devloop :: blog

Intro dramatique
Suite à un incident électrique sur l'ordinateur d'un proche (l'insertion d'un périphérique USB fait "instinctivement" griller l'alimentation), et après une réorganisation des disques durs, j'avais remis en cause la nécessité de la présence d'un antivirus sur le système Windows XP car le "passif cyber-viral" de la personne était quasi-inexistant : aucun malware n'avait posé problème durant des années malgré l'utilisation systèmatique d'un compte administrateur.

Le système était tout de même bien (évidemment tout est relatif) protégé avec un AVG 8 Free Edition et un Spybot S&D tous deux chargés en résident avec des scans réguliers.
Le premier protégeait des virus, le second des adwares et demandait confirmation pour chaque modification potentiellement malicieuse de la base de registre. Au final ça rendait le système assez lourd mais mieux protégé.

Après les changements de disque j'ai (tout de même) installé Malwarebytes' Anti-Malware parce que "MAM" elle s'y connait en défense (c'est bien connu ). Le programme était utilisé seulement pour des scans de temps à autre, le version gratuite ne proposant pas un résident...

Finalement les lois de Murphy sont passées par là et il n'a fallu que quelques semaines pour ce qui semble être une variante de Real Antivirus fasse son apparition.

Désinfection
Un exécutable baptisé "SpywareRemove.exe" est trouvable dans WINDOWS\System32\ et différentes dll au nom aléatoire (3 syllabes de la forme consonne-voyelle) sont chargées au démarrage par AppInit_DLL, RunDLL32 et autres BHOs.
Après un "attrib -H -S" pour rendre visible ces fichiers, je lance HijackThis qui se montre malheureusement inefficace pour supprimer ces DLLs (en cours d'utilisation), les résultats ne sont pas meilleurs avec le classique Safe Mode.

J'ai finalement sorti le live CD de F-Secure mais j'ai recontré les même problèmes que les dernières fois, à savoir la mise à jour n'a pas aboutie et le scan n'a détecté aucun des fichiers dangereux.
Heureusement j'avais laissé un GRML 1.1 sur place avec lequel j'ai pu monter disque Windows en écriture et supprimer les fichiers.
Après redémarrage, je me rend compte qu'un nouveau fichier est apparu, sans doute regénéré lors de la fermeture du système... Je prend le nom, j'arrête le système de force, redémarre à nouveau sous GRML : mission réussie

GRML 2008.11
Petite info découverte grace à cet incident : une nouvelle version de GRML est disponible, la version 2008.11, alias "Schluchtenscheisser" (il semblerait que ça veut dire "Autrichien" en allemand...)
C'est avec un grand plaisir que je vais me garder cette version de côté en attendant la prochaine version d'openSUSE (par pur hazard les deux distributions semblent avoir des calendriers assez proche )

Dr.Web Live CD
Dans l'hypothèse de remettre un antivirus, je me suis ensuite rendu sur le site de l'éditeur Dr.Web, découvert par un numéro de MISC.
J'ai alors découvert l'existence d'un live CD officiel, à l'instar de celui de F-Secure, que je me suis empressé d'essayer

L'interface du système est pour le moins classique pour une distribution live : on tombe sur un GRUB avec différents choix de démarrage.
Le système charge assez rapidement et on se retrouve sur un bureau épuré et clair basé sur Openbox, iDesk et fbpanel.
Les Windowsiens ne seront pas dépaysés, même les icones sur le bureau ont été configurées pour se lancer sur doucle-click.

Quelques logiciels supplémentaires sont présents, accessibles sur le bureau, qui permettent de passer le temps durant un scan ou peuvent s'avérer utile : un Firefox, un Sylpheed, un Midnight Commander et enfin un XTerm
Grosse déception : seul le keymap russe est présent, le clavier est en qwerty, difficile de naviguer dans les options de Firefox avec des caractères cyrilliques...
Le système semble avoir été "fait maison", on y trouve aucune trace d'un gestionnaire de paquets que soit soit rpm/deb ou autre...

Les partitions Windows sont montées automatiquement au démarrage par NTFS-3G en lecture + écriture. On les retrouve dans le dossier /win avec un nom correspondant au volume utilisé sous Windows par exemple /win/C:/.

