Microsoft Process Monitor : détectez les rootkits

Vous souvenez-vous de Mark Russinovich, de SysInternals ? C'est lui qui, fin 2005, avait révélé que certains des CD de Sony BMG installaient un « rootkit » sur la machine de l'utilisateur. Aujourd'hui, Mark Russinovich travaille pour le compte de Microsoft. Cette collaboration vieille de quatre mois vient de porter ses premiers fruits, qui prennent la forme d'un logiciel baptisé Process Monitor.
Process Monitor se présente comme un outil de surveillance en temps réel des processus Windows et de la base de registres, dérivé du logiciel Rootkit Revealer, qui fit la réputation de SysInternals à l'époque des rootkits Sony. Process Monitor présente un certain nombre de similitudes avec Filemon et Regmon, deux autres outils également édités par SysInternals.
Bien plus abouti que Rootkit Revealer, il permet aujourd'hui d'identifier chaque processus, de surveiller le chargement des librairies ou d'effectuer des recherches au moyen d'un certain nombre de filtres. Process Monitor permettra notamment de détecter la présence éventuelle d'un rootkit sur sa machine. Rappelons qu'un rootkit est un logiciel qui, une fois installé sur un ordinateur, tourne en tache de fond tout en se dissimulant aux utilitaires comme le Gestionnaire des taches et ouvre d'éventuelles portes dans le système d'exploitation. Bon nombre de personnes infectées ne savent donc pas qu'elles le sont.
Microsoft propose Process Monitor au téléchargement gratuit. Toutefois, le logiciel n'est disponible qu'en anglais, en échange d'un téléchargement de 903 Ko
depuis nos serveurs. Aucune installation n'est requise, il suffit de lancer directement l'exécutable contenu dans l'archive. Process Monitor est compatible avec Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 et Windows Vista, versions 32 et 64 bit. Précisons tout de même que ce logiciel n'est pas des plus aisés à appréhender.
Pour terminer, signalons la mise à jour apportée par Microsoft à Windows Defender qui passe en version 1.1.1593.0, toujours en anglais. Une version 64 bits est également proposée sur le site de l'éditeur.

Lire cette brève sur le site

Excellent ca !

j'ai vaguement essayé, je pense qu'il faut un peu d'habitude avant de détecter un rootkit ..

Il marche sous vista :D

Il va y avoir des personnes qui vont avoir de grosses surprises, peut-être moi?

Il combine les fonctionalités de regmon et filemon dans 1 seul soft, ca c'est pratique pour le boulot.

je teste ca :miam:

je trouve limitatif ce titre de news...
ce serait cantonné ce génial outil à cela... alors qu'il sert pour 95% des gens à autre chose...

savoir pourqoi un truc s'installe pas, pourquoi un truc marche pas etc...

en tout cas, l'idée est excellente de rajouter la surveillance des process (sans parler regmon/filemon) et comme déjà indiqué sur divers sites, 100% des support techniques de software (j'entends par là.. Novell, MS, Citrix, CA, SAP etc) utilisent ces merveilleux outils...

Une petite explication un rien plus poussée pour une première utilisation eût aussi été utile

ToxicAvenger a écrit:
Excellent ca !

Ou l'intérêt de faire un copier/coller à chaque news ...

Super tu es le 1er poster !

Le problème c'est que les process ont toujours des noms barbares et il sera difficile d'y reconnaître un rootkit pour le néophite :(

:ane: euh, on fait comment pour reconnaitre un rootkit???? helpppppppppppppppp :paf:

davidbeaumont a écrit:
:ane: euh, on fait comment pour reconnaitre un rootkit???? helpppppppppppppppp :paf:

C'est pas automatique, ce soft est réservé aux utilisateurs avertis.

rz1 a écrit:
C'est pas automatique, ce soft est réservé aux utilisateurs avertis.

:ane: Ben c'est un peu dommage, car les "utilisateurs avertis" sont quand même peut être plus attentifs aux risques de chopper un truc pareil, tandis que l'utilisateur lambda... ben il se garde ses rootkits quoi! dommage qu'un logiciel pour eliminer ce type de nuisances ne soit pas accessible au plus grand nombre! :pt1cable:

Pour ceux qui voudrait une explication du fonctionnement du prog je ne vois qu'une solution: RTFM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
y a un fichier .chm livre avec le programme. il s'appelle Process Monitor Help. Alors de grace, si ils se sont donné la peine d'ecrire de la doc, donnez vous la peine de la lire.

davidbeaumont a écrit:
:ane: Ben c'est un peu dommage, car les "utilisateurs avertis" sont quand même peut être plus attentifs aux risques de chopper un truc pareil, tandis que l'utilisateur lambda... ben il se garde ses rootkits quoi! dommage qu'un logiciel pour eliminer ce type de nuisances ne soit pas accessible au plus grand nombre! :pt1cable:

En fait, le truc c'est que ce logiciel n'est absolument pas à cet usage exclusif. Il peut être utilisé pour cependant, à partir des infos qu'il permet d'obtenir.

cependant, c'est vrai qu'il serait intéressant de proposer, ou à tout le moins d'exposer sur une page html, une méthode (si cela est raisonnablement possible) pour l'utiliser dans cette optique.

ainsi, je me considère plutôt franchement comme un utilisateur averti, et pourtant quand on arrive au domaine des rootkits, j'atteins les limites de mes "connaissances" et je ne sais pas vraiment quoi faire concrètement.

automatictie a écrit:
Pour ceux qui voudrait une explication du fonctionnement du prog je ne vois qu'une solution: RTFM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
y a un fichier .chm livre avec le programme. il s'appelle Process Monitor Help.  Alors de grace, si ils se sont donné la peine d'ecrire de la doc, donnez vous la peine de la lire.

Si toi-même tu l'avais ouverte cette doc, tu aurais constaté qu'il n'y est pas fait référence aux rootkits ;)
"faites ce que je dis, pas ce que je fais" ? ;)

davidbeaumont a écrit:
:ane: Ben c'est un peu dommage, car les "utilisateurs avertis" sont quand même peut être plus attentifs aux risques de chopper un truc pareil, tandis que l'utilisateur lambda... ben il se garde ses rootkits quoi! dommage qu'un logiciel pour eliminer ce type de nuisances ne soit pas accessible au plus grand nombre! :pt1cable:

Sa sert a rien que sa coit accessible au plus grand nombre Sony arrose la zone.. :lol: , Sony il font des attentats par cd :ane: .

C'est quoi le plus gros virus de toute l'histoire ????

..
.
.
.
.
.
..
..
..
.


Un cd SOny avec rootkit intégrer pour ta sécurité :paf: :ane:

NB : le dernier plan de Sony c'est les attentats par batterie interposé :paf: et bientot par ps3 piégé :MDR :MDR :MDR

automatictie a écrit:
Pour ceux qui voudrait une explication du fonctionnement du prog je ne vois qu'une solution: RTFM !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
y a un fichier .chm livre avec le programme. il s'appelle Process Monitor Help.  Alors de grace, si ils se sont donné la peine d'ecrire de la doc, donnez vous la peine de la lire.

Han ok comment on sent sert ?
--->[]

ParkerLewis a écrit:
En fait, le truc c'est que ce logiciel n'est absolument pas à cet usage exclusif. Il peut être utilisé pour cependant, à partir des infos qu'il permet d'obtenir.

cependant, c'est vrai qu'il serait intéressant de proposer, ou à tout le moins d'exposer sur une page html, une méthode (si cela est raisonnablement possible) pour l'utiliser dans cette optique.

ainsi, je me considère plutôt franchement comme un utilisateur averti, et pourtant quand on arrive au domaine des rootkits, j'atteins les limites de mes "connaissances" et je ne sais pas vraiment quoi faire concrètement.
Si toi-même tu l'avais ouverte cette doc, tu aurais constaté qu'il n'y est pas fait référence aux rootkits ;)
"faites ce que je dis, pas ce que je fais" ?  ;)

Je l'ai ouverte, mais ou dans mon message ai je indique qu'elle contenait une references au rootkit ? :ane: J'ai simplement indique qu'une documentation existait et qu'avant de se plaindre il faut d'abord peut etre lire cette documentation.

Pour Teddy1, tu veux savoir comment on se sert de la doc.. double clique dessus, tu veux savoir comment on se sert du prog, double clique sur la doc et lis la.

Je suis desole d'etre un peu brut de decoffrage mais avec le temps je perds un peu de ma patience. Je m'explique:
Je suis pas un pro windows, je prefere linux. Mais je reconnais que microsoft a apporte de bonne chose, l'une d'entre elle est que cela a permit a certaines personnes d'utiliser une ordinateur. Ces personnes si elles avaient du franchir sans aide le pas de linux auraient certainement renonce. Mais le mauvais cote de cette simplification et que je denoncais a demi-mots dans mon 1er post est que de plus en plus on se retrouve avec des "assistes de l'informatique". Resultat si il n'y a pas une fleche qui clignote pour dire "cliquez ici" alors c'est incomprehensible. Mais la ou cela me consterne c'est de dire "je comprend pas comment ca marche" avant meme d'avoir ouvert la documentation. Et on ne me fera pas croire que tout ceux qui se sont plaint de ne pas comprendre le fonctionnement de ce soft on tous lu la documentation avant de poster.

Mon message est peut etre direct, mais lisez la documentation de A a Z, et si vous ne comprenez pas alors oui posez vosquestions. Mais si apres avoir lu la doc et que qu'un vous ait explique vous ne comprenez toujours pas. Arretez l'informatique.

automatictie a écrit:
Je suis desole d'etre un peu brut de decoffrage mais avec le temps je perds un peu de ma patience. Je m'explique:
Je suis pas un pro windows, je prefere linux. Mais je reconnais que microsoft a apporte de bonne chose, l'une d'entre elle est que cela a permit a certaines personnes d'utiliser une ordinateur. Ces personnes si elles avaient du franchir sans aide le pas de linux auraient certainement renonce. Mais le mauvais cote de cette simplification et que je denoncais a demi-mots dans mon 1er post est que de plus en plus on se retrouve avec des "assistes de l'informatique". Resultat si il n'y a pas une fleche qui clignote pour dire "cliquez ici" alors c'est incomprehensible.

Meme si je suis pro windows je suis tout à fait d'accord :jap: :jap: :jap: :jap: