RootkitRevealer - Sysinternals
Analysez votre système à la recherche de programmes malveillants basés sur rootkit.
18 mars 2024
Sonoma sur Imac 2013
 |
Sonoma sur Imac 2013 |
14 mars 2024
10 janvier 2024
OpenCore Legacy Patcher (OCLP)
Comment installer macOS Ventura sur des Mac non pris en charge à l'aide d'OCLP https://geekflare.com/fr/install-macos-ventura/
test à faire sur version IMAC 14.1
iMac (21,5 pouces, fin 2013i
Informations matériel :
Nom du modèle : iMac
Identifiant du modèle : iMac14,1
Nom du processeur : Quad-Core Intel Core i5
Vitesse du processeur : 2,7 GHz
Nombre de processeurs : 1
Nombre total de cœurs : 4
Cache de niveau 2 (par cœur) : 256 Ko
Cache de niveau 3 : 4 Mo
07 décembre 2023
Erreur fatale ...démarrage MAC
Mac bloqué au démarrage par suite d’une désinstallation logicielle avec message de type…« Erreur irrécupérable. SecurityAgent n'est pas parvenu à créer le mécanisme… »Il s’agit d’un problème lié à la suppression d'un plugin d'autorisation sous macOS sans désinscription préalable
1. Démarrez votre Mac en mode MacOS Recovery en maintenant Cmd+R enfoncé jusqu'à ce que le logo Apple apparaisse.Une fois que votre Mac a démarré en mode MacOS Recovery, vous devriez voir une fenêtre intitulée "MacOS Utilities".a. Ouvrez Disk Utility et vérifiez dans le menu gauche le nom de votre disque. Pour les Mac exécutant Catalina, recherchez le nom qui ne se termine pas par "- Data".b. Sélectionnez le disque dans le menu. Il faut qu’il soit montéc. Cliquez sur "Mount (Monter)" dans la barre d'outils (si vous voyez seulement "Démonter" c’est qu il est déjà monté et vous n'avez rien à faire.d. Quitter l'utilitaire de disque pour retourner dans les utilitaires2. Vous devriez être de retour dans la fenêtre "MacOS Utilities".3. Dans la barre de menus en haut de l'écran, ouvrez Utilitaires > Terminal.4. Entrez la commande
rm "/Volumes/votre disque/var/db/auth.db"
Remplacez <votre disque> par le nom de votre disque durAssurez-vous de ne pas oublier les guillemets au cas où le nom de votre disque contient des espaces.5 Redémarrez votre Mac.
01 mai 2023
19 avril 2023
Que faire en cas d'attaque de mon SI
"Ce document s’adresse aux responsables amenés à piloter les opérations de remédiation consécutives à un incident de sécurité des systèmes d’information."
"La remédiation est définie comme le projet de reprise de contrôle d’un système d’information compromis. Elle débute avec l’identification de l’incident et ne se termine que quand les objectifs stratégiques ont été atteints, ce qui consiste généralement au rétablissement des services et à l’éviction de l’adversaire."
17 avril 2023
16 avril 2023
Télécharger gratuitement toutes les versions de macOS
https://www.justgeek.fr/telecharger-macos-98333/
29 janvier 2023
Des outils gratuits et open source pour sécuriser votre Mac
une fondation à but non lucratif, créant des outils de sécurité macOS open source gratuits , des livres et la conférence #OBTS
https://objective-see.org/index.html
https://objective-see.org/tools.html
12 janvier 2023
Des référentiels sur la sécurité
https://standards.amnbrains.com/security-standards
ANSSI - LA CYBERSÉCURITÉ POUR LES TPE/PME - EN 13 QUESTIONS :
08 janvier 2023
26 novembre 2022
Socle interministériel de logiciels libres
Le socle interministériel de logiciels libres (SILL) est le catalogue de référence des logiciels libres recommandés par l'Etat pour toute l'administration.
Il est publié par le pôle logiciels libres d'Etalab (DINUM) sur le site code.gouv.fr.
Son interface de gestion est accessible sur le site sill.etalab.gouv.fr.
