Security-X

Forum Security-X => Sécurité Générale => Tutoriels => Discussion démarrée par: igor51 le avril 03, 2013, 19:48:48

Titre: [Tutoriel] MBRScan
Posté par: igor51 le avril 03, 2013, 19:48:48
Tutoriel MBRScan


MBRScan est un outil qui va vous permettre de détecter une modification de votre MBR. (Master Boot Record (http://fr.wikipedia.org/wiki/Master_boot_record))
(Bootkit : TDL4/MaxSS, etc ...)

/!\ Les résultats marquant "Unknown MBR code" ne signifient pas obligatoirement une infection, certains constructeurs de PC ont leurs propres MBR par exemple, légèrement différent d'un OS classique, soyez prudent et ne faite pas de manœuvres inconsidérées sous peine de ne plus pouvoir lancer votre système d'exploitation ! /!\

Info : certains antivirus peuvent détecter cet outil comme dangereux, désactivez alors leur protection le temps du scan.



Télécharger MBRScan (http://tools.security-x.fr/download.php?f=MbrScan.exe) de Eric_71

(Lien alternatif G2G (http://eric71.geekstogo.com/tools/MbrScan.exe) )


Scan du MBR

Double-cliquer sur l'icône :  (https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Ficone.jpeg&hash=f0e2e31e77d5c8ae3697d8d0df680cc2)

Cliquer sur Scan pour lancer une analyse de votre MBR.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr1.JPG&hash=c63845e76dd4601c7396ebc2d85143d8)

Vous obtiendrez un résultat comme ceci :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr2.JPG&hash=aa8b3e8c8797579fb0cb8d7a9d3c7021)

Si vous avez une infection, l'outil vous le montrera comme ceci :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr1_infect.jpg&hash=d1545fe2033e51c5c0ec2d8a8148584d)

Si vous avez un pc avec plusieurs OS (MultiBoot, DualBoot, etc ...), vous obtiendrez un résultat comme cela :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbrx.jpeg&hash=9591d3e1dc5dc152c9ee115160038f0b)



DUMP du MBR

Vous pouvez aussi faire un dump de votre MBR pour l'analyser sur VirusTotal (https://www.virustotal.com/fr/) par exemple, pour se faire, il suffit de cliquer sur Dump et de sélectionner le bon disque.
Vous obtiendrez un fichier mbr.bin

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr3.JPG&hash=65fc61f1d6b30a736023de616fb36d74)


L'outil propose d'autres options comme l'analyse du VBR (Volume Boot Record : zone d'amorçage du volume), des autres secteurs.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2F%2FMBRScan%2Fmbr4.JPG&hash=69201e028f4c3fa925798c2a297d4ba4)



Analyse d'un DUMP  du MBR

On peut aussi analyser des dumps de MBR (Fichier .bin, fait par exemple avec d'autres outils, comme OTL, etc ...) en faisant un glisser-déposer du dump sur l’icône de l'outil.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr5.JPG&hash=f7531c2ff6b1ff584c1be22b2fb02863)

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr6.JPG&hash=544fe94d2525a4f23461c1a16695f1a3)

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2FMBRScan%2Fmbr7.JPG&hash=6a6694c6f10657ab8160524d3e3f18bd)

Note : en modifiant ou en ajoutant l'extension .asm à ce fichier .bin, et en faisant la même manœuvre de glisser-déposer, vous obtiendrez le code assembleur 16bits du MBR




Lien utile :

Analyser un fichier avec VirusTotal (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-analyser-un-fichier-avec-virustotal/)



Pour toute question ou demande d'aide concernant ce tutoriel, vous pouvez créer un sujet dans Sécurité Générale (http://forum.security-x.fr/securite-generale/) ou dans Désinfections (http://forum.security-x.fr/desinfections/)