EQSecure HIPS, mini-tuto en capture

[horus agressor]

Bonjour !

 

Pour Windows XP...

 

EQSecure 3.4 n'existe qu'en anglais ou en chinois Dommage pour les "monoglottes"...

 

Il peut se démarrer avec le système, pour ce faire, cocher "Run ..." , mettre en "Learning Mode" (Mode Apprentissage" et redémarrer le PC : cliquer sur "Swicht Mode" puis choisir

 

Suite à dimanche 12 août 2007 à 19h06

http://forum.zebulon.fr/index.php?showtopic=123843&st=30 et à mes soucis pour trouver un bon HIPS et un bon parefeu compatibles niveau sécurité, confort d'utilisation et vitesse, je ne pouvais pas échapper à ce mini-tuto à propos d'EQSecure 3.4, gratuit, en anglais (excellente qualité de la traduction !) en plus du chinois.

 

Je suis sous Windows XP Home Edition SP2, mis à jour, même si je m'estime plutôt "sûr" Windows...

 

EQSEcure 3.4 est un excellent et très complet HIPS gratuit, il égale, à mon avis, les HIPS payants comme SSM ou PG (obsolète à mon avis).

 

Il permet des réglages très fins (je bricole un peu pour les faire, log par log, processus après processus, en partant de réglages très durs pour revenir en arrière ensuite suite dysfonctionnement). Il va de soit que le "bricolage" est très fortement déconseillé aux débutants, un HIPS mal configuré peut empêcher un fonctionnement normal de Windows, voir tout bloquer, redémarrage compris !

 

Les débutants devraient se contenter des réglages par défaut, suffisant à mon avis, mais qui nécessitent néanmoins de bonnes connaissances des processus Windows, vu les questions posées ("Autoriser" ou "Refuser", il faut impérativement faire le bon choix, un mauvais choix pouvant s'avérer catastrophique).

 

Avec EQSecure, le "Mode Normal" correspond au mode par défaut suivant l'installation d'EQSecure :

 

Attention : un HIPS, quel qu'il soit, est à installer sur un système parfaitement sain ! Si vous autorisez un processus concernant un cheval de Troie par exemple, mieux vaut ne pas avoir d'HIPS du tout. Donc balancer la sauce niveau scan antivirus-trojan-spy et récurer à fond votre PC avant d'installer votre HIPS. Une solution : poster un log HiJackThis en suivant la procédure sur Analyse rapports HijackThis, Eradication malwares http://forum.zebulon.fr/index.php?showforum=51

 

Un HIPS ne dispense ni d'avoir un bon parefeu, correctement configuré, ni d'avoir un antivirus-antispy valable d'installés ! Un bon log mal configuré ne sert (presque) à rien !

 

Bref, revenons à EQSecure 3.4, il est disponible ici (je ne donne pas le site de l'éditeur, en chinois, j'ai du pédaler dans le couscous pendant presque 1/2 heure pour y trouver le lien de téléchargement) : OFFICIAL DOWNLOAD LINK: http://www.eqspywatch.com/download/EQSysSecureSetup.exe http://www.wilderssecurity.com/showthread.php?t=181576

 

Par défaut, et dans les "Réglages Fins", EQSecure se présentera ainsi : . Les possibilités de "réglages fins" seront ensuite les suivantes : , soit "Allow", "Block", "Prompt and Allow", "Prompt and Block" et "Ignore it".

 

"Ignore it" fera apparaître une boîte de dialogue à chaque fois que quelque chose se lancera sur votre PC. Il s'agit du choix par défaut en attendant, ou pas, des réglages fins.

 

"Allow" autorisera sans poser de question, pour qu'aucunes questions ne soient posées, il faut que toute la liste soit réglée sur "Allow".

 

"Block" : pour bloquer. Voir la liste "Allow".

 

"Prompt and Block" : "Demander et Autoriser" si pas de réponses dans les 15 secondes.

 

"Prompt and Block" : "Demander et Bloquer" si pas de réponses dans les 30 secondes. C'est ce que j'ai choisit le plus souvent dans mes réglages fins.

 

Les boîtes de dialogues "Question" se présente ainsi :

 

Bref, suite à l'installation d'EQSecure, je recommande de passer par le Learning Mode, le temps de lancer toutes vos applications, puis ne pas oublié de l'enlever. via Swicht Mode :

 

Les questions que vous posera par la suite EQSecure seront des réglages "plus en finesse" : (ici avec l'option "Prompt and Block", "Autoriser et Bloquer", si pas de réponse dans les 15 secondes.

