Gravure-News

[Scaramanga]

Beaucoup connaissent Sysinternals, j'ai découvert System Explorer, qui vaut vriament le détour, un version portable est disponible pour les frileux de l'instalation.

[Freux]

Je viens d'installer la version 1.5 RC2 avec les plugins proposés.

Impressionnant AMHA ce mix d'infos Process Explorer/HiJackThis/Seem et autres.

Jolie trouvaille.

Thx dude !



Edit: les anglophobes ont à leur disposition une version française.

[gowap]

Je viens de tester la 1.5 (hier soir je n'avais regardé que la 1.4 portable) et je constate qu'il y a bien plus de trucs dans celle ci.
il faut quand meme reconnaitre qu'il y a beaucoup d'infos. Ca peut vite surcharger l'utilisateur. Bon, je viens d'arriver au dernier onglet, le gestionnaire de plugin et vu qu'on pouvait activer/desactiver selon son bon vouloir.

Par contre j'aime bien le plugin qui permet de prendre des lcichés et de les comparer pour voir ce qui a bougé dans le registre ou les fichiers.

Niveau "sécurité" des processus, c'est un peu dommage que tout ce qui n'est pas microsoft se retrouve "inconnu"

[Freux]

Niveau "sécurité" des processus, c'est un peu dommage que tout ce qui n'est pas microsoft se retrouve "inconnu".

Pas tout à fait, il reconnaît comme "sûr" le module TeaTimer de Spybot Search & Destroy. Ceci dit cette évaluation me fait penser à la reconnaissance farfelue du Centre de Sécurité Windows XP concernant la présence ou pas d'un AV et d'un pare-feu ( il me semble que Comodo n'était pas reconnu sous SP2 mais l'est sous SP3 par exemple).

Là je n'ai fait que survoler le site de SpyWare Terminator, la communauté a l'air très active, et je me demande s'il n'y a pas moyen de participer à la détermination du caractère légitime d'un processus, un peu comme pour la Startup List de Paul Collins ou dans un autre domaine comme sur FILExt.

Effectivement les informations sont touffues, mais je vais prendre un exemple: celui d'un crack fourni pour un programme X récupéré sur eMule. La victime me dit qu'elle ne comprend pas parce-qu'elle a scanné le fichier avec son AV et que ce dernier n'a rien vu. Effectivement un scan du fichier avec BitDefender, AntiVir, SpyBot S&D, Malwarebytes, ne donne rien. Après configuration de Comodo Defense+ en mode "Paranoïd" et éxécution du fichier, le première chose qu'il fait est de tenter d'accèder par exemple aux programmes de défense tournant en mémoire pour les liquider, ensuite d'installer des fichiers aux noms tarabiscotés dans les dossiers système, dont un *.sys cher aux rootkits, et de modifier des clefs de registre propres aux interface réseau.

Ici un soft comme celui présenté par Scaramanga peut être d'une grande utilité dans la mesure où il regroupe des informations qui seraient disponibles en lançant plusieurs softs différents (HiJackThis, Seem et consorts, quoique l'explorateur windows puisse être utile en effectuant une recherche sur les fichiers -tous- dernièrement installés), destinés à localiser et identifier les fichiers responsables d'une infection (dll, éxécutables, pilotes et crochetages noyau, etc.).

En souhaitant que ce remplaçant du Gestionnaire n'ait pas été tué dans la foulée...

[gowap]

Je viens de réaliser via la petite icone dans le tray, que system explorer m'affichait un taux d'occupation CPU de 54%. Avec juste filezilla d'ouvert et firefox, je trouvais que ca faisais beaucoup. Je lance le gestionnaire de tache windows, qui m'indique que c'est system explorer qui utilise le cpu comme un taré.
Plutot ironique et décevant...

[Freux]

 
Je le laisse tourner en fond et pour l'instant je n'ai pas ce souci, quoi que ce soit qui tourne à côté et quelque soit le nombre de connexions ouvertes. Avec Firefox je ne sais pas, je le lance rarement... Je le trouve vraiment sympa cet utilitaire.
 

[gowap]

svchost viewer :

C'est pas une alternative complète au gestionnaire de tache, mais ca permet de savoir un peu plus ce qui se cache derriere les multiples process "svchost.exe" qui sont lancés.

Vous saurez quel sont les services executés.
C'est dispo sur codeplex, le "sourceforge de microsoft" :

http://www.codeplex.com/svchostviewer

[gowap]

Un petit up histoire d'évoquer 2 programmes :

- Free Extended Task Manager d'extensoft est un gestionnaire de taches a part entière qui reprend globalement les onglets de celui intégré dans windows en les enrichissant et en en proposant d'autres comme la liste des ports ouverts (par quelle appli et avec quelle ip à l'autre bout).



Par rapport a l'outil de windows, les graphiques sont bien plus détaillés (infobulle que l'on peut déplacer sur la courbe) et l'on a donc un onglet avec la liste des services et leur etat + un onglet avec les connexions actives.

A noter qu'il y a un module permettant de déterminer quel processus verrouille un fichier (un classique sous xp et vista) qui évite d'avoir a utiliser des softs comme unlocker.
Le programme propose le fait de remplacer le gestionnaire normal de windows.

- le second programme a justement l'avantage de ne pas etre un executable distinct, mais de s'intégrer au gestionnaire standard de windows. Il s'agit de Prio.



Comme vous le voyez sur la capture, il va colorer les processus en vérifiant leur signature digitale, histoire de détecter facilement un processus qui usurperait le nom d'un exécutable de windows.

Comme son nom l'indique, le but premier de Prio est de modifier la priorité des processus mais au lieu de simplement proposer un réglage ponctuel qui sera perdu si le processus est terminé/windows redemarré, etc, Prio peut sauver la priorité de chacun des processus et restaurer le réglage, rendant ainsi la priorité définie comme permanente.

Sinon, comme Free Extended Task Manager, 2 nouveaux onglets font leur apparition, "Services" et "TCP/IP". Cela permet de savoir quels services sont lancés (et le modifier sans se perdre dans le panneau de config) et quels progs ont ouverts des connexions, vers quels IP/serveurs ainsi que le traffic entrant/sortant.