seulement une marque de politesse pour
l'internaute, et pour le helper, mais c'est surtout une précaution par rapport à un internaute sans
doute paniqué par ce qui lui arrive.
- Enfin, n'hésitez pas à apporter cette mention sur vos premières interventions, en début de post,
en recopiant le BBcode ci-dessous (prenez soin de prendre connaissance des règles d'intervention
suivant les forums ; certains ne tolèrent pas qu'un membre non qualifié réponde aux demandes
d'analyse) :
| Code: | | [color=red][b]Veuillez attendre la confirmation d'un membre
[u]AidoAntivirus[/u] avant toute
manipulation[/b][/color] |
Qui donnera :
| Citation: | | Veuillez attendre la confirmation d'un membre
AidoAntivirus avant toute
manipulation. |
Mais encore ?La désinfection
d'un système ne doit pas se limiter à traiter l'infection. Vous devez rétablir le système en
accompagnant l'internaute dans la désinstallation et suppression des différents outils utilisés, en
l'aidant à rétablir ses paramètres d'affichage si vous les avez changés par exemple, etc.
Il vous faudra également indiquer et pointer les défaillances du système ou de l'utilisateur afin
que l'utilisateur puisse à l'avenir s'en prémunir. Remettre ou mettre des protections en place fait
partie de la désinfection. Faire effectuer une mise à jour de sécurité d'un logiciel fait partie de
la protection générale du système.
Enfin, aiguiller l'internaute sur Malware Complaints afin de faire prendre en compte son
infection et les dommages que cela lui a occasionné.
Tout au long des désinfections que vous serez amenés à prendre en charge, soyez toujours à l'affût
du fichier infectieux non référencé afin de le faire parvenir aux différents analystes tels que
S!Ri, MAD, Il-Mafioso, !aur3n7 ou Malekal morte. La réactivité aux fichiers nouveaux est très importante.
Il vaut mieux "uploader" un fichier connu à la mauvaise personne (qui se chargera de la
transmettre si le fichier est intéressant) que ne pas le faire du tout.
Bonne chasse  |
_________________
Dernière édition par Gof le Dim 18 Nov 2007 23:27; édité 2 fois |
|
   |
|
|
Messages: 1410
Tutoriaux : 4
|
| Posté le:
Mer 01 Aoû 2007 13:27 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
|
 |
|
Vil Admin Méchant
Messages: 11960
Tutoriaux : 64
|
| Posté le:
Mer 01 Aoû 2007 17:31 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
|
|
|
Geek
AidoAntivirus
Messages: 2280
Tutoriaux : 0
|
| Posté le:
Jeu 02 Aoû 2007 03:19 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
 tout le monde.
Magnifique, un sacré boulot que Gof abbat, merci, merci, merci 
Espérons que ca suscite quelques vocations et que quelques membres voudront se joindre à la lutte.
Bonn jiutée à tous |
_________________
Anti-Malware Powa
 |
|
 |
|
DVD-RW
Messages: 124
Tutoriaux : 1
|
| Posté le:
Mer 08 Aoû 2007 22:44 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
Super Gof, merci |
|
|
|
|
|
Messages: 1410
Tutoriaux : 4
|
| Posté le:
Mer 08 Aoû 2007 23:44 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
| synthexe a écrit: | tout le monde.
Magnifique, un sacré boulot que Gof abbat, merci, merci, merci
Espérons que ca suscite quelques vocations et que quelques membres voudront se joindre à la lutte.
Bonn jiutée à tous |
Je suis la :] |
|
|
|
|
PC de Compèt'
AidoHighTech
Messages: 1046
Tutoriaux : 1
|
| Posté le:
Dim 26 Aoû 2007 19:10 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
Trop bien ce topic..
*mit en favoris*
Merci à Gof ! |
_________________
(garanti sans trucage, la pub a été mise telle quelle) |
|
|
|
|
Messages: 710
Tutoriaux : 2
|
| Posté le:
Jeu 18 Oct 2007 22:34 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
Merci Gof
Je dit comme pouzy:
| Citation: | | J'ai jamais
compris de ma vie comment vous faisiez pour éplucher un rapport, et je vais enfin pouvoir
comprendre |
|
_________________
Pas de demande d'aide par MP! Merci.
 |
|
|
|
Geek
AidoAntivirus
Messages: 2280
Tutoriaux : 0
|
| Posté le:
Dim 21 Oct 2007 16:16 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
Bon courage, l'apprentissage est long et demande une assiduité constante |
|
|
|
|
|
Messages: 710
Tutoriaux : 2
|
| Posté le:
Mar 06 Nov 2007 16:00 Sujet : [Apprentissage] - Quelques liens sur Hijactkhis, fonctionnements, tutos, trucs persos. |
|
| synthexe a écrit: |
Bon courage, l'apprentissage est long et demande une assiduité constante |
Hello,
Ca c'est sur ! |
|
|
|
|
|
|
|
|
|