Il est construit de façon collaborative par une communauté d'agents publics, les « référents SILL ». Ces agents publics peuvent être des agents des trois fonctions publiques : d'État, hospitalière et territoriale.
22 novembre 2022
12 novembre 2022
Utilitaires de sécurité Sysinternals
Sysinternals
Le site web Sysinternals a été créé en 1996 par Mark Russinovich pour héberger ses utilitaires système avancés et des informations techniques. Que vous soyez professionnel de l’informatique ou développeur, vous trouverez des utilitaires Sysinternals pour vous aider à gérer, dépanner et diagnostiquer vos systèmes et applications Windows.
- Lisez le guide officiel des outils Sysinternals, Résolution des problèmes avec windows Sysinternals Tools
- Lisez le blog Sysinternals pour obtenir un flux de modification détaillé des mises à jour des outils
- Regardez les vidéos de Mark’s Sysinternals Update sur YouTube
- Regardez les présentations et autres diffusions web de Mark qui ont la plus haute cote pour la résolution des problèmes de cas inexpliqués
- Lisez le blog de Mark qui met en évidence l’utilisation des outils pour résoudre des problèmes réels
- Consultez la page Ressources d’apprentissage Sysinternals
- Publiez vos questions sur le forum Sysinternals
Sysinternals Live
Sysinternals Live est un service qui vous permet d’exécuter des outils Sysinternals directement à partir du web sans les rechercher et les télécharger manuellement. Entrez simplement le chemin Sysinternals Live d’un outil dans l’Explorateur Windows ou une invite de commandes en tant que live.sysinternals.com/< toolname> ou \\live.sysinternals.com\tools\<toolname>.
Vous pouvez afficher l’intégralité du répertoire Sysinternals Live Tools dans un navigateur à l’adresse https://live.sysinternals.com/.
AccessChk
cet outil vous indique que l’utilisateur ou le groupe que vous spécifiez a des fichiers, des clés de registre ou des services de Windows.
AccessEnum
Cet outil de sécurité simple mais puissant vous montre qui a accès aux répertoires, aux fichiers et aux clés de Registre sur vos systèmes. Utilisez-le pour trouver des trous dans vos autorisations.
Autologon
Écran de contournement du mot de passe lors de l’ouverture de session.
Autoruns
Consultez les programmes qui sont configurés pour démarrer automatiquement lorsque votre système démarre et que vous vous connectez. Autoruns affiche également la liste complète des emplacements du Registre et des fichiers où les applications peuvent configurer les paramètres de démarrage automatique.
LogonSessions
Répertorier les sessions actives d’ouverture de session
Process Explorer
Découvrez les fichiers, les clés de Registre et les autres processus d’objets ouverts, les dll qu’ils ont chargées, et bien plus encore. Cet utilitaire unique et puissant vous montrera même qui est propriétaire de chaque processus.
PsExec
Exécuter des processus avec des droits utilisateur limités.
PsLoggedOn
Affichez les utilisateurs connectés à un système.
PsLogList
Videz les enregistrements du journal des événements.
PsTools
La suite PsTools comprend des utilitaires de ligne de commande pour répertorier les processus en cours d’exécution sur des ordinateurs locaux ou distants, exécuter des processus à distance, redémarrer des ordinateurs, vider des journaux d’événements et bien plus encore.
Revealer Rootkit
RootkitRevealer est un utilitaire de détection de Rootkit avancé.
SDelete
Remplacez en toute sécurité vos fichiers sensibles et nettoyez votre espace libre de fichiers précédemment supprimés à l’aide de ce programme de suppression sécurisée conforme à DoD.
ShareEnum
Analyser les partages de fichiers sur votre réseau et afficher leurs paramètres de sécurité pour fermer les brèches de sécurité.
ShellRunas
Lancer des programmes en tant qu’utilisateur différent via une entrée de menu contextuel de l’interpréteur de commandes pratique.
Sigcheck
Videz les informations de version de fichier et vérifiez que les images de votre système sont signées numériquement.