 

"Enable all Protection", "Activer toute les Protections": . Toutes les protections sont activées par défaut !

"Disable all protection" : :peut être utile lors des mises à jour Windows par exemple, quoique je préfère le "Learning Mode".

 

Les "Boîtes d'Avertissement Transparentes" : signale à chaque fois qu'une activité est autorisée ou bloqué via des boîtes "transparentes". Perso, je les ai désactivées, sinon, c'est le bombarbement. Pour les désactiver :

 

 

 

 

 

"Protection par mot de passe" :

 

Créer son propre mode : cliquer sur "New Mode", nommer son mode perso puis le configurer :

 

Les réglages en finesse : et "Other Settings" : , pas mal de vérifier le MD5 de chaque application, même si les MD5 sont dépassés niveau sécurité : http://fr.wikipedia.org/wiki/MD5 , peut être qu'une prochaine mise à jour d'EQSecure corrigera le problème en devenant plus pointu ?

 

Pour suivre toutes les applications en détail "Default Group" : et pour y effectuer des réglages plus fin que le mode par défaut.

 

Pour suivre toutes les applications lancées depuis "C:\WINDOWS/Explorer.exe" : et pour y effectuer des réglages plus fin que le mode par défaut.

 

 

Concernant "Load Library File" (concerne les *.dll) dans les réglages fins, je recommande de le mettre sur "Allow" pour tous les programmes sûrs, sous peine de se voir harceler de boîtes de dialogues. Genre plus de 20 boîtes de dialogues si l'on règle "Load Library File" sur "Prompt and Allow/Block" pour Firefox...Bonjour l'angoisse.

 

Amicalement.

 

Sorry pour les fautes, c'est que j'ai un barbecue qui m'attend moi, poulet en marinade et brochettes de rumsteak (lait de coco, gingembre frais, huile de soja, ail, oignon, jus de citron, sel poivre et autres ingrédients top-secret...)

Modifié le 22 avril 2008 par horus agressor

[horus agressor]

Bonjour !

 

Suite aux interrogations de Sacles (compte à rebours et contrôle MD5) et à la réponse de Félix le Chat sur Assiste à propos de EQSecure, je me suis dit qu'un copié-collé depuis http://assiste.forum.free.fr/viewtopic.php?p=109812#109812 pouvait s'avérer instructif...

Remarques:

 

Cette histoire de compte à rebours ne me plaît guère. Il suffit d'avoir oublier de désactiver le logiciel lors d'une mise à jour importante (de l'OS par exemple), de quitter sa machine pour une raison ou pour une autre ... et voilà les risques d'un plantage qui pointent à l'horizon.

 

De plus, une décision demande parfois réflexion ... Le logiciel, plutôt que d'entamer son compte à rebours devrait simplement bloquer le processus en attendant un décision de l'utilisateur.

 

Mais c'est peut-être possible de supprimer ce décompte.

 

Note:

Avec SSM, j'ai choisi SHA256 comme algorithme de somme de contrôle.

 

Salut.

Salut Sacles, salut Felix le Chat !

 

Merci de ton excellente réponse Félix le Chat pour régler le "soucis" du compte à rebours... http://www.wilderssecurity.com/showthread....1576&page=3

 

Lorsque je fait mes mises à jour Windows, soit je désactive mon HIPS, soit je le mets en mode Learning...Avec EQSecure :

 

Sacles a écrit :

Avec SSM, j'ai choisi SHA256 comme algorithme de somme de contrôle.

N'oublions pas que EQSecure est un log gratuit...On peut toujours rajouter l'onglet de sécurité sur Windows XP :

 

Pour installer l'onglet de sécurité sous XP : Ajouter l'onglet "Sécurité" sur XP Home http://speedweb1.free.fr/frames2.php?page=faq1#onglet , ne fonctionne que pour les partitions en NTFS. Pour convertir une partion FAT32 en NTFS, voir le lien que je donne.

 

Sinon, il y a, également en gratuit, l'excellent FileAlyzer :

FileAlyzer est un outil pour analyser les fichiers - le nom lui-même était au départ dû à une faute de frappe sur FileAnalyzer, mais quelques jours après j'ai décidé de le garder. FileAlyzer permet une analyse de base des fichiers (il affiche les propriétés du fichier et son contenu en format vidage hexadécimal) et il est capable d'interpréter certains contenus usuels (comme du texte, des graphiques, des fichiers HTML, media et PE (NdT: PE signifie Portable Executable; c'est le format natif de fichier de Win32).

