Modules

ZHPDiag – Module O18 (PAPP)

259 ZHPDIAG – MODULE O18 (PAPP) L’installation d’un gestionnaire de protocole implique la copie de la ou des dll à un emplacement approprié dans le répertoire %ProgramFiles%, puis l’enregistrement du gestionnaire de protocole via le registre. L’application d’installation peut également ajouter une racine de recherche et des règles d’étendue pour définir une étendue d’analyse par défaut pour la source de données Shell. L’interface IProtocolHandlerSite est utilisée pour instancier un gestionnaire de filtre, qui est hébergé dans un processus isolé. Le gestionnaire de filtres approprié est obtenu pour un identificateur de classe persistant (CLSID), une classe de stockage de documents ou une extension de nom de fichier spécifiés. L’avantage de demander au processus hôte de se lier à IFilter est que le […]

ZHPDiag – Module O18 (PAPP) Lire la suite »

Modules

ZHPDiag – Module O69 (SBI)

260 ZHPDiag – Module O69 (SBI) ZHPDIAG – MODULE O69 (SBI) Lié au module SBI (Search Browser Infection), le module O69 de ZHPDiag a pour objectif de rechercher les redirections des navigateurs internet. Au début de la création du module, la recherche se limitait au navigateur Mozilla/Firefox. il avait pour but de vérifier la présence du moteur de recherche de Yoog dans le dossier ‘plugIn’ de l’utilisateur ainsi que dans son fichier de préférences ‘prefs.js’. Par la suite, le module a changé de nom pour faire une recherche plus large en l’étendant à d’autres moteurs de recherche malwares. Une recherche complémentaire est faite dans la clé “Internet Explorer\SearchScopes“. SearchScopes permet de spécifier les fournisseurs de recherche Internet. La donnée de la

ZHPDiag – Module O69 (SBI) Lire la suite »

Modules

ZHPDiag – Module O4 (ADAR)

1 017 ZHPDIAG – MODULE O4 (ADAR) Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices. À chacune de ces clés correspond une série de valeurs. Ces valeurs permettent à des entrées multiples de coexister sans s’écraser mutuellement. La valeur de données pour une valeur est une ligne de commande. Certains éléments spéciaux doivent être pris en compte pour la troisième et la quatrième clés de la liste, les clés RunOnce : Par défaut, les clés Run sont ignorées lorsque l’ordinateur démarre en mode sans échec. Sous les clés RunOnce, vous pouvez préfixer un nom de valeur avec un astérisque (*) pour forcer le

ZHPDiag – Module O4 (ADAR) Lire la suite »

Modules

ZHPDiag – Module G2 (GCE)

321 ZHPDIAG – MODULE G2 (GCE) Lié au module GCE (Google Chrome Extensions). Il permet de lister tous les programmes d’extension du navigateur Google Chrome. Chrome Web Store est la plate-forme de téléchargement de Google à destination de son navigateur Google Chrome et de son système d’exploitation Google Chrome OS. La recherche s’effectue dans le fichier des préférences de l’utilisateur “Preferences“. Aperçu ZHPDiag —\\ Google Chrome Extensions (G2) G2 – GCE: Preference [User Data\Default] [faminaibgiklngmfpfbhmokfmnglamcm] PanicButton v.0.12 (Activé) G2 – GCE: Preference [User Data\Default] [gighmmpiobklfepjocnamgkkbiglidom] AdBlock v.2.2.7 (Activé) —\\ Google Chrome Extensions (G2) G2 – GCE: Preference [Coolman2] [User Data\Default] [faminaibgiklngmfpfbhmokfmnglamcm] PanicButton v.0.12 G2 – GCE: Preference [Coolman2][User Data\Default] [gighmmpiobklfepjocnamgkkbiglidom] AdBlock v.2.2.7 Exemple de détection —\\ Google Chrome Extensions (G2) G2

ZHPDiag – Module G2 (GCE) Lire la suite »

Modules

ZHPDiag – Module O42 – Logiciels installés

360 ZHPDiag – Module O42 – Logiciels installés Le module O42 de ZHPDiag liste tous les logiciels installés dans la Base de Registres en excluant les mises à jour et correctifs Microsoft Windows. Certains programmes malwares ne sont pas listés dans le module O42 qui se réfère aux clés de désinstallation logicielle enregistrées par le système. L’ ajout d’un module permettant d’énumérer les clés softwares système et utilisateurs va permettre de dépister plus efficacement ces programmes malwares. Cette liste s’affiche seulement avec la sélection du module O42. La recherche s’effectue sur les clés de Base de Registres suivantes : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] Ajout du nom du propriétaire du logiciel et iInsertion d’un nouveau module “HKCU & HKLM Software Keys” qui permet le

