Partager via

  • Article

[Archives des newsletters ^] [< Volume 7, Numéro 2] [Volume 8, Numéro 2 >]

Bulletin d’information System Internals Volume 8, Numéro 1

http://www.sysinternals.com
Copyright (C) 2006 Mark Russinovich

2 mars 2006 : Dans ce numéro :

  1. INTRODUCTION
  2. MISES À JOUR DES OUTILS
  3. MISE À JOUR DES LICENCES
  4. FORUM SYSINTERNALS
  5. BLOG DE MARK
  6. ARTICLES DE MARK
  7. HORAIRE DE DISCUSSION DE MARK
  8. CLASSES INTERNES/RÉSOLUTION DES PROBLÈMES EN DIRECT
  9. NOUVELLE BIBLIOTHÈQUE DE VIDÉOS DE RÉSOLUTION DES PROBLÈMES SYSINTERNALS

Winternals Software est le principal développeur et fournisseur d’outils de systèmes avancés pour Windows. Elle a été désignée en 2006 « entreprise chaude » par Info Security Products Guide (voir http://www.infosecurityproductsguide.com/hot2006/WinternalsSoftware.html)

En outre, Recovery Manager et Administrator’s Pak ont remporté le prix des produits de l’année 2005 de SearchWinSystems.com. Recovery Manager a reçu la médaille d’or dans la catégorie Gestion de bureau, tandis que Administrator’s Pak a été reconnu comme gagnant silver award dans le groupe gestion des systèmes (http://searchwinsystems.techtarget.com/productsOfTheYear/0,294801,sid68_ayr2005,00.html)

Pour plus de détails sur le produit, des démonstrations multimédias, des webinaires ou pour demander un CD d'essai de l'un ou l'autre produit, veuillez visiter http://www.winternals.com

INTRODUCTION

Bonjour,

Bienvenue dans le bulletin Sysinternals. Le bulletin compte actuellement 60 000 abonnés.

En février, Sysinternals a eu 1,26 million de visiteurs uniques et 20 millions de pages vues. Il est maintenant classé au nombre de 6 900 sites web sur Internet par Alexa.com (http://www.alexa.com/data/details/?url=www.sysinternals.com).

Les outils les plus téléchargés sont les suivants :

  • Procexp : 375 000 téléchargements/mois
  • Exécutions automatiques : 120 000 téléchargements/mois
  • Rootkit Revealer : 120 000 téléchargements/mois
  • Filemon : 100 000 téléchargements/mois
  • Regmon : 90 000 téléchargements/mois
  • Tcpview : 63 000 téléchargements/mois

Filemon, Regmon, Process Explorer et Autoruns ont été choisis comme les « meilleurs des meilleurs » par les participants au groupe de discussion alt.comp.freeware (voirhttp://www.pricelesswarehome.org/2006/about2006PL.php).

La vie est devenu intéressant en novembre dernier quand j’ai publié mes résultats sur le rootkit Sony. J’ai eu ma première apparition à la télévision nationale et une entrevue à la radio en plus de dizaines d’interviews de presse et d’articles dans des magazines et des journaux. Les choses sont maintenant réglées, ce qui signifie que j’ai été de retour au travail pour améliorer les outils Sysinternals. Vous trouverez ci-dessous une liste complète des modifications depuis le dernier bulletin d’informations.

Je suis également très heureux de la nouvelle bibliothèque de vidéos Sysinternals, un ensemble de 6 DVD couvrant les principaux sujets de résolution des problèmes windows avec les outils Sysinternals. Ils devraient être disponibles d’ici juin. Regardez Sysinternals pour obtenir un aperçu des clips vidéo et un téléchargement gratuit de l’une des vidéos.

Enfin, si vous assistez à une conférence où je parle, arrêtez-vous pour vous dire bonjour. Ou, passez 5 jours avec moi et Dave Solomon à l’un de nos cours live Windows Internals & Advanced Troubleshooting à Londres, San Francisco ou Austin.

-Mark Russinovich

MISES À JOUR DES OUTILS

De nombreux outils ont été mis à jour depuis le dernier bulletin d’informations en août. Étant donné que je mets à jour les outils fréquemment, vérifiez que vous utilisez la dernière version. La meilleure façon de suivre les modifications est de s’abonner à mon flux RSS à l’adresse http://www.sysinternals.com/sysinternals.xml (et si vous n’utilisez pas encore RSS pour suivre les sites web, vous devez commencer).

