SpyMe Tools est un scanner temps réel de surveillance des modifications apportées aux répertoires système et au registre d'un ordinateur sous Windows. Il permet également, de comparer deux d'états successifs d'un système afin de voir les modifications.

cr  01.01.1999      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les téléchargements sont suspendus pour l'instant

SpyMe Tools est un scanner temps réel de surveillance des modifications apportées aux répertoires système et au registre d'un ordinateur sous Windows. Il permet également, de comparer deux d'états successifs d'un système afin de voir les modifications. Il était déjà disponible lorsque sévissait l'imbécile TeaTimer de SpyBot Search & Destroy qui se faisait passer pour un bidule temps réel alors qu'il s'agissait d'une boucle qui s'exécutait à intervales de temps, toujours trop tard.

• SpyMe Tools est un très bon outil qui fait toujours très bien son travail, en 2017, mais il a été écrit en 2007 pour Windows 98/ME/NT4.0/2000/XP. Le moniteur temps réel disque ne fonctionne qu'avec les Windows basés sur NT (Windows 2000 et XP). SpyMe Tools n'est pas prévu pour Windows 7, 8, 8.1 ou 10).
• Il n'a jamais été développé de version 64 bits de SpyMe Tools et il n'existe pas de version officielle pour Windows 7, 8, 8.1 ou 10.
• Il est toujours dans sa version 1.5.0 de 2007, mais il peut être détecté, par des faux positifs, en malveillance, car :
  • Pour le faire fonctionner sous Windows 7, 8, 8.1 ou 10, il a été modifiée avec madCodeHook de Systemsoftware (Mathias Rauen). Ceci permet à une application de faire des appels aux APIs système (Windows) quelle que soit la version de Windows.
    
    madCodeHook agit comme une enveloppe, un « wrapper » autour de SpyMe Tools et intercepte les appels aux APIs de Windows. Tous les appels sont rendus compatibles avec n'importe quelles versions de Windows (dont 7, 8, 8.1 et 10) et leurs écritures 32-bit (X86) ou 64-bit (X64).
    
    Le principe de madCodeHook est de crocheter (faire des hooks) les appels aux APIs. Les crochetages sont innombrables : tous les antivirus et anti-malwares sont trufés de crochetages, mais les cybercriminalités le sont également ce qui rend l'analyse d'outils utilisant madCodeHook difficile si elle est simplement confiée à des robots d'analyses (sandbox dont la Payload Security VxStream Sandbox (également appelée Hybrid Analysis Sandbox). Il faut l'intelligence humaine pour séparer le bon grain de l'ivraie. Mathias Rauen, l'auteur de madCodeHook, dit lui-même que son outil a été utilisé par des cybercriminels et que, désormais, il ne le distribue plus gratuitement, mais uniquement commercialement à des entreprises ou développeurs sur lesqueles il enquête d'abord.
    
    
    SpyMe Tools et l'usage de madCodeHook
    
    
    
  • Une analyse de SpyMe Tools avec 61 antivirus, modifié avec madCodeHook, tourne sous Windows 7, 8, 8.1 et 10. Cette analyse a été effectuée pour le première fois le 10 juillet 2007 (soit 10 ans lors de la rédaction de cet article (dernière modification le 17.06.2017). Elle sort, depuis 10 ans, quasi propre (un faux positif de Baidu, comme d'habitude, et Sophos qui détecte, très justement, MadCodeHook (classé en simple PUP).
  • En 10 ans d'analyses de SpyMe Tools, rien n'a changé. Toujours propre.
  • Note : J'ai lancé une analyse de SpyMe Tools le 22 mai 2017 en utilisant la VxStream (Sandbox de Payload Security). Elle trouve ce logiciel à 100% malicieux (car tout ce que lui apporte madCodeHook, de manière totalement saine, peut aussi être utilisé avec des intentions malicieuses). Voir l'analyse. Je pense que l'outil est totalement sain, mais, pour l'instant, les téléchargements sont suspendus.
    

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows

SpyMe Tools est très utile pour détecter les modifications apportées au Registre Windows et aux répertoires système. Si une application installe des logiciels (est utilisée en Cheval de Troie) ou modifie le contenu du Registre, vous pourrez voir exactement l'endroit où la modification s'est produite et la modification elle-même, afin que vous puissiez prendre des mesures.

• on pense, évidemment, aux logiciels espions (spywares), aux logiciels publicitaires (adwares), à des composants partagés (dlls) dont toute modification est suspicieuse et à conduit à l'enfer des Dlls (Dlls Hell) et à la réaction violente de Microsoft avec WinSxS, des programmes non désirés (PUP), des modifications de réglages intempestives (PUM, hijackers), des fichiers inconnus de tous types (image, video, audio, etc.), etc.)