 

Utiliser FileAlyzer est aussi simple que d'afficher les propriétés d'un fichier - faites juste un clic droit sur le fichier que vous voulez analyser et choisissez Open in FileAlyzer (Ouvrir dans FileAlyzer).

http://www.safer-networking.org/fr/filealyzer/index.html

et, pour le téléchargement : http://www.safer-networking.org/fr/download/index.html , de l'éditeur de Spybot S&D...

 

Les deux solutions que je proposent s'arrêtent au SHA1, déjà suffisant à mon avis. N'oublions pas qu'il s'agit de solutions gratuites. Et que du mement que l'on télécharge ses logs et autres mises à jour depuis le site de l'éditeur...

 

Il va de soit que lorsque l'on télécharge un log inconnu ou douteux et qu'on installe ce log, on prend des risques de se faire contaminer, même avec un HIPS en couverture. Si l'on donne les autorisations nécessaires à son HIPS pour installer un log vérolé, la vérole va s'installer, c'est inévitable ! On en revient à Brain 3.0, édité par soi-même...A savoir que la prudence doit être le facteur numéro un ! Les log de sécurité ne protègent pas contre l'imprudence, la témérité excessive et les risques exagérés !

 

Le MD5 proposé par EQSecure est un peu limité par les temps qui courent, l'onglet de sécurité sous Windows et/ou FileAlyzer peuvent s'avérer des compléments utiles.

 

Une fois FileAlyzer installé, il devient accessible via un clique-droit sur le fichier que l'on souhaite analyser, et il offre pas mal d'options supplémentaires.

 

Encore une chose à propos d'EQSecure ; pour rajouter un processus manuellement et pour effectuer les réglages de ce processus, passer par : puis

Amicalement.

[Sacles]

Bonjour,

 

Les deux solutions que je proposent s'arrêtent au SHA1, déjà suffisant à mon avis. N'oublions pas qu'il s'agit de solutions gratuites. Et que du mement que l'on télécharge ses logs et autres mises à jour depuis le site de l'éditeur...

N'oublions quand même pas que des pestes peuvent modifier des programmes légitimes. C'est pour cela qu'il est bon de vérifier la somme de contrôle à chaque lancement d'un programme (d'où le nom "Contrôleurs d'intégrité").

 

Comme Horus l'a fait remarquer le mieux est de désactiver son HIPS lors d'installation de programmes ou de mises à jour ou de le mettre en mode "Apprentissage" ou encore d'utilise le "Mode installation" s'il existe (à condition évidemment de savoir ce que l'on installe).

 

Salut.

Modifié le 18 août 2007 par Sacles

[sogno]

La seule chose qui me retienne d'installer EQSecure 3.4 définitivement à la place de ma version d'évaluation d'SSM Pro est qu'il lui manque une fonction de filtration des communications sortantes. SSM me permet de remplacer mon firewall (ayant bien entendu un routeur firewall) et de garder un antivirus à la demande uniquement.

[horus agressor]

...N'oublions quand même pas que des pestes peuvent modifier des programmes légitimes...

Salut Sacles !

 

C'est vrai que même un utilisateur en mode "Attentif-Prudent" n'est plus à l'abri des véroles.

Scanner les fichiers *.exe et autres *.zip téléchargés avec ses outils (à jour et performants !) antivirus/spy/trojan avant de les installer doit rester un réflexe de base, télécharger directement depuis le site de l'éditeur devrait être l'unique manière de procéder. Ces réflexes de base évitent déjà nombre de mauvaises surprises.

 

Mais, de nos jours, surfer sur une page Internet piégée suffit à se faire contaminer, et ils se créent des milliers de pages vérolées par jour (je ne crois même pas exagérer...).

Un fichier hosts à jour ( http://assiste.com.free.fr/p/hosts/hosts_i...on_a_hosts.html et Téléchargement d'une liste Hosts http://assiste.com.free.fr/p/hosts/hosts_t...t_de_hosts.html ) met à l'abri d'un grand nombre de sites pourris, mais pas de tous, même si la liste hosts est régulièrement mise à jour.

Des log comme Spybot S&D ( http://assiste.com.free.fr/p/logitheque/sp...nd_destroy.html ) et SpywareBlaster ( http://assiste.com.free.fr/p/logitheque/spywareblaster.html , essentiellement pour Internet Explorer, protège également contre des cookies pourris sous Firefox, Opera n'est pas pris en compte par ce log) rajoutent une couche niveau protection mais les mises à jour ne se font pas assez vite vu l'évolution quasi-exponentielle des menaces.

Il faut même se méfier des cookies ! ( http://assiste.com.free.fr/p/abc/a/cookies.html ) Dans quel monde vit-on !

