Leak Test Zapass

Test d'injection d'un parasite dans un composant actif

En savoir plus sur les injections.

Ce leak test permet d'injecter un parasite (non dangereux) dans un composant actif (donc après que le composant soit monté en mémoire et ait été activé) et voir si les utilitaires de type pare-feu et contrôleurs d'intégrité voient cette attaque et la bloquent.

Ce leak test, très simple, apporte la preuve qu'un parasite peut s'allouer des droits illimités et sans aucune notification de l'utilisateur.

L'implant peut être la malveillance en elle-même ou, si la malveillance est un gros processus, l'implant est uniquement la couche de communication de la malveillance qui, elle, est un processus distinct communiquant avec l'implant.

Zapass : comprenez ZA Pass (Je passe à travers le pare-feu Zone Alarm) ou encore ZAP Ass (Zone Alarm Pro Assassin).

Téléchargez Zapass

Attention : Windows NT, 2000 et XP seulement.

Décompressez-le dans un répertoire Zapass. Il n'y a pas de phase d'installation.

Zapass est constitué d'une interface graphique de contrôle (zapass.exe) et de l'implant qu'il va tenter d'injecter (zapass.dll). Les 2 doivent se trouver dans le même répertoire. L'injection est volatile puisqu'elle à lieu dans les composants déjà en mémoire : les fichiers de vos applications ne sont pas modifiés. Zapass n'inscrit rien, nulle part. Pour "désinstaller" Zapass il suffit de détruire zapass.exe et zapass.dll.

Lancez Zapass. La liste des processus (applications - pas les services) actuellement actifs, donc déjà autorisés à s'exécuter et, éventuellement, à ouvrir une connexion Internet, à agir en client ou en serveur et à transmettre des données, s'affiche dans la fenêtre de Zapass.

Choisissez vous-même le processus que vous voulez infecter et qui sera l'hôte de l'implant. Choisissez-en un qui communique avec le Net (Internet Explorer, Netscape, Opera, Outlook, Firefox ou votre pare-feu etc. ...) et qui soit actuellement considéré comme un processus de confiance pour vos couches sécuritaires. Cliquez sur "Refresh List" pour mettre à jour la liste des processus candidats à l'infection.

Cliquez ensuite sur "Inject Implant" pour injecter l'implant dans le processus choisi. L'implant vous signale dès qu'il est opérationnel.

Cliquez sur "Issue download" donne l'ordre à l'implant de télécharger quelque chose. La page http://www.google.com sera téléchargée à la racine de votre partition c:. Le téléchargement sera opéré grâce aux droits de l'hôte de l'implant. Si vous avez réussi à le faire, considérez la faille de sécurité suivante : le parasite a réussi une requête vers l'extérieur, un téléchargement et une écriture sur une ressource locale !

Faites l'essai avec un processus de confiance - votre navigateur par exemple, puis avec un processus qui n'a aucune raison de se connecter - notepad (le bloc notes de Windows) par exemple et observez ce qui se passe. Un véritable parasite sélectionnera toujours un hôte de confiance pour s'implanter et, de là, pourra silencieusement envoyer des données personnelles vers un obscur serveur extérieur ou établir une connexion permanente avec ce serveur etc. ...

Cliquer sur "Issue Lifecheck" permet de vérifier que l'implant est prêt et en attente d'ordres à recevoir et a exécuter.

Cliquer à nouveau sur "Inject Implant" permet de nettoyer le processus qui retourne à son état sain initial. Fermer le processus et le relancer revient au même si, à sa fermeture, la mémoire est réellement vidée. Dans la pratique, fermer un processus ne vide pas la mémoire. Le processus y reste, tel quel, afin d'être redémarré plus rapidement lors de votre prochaine sollicitation.

Avec Zapass, essayer divers outils de contrôle d'intégrité, divers pare-feu et divers outils prétendant lutter contre l'injection. Communiquez-nous vos résultats dans http://assiste.forum.free.fr/viewforum.php?f=101.