Il semble que de plus en plus de programmes tentent d'installer des logiciels espions, des publicités ou d'autres ordures sans votre consentement, mais, avec SpyMe Tools, vous saurez tout ce qui est ajouté ou supprimé ou modifié.

SpyMe Tools permet de créer des clichés des états réels du Registre / Disque (clic sur le bouton Scan). Cela signifie qu'à tout moment :

• Vous pouvez ouvrir un cliché et afficher le contenu du Registre / Disque tel qu'il était lorsque vous avez procédé à la prise du cliché.
• Comparer deux clichés, à deux moments différents, de sorte que vous verrez exactement ce qui a changé entre les deux clichés.

SpyMe Tools peut également restaurer les anciens états des clés du Registre en utilisant les données dans les fichiers du cliché.

SpyMe Tools comprend également un moniteur de fichiers système / registre, en temps réel, afin que vous puissiez détecter les changements au moment où ils interviennent. Pour la surveillance disque, le moniteur temps réel disque ne fonctionne que sur les plates-formes NT (Win2k et Win XP).

Vous devriez utiliser SpyMe Tools régulièrement pour détecter si quelqu'un ou quelque chose renifle dans votre ordinateur.

Vous devriez utiliser SpyMe Tools spécialement lorsque vous installez une application (risques de sponsoring avec des téléchargeurs piégés et des installeurs piégés). Si vous voyez que, outre les fichiers du programme sollicité que vous avez téléchargé et installé, il est arrivé d'autres fichiers, ils doivent être considérés comme inutiles (PUP) ou suspects (Malwares).

SpyMe Tools ne sert pas uniquement à surveiller une installation douteuse. Vous pouvez, par exemple, faire un cliché de votre système avant de commencer une scéance de surf risquée, sur le Web, puis faire un second cliché en fin de scéance de surf, et comparer les deux clichés afin de revenir en arrière sur certains points. C'est ce qu'Assiste.com a appelé le SurfBack ou le RollBack.

Notons que les prises de clichés et les opérations de SurfBack ou RollBack peuvent être conduites avec des logiciels beaucoup plus récents, comme Total Uninstall (en version Pro uniquement).

SpyMe Tools vous donne la possibilité de démarrer, de mettre en pause ou d'arrêter le processus de numérisation (cliché) ou de comparaison de clichés, et d'enregistrer les résultats de numérisation ou de comparaison dans un fichier de vidage (fichiers de clichés et fichiers de différences), ce qui est utile pour diagnostiquer et déboguer des erreurs.

Le programme vous permet de suivre les modifications de registre en sélectionnant les clés racines que vous souhaitez analyser, à savoir HKEY_LOCAL_MACHINE, HKEY_CURRENT UTILISATEUR, HKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG et / ou HKEY_USERS. De plus, vous pouvez inclure des sous-clés dans la tâche de numérisation.

Le mode de surveillance des fichiers vous permet de sélectionner les lecteurs et les dossiers pour prendre des clichés instantanées. Cela s'avère particulièrement utile car vous pouvez vérifier l'état du disque ou du registre pour analyser comment il était lorsque vous avez effectué l'opération de numérisation.

Une excellente fonctionnalité incluse dans cet utilitaire est un mode de surveillance intelligent en temps réel qui vous permet de suivre automatiquement les modifications apportées au lecteur et au répertoire souhaités. Vous pouvez également trier les résultats par plusieurs actions, telles que ajouter, renommer ou supprimer des fichiers et des dossiers, ainsi qu'afficher uniquement les modifications de fichiers et de répertoires qui répondent à un masque de filtrage défini par l'utilisateur.

Vous pouvez ouvrir un cliché et afficher les données dans le panneau principal, comparer deux clichés, enregistrer les résultats de la comparaison dans un fichier texte simple (NotePad) pour le reprendre avec un autre outil ou le communiquer, et enregistrer toutes les actions (y compris les résultats de comparaison).

En conclusion, SpyMe Tools offre un ensemble pratique d'outils pour vous aider à suivre les changements dans un système et dans le Registre. Grâce à sa simplicité globale, SpyMe Tools peut être maîtrisé par les novices et, à fortiori, les professionnels.

Un regret : SpyMe Tools fonctionne soit en mode Surveillance du Registre, soit en mode Surveillance disque, mais pas les deux simultanément, ce qui est une lacune.

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows

SpyMe Tools - Moniteur temps réel de suivi des fichiers système et du registre Windows