Sysmon
analyse et signale l’activité système clé par le biais du journal des événements Windows.
Contenu recommandé
10 septembre 2022
Demarrage IMAC intel
Issam, je te redonne les combinaisons du support Apple
Pour un Imac 2010 , regarde cette page sur la MAJ du programme interne
https://support.apple.com/fr-fr/TS3680
Combinaisons de touches pour un Mac à processeur Intel
Commande (⌘) + R : permet de démarrer à partir du système de récupération de macOS intégré.
Vous pouvez également utiliser les touches Option + Commande + R ou Maj + Option + Commande + R pour démarrer à partir de la fonctionnalité de récupération de macOS sur Internet.
La fonctionnalité de récupération de macOS installe différentes versions de macOS selon la combinaison de touches utilisée au démarrage.
Option (⌥) ou Alt : permet de démarrer à partir du gestionnaire de démarrage, afin de sélectionner un autre disque ou volume de démarrage disponible.
Option + Commande + P + R : permet de réinitialiser la NVRAM ou PRAM.
Maj (⇧) : permet de démarrer en mode sans échec.
D : permet de démarrer à partir de l’utilitaire Diagnostics Apple.
Vous pouvez également appuyer sur Option + D pour démarrer à partir de cet utilitaire sur Internet.
N : permet de démarrer à partir d’un serveur NetBoot, si votre Mac prend en charge les volumes de démarrage réseau.
Pour utiliser l’image de démarrage par défaut stockée sur le serveur, maintenez les touches Option + N enfoncées.
Commande + S : permet de démarrer en mode Utilisateur unique. Cette commande est désactivée dans macOS Mojave ou version ultérieure.
T : permet de démarrer en mode disque cible.
Commande + V : permet de démarrer en mode Détaillé.
Éjection (⏏), F12, bouton de la souris ou du trackpad : permet d’éjecter un support amovible, tel qu’un disque optique.
03 septembre 2022
taxonomie d'ATT&CK
tu peux utiliser ATT&CK pour comprendre les lacunes de ton environnement et cartographier les défenses : allez sur :https://attack.mitre.org/ Dans ton cas , je pense plutôt à la T1189
18 août 2022
Passez la sécurité des sources pour l'ouverture d'un programme .dmg
Dans le Finder sur votre Mac, repérez l’app que vous souhaitez ouvrir. Le plus simpe N’utilisez pas Launchpad. Launchpad ne vous permet pas d’utiliser le menu contextuel. Cliquez sur l’icône de l’app en maintenant la touche Contrôle enfoncée, puis choisissez Ouvrir dans le menu contextuel. Cliquez sur Ouvrir. L’app est enregistrée en tant qu’exception dans vos réglages de sécurité et vous pourrez l’ouvrir par la suite en cliquant deux fois dessus, comme n’importe quelle app enregistrée. https://support.apple.com/fr-fr/guide/mac-help/mh40616/mac
15 mars 2022
MESURES CYBER PRÉVENTIVES PRIORITAIRES TENSIONS INTERNATIONALES ACTUELLES
"AVANT-PROPOS Face à d’éventuels effets dans le cyberespace liés au conflit en cours entre l’Ukraine et la Russie, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) préconise la mise en œuvre de 5 mesures préventives prioritaires : • renforcer l’authentification sur les systèmes d’information ; • accroître la supervision de sécurité ; • sauvegarder hors-ligne les données et les applications critiques ; • établir une liste priorisée des services numériques critiques de l’entité ; • s’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque. Ces mesures prioritaires de cybersécurité sont essentielles et leur mise en œuvre à court terme permet de limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets. Pour être pleinement efficaces, elles doivent cependant s’inscrire dans une démarche de cybersécurité globale et de long terme" https://www.ssi.gouv.fr/uploads/2022/02/20220226_mesures-cyber-preventives-prioritaires.pdf
28 octobre 2021
domaine en CMD
Déjà un recap avec un cmd puis
systeminfo
Trouver sur quel contrôleur de domaine on s'authentifie
faire un cmd
puis
echo %logonserver%
faire remonter ton domaine
systeminfo | findstr /B /C:”Domain”
système de détection de proxy automatique
ping wpad10 septembre 2021
Je suis un particulier, je voudrais me documenter sur les cybermenaces
https://www.cybermalveillance.gouv.fr/cybermenaces
le GIP ACYMA ?
Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) est issu de la Stratégie numérique du Gouvernement présentée le 18 juin 2015 et dont les objectifs ont été ensuite détaillés dans la Stratégie nationale pour la sécurité numérique publiée le 16 octobre 2015.
04 juillet 2021
Nouvelle vulnérabilité dans Microsoft Windows 10 H2 et autres ....
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/
Pensez à désactiver le spouleur d'impression dans les services en attendant mieux
Option 1 - Disable the Print Spooler service
If disabling the Print Spooler service is appropriate for your enterprise, use the following PowerShell commands:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
Option 2 - Disable inbound remote printing through Group Policy
You can also configure the settings via Group Policy as follows: Computer Configuration / Administrative Templates / Printers
Disable the “Allow Print Spooler to accept client connections:” policy to block remote attacks.
CISA also advises disabling the Print Spooler service
In related news, CISA has also issued a notification on the PrintNightmare zero-day encouraging admins to disable the Windows Print Spooler service on servers not used for printing.
Per Microsoft's previous recommendations on how to mitigate risks on Domain controllers with Print spooler service running, the service should be disabled on all Domain Controllers and Active Directory admin systems via a Group Policy Object due to the increased exposure to attacks.
Since this service is enabled by default on most Windows clients and server platforms, the risk of future attacks actively targeting vulnerable systems is significant.
Until Microsoft releases PrintNightmare security updates, implementing the mitigations listed above is the easiest way to ensure that threat actors—and ransomware groups in particular—will not jump at the occasion to breach your network.
Update: Added info on PrintNightmware active exploitation.
https://www.bleepingcomputer.com/news/security/microsoft-shares-mitigations-for-windows-printnightmare-zero-day-bug/
PS :
il est tout à fait possible de lancer PowerShell depuis l’invite de commande MS-DOS, comme je vous ai montré en cours , cmd en admin puis en tapant : powershell
03 juillet 2021
MAJ Microsoft
Guide des mises à jour de sécurité MICROSOFT
pour suite les correctifs sur Egdge dont on a parlé
https://www.malekal.com/slmgr-commande-activer-supprimer-visualiser-licences-windows/
Site de Malekal qui répond sur les bases du slmgr à ta question Akim
SLMGR : COMMANDE POUR ACTIVER, SUPPRIMER OU VISUALISER LES LICENCES DE WINDOWS
L'activation de Windows peut-être effectuée depuis les paramètres de Windows 10 > Mise à jour et sécurité > activation à gauche.
Malheureusement, parfois des erreurs peuvent s'afficher ou certaines options comme la date d'expiration de la licence ne sont pas indiquée.
La commande slmgr est très utile car elle permet d'obtenir toutes sortes d'informations mais aussi gérer les clé produits et licences de Windows.
Pour pouvoir utiliser slmgr, vous devez ouvrir l'invite de commandes en administrateur en effectuant un clic droit sur l'icône puis exécuter en tant qu'administrateur.
Plus d'informations sur les articles suivants : L'invite de commandes de Windows et comment ouvrir l'invite de commandes sur Windows 10.
La commande slmgr fonctionne avec des paramètres qui permet d'effectuer ces opérations.
OBTENIR DES INFORMATIONS SUR LA LICENCE ET LA DATE D'EXPIRATION
Pour obtenir des informations sur votre licence comme le type (Retail, OEM, KMS, etc), le nombre de réinitialisation restant ou encore la date d'expiration s'il y en a une, vous pouvez utiliser la commande suivante :
slmgr /dliIl est aussi possible d'obtenir encore plus d'informations en utilisant la commande suivante :
slmgr /dlv
Vous pouvez aussi vérifier le mode dans lequel votre Windows est :
- notification : Windows doit être activé
- activé : l'activation de Windows a été réalisée.