Voici une liste détaillée des modifications apportées par outil :

Process Explorer v10.06

Cette mise à jour majeure du processus Explorer dispose d’une liste complète de nouvelles fonctionnalités et d’améliorations destinées à la facilité d’utilisation et à la chasse aux programmes malveillants. Parmi les exemples, citons les commandes Runas et Run As Limited User, le redémarrage des processus, les jeux de colonnes, les info-bulles de processus améliorées pour les processus d’hébergement de services et Rundll32, les colonnes de répartition des ensembles de travail, la vérification des images DLL et la détection d’images packed.

RootkitRevealer v1.7

Cette nouvelle version de RootkitRevealer inclut des contre-mesures rootkit plus sophistiquées, l’analyse de toutes les ruches du Registre, y compris les profils utilisateur, les exécutions à partir de sessions Bureau à distance Windows XP, la prise en charge des volumes NTFS avec des tailles de cluster supérieures à 4 Ko, et inclut un certain nombre de correctifs de bogues et réduit le nombre de faux positifs. Même les versions payantes de détection anti-détection du rootkit Hacker Defender ne se cachent pas de cette version.

RegDelNull v1.1

Utilisez cette nouvelle applet pour rechercher et supprimer des clés de Registre « non modifiables » par les utilitaires d’édition du Registre standard, car elles comportent des caractères Null incorporés dans leur nom. En réponse à l’utilisation de ces clés par les programmes malveillants, RegDelNull peut désormais déverrouiller et supprimer des clés qui ont non seulement des valeurs Null incorporées, mais qui ont également des autorisations de sécurité qui les rendent inaccessibles autrement.

Sigcheck v1.3

Sigcheck, un puissant outil de vérification des signatures et des informations de version de fichier de ligne de commande, inclut désormais un nouvel indicateur qui affiche uniquement le numéro de version d’un fichier.

PSEXEC v1.7

Cette mise à jour PsExec inclut un nouveau commutateur -l à utiliser par les comptes d’administration pour exécuter des processus avec des privilèges de compte d’utilisateur limités. Exécutez une Explorer Internet à faibles droits avant la sortie d’Internet Explorer 7 (dans Vista) simplement en créant un raccourci pour le lancer avec le commutateur.

Autoruns v8.42

Autoruns connaît désormais d’autres emplacements de démarrage automatique, notamment la valeur du Registre de vérification de démarrage Winlogon, les détournements d’ouverture de l’interpréteur de commandes, les pilotes en mode noyau, les DLL du moniteur d’impression et les gestionnaires de colonnes Explorer , qui ont tous été utilisés par de vrais programmes malveillants. La vérification de signature à la demande pour des éléments individuels est également ajoutée et les performances de temps d’analyse considérablement améliorées lorsque la vérification d’image est sélectionnée.

Autoruns prend désormais en charge les chemins d’accès de registre et de système de fichiers de longueur arbitraire, ajoute une fonctionnalité de recherche pour rechercher dans les éléments configurés, introduit une fonctionnalité de comparaison pour comparer les démarrages automatiques actuels avec une version précédemment enregistrée afin que vous puissiez facilement identifier les nouveaux ajouts.

ProcFeatures v1.0

Cette applet signale la prise en charge par le processeur et Windows des extensions d’adresse physique et de la protection sans dépassement de mémoire tampon d’exécution.

DiskView v2.2

Diskview, utilitaire qui vous permet d’examiner les allocations de cluster d’un volume, affiche désormais un résumé des fragments d’un fichier lorsque vous double-cliquez sur l’un des clusters du fichier et que le bouton Afficher suivant accède au fragment suivant d’un fichier sélectionné.

DebugView v4.5

DebugView est un outil de développement qui capture la sortie de débogage en mode utilisateur et noyau. Après de nombreuses demandes d’utilisateur pour la fonctionnalité, DebugView a désormais la possibilité de créer un fichier journal et d’effacer l’affichage chaque jour.

AccessEnum v1.3

AccessEnum est un utilitaire de sécurité puissant qui permet de repérer facilement les descripteurs de sécurité de fichier et de registre mal configurés. La version 1.3 inclut des correctifs de bogues, des thèmes Windows XP et un nouveau format de fichier compatible avec l’importation Excel.

Livekd v3.0

LiveKd, un utilitaire qui vous permet d’afficher le système local comme s’il s’agissait d’un vidage sur incident à l’aide des débogueurs de noyau Microsoft standard, prend désormais en charge les versions x64 de Windows et inclut des correctifs de bogues mineurs.

