[S0FT] - PE Guard

Salut à tous,

PE-Guard est un système de protection préventif très léger et portable, en effet il n'est composé que d'un exécutable et d'un driver.
Ce programme de part son fonctionnement et de sa méthode de configuration n'est pas destiné au néophytes mais peut être intéressant dans le cas d'un utilisateur avancé (voir très avancé).





Figure-1 : First Run de Pe Guard


La configuration de Pe Guard est possible via le fichier pegconfig.ini, il suffit d'ajouter le path de l'exécutable à mettre en exclusion.



Figure-2 : Fichier de configuration pegconfig.ini




Figure-3 : Exemple d'alerte sur un exécutable en cours de décompression




Figure-4 : Menu déployé dans le systray de PE Guard



Test rapide avec une étude de cas :

Voyons maintenant le comportement de l'application dans le cas d'une infection.

1er alerte :  IEXPLORE.EXE demande les droits pour accéder au fichier License.v.3.Setup.exe (Malware - dropper).

2eme alerte : L'application demande les droits d'écriture sur atapi.sys




Figure-5 : Echantillon du code injecté dans atapi.sys

(La section .reloc n'existe pas dans le atapi original)
Atapi patché :

.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45


Si on n'autorise pas l'accès au driver, le processus du dropper s'arrête.

GMER indique :

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

La charge infectieuse est détenue par un exécutable dans %system32% qui permettra les redirections pendant le surf.

Face à un dropper mal détecté par  les AV, ce genre de protection est d'une utilité certaine, mais elles nécessite de très bonne connaissance du système.