La commande suivante de slmgr permet d'obtenir ces informations sur l'état d'activation de Windows.
SUPPRIMER UNE CLÉ PRODUIT
Il est aussi possible de supprimer une clé produit afin de retirer l'activation de Windows.
Cela est notamment utile dans le cas d'une licence Retail pour la déplacer d'un ordinateur à l'autre, pour plus d'informations : Comment transférer une licence Windows d'un PC à un autre
Voici comment utiliser slmgr pour supprimer une clé produit :
slmgr /upk
Il faut savoir que Windows stocke aussi la clé dans le registre Windows, des applications légitimes ou logiciels malveillantes peuvent récupérer la clé produit à cet endroit.
L'utilitaire de résolution des problèmes de Windows 10 peut aussi restaurer une clé produit depuis cet emplacement.
Il est alors possible de supprimer la clé produit du registre de Windows surtout si vous devez vendre l'ordinateur par la suite.
slmgr /cpky
Insérer ou changer la clé produit
Bien entendu, slmgr donne la possibilité de saisir ou changer la clé produit de Windows.
Il suffit pour cela de saisir la commande avec l'option ipk comme indiqué ci-dessous où ## est la clé produit.
slmgr /ipk #####-#####-#####-#####-#####Si tout se passe bien, cela doit vous retourner que la clé produit a été installée avec succès.
Sinon vous pouvez rencontrer des messages d'erreur, par exemple, ci-dessous on saisit n'importe quoi comme clé produit ce qui nous donne l'erreur :
Erreur : 0xC004F050 le service de gestion de licences a signalé que la clé de produit n'est pas valide.
ACTIVER LA LICENCE
Enfin, il est tout à fait possible d'activer votre copie de Windows avec l'utilitaire slmgr.
L'activation peut se faire en ligne, c'est à dire par internet en contactant les serveurs de licence Microsoft ou hors ligne par téléphone.
Activation en ligne
Pour une activation en ligne, la commande à saisir est :
slmgr.vbs /atoSi l’opération réussi un message doit vous indiquer que la clé produit a été activée sinon vous pouvez rencontrer un message d'erreur.
Par exemple, ci-dessous la clé produit est bloquée et on obtient le message :
Activation de Windows(R), Core Edition {XXXXX} ....
Erreur : 0xC004C003 Le serveur d'activation a déterminée que la clé de produit spécifiée est bloquée.
ACTIVATION HORS LIGNE
Slmgr permet aussi une activation hors ligne. Vous devez récupérer l'identifiant d'installation à partir de la commande suivante :
slmgr.vbs /dtiPuis vous devez récupérer l'identifiant de confirmation en appelant le service d'activation des produits de Microsoft par téléphone.
En indiquant par téléphone votre identifiant d'installation, ce dernier vous retourne l'identifiant de confirmation qui vous permet ensuite d'activer Windows sans connexion internet.
Pour récupérer le numéro de téléphone, rendez-vous dans l'activation graphique durant le processus choisissez autre méthode d'activation que par internet.
Le numéro de téléphone vous sera alors communiqué, pour plus d'informations suivre ce lien : comment activer Windows.
Une fois l'identifiant de confirmation récupéré par téléphone, vous devez saisir la commande suivante :
slmgr.vbs /atp ACTIVATIONIDEnfin pour vous assurer que l'opération a bien fonctionné, vous pouvez utiliser la commande slmgr.vbs /dlv
ÉTENDRE LA PÉRIODE D'ESSAI DE WINDOWS
Lorsque vous n'avez pas activé Windows, vous avez une période d'essai de ce dernier avant que certains fonctions ne soient désactivées.
Généralement, la période d'essai est de 30 jours.
slmgr permet d'étendre cette période d'essai ou de la réinitialiser mais cette opération ne peut être effectuée qu'un certains nombre de fois.
Pour étendre la période d'essai de Windows, utilisez le paramètre suivant de slmgr :
slmgr.vbs /rearm
Inscription à :
Articles (Atom)
https://cert.ssi.gouv.fr/uploads/ad_checklist.html