Regmon v7.02

Cette mise à jour mineure contient des messages d’erreur plus clairs lorsqu’un compte ne dispose pas des privilèges requis pour exécuter Regmon ou que Regmon est déjà en cours d’exécution et consolide les versions 32 bits et 64 bits (x64) en un seul binaire.

MISE À JOUR DES LICENCES

On nous demande souvent quelles sont les règles pour nos outils gratuits. Nous avons commencé à mettre en place une fenêtre contextuelle de contrat de licence de l’utilisateur final qui s’affiche la première fois que vous exécutez un outil - le texte se lit comme ceci :

« Vous êtes autorisé à utiliser les logiciels publiés sur ce site Web à domicile ou au travail sans payer de frais de licence commerciale à condition d’avoir téléchargé vous-même le logiciel directement à partir de Sysinternals, d’utiliser le logiciel sur les ordinateurs dont vous êtes l’utilisateur principal, d’utiliser le logiciel sur les systèmes pour lesquels il n’y a pas d’utilisateur principal (par exemple, un serveur, y compris un serveur terminal) et vous êtes un employé à temps plein de l’entreprise propriétaire du serveur, ou vous utilisez le logiciel sur un ordinateur au sein d’une maison où vous résidez.»

La page de licence gratuite sysinternals à l’adresse http://www.sysinternals.com/Licensing.html suivante explique les scénarios dans lesquels une licence commerciale payante est requise pour l’utilisation.

FORUM SYSINTERNALS

Venez visiter l’un des 16 forums interactifs Sysinternals (http://www.sysinternals.com/forum). Outre les forums dédiés sur chacun des principaux outils, il existe quatre forums Windows techniques : Programmes malveillants, Résolution des problèmes, Internes et Développement.

Avec plus de 7352 membres (près de 6000 en 6 mois), il y a eu 14667 billets à ce jour dans 4384 sujets différents, ce qui revient à 2000 billets par mois pour les 6 derniers mois!

BLOG DE MARK

Mon blog a reçu un nouveau niveau d’attention avec la publication de mes résultats sur le rootkit Sony, mais il y a eu plusieurs autres publications non liées à la question Sony. Voici une liste d’articles depuis le dernier bulletin :

  • 06/02/2006 Utilisation de rootkits pour vaincre la gestion des droits numériques
  • 18/1/2006 À l’intérieur de la porte dérobée WMF
  • 15/01/2006 Rootkits dans les logiciels commerciaux
  • 3/1/2006 The Antispyware Conspiracy
  • 30/12/2005 Sony Settles
  • 12/12/2005 Contournement de stratégie de groupe en tant qu’utilisateur limité
  • 30/11/2005 Déclaration de victoire prématurée?
  • 16/11/2005 Victoire !
  • 14/11/2005 Sony: No More Rootkit - For Now
  • 9/11/2005 Sony: Vous ne voulez pas désinstaller, n’est-ce pas?
  • 6/11/2005 Rootkit de Sony: First 4 Internet Responds
  • 4/11/2005 Plus d’informations sur Sony: Dangerous Decloaking Patch, EULAs et Phoning Home
  • 10/31/2005 Sony, rootkits et gestion des droits numériques allés trop loin
  • 19/10/2005 La vérification de la traversée de contournement (ou s’agit-il de la notification de modification ?) Privilège
  • 2/10/2005 Courrier indésirable dans le registre : Une réalité Windows
  • 10/31/2005 Images multi-plateforme
  • 28/08/2005 Le cas de l’intermittent (et ennuyeux) Explorer Hangs

Pour obtenir la liste complète des articles, consultez http://www.sysinternals.com/blog/blogindex.html

ARTICLES DE MARK

Mon dernier article dans Windows and IT Pro Magazine était sur AccessEnum, qui analyse un volume, un sous-répertoire ou une clé de Registre spécifié pour vous aider à trouver des points de problème potentiels dans vos paramètres de sécurité.

C’est disponible en ligne pour les abonnés à l’adresse http://www.windowsitpro.com/Article/ArticleID/47638/47638.html?Ad=1

HORAIRE DE DISCUSSION DE MARK

L’automne dernier, j’ai parlé à la Microsoft 2005 Professional Developers Conference (septembre à Los Angeles), à Windows Connections (novembre à San Francisco, CA) et au Microsoft IT Forum (novembre à Barcelone, Espagne).

