Cyrrus, j'aimerais que tu m'expliques formellement comment fait un rootkit (ou tout autre bestiole ou programme d'ailleurs) pour survivre à un formatage, même rapide, si on fait l'hypothèse qu'il ne loge pas dans le BIOS, et que le formatage est effectué dans un environnement sain (ce qui est a fortiori le cas : boot sur une disquette ou CD de windows).
voilà, je pense que c'est le point clé, si tu arrives à faire une démo bien béton, je m'écraserai.
m@ch3
Never feed the troll after midnight!
bonjourEnvoyé par Cyrrus
non et non:l'informatique ce n'est pas de la magie:La seule difficulté avec les rootkits c'est bien leur détection,mais l'eradication par le formattage est possible comme pour tout malveillants,a part bien sur certains virus.Voir cet article
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonsoir yoda1234, jpl, mach3, à tous,
Dejà merci pour les mots sympa jpl et yoda, je vois qu'à vos yeux je passe pour un sombre crétin enteté. N'allant pas m'embarquer dans des reproches incessants, je continue le débat, en restant polis et constructif ( je l'espere du moins ) :
Je pense que c'est là ou cela coince, car pour moi un rootkit le peux, et si je part de là je ne vois pas pourquoi un formatage peut le deloger... (mes excuses yoda je rédige ceci à la hâte et ne lirait ton article à fond que demain).si on fait l'hypothèse qu'il ne loge pas dans le BIOS
Maintenant je ne prétend pas avoir la science infuse ( et non...), mais honnetement je ne vois pas ce qui empeche ( outre complexité de programmation ) un rootkit de s'y loger et ainsi d'etre proteger. Deplus il y a quelque annèes certains virus résistait au formatage ( rapide) en se mettant dans le mbr, pourquoi les rootkits (5 ans plus tard), ne pourrait pas non plus se mettre là ( un format/mbr les enleverait mais pas un formatage rapide ?? ).
Bonne soirée (quand même....)
il est cependant difficile vu la diversité des bios existants, la possibilité que le bios soit protégé en écriture, et le peu d'espace disponible qu'un programme malicieux puisse s'y loger à moins qu'il s'agisse d'un virus leger et très efficace. D'ailleurs on ne voit pratiquement plus aucun virus s'attaquant au bios de nos jours. Après il y a aussi un problème de terminologie, pour moi un programme qui réside dans le bios à l'insu de l'utilisateur et prend le controle de l'ordinateur est avant tout un virus (je n'ai que faire du fait qu'il s'agisse d'un rootkit, ou de quoi que ce soit d'autre). Après qu'un virus de bios ait des fonctions de rootkit, je crois que ça existe déjà, mais que ça fait un bout de temps qu'on en a pas entendu parler : win95.cih logeait dans le bios et controlait totalement le pc, de façon invisible (pas d'executable ou de clés de registre se rapportant à lui : normal, il prend totalement la main et n'a pas besoin de ça), enfin visible quand meme vu que le pc montrait des symptomes, mais pas detectable, enfin je me comprend.Je pense que c'est là ou cela coince, car pour moi un rootkit le peux [se loger dans le bios], et si je part de là je ne vois pas pourquoi un formatage peut le deloger...
Cependant une réinstallation du système doit écraser le MBR, donc de meme pour n'importe quel programme qui s'y logerait.Deplus il y a quelques années certains virus résistait au formatage ( rapide) en se mettant dans le mbr, pourquoi les rootkits (5 ans plus tard), ne pourrait pas non plus se mettre là ( un format/mbr les enleverait mais pas un formatage rapide ?? ).
Je pense qu'un bon pourcentage des cas de soi-disant survivance à un formatage est due à une mauvaise utilisation :
-l'utilisateur ne sait pas formatter proprement (il croit que ce qu'il fait est un formatage mais ce n'est pas le cas)
-le programme malicieux logeait sur une autre partition et a été relancé par l'utilisateur après le formatage (manque de méfiance de sa part),
-le malware parasite l'installeur d'un programme quelconque, que l'utilisateur réinstalle suite à son formatage
-il s'est connecté à internet sans pare-feu sitot l'installation de windows terminée.
Vu le nombre d'utilisateurs peu avertis, je dirai que la probabilité qu'un de ces 4 cas se présentent est majeure. Et ils iront clamer sur les forum "un spyware a survécu a mon formatage!!". C'est un peu caricatural, mais ce scénario m'a l'air tout à fait plausible.
mais bon, méfiance...
m@ch3
Never feed the troll after midnight!
Bonjour m@ch 3,
Ok pour la terminologie, un nom est un nom, rien de plus. Par contre, comment peut on "rater" un formatage rapide ? Si on utilise le cd de windows, on n'a pas vraiment de choix, il suffit de selectionner, et le cd s'occupe du reste...?
Là tu m'apprends un truc, je pensait qu'un formatage rapide ne l'écrasait pas, tant mieux donc.Cependant une réinstallation du système doit écraser le MBR, donc de meme pour n'importe quel programme qui s'y logerait.
Heuresement, je crois que les virus tel que win95.cih ne sont plus du tout courant aujourdhui, neanmoins méfiance comme tu le dit...
Bonne journée
Cyrrus
je ne sais pas si le formatage rapide écrase le mbr ou non, en tout il est clair que l'installation d'un os après ce formatage écrasera le mbr : l'OS en question va y mettre sont propre secteur de boot.Là tu m'apprends un truc, je pensait qu'un formatage rapide ne l'écrasait pas, tant mieux donc.
imagine que la personne ne sait pas comment on fait et que qulqu'un lui dit, la il faut que tu formatte. La personne cherche alors comment faire sur le net et tombe sur un -soi-disant- logiciel qui permet de formater... vois-tu ou je veux en venir? il y a tellement d'arnaques partout sur internet...Par contre, comment peut on "rater" un formatage [...] ?
bon, merci pour cette discussion interessante, je ne connaissais guère les rootkits avant et je suis maintenant armé en conséquence. Je vous conseille rootkit revealer pour les dépister.
m@ch3
Never feed the troll after midnight!
Bonjour m@ch 3,
Ok je vois, je partais sur le principe qu'une personne n'y connaissant rien allait partir sur le cd d'xp...imagine que la personne ne sait pas comment on fait et que qulqu'un lui dit, la il faut que tu formatte. La personne cherche alors comment faire sur le net et tombe sur un -soi-disant- logiciel qui permet de formater... vois-tu ou je veux en venir? il y a tellement d'arnaques partout sur internet...
Voici une page qui en recense quelques autres, pour Windows mais aussi pour Linux :bon, merci pour cette discussion interessante, je ne connaissais guère les rootkits avant et je suis maintenant armé en conséquence. Je vous conseille rootkit revealer pour les dépister.
http://assiste.forum.free.fr/viewtopic.php?t=6720
Bonne soirée
Cyrrus
allo!
moi de meme j'etais ignorant(sur les rootkits) avant de lire cette discussion,je le suis encore,mais beaucoup moin.
merci a vous
steph
