[TuTo 5] HijackThis, Le gendarme informatique

Aller en bas

[TuTo 5] HijackThis, Le gendarme informatique

Message par Dr tayma le Ven 23 Juil - 2:45

1) Introduction:[/ Afin d'etablir de l'ordre et de maintenir la securité dans une ville, l'homme a crée ce qu'on appelle "Les forces de l'ordre" Le role principale de ces derniers est de surveiller tout ce qui bouge dans l'agglomeration afin d'avoir une idée sur les entrées et les sorties. Merijn Bellekom etudiant Hollandais en informatique, a ecrit un programme qui fait la meme chose, sauf que ca se passe au niveau d'un pc et non d'une ville Il s'agit de HijackThis.


2) Installation: Commencez d'abord par le telecharger en cliquant ici ----------> Africaafrica2002
Une fois telechargé, cliquez sur l'executable. Vous aurez cette fenetre, cliquez sur "Executer"

Choisissez le chemin d'installation puis cliquez sur "Install"


3) Scan et sauvegarde:
Voila, HijackThis est installé, Vous obtienderez une fenetre comme celle ci


Cliquez sur "Do a system scan and save a logfile" Ce qui veut dire scaner son systeme et faire un fichier de sauvegarde. A ce moment là, vous aurez deux fenetres ouvertes, la premiere c'est la fenetre qui contien le rapport du scan (dans un fichier texte) C'est ce rapport qui va nous servir pour analyser le résultat du scan

La deuxieme fenetre va nous servir pour passer a l'action. Apres avoir analyser notre rapport, si on trouve quelque chose de suspect, on le suprime dans cette fenetre en cochant la case de l'identifiant et en cliquant sur "Fix checked"


4) Analyse du rapport:

Cette partie, est la plus compliquée à comprendre, donc je vous demande de vous consentrer un peu car une petite erreur de choix pourra vous couter cher. On a vue précédemment la fenetre du rapport (celle qui est dans un fichier texte). Ce rapport se divise en plusieurs parties.

a) Les informations generales:




Code:
Logfile of Trend Micro HijackThis v2.0.2
Cette ligne nous donne la version installée de HijackThis, dans mon cas c'est la 2.0.2

Code:
Scan saved at 14:12:17, on 06/02/2009
Cette ligne nous donne l'heure et la date du scan

Code:
Platform: Windows XP SP3 (WinNT 5.01.2600)
Cette ligne nous donne quelques informations sur notre platforme, dans mon cas c'est Windows XP pack 3

Code:
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Cette ligne nous donne la version de notre navigateur web Internet explorer

Code:
Boot mode: Normal
Cette derniere ligne nous donne le mode de boot du pc, autrement dit, le mode de demarage de windows,( mode normal, mode sans echec...) Dans mon cas, je suis dans le mode normal.

b) La liste des processus:



Cette partie nous donne tout les procéssus en cours d'execution sur notre pc. Pour ceux qui ne connaissent pas ce terme "Processus", je vais le leur expliquer brievement. Processus c'est un rapport fait par windows, il contien plusieurs noms, quels noms? ce sont les noms des programmes qui sont en train de fonctionner sur votre pc à l'heure actuelle. Ceux qui ne sont pas exécutés n'apparaiteront pas dans la liste des processus.
Vous vous poserez peu etre cette question: A koi ca sert tout ça, bah je vais vous répondre par: Si vous avez un trojan sur votre pc, et qu'il est exécuté, son nom apparaitera dans cette liste Et comme ca vous pourrez le suprimer. Ce qui reste a savoir, c'est comment identifier ce trojan ou spywar? Bah ma méthode est: je regarde la liste des processus, si je trouve un nom bizard que je ne connais pas, je fais copier de ce dernier, et je fais coller sur Google, et comme ca j'aurai une idée sur ce nom. A titre d'exemple, j'ai ce processus : igfxtray.exe Sincerement, il me fait peur ce nom, donc pour savoir c'est koi, j'ouvre google et je fais copier coller, j'obtienderai ce résultat : Processus Intel Graphics Accelerator Tray Icon Hmmmmm donc c'est quelque chose qui est relié a ma carte graphique (accelerateur) donc pas de panique, vous voyez? c'est simple comme methode, si par exemple je trouve que c'est un spywar ou trojan, je le suprime.

c) Le comportement de votre ordinateur:



Cette derniere partie est la plus importante, elle nous informe sur le comportement de notre ordinateur (démarage de windows, Page d'acceuil de Internet Explorer.....) Ces informations ont un identifiant, si vous remarquez, chaque phrase débute par un préfixe (R0, O2....) je vais vous donnez la deffinition de chaque préfixe afin de reconaitre sa configuration.
Préfixe Signification (______Africaafrica2002______)
R0,R1,R2,R3 Démarrage Internet Explorer/Search pages URLs
F0,F1 Programmes qui démarrent automatiquement au démarage de Windows
N1,N2,N3,N4 Netscape/Mozilla Start/Search pages URLs
O1 La dirrecttion des fichiers Hosts
O2 Les objets qui aident votre navigateur
O3 Les barres d'outils installées dans Internet Explorer
O4 Démarage automatique des programmes dans la base des registres
O5 Options Internet non visibles dans le panneau de configuration
O6 Accés aux options internet refusé
O7 Accés à l'éditeur de registre refusé
O8 Menu contextuel Internet Explorer (clique-droit) modifié
O9 Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O10 Winsock hijackers
O11 Groupe supplémentaire dans les "options avancées" de IE
O12 Les plugins d'Internet explorer
O13 Internet Explorer Default-Prefix hijack
O14 'Reset Web Settings' hijack
O15 Sites indésirables dans la "Zone de confiance"
O16 ActiveX Objects (alias Downloaded Program Files)
017 Lop.com domain hijacks
O18 Extra protocols and protocol hijackers
O19 User style sheet hijack


Ce tableau vous montre à koi correspond chaque préfixe. Je vous donnerai la suite du tutoriel la prochaine fois nchalah, Cette suite consiste à expliquer chaque ligne du tableau au dessus. Bonne lécture.
avatar
Dr tayma
Membre Actif
Membre Actif

Sexe : Féminin Date de naissance : 03/11/1991
Age : 26
Emploi/loisirs : medecine
Date d'inscription : 21/07/2010
Messages : 221

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum