Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

a propos de spyware terminator

fifi29

Par fifi29
dans Sécurisation, prévention

 Partager

Messages recommandés

fifi29 Godlike Member

fifi29

Posté(e)
Posté(e)

bonjour a tous , c'est dommage le plantage du forum , mais tout est redevenue normal , merci.

donc j'avais commencé a parler de spyware terminator, est ce que je pourrait l'installer et m'en servir comme antivirus( en désinstallant avast évidemment). et mettre zeb protect en plus de çà.merci et a ++++

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour !

 

Normal la situation ? Tu trouves vraiment ! Mon post sur les HIDS-HIPS s'est fait dynamiter la gueule ! Adios IceSword, PG full, DSA et autres Spyware Terminator ! Et je ne parle pas du reste.

 

J'ai les boules grave !

 

Amicalement.

fifi29 Godlike Member

fifi29

Posté(e)
  • Auteur
Posté(e)
Bonjour !

 

Normal la situation ? Tu trouves vraiment ! Mon post sur les HIDS-HIPS s'est fait dynamiter la gueule ! Adios IceSword, PG full, DSA et autres Spyware Terminator ! Et je ne parle pas du reste.

 

J'ai les boules grave !

 

Amicalement.

salut horus , c'est vrai surtout que tes posts m'interessaient vraiment.allez bon courage a toi, a ++++

Pianiste Extrem Member

Pianiste

Posté(e)
Posté(e)

bonsoir,

va donc voir sur le site de S.T. il y a une version toute neuve : 1.9.2.134 et c'est toujours gratuit.

bonne soirée

Pianste

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Différences essentielles entre HIDS et HIPS

...

# Les HIDS n'effectuent des recherches qu'à la demande de l'utilisateur, c'est à dire parfois bien après que la mal soit fait.

# Les HIPS héritent des systèmes de détection immédiate du démarrage de tout nouveau logiciel, malsain ou non. Les plus modernes sont censés être adaptés à la détection du lancement des rootkits.

http://www.open-files.com/forum/index.php?...mp;#entry468455

Spyware Terminator, avec ffc770ac3abf49ab9d431d2385687d7a.th.jpg se transforme donc en HIPS (ou IPS), il agit à la racine des problèmes, il permet de prévenir, ce qui est moins douloureux que de guérir. De plus, ST se lance, par défaut, au lancement du système :

 

7b929eb0fec609e522e67d3dcb4e41ce.th.jpg

 

avec son driver :

 

aab2a57d7cbd64d667b925d760e02360.th.jpg

 

...ce qui est un avantage pour détecter les activités anormales au lancement de votre PC...

 

Voir l'excellent tuto de Malekal-morte : http://www.malekal.com/tutorial_SpywareTerminator.php

 

Il y a aussi des HIPS comme :

 

- DSA (gratuit et semble-t-il excellent, je l'utilise depuis plus d'une semaine maintenant, en parallèle avec ST - HIPS activé - aucuns conflits ni ralentissements constatés) : voir le tuto de Malekal_morte http://www.malekal.com/tutorial_DynamicSecurityAgent.php

ou

- Process Guard (version full, payante mais très complète, malheureusemnt il semblerait que son développement s'arrête) : http://www.malekal.com/ProcessGuard.php , il commence à être gentiment dépassé...Concernant DSA, Malekal_morte nous dit que

Il semble être capable de stopper des tentatives d'installation d'infection dont ProcessGuard ne soit pas capable.

http://www.malekal.com/tutorial_DynamicSecurityAgent.php

 

Concernant

Les HIDS n'effectuent des recherches qu'à la demande de l'utilisateur, c'est à dire parfois bien après que la mal soit fait.

http://www.open-files.com/forum/index.php?...mp;#entry468455

:P Style Rku, Seem, IceSword, DarkSpy entre autre. Non résident, ils tentent de guérir, mais si l'on doit guérir, c'est que l'on est déjà malade :P Autant donc prévenir, non ? Mais vu que l'on est jamais à l'abri de rien malgré moultes précautions, autant les avoir en réserve, au cas ou, non ? Et vu les face de rat des nouvelles menaces, autant être prudent...

 

Et surtout ne pas penser que le fait d'avoir un HIPS permet de se passer et d'un antivirus correct (et bien configuré, au maximum donc) et d'un parefeu correct et bien configuré...

 

Pour en savoir plus sur

Les "Rootkits"

 

Ce sont de petits programmes « furtifs » dont l'objectif est de cacher des activités et/ou des fichiers dans un ordinateur. Ils modifient le fonctionnement normal de Windows pour des raisons très variées ...

Les rootkits ne sont pas en eux mêmes des 'exploits'. Même s'ils cachent souvent des 'malwares', leurs techniques peuvent aussi être utilisées par des logiciels sains...

http://www.open-files.com/forum/index.php?showtopic=30336

Les composants des rootkits nuisibles classiques.

http://www.open-files.com/forum/index.php?...mp;#entry468451

HIDS - Détection et éradication des rootkits.

http://www.open-files.com/forum/index.php?...mp;#entry468458

HIPS - Blocage des rootkits dès le lancement.

http://www.open-files.com/forum/index.php?...mp;#entry471410

Amicalement.

 

PS : Horus, dans l'art de faire court... :P

Modifié par horus agressor
Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Bonjour,

 

Je ne sais quoi penser concernant l'évolution de Process Guard:

 

Le site est toujours opérationnel: http://www.diamondcs.com.au/processguard/

 

Mais il y a ce ci depuis la fin de l'année 2006:

 

http://www.wilderssecurity.com/showthread.php?t=159189

 

Cet avertissement est assez curieusement accessible indirectement à partir du site de Diamonds.

 

Salut.

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Salut Sacles,

 

Dans le doute, je m'abstiens, je préfère ne plus faire confiance à Process Guard (dans sa version payante :P qui m'a tout de même servit près d'une année) et passer à autre chose de "plus à jour", de meilleur (semble-t-il) et de gratuit, particulièrement lorsque l'on voit l'évolution des menaces de nos jours.

 

Pour ce qui est des abréviations utilisées par Malekal_morte, je ne suis pas entièrement d'accord, ou alors je n'ai rien compris, ce qui est sûrement le cas... :P

 

Txon d'OpenForum a écrit :

# Les IDS (Intrusion Detection System) qui agissent à la demande de l'utilisateur et auscultent au moment choisi les système à la recherche des activités anormales ou suspectes...

 

# Les IPS (Intrusion Protection System), outils de prévention destinés à signaler toute nouvelle activité dans le PC...

http://www.open-files.com/forum/index.php?...mp;#entry468455

Il a également écrit

Quoi qu'il en soit, HIDS et HIPS me semblent être plus que complémentaires après lecture de

# Les HIPS détectent en priorité le lancement des processus, c'est à dire des lanceurs en ce qui concerne les rootkits. Or ...

 

* Un usager pressé et/ou mal informé acceptera ce lanceur de manière inconsciente, surtout s'il a une apparence attrayante ou s'il est incorporé à un logiciel qu'il a volontairement lancé.

* Les HIPS ne détectent pas tous les lancements des drivers, surtout s'ils sont déjà rendus suffisamment furtifs par le lanceur. Ils sont encore moins nombreux à détecter les modifications opérées dans les liens des bibliothèques ou dans le Registre de Windows.

 

# Les IDS procèdent à des comparatifs entre les éléments les plus sensibles du noyau en mémoire au moment de l'analyse (tables "SSDT", "IAT" etc.) et les originaux obtenus par une lecture du disque au plus bas niveau. Ils peuvent ainsi mettre en évidence les éléments du noyau qui ont été "crochetés" et découvrir les fichiers cachés.

 

Sauf exception, les HIPS ne disposent pas assez des méthodes comparatives qui font la force des HIDS. Par voie de conséquence les HIPS sont souvent moins efficaces en détection. Par ailleurs, il sont généralement démunis lorsque d'aventure ils sont contournés par un rootkit.

http://www.open-files.com/forum/index.php?...mp;#entry468455

Txon lui aussi me perturbe un peu, écrivant une fois IPS et HIPS une autre, idem avec IDS et HIDS :P

 

Bref, Txon et Malekal_morte nous éclairent malgré tout, et très bien, la lanterne :

Un IDS/HIPS (??) (Intrusion Detection System) est un programme qui scrute votre système afin de détecter toute modification ou activité suspecte.

 

Lorsqu'un élément douteux ou comportement dou teux est détecté, l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) peut alerter ou annuler la modification.

Dans le cas où l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) vous alerte, vous avez la possibilité de stopper l'activité suspecte, ce qui permet dans le cas d'une tentative d'infection de stopper l'infection avant son installation.

 

Un IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) fonctionne un peu comme un firewall, vous pouvez créer des règles afin que l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) puisse prendre les mesures adéquates automatiquement. En règle général, les IDS sous Windows intègre un "learning mode" c'est à dire que l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) est capable de prendre automatiquement les désicisions adéquates.

Néanmoins en général, il vaut mieux laisser à l'utilisateur le choix laisser ou non l'action s'opérer et créer la règle au sein de l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?), ainsi ce dernier sera éduquer au fur et à mesure.

 

Un HIPS intègre lui en plus des vérifications au niveau du réseau, l'HIPS est donc capable selon les connexions établies sur l'ordinateur détecter des tentatives d'intrusions, scan de ports etc..

...

Le gros avantage des IDS est qu'il n'est dépendant d'aucune base de données de reconnaissances des menaces.

L'IDS détecte les intrusions en scrutant le comportement de l'ordinateur, de ce fait, l'IDS peut détecter et contrer des menaces connues et inconnues.

 

De ce fait, l'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) est le parfait compagnon de votre antivirus, puisqu'il permet de continuer à protéger votre ordinateur entre le moment où une nouvelle menace fait son apparition et le moment où celle-ci est intégrée à la base de données de définitions virales.

 

L'IDS (je ne suis pas d'accord avec Malekal_morte, n'aurait-il pas fallu écrire HIPS ou IPS au lieu d'IDS ?) est aussi le seul barrage à l'heure actuelle contre l'installation des rootkits au sein de votre système. Les rootkits étant des menaces capables de se dissumuler dans le système et qui peuvent se cacher des autres applications, votre antivirus y compris...

http://forum.malekal.com/ftopic3285.php

Amicalement.
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e) (modifié)
bonjour a tous , c'est dommage le plantage du forum , mais tout est redevenue normal , merci.

donc j'avais commencé a parler de spyware terminator, est ce que je pourrait l'installer et m'en servir comme antivirus( en désinstallant avast évidemment). et mettre zeb protect