L'interface graphique de Dr.Web (on peut l'utiliser en ligne de commande) est elle aussi très épurée, développée à l'aide de GTK/Glade.
On peut sélectionner directements les partitions à scanner ou spécifier les dossiers que l'on souhaite scanner en particulier (bouton '+')
Point qui mérite d'être noté : la mise à jour de l'antivirus semble fonctionner tout comme le reste de l'auto-configuration réseau (validé par le Firefox )

Le scan en lui-même est assez long, principalement parce que le système tourne à partir du cdrom. Sur la page du live CD on trouve tout de même un manuel [PDF] qui explique notamment comment passer le système sur support USB, ce qui doit être plus efficace

Autre défaut sans grande importance : on a tendance à croire que le bouton rouge sert à stopper le scan en cours alors qu'il quitte complétement l'antivirus (sans avertir). En regardant mieux on apperçoit un bouton "Stop" à droite qui fait ce que l'on souhaite
Le scan a permis de trouver un fichier malicieux suppémentaire que MBAM n'avait pas trouvé.

Ce que j'ai apprécié aussi, c'est que l'antivirus affiche le chemin des fichiers tels qu'ils sont sous Windows et non sous Linux (avec le point de montage) ce qui facilitera la compréhension des néophytes...

Bref un live CD à préférer de loin à celui de F-Secure car plus agréable et plus efficace même si quelques erreurs sont encore à régler

Avis à tous les fans de grml, cette distribution live Linux basée sur Debian, grml 1.0 est disponible
Télécharger GRML
grml.org

J'avais parlé de cette distribution la première fois ici.

J'ai testé quelques "live CDs" (des systèmes d'exploitation qui se lançent sans installation, directement à partir d'un CD ou d'un DVD), je vous fait part de mes découvertes.

Mon Windows XP est cassé, du moins il m'est impossible d'installer de nouveaux logiciels (l'installeur échoue à la fin de la procédure). Comme il m'est impossible d'installer un antivirus ou un antispyware j'ai décidé d'essayer un live cd antiviral.
Le choix est pour le moins restreint : soit j'utilisais Chronomium, soit je me tournais vers LinuxDefender.
Ces deux systèmes sont loin d'être à jour... j'ai finalement opté pour le moins périmé des deux : Linuxdefender.

LinuxDefender se base sur la distribution live KNOPPIX. Après la procédure de boot on se retrouve face à un beau KDE avec quelques icones sur le Bureau.
L'une des icones permet de lancer facilement l'installation de captive-ntfs qui permet le montage des partitions NTFS en écriture.
Tout se fait par une interface graphique où on à juste à cliquer... le programme monte les partitions Windows en lecture seule afin de récupérer les drivers NTFS propriétaires puis une fois qu'il les a obtenu, démonte puis remonte les partitions en écriture.
Malheureusement pour moi mon fichier ntoskrnl.exe n'a pas été reconnu par Captive qui se base sur les hashs MD5 des fichiers.
J'ai tout de même pû lancer le scan (aucun virus détecté) mais je n'ai pas pû profiter de Captive

Conclusion : sympa mais vraiment pas à jour

Ophcrack Live CD est un simple live CD basé sur la SLAX qui contient un fluxbox pas beau, des rainbow tables et surtout le logiciel Ophcrack.
Ophcrack est un casseur de mots de passe Windows qui se base sur le principe du compromis temps-mémoire. Le principe est simple : une attaque par force brute sur les mots de passes Windows consiste à prendre chaque combinaison possible, la chiffrer avec l'algorithme utilisé par Windows et comparer le résultat obtenu avec la mot de passe chiffré stocké par Windows.
Seulement l'algorithme lanman (bien que totalement dépassé) reste assez "couteux" en temps. Si on devait faire toutes les combinaisons possibles on en aurait pour des mois.
Il est plus rapide d'utiliser des tables de correspondance mot de passe en clair/mot de pass chiffré déjà existantes. L'utilisation de ces "rainbow tables" est rendue possible par le fait que l'algorithme Lanman n'utilise par un système de "sel" (lire la partie Limiter la recherche exhaustive)

Pour revenir à ce live cd, il inclus des tables toutes faites ainsi que le logiciel qui se charge de les lire. A peine fluxbox lancé, un programme énumère les partitions Windows et nous demande de choisir celle dont on veut connaître les passwords.
Ca peut prendre un certain temps en fonction de la robustesse des mots de passe... Les tables doivent être assez limitées (le live cd fait environ 400Mo), à priori un charset alpha voire alphanum, mais pas plus.