ZHPDiag – Module O42 – Logiciels installés Lire la suite »

Modules

ZHPDiag – Module O53 (SMSR)

193 ZHPDiag – Module O53 – ShareTools MSconfig StartupReg MsConfig (Microsoft System Configuration Utility) est un programme présent dans diverses versions de Windows permettant de consulter et de modifier la configuration du démarrage de Windows. MsConfig permet, entre autres, de supprimer des processus chargés au démarrage de Windows ou d’empêcher le démarrage de certains programmes lors du démarrage de Windows. (Sources).  Lié au module SMSR (ShareTools MSconfig StartupReg). Il permet de lister les valeurs et données de la clé de registre startupreg. La recherche s’effectue dans la clé de Base de Registres “HKLM\software\microsoft\shared tools\msconfig\startupreg”. Aperçu ZHPDiag —\\ ShareTools MSconfig StartupReg (SMSR) (O53) v2.33.09 O53 – SMSR:HKLM\…\startupreg\iTunesHelper – C:\Program Files\iTunes\iTunesHelper.exe O53 – SMSR:HKLM\…\startupreg\msnmsgr – C:\Program Files\MSN Messenger\MsnMsgr.Exe /background —\\ ShareTools MSconfig StartupReg (SMSR) (O53) v1.25.030 O53 – SMSR:HKLM\…\startupreg\CloneDVD2

ZHPDiag – Module O53 (SMSR) Lire la suite »

Modules

ZHPDiag – Module O22 SharedTaskScheduler (STS)

145 ZHPDiag – Module O22 – SharedTaskScheduler Ce module recense les valeur CLSID de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d’une infection par des rogues. La recherche s”effectue sur les valeurs des clés de Base de Registres suivantes : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] – Les lignes suivantes légitimes de Windows ne sont pas affichées : O22 – SharedTaskScheduler: Pré-chargeur Browseui – {…} O22 – SharedTaskScheduler: Démon de cache des catégories de composant – {…} Les détections SharedTaskScheduler ont pratiquement  disparu de nos jours, d’ailleurs Windows 10 ne référence plus cette clé de registre. Aperçu ZHPDiag —\\ SharedTaskScheduler (O22) O22 – SharedTaskScheduler: Pré-chargeur Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\System32\browseui.dll O22 – SharedTaskScheduler: Démon de cache des

ZHPDiag – Module O22 SharedTaskScheduler (STS) Lire la suite »

Modules

ZHPDiag – Module O34 – BootExecute (BEX)

270 ZHPDiag – Module O34 – BootExecute (BEX) Pour son fonctionnement, Microsoft Windows NT utilise au démarrage une session manager (Session Manager). L’authentification LSA décrit les parties de l’autorité de sécurité locale (LSA) que les applications peuvent utiliser pour authentifier et enregistrer les utilisateurs sur le système local. Il décrit également comment créer et appeler des packages d’authentification et des packages de sécurité. Les fonctions d’authentification LSA vous permettent d’écrire un package d’authentification ou un package d’authentification/fournisseur de support de sécurité combiné (SSP/AP). Certains logiciels sains utilisent cette fonctionnalité pour exécuter des opérations spécifiques comme par exemple une défragmentation des disques, c’est le cas par exemple d’O&O Software (O&O Defrag) ou de Raxco Software (PerfectDisk Boot Time Defragmentation). D’autres logiciels permettent d’effectuer un

ZHPDiag – Module O34 – BootExecute (BEX) Lire la suite »

Modules

ZHPDiag – Module P2 (FPN) – Extensions Firefox

227 ZHPDiag – Module P2 – Extensions Firefox Pour Wikipedia, les extensions sont très nombreuses et permettent d’ajouter de nouvelles fonctionnalités au navigateur, comme la météo dans la barre d’état, un blocage des publicités des sites Web, des outils de développement Web, etc. Il ne faut pas confondre l’extension avec le plugin, qui lui est une sorte d’application complémentaire, externe au logiciel qui l’utilise ; l’extension est ici plutôt à prendre comme une modification du programme. Lié au module FPN (Firefox Plugin Navigator). Il permet de lister l’ensemble des plugins installés pour le navigateur Mozilla Firefox. Certains plugins peuvent être des programmes malwares. L’analyse de ZHPLite permettra de les identifier. – La recherche s’effectue dans le dossier “%Program Files%\Mozilla Firefox\Plugins\” Une

ZHPDiag – Module P2 (FPN) – Extensions Firefox Lire la suite »

Modules
Retour en haut