Monthly Archives: May 2013

MBRScan

Posted on by

MBRScan est un outil qui va vous permettre de détecter une modification de votre MBR. ([url=http://fr.wikipedia.org/wiki/Master_boot_record]Master Boot Record[/url])
([i]Bootkit : TDL4/MaxSS, etc …[/i])

[center][color=red][i]/!\ Les résultats marquant “Unknown MBR code” ne signifient pas obligatoirement une infection, certains constructeurs de PC ont leurs propres MBR par exemple, légèrement différent d’un OS classique, soyez prudent et ne faite pas de manœuvres inconsidérées sous peine de ne plus pouvoir lancer votre système d’exploitation ! /!\ [/i][/color][/center]

[i]Info : certains antivirus peuvent détecter cet outil comme dangereux, désactivez alors leur protection le temps du scan.[/i]

[size=12pt]Télécharger [b][url=http://tools.security-x.fr/download.php?f=MbrScan.exe]MBRScan[/url][/b] de [i]Eric_71[/i][/size]

([url=http://eric71.geekstogo.com/tools/MbrScan.exe]Lien alternatif G2G[/url] )

[size=12pt][color=blue][b]Scan du MBR[/b][/color] [/size]

Double-cliquer sur l’icône : [img]http://security-x.fr/img/public/MBRScan/icone.jpeg[/img]

Cliquer sur [b]Scan[/b] pour lancer une analyse de votre MBR.

[center][img]http://security-x.fr/img/public/MBRScan/mbr1.JPG[/img][/center]

Vous obtiendrez un résultat comme ceci :

[center][img]http://security-x.fr/img/public/MBRScan/mbr2.JPG[/img][/center]

Si vous avez une infection, l’outil vous le montrera comme ceci :

[center][img]http://security-x.fr/img/public/MBRScan/mbr1_infect.jpg[/img][/center]

Si vous avez un pc avec plusieurs OS (MultiBoot, DualBoot, etc …), vous obtiendrez un résultat comme cela :

[center][img]http://security-x.fr/img/public/MBRScan/mbrx.jpeg[/img][/center]

[size=12pt][color=blue][b]DUMP du MBR[/b][/color] [/size]

Vous pouvez aussi faire un [b]dump de votre MBR[/b] pour l’analyser sur [url=https://www.virustotal.com/fr/]VirusTotal[/url] par exemple, pour se faire, il suffit de cliquer sur [b]Dump[/b] et de sélectionner le bon disque.
Vous obtiendrez un fichier [b]mbr.bin[/b]

[center][img]http://security-x.fr/img/public/MBRScan/mbr3.JPG[/img][/center]

L’outil propose d’autres options comme l’analyse du VBR (Volume Boot Record : zone d’amorçage du volume), des autres secteurs.

[center][img]http://security-x.fr/img/public//MBRScan/mbr4.JPG[/img][/center]

[size=12pt][color=blue][b]Analyse d’un DUMP du MBR[/b][/color] [/size]

On peut aussi analyser des dumps de MBR ([b]Fichier .bin[/b], fait par exemple avec d’autres outils, comme OTL, etc …) en faisant un [b]glisser-déposer du dump sur l’icône de l’outil[/b].

[center][img]http://security-x.fr/img/public/MBRScan/mbr5.JPG[/img][/center]

[center][img]http://security-x.fr/img/public/MBRScan/mbr6.JPG[/img][/center]

[center][img]http://security-x.fr/img/public/MBRScan/mbr7.JPG[/img][/center]

[i]Note : en modifiant ou en ajoutant l’extension [b].asm[/b] à ce fichier .bin, et en faisant la même manœuvre de glisser-déposer, vous obtiendrez le code assembleur 16bits du MBR[/i]

Lien utile :

Analyser un fichier avec VirusTotal

Pour toute question ou demande d’aide concernant ce tutoriel, vous pouvez créer un sujet dans [url=http://forum.security-x.fr/securite-generale/ ] Sécurité Générale [/url] ou dans [url=http://forum.security-x.fr/desinfections/ ] Désinfections [/url]

Les commentaires sur cet article peuvent être faits ici [url=http://forum.security-x.fr/blog-sx/tutoriel-mbrscan-9748/msg95868/#msg95868]sur le forum[/url]