Ma prochaine conférence se tiendra à Microsoft TechEd 2006 à Boston en juin. Je présente un didacticiel de pré-conférence avec Dave Solomon sur le nettoyage avancé des programmes malveillants le 11 juin (http://www.msteched.com/content/precons.aspx). Je vais également donner quatre sessions en petit groupe sur des sujets tels que les modifications du noyau Vista, la résolution des problèmes avec Filemon et Regmon, l’analyse des blocages et des blocages Windows, et les techniques avancées de nettoyage des programmes malveillants.

Pour les dernières mises à jour, consultez http://www.sysinternals.com/Information/SpeakingSchedule.html

CLASSES INTERNES/RÉSOLUTION DES PROBLÈMES EN DIRECT

Si vous aimez Sysinternals, le livre Windows Internals, ou si vous souhaitez en savoir plus sur les composants internes du système d’exploitation Windows, y compris ce qui est à venir dans Vista, vous voudrez assister aux seuls séminaires planifiés où Dave Solomon et moi fournissons notre séminaire pratique de 5 jours (apportez votre propre ordinateur portable) Windows Internals and Advanced Troubleshooting séminaire. Les dates de cette année sont les suivantes :

  • Londres, 26-30 juin 2006
  • San Francisco, 18-22 septembre 2006
  • Austin, TX, 11-15 décembre 2006

Dans cette classe, vous acquerrez une compréhension approfondie de l'architecture du noyau de Windows, y compris les éléments internes des processus, la planification des threads, la gestion de la mémoire, les E/S, les services, la sécurité, le registre et le processus de démarrage. Sont également couvertes les techniques de dépannage avancées telles que la désinfection des logiciels malveillants, l'analyse des vidages sur incident (écran bleu) et la résolution des problèmes de démarrage.

Vous apprendrez également des conseils avancés sur l'utilisation des outils clés de www.sysinternals.com (tels que Filemon, Regmon, Process Explorer) pour résoudre une série de problèmes de système et d'application, tels que les ordinateurs lents, la détection de virus, les conflits DLL, les autorisations problèmes et problèmes de registre. Ces outils sont utilisés quotidiennement par le support technique Microsoft et ont été utilisés efficacement pour résoudre une grande variété de problèmes de bureau et de serveur. Par conséquent, connaître leur fonctionnement et leur application vous aidera à résoudre différents problèmes sous Windows. Des exemples concrets seront donnés qui montrent l'application réussie de ces outils pour résoudre des problèmes réels. Et parce que le cours a été développé avec un accès complet au code source du noyau Windows ET aux développeurs, vous savez que vous obtenez la vraie histoire.

Et si vous avez 20 personnes ou plus, vous trouverez peut-être plus intéressant de planifier un cours privé sur place à votre emplacement (envoyez un e-mail à seminars@... pour plus d’informations).

Pour plus d’informations et pour vous inscrire, visitez
http://www.sysinternals.com/Troubleshooting.html

NOUVELLE BIBLIOTHÈQUE DE VIDÉOS DE RÉSOLUTION DES PROBLÈMES SYSINTERNALS

Dave Solomon et moi avons récemment tourné une nouvelle série de vidéos appelée « Bibliothèque de dépannage Sysinternals ». Il s’agira d’un ensemble de 6 DVD couvrant les principaux éléments internes de Windows et les rubriques de résolution des problèmes avancées, avec les outils Sysinternals. Les titres de disque sont les suivants :

  • Disque 1 : Visite guidée des outils Sysinternals
  • Disque 2 : Résolution des problèmes avec process Explorer
  • Disque 3 : Résolution des problèmes avec Filemon et Regmon
  • Disque 4 : Résolution des problèmes de mémoire
  • Disque 5 : Analyse du blocage du vidage sur incident
  • Disque 6 : Résolution des problèmes de démarrage

Nous prévoyons d’avoir des exemples de contenu vidéo disponibles en téléchargement ce mois-ci. Les disques doivent être expédiés d’ici juin. Nous aurons un prix réduit lorsque nous ouvrirons les précommandes : j’espère en mai. Lorsqu’ils seront disponibles pour la précommande, nous enverrons un avis à cette liste d’intérêt.

Merci d’avoir lu le bulletin Sysinternals.

Publié le mardi 2 mai 2006 à 16:29 par ottoh

[Archives des newsletters ^] [< Volume 7, Numéro 2] [Volume 8, Numéro 2 >]