🥇Antivirus

  • détection statique analyse les fichiers suspects sans les exécuter

  • détection dynamique observe le comportement des programmes suspects lors de leur exécution dans un environnement contrôlé (sandbox).

🔄 Fonctionnement

Les antivirus fonctionnent en utilisant une combinaison de techniques pour détecter et bloquer les logiciels malveillants. Voici les principales techniques utilisées :

🖋️ Analyse de signatures

L'analyse de signatures est la technique la plus couramment utilisée par les antivirus. Elle consiste à comparer les fichiers et les programmes sur un ordinateur à une base de données de signatures de logiciels malveillants connus. Si une correspondance est trouvée, le fichier ou le programme est bloqué et mis en quarantaine.

Les signatures peuvent être attachées à diverses propriétés de fichiers telles que le hachage, , l'auteur, le nom ou d'autres informations identifiables, qui peuvent être utilisées individuellement ou en conjonction

✍️ Analyse heuristique

Détecter les logiciels malveillants inconnus pour lesquels il n'existe pas encore de signature de détection.

Cette méthode analyse les caractéristiques et les comportements des fichiers et des programmes pour identifier des modèles qui pourraient indiquer une activité malveillante.

Elle se base sur des règles préétablies et des modèles d'analyse pour évaluer le risque que certains comportements ou caractéristiques indiquent la présence de logiciels malveillants.

🧠 Analyse comportementale

Détecter les logiciels malveillants en observant leurs actions et comportements sur le système.

Elle surveille les activités en temps réel telles que la création ou la modification de fichiers, l'accès à certaines parties du système, les tentatives de connexion réseau, etc.

⚠️ Mises à jour

Les antivirus ont besoin de mises à jour régulières pour rester efficaces contre les logiciels malveillants. Les mises à jour comprennent généralement de nouvelles signatures de détection pour les logiciels malveillants connus, ainsi que des améliorations de l'analyse heuristique et comportementale.

📡 Détecter un AV sur une cible

wmic /namespace:\\root\securitycenter2 path antivirusproduct

PowerShell : 

Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntivirusProduct

🛡️ Détecter des logiciels : 

wmic product get name,version
Get-ChildItem -Hidden -Path C:\Users\kkidd\Desktop\

🔒 Microsoft Windows Defender

Microsoft Windows Defender est un outil de sécurité antivirus préinstallé sur les systèmes d'exploitation Windows. Il utilise des algorithmes avancés pour la détection de logiciels malveillants et de virus, notamment l'apprentissage automatique, l'analyse du Big Data, la recherche approfondie sur la résistance aux menaces et l'infrastructure cloud Microsoft.

Windows Defender fonctionne selon trois modes de protection :

  • Mode actif : Windows Defender s'exécute comme logiciel antivirus principal sur la machine et fournit une protection et une correction.

  • Mode passif : Windows Defender s'exécute comme logiciel antivirus secondaire lorsqu'un logiciel antivirus tiers est installé. Il analyse les fichiers et détecte les menaces, mais ne fournit pas de solutions correctives.

  • Mode désactivé

Vérifier l'état du service Windows Defender :

Get-Service WinDefend

l'état actuel de Windows Defender : 

Get-MpComputerStatus | select RealTimeProtectionEnabled

Cette commande affiche si la protection en temps réel de Windows Defender est activée ou non.

🦠 Virus Total

VirusTotal est une plate-forme d'analyse de logiciels malveillants qui partage les résultats d'analyse avec les fournisseurs d'antivirus pour améliorer leurs produits.

Cependant, cela expose les charges utiles utilisées lors des tests, ce qui peut être problématique pour les professionnels de la sécurité. Des alternatives comme AntiscanMe et Jotti offrent des analyses sans partage d'informations, mais avec des limites telles qu'un nombre restreint de scans par jour. Ces options peuvent être préférables pour tester des charges utiles sans révéler d'informations sensibles.

🧱 Pare-Feu basé sur l'hôte

Type de FW

Pare-feu de réseau : il s'agit d'un dispositif matériel ou logiciel qui est placé entre un réseau interne et un réseau externe (comme Internet) pour filtrer le trafic réseau entrant et sortant.

Pare-feu d'application : il s'agit d'un logiciel qui contrôle le trafic réseau en fonction de l'application ou du service utilisé. Il peut être utilisé pour protéger des applications spécifiques, telles que des serveurs web (waf) ou des bases de données.

Pare-feu basé sur l'hôte : il s'agit d'un logiciel qui est installé sur un ordinateur ou un appareil spécifique pour contrôler le trafic réseau entrant et sortant de cet appareil.

Pare-feu de nouvelle génération (NGFW) : il s'agit d'un dispositif de pare-feu de réseau qui offre des fonctionnalités supplémentaires, telles que la prévention des intrusions, la détection des menaces et l'analyse du trafic réseau.

Pare-feu de passerelle web sécurisée (SWG) : il s'agit d'un dispositif de pare-feu qui contrôle le trafic web entrant et sortant pour protéger contre les menaces en ligne, telles que les logiciels malveillants et les attaques de phishing.

Pare-feu de messagerie électronique : il s'agit d'un logiciel ou d'un dispositif matériel qui contrôle le trafic de messagerie électronique entrant et sortant pour protéger contre les spams, les virus et les attaques de phishing.

Un pare-feu basé sur l'hôte est un type de pare-feu qui est installé sur un ordinateur ou un appareil spécifique, plutôt que sur un réseau entier. chIl fonctionne en contrôlant le trafic entrant et sortant de cet ordinateur ou appareil, en bloquant les connexions non autorisées ou suspectes.

Vérifier l'état actuel des profils de pare-feu : 

Get-NetFirewallProfile | Format-Table Name, Enabled

Désactiver un ou plusieurs profils de pare-feu (privilèges d'administrateur) :

Set-NetFirewallProfile -Profile Domain, Public, Private -Enabled False

Vérifier les règles de pare-feu actuelles :

Get-NetFirewallRule | select DisplayName, Enabled, Description

Tester la connectivité réseau entrante sur un port spécifique: 

Test-NetConnection -ComputerName 127.0.0.1 -Port 80
(New-Object System.Net.Sockets.TcpClient("127.0.0.1", "80")).Connected

Ces commandes permettent de confirmer si la connexion entrante sur le port 80 est ouverte et autorisée dans le pare-feu.

Chercher un nom : 

findstr nom

🖍️ Énumérer les produits de sécurité au sein de la machine

LogoGitHub - PwnDexter/Invoke-EDRChecker: Checks running processes, process metadata, Dlls loaded into your current process and the each DLLs metadata, common install directories, installed services, the registry and running drivers for the presence of known defensive products such as AV's, EDR's and logging tools.GitHub
LogoGitHub - PwnDexter/SharpEDRChecker: Checks running processes, process metadata, Dlls loaded into your current process and the each DLLs metadata, common install directories, installed services and each service binaries metadata, installed drivers and each drivers metadata, all for the presence of known defensive products such as AV's, EDR's and logging tools.GitHub
Previousobfuscation / evasionNextBypass runtime / AMSI

Last updated