Jump 'n Dump

  Sur un système, une multitude de choses a lieu chaque minute. Ces petits changement peuvent avoir leur importance en cas d'erreur, de problème, afin d'en identifier la cause par exemple, en retraçant les actions qui ont été effectuées. Ainsi, sur les systèmes Linux et Windows, il existe un système de sauvegarde de tous ces changements, les enregistrant dans un ou plusieurs fichiers selon la nature de ces changements. C'est ce qu'on appelle la journalisation. Windows Journaux d'évènements Les journaux d'évènements Windows sont localisés dans le répertoire C:\Windows\System32\winevt\logs . Ce sont des fichiers .evtx contenant des informations concernant les événements survenus sur le système. Il existe 4 journaux d'événements principaux :  Sécurité Application Installation Système Ils peuvent être lus avec l'Observateur d'événements de Windows. Crédit : aidewindows.net Chaque événement possède un numéro appelé Event ID ainsi qu'un descriptif don...

  Pour maintenir sa présence sur une machine, les malwares peuvent avoir recours à plusieurs techniques de persistance. Pour les débusquer et les déloger, il est nécessaire de les chercher à plusieurs endroits, pas toujours trivial. Persistance en clé de registre Run et RunOnce C'est la technique de persistance la plus commune et la plus basique. Le malware se loge dans le répertoire de programmes lancés au démarrage en créant une entrée dans la clé de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce . Si le malware possède des privilèges élevés, il pourrait également modifier  clés de registre Run et RunOnce de la ruche HKLM, rendant le malware persistant pour tous les utilisateurs de la machine.   Sessionn manager Lors du démarrage d'une machine, le smss, chargé de la gestion des sessions, est lancé. Ce dernier charge le contenu de la clé HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manage...