INSERT est un live cd destiné à la récupération ou réparation de données.
On y trouve un fluxbox équipé d'un wmnd et d'un torsmo ainsi qu'un navigateur (Dillo), un gestionnaire de fichiers (emelFM), un antivirus (ClamAV) et des anti-rookits (rootkit hunter et chrootkit) et de quoi graver et partitionner. L'installeur Captive-NTFS est aussi présent.
On a vite fait le tour des 60Mo contenue dans l'iso. Autant prendre plus large et se tourner vers un Ultimate Boot CD ou un GRML.

Et puisque je parle de GRML... tadaaam !! La version 0.8 (Funkenzutzler) est disponible depuis peu.
Je ne ferais pas le tour de cette distrib puisque je l'avais déjà fait pour une version antérieure.
Sachez juste que GRML est tout simplement génialissime (le top du top, le fin du fin, the very best of )

Et pour se tenir au courant des sorties Live CDs, il existe un site non moins génial nommé LiveDistro

Quand à future Slackware, elle ne devrait pas tarder.

GRML ce n'est pas le grognement que je fais quand je suis de mauvais poil (quoique) mais une distribution Linux en Live CD (ça boot directement à partir du CD ce qui fait qu'on a pas à installer le système).

Ca fait quelques temps déjà que mes recherches sur le Web me ramenaient par un certain hazard vers le site de grml.
Alors après avoir lu une nouvelle fois les caractéristiques de la bête, regardé avec attention la liste des logiciels installés et reluqué une nouvelle fois les captures d'écran, je me suis dis que décidemment c'était une fois de trop et qu'il fallait que je teste cette distribution.

Je grave l'image iso de la dernière version en date (0.6) qui pèse 700Mo et c'est parti !!

Après un boot très rapide, grml nous donne quelques 'trucs' pour commencer et nous incite par exemple à tapper la commande grml-info.
Cette commande lance un links (navigateur en mode console) sur une page web d'aide qui nous fait pleinement profiter d'un framebuffer bien configuré (des belles couleurs en console, miam )
Après m'être renseigné sur la façon dont lancer le serveur X et un des Window Manager proposés (et ils sont nombreux) je décide de m'aventurer un peu dans le mode console.
La première grosse différence c'est que l'on est par défaut sur un zsh... il faut avouer qu'on a pas l'habitude de tomber sur ce shell. Mais après quelques minutes on s'apperçoit que ce shell est très puissant et pas désagréable à utiliser. Toutefois, comme pour les WM, grml inclus tout un tas de shells (dont le classique bash) pour ceux qui n'ont pas envie de se jeter dans zsh.

Je jette en coup d'oeil au fichier fstab que grml m'a généré : impeccable... à tel point que je le met de côté en vue d'une future utilisation

Malgré la présence de Pekwm3, Ion, Ratpoison, Twm, w9wm, Windowlab, WMI, Jwm et Evimwm... je lance un classique Fluxbox
Le thème est très agréable (j'ai le même à la maison ), le menu est très bien organisé et propose de configurer différents logiciels ou votre connexion Internet.
Parce que c'est un des points fort de grml : bien que destiné aux adeptes de la console et des wm légers, il inclus tout un tas de scripts (parfois officiels, parfois fait main) pour configurer les applications.
Par exemple j'ai enfin pu (avec avoir utilisé un script de configuration en perl très intuitif) tester Elmo qui est (à ma connaissance) le seul client mail en mode console qui permet d'envoyer et de lire votre courier électronique sans avoir à installer et configurer en plus un Fetchmail, un Sendmail ou un Postfix...
Il m'a fallut quelques temps pour comprendre le fonctionnement du programme mais après j'étais ravi de connaître ce programme (si un jour je passe au tout console, ce sera sans aucun doute mon client mail).
Je n'ai évidemment pas pu faire le tour de grml mais c'est avec un plaisir non dissimulé que j'ai retrouvé most (encore lui) ainsi que différents logiciels de sécurité informatique.
J'en ai profité pour casser mes passwords Windows avec le trio bkhive/samdump/john et lancer un petit tethereal (juste pour le plaisir )
Mais la distrib propose bien plus que ça question sécurité, on trouve les outils classiques (antivirus, détecteur de rootkit, scanneur de ports) ainsi que des outils plus spécialisés comme Snort, Scappy, tinyhoneypot (que je compte bien tester un de ces jours), Nessus ou mwcollect dont je vous ai déjà parlé (et qui a fusionné depuis avec le projet Nepenthes).

Enfin bref, c'est LE Live CD que je cherchais depuis toujours et dont je ne risque pas de me séparer

Visiter le site officiel de grml.