C'est quoi la fonction "Contrôler l'injection de thread"

Discussion in 'LnS French Forum' started by General Noel, May 10, 2005.

Thread Status:
Not open for further replies.
  1. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
    J'ai un problème d'écran Bleu (BSOD) à chaque fois que j'active la fonction "Contrôler l'injection de thread".

    C'est quoi exactement cette fonction ?

    Est-ce qu'elle agit avec la fonctionalité de prévention de l'exécution des données (DEP, Data Execution Prevention) de XP SP2 avec processeur Athlon ?

    Merci de vos réponses
     
  2. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Salut,

    J'ai eu le meme probleme que toi (BSOD a l'ecran de login et dans windows), et ce depuis que je suis passé d'un Athlon XP 1800 a un 64 3200+ (depuis 3 jours :D fresh install XP pro + SP2 slipstreamed). Comme toi je pense que cela vient du DEP/NX-bit, qui peut etre desactivé totalement en editant le fichier boot.ini (/NoExecute=AlwaysOff), mais je n'ai pas eu le temps de trop étudier la question ;). Il me semble que d'autres ont eu ce meme probleme dans le forum (exemple ici).

    PS 1 (extrait de l'aide lns) : 'Contrôler l'injection de thread': pour Windows 2000/XP seulement, permet de détecter les applications qui se connectent par un thread qui a été injecté via une autre application (en injectant un thread dans une application déjà autorisé un troyan peut réussir à se connecter).
    PS 2 : article sur le DEP (MS)
     
    Last edited: May 10, 2005
  3. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
    Merci bloodscourge !

    J'ai souleve la question parce que les autres solutions donnees me semblaient "empiriques".

    Bref je crois que je vais devoir essayer de desactiver le DEP/NX-bit, et ensuite valider la fonction 'Contrôler l'injection de thread' pour en avoir le coeur net.

    Cela dit le dernier blue screen ma corrompu le fichier ou se trouve toutes les regles de L&S, et je ne voudrais pas tout planter pour un simple test !

    Finalement est ce que c'est si efficale le controle de thread ?

    Il semblerait que L&S soit inefficace vis a vis de 'CopyCat' utilisant la methode d'injection de thread Test de fuites de Firewall (FirewallLeaktester)
     
  4. bloodscourge

    bloodscourge Registered Member

    Joined:
    Jul 3, 2004
    Posts:
    372
    Location:
    France
    Salut,

    Jete un coup d'oeil ici : c'est un driver beta qui permet de passer PCAudit2, DNSTester et Copycat. Pour ce qui est de la protection contre l'injection de thread, elle apparait bien incompatible pour le moment avec windows SP2 + DEP. Frederic, si tu pouvais confirmer cela serait sympa ;) (meme si aucun fix n'est possible/prevu a l'heure actuelle).
     
  5. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
    Bon j'ai finalement trouve la reponse ... venant de Frederic lui même.

    voir https://www.wilderssecurity.com/showpost.php?p=439178&postcount=7

    A l'heure actuelle, il est inutile d'essayer d'activer la fonction "Contrôler l'injection de thread" avec DEP/NX-bit sinon le plantage du PC est garanti !!!

    Frederic, si tu lis ce "post", est ce-que je peux savoir si ce ne sera jamais fixe o_O?

    Merci
     
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    J'essayerai de faire quelque chose, mais ce n'est pas du tout sûr qu'il y ait une solution (en tout cas dérivée de la méthode actuellement utilisée).

    Frédéric
     
  7. General Noel

    General Noel Registered Member

    Joined:
    May 3, 2005
    Posts:
    68
    Merci Frédéric,

    Je préfère attendre finalement une position plus "officielle" sur la compatibilité du controle de l'injection de Thread de LnS avec le DEP NX-Bit...

    Je pense aussi que ce serait bien de laisser Win XP avec le DEP /NX-bit fonctionner en même temps de LnS

    Bon courage pour la suite
     
  8. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'était plus un état qu'une position, mais en tout cas bien officiel ;)

    Frédéric
     
Thread Status:
Not open for further replies.