 

Finit le temps des antivirus-antispy-antitrojan résidents (qui se lancent au démarrage, qui surveillent le système en arrière plan et qui se basent sur des bases de données, donc forcement limitée ! permettant de lutter contre des menaces déjà existante...) couplé avec un firewall comme uniques protections.

 

Maintenant, le temps est aux HIPS (Host Intrusion Prevention System) :

Logiciel sur le poste client de prévention des intrusions destiné à combattre les malwares via une analyse comportementale des programmes du poste.

Toute action suspecte interceptée ne sera pas réalisée.

http://dico.developpez.com/html/1518-Secur...tion-System.php

, qui compensent plus ou moins bien selon l'HIPS choisit les (parfois très grosses) lacunes de log fonctionnant à partir de base de données (antivirus-antispy-antitrojan).

 

Pour bien choisir son HIPS, gratuit ou payant, revoir les excellents tests effectués par nicM : > Un Comparatif : 10 HIPS testés contre des malwares très particulier, HIPS contre tueurs de HIPS ^^ http://forum.zebulon.fr/index.php?showtopic=126636 , le titre choisit veut tout dire...Il faut s'adapter de plus en plus vite face aux nouvelles menaces, dire qu'il y a des gens qui mettent au point des tueurs d'HIPS...et en changer quand le sien devient obsolète !.

 

SSM Pro est recommandé par Sacles, et le lisant depuis un sacré moment déjà, je peux dire que quand Sacles dit qu'un log est bon, c'est qu'il est bon !

 

L'Horus, lui, est un peu plus volatile, j'aime bien "tester" moi...Voir > Process Guard, System Safety Monitor, DSA, ST..., Contrôleur d'Intégrité : lequel choisir ? http://forum.zebulon.fr/index.php?showtopic=123843 .

Je sais que la majorité d'entre vous ne veulent pas se casser la tête à "tester" des log pour trouver ceux qui leur conviennent.

SSM Pro (payant) semble excellent, voir le choix de Sacles et les tests de nicM - mais encore faut-il bien le configurer !, sachant qu'un log de sécurité mal configuré est du pipo total !!

EQSecure 3.4 semble excellent également, vu les tests de nicM, mais il faut le configurer correctement lui aussi. Et là, pas de solution toute faite à mon avis, chacun doit configurer son HIPS selon ses besoins spécifiques ! Une bonne configuration des ses log de sécurité EST la base ! (antivirus/spy/trojan, firewall et HIPS).

 

Un HIPS pas trop mauvais et le plus facile à utilser pour les utilisateurs de base/débutants à mon avis est Dynamic Security Agent (DSA)...Voir Tutorial Dynamic Security Agent http://www.malekal.com/tutorial_DynamicSecurityAgent.php par malekal-morte et, écrit par Txon d'OpenForum (une pointure) :

Malekal consacre à DSA un tutoriel très bien fait. Pourtant, cet antimaliciel ne semble pas avoir attiré l'attention en France. C'est dommage car il peut satisfaire de nombreux usagers de Windows même si ce n'est qu'en complément d'autres utilitaires.

http://infomars.fr/forum/index.php?showtopic=322

 

Amicalement.

 

PS : 'tain la tartine...Sorry Faire court n'est pas "horusien" Et désolé pour l'arc-en-ciel de couleur et de taille

 

/!\ un HIPS ne dispense ni d'avoir un antivirus et un firewall d'installés /!\

Modifié le 18 août 2007 par horus agressor

[Sacles]

Bonjour,

 

La seule chose qui me retienne d'installer EQSecure 3.4 définitivement à la place de ma version d'évaluation d'SSM Pro est qu'il lui manque une fonction de filtration des communications sortantes.

Effectivement, il s'agit des règles "Réseau" (Network). Cette fonction est désactivée par défaut elle est donc quelque peu méconnue.

 

Si elle est activée, une "chose" installée sur le PC qui souhaitera aller bavarder dans le cyberespace devra en avoir reçu l'autorisation préalable.

 

Milles excuses à Horus pour avoir dévié du sujet initial consacré à EQSecure 3.4 HIPS.

 

---------------------

 

Finit le temps des antivirus-antispy-antitrojan résidents (qui se lancent au démarrage, qui surveillent le système en arrière plan et qui se basent sur des bases de données, donc forcement limitée !

Bloquer ce qui est interdit ou permettre ce qui est autorisé. C'est bien la différence de conception entre les deux types de proftections: les AntiPestes et les HIPS. Mais permettre ce qui est autorisé demande des connaissances plus pointues de la part des utilisateurs qui doivent être sûrs des autorisations qu'ils donnent (Prevx, lui fait appel à la "Communauté" des utilisateurs qui ont moins de sollicitations mais sont plus dépendants).

 

A noter quand même que les HIPS ne permettent pas de nettoyer un système infecté ni de détecter une peste (en tout cas à ma connaissance). Les HIPS et les AntiPestes sont donc complémentaires.

 

D'où aussi le conseil important et impératif d'installer un HIPS sur un système sain.

 

Bon dimanche à tous.

 

Salut.

Modifié le 19 août 2007 par Sacles

[horus agressor]

...Milles excuses à Horus pour avoir dévié du sujet initial consacré à EQSecure 3.4 HIPS...

Je présente également mes excuses à moi-même pour avoir dévié du sujet Mais tant que c'est pour la bonne cause, on s'en fou un peu, non ?

 

DSA (gratuit), EQSecure (gratuit), Process Guard (payant dans sa version full, mais vu la situation des éditeurs, l'acheter maintenant n'est pas recommandé du tout) ne contrôlent en tout cas pas les flux sortants.

 

Pro Security (payant) le fait :

 

Les règles "Réseau" (Network) sont activées par défaut avec Pro Security, ce que je considère comme une grave lacune pour les utilisateurs débutants.

 

Amicalement et bon dimanche à toutes et à tous.

[herve8]

Bonjour à tout le monde.

 

Merci Horus pour ce tuto, j'ai installé (samedi 18 /08) EQSecure 3.4 sur un de mes XP que j'utilise pour tester les meilleures solutions.

Petite boutade je pensais que tu ne voulais pas tester ce logiciel ....

J'ai testé avec PC security ( je sais que ce n'est pas terrible) et je vais aussi essayer les autres leaktest...

Pour éviter les problèmes j'ai ajouté les pluggins pour FireFox : Whot, Refcontrol et Noscript.

 

J'utilise aussi le logiciel SandBoxie (bac a sable) ce qui évite certains problèmes

 

Bonne fin de dimanche

 

Hervé

[nicM]

DSA (gratuit), EQSecure (gratuit), Process Guard (payant dans sa version full, mais vu la situation des éditeurs, l'acheter maintenant n'est pas recommandé du tout) ne contrôlent en tout cas pas les flux sortants.

 

Bonjour tout le monde,

 

Juste une petite remarque : A l'inverse de PG et EQSecure, DSA contrôle les flux sortants . C'est même à mon avis le HIPS se rapprochant le plus d'un véritable firewall, puisque même le filtrage SPI de Private Firewall (le firewall de chez l'éditeur) est intégré à DSA . Autrement dit, il filtre silencieusement les flux entrants, et permet d'obtenir un résultat "stealth" à lui tout seul sur GRC.

 

La seule raison pour laquelle il est déconseillé de l'utiliser comme seul firewall est la pauvreté des options de configuration : L'utilisateur n'a pas accès au paramétrage du filtrage entrant, de même qu'il est impossible de modifier/éditer les règles pour le traffic sortant. La raison est que DSA est en quelque sorte une version gratuite de Private Firewall... Si DSA avait tout, personne n'irait acheter le firewall complet .

 

Cependant, il n'en reste pas moins que le filtrage entrant comme sortant de Private Firewall est intégré à DSA. Tel quel, il permet de donner un coup de fouet à n'importe quel firewall ayant des résultats entre Poor et None, dans cette liste ,auquel il serait associé.

 

 

Sinon, merci pour le tuto horrus agressor . A vrai dire, j'avais commencé à faire un tuto détaillé sur EQSecure, après avoir fait une version française du fichier de langue. Mais j'ai laissé tomber, car difficulté de communication avec l'éditeur du programme pour l'intégration du fichier de langue , mon interlocuteur comprend à peine ce que je lui dis. On verra plus tard.

[horus agressor]

Petite boutade je pensais que tu ne voulais pas tester ce logiciel ....

Salut !

 

On ne se refait pas

 

Amicalement.

...DSA contrôle les flux sortants...

 

...mon interlocuteur comprend à peine ce que je lui dis. On verra plus tard.

Salut nicM !

 

Merci pour tes précisions concernant DSA Je le garde au chaud même si je le trouve trop "primaire" dans ses réglages. Mais cet HIPS me semble excellent pour les débutants.

 

Ton interlocuteur pour EQSecure ne parle que le chinois ? Pourtant la traduction de l'interface en anglais est bien faite...Dommage pour la version française...

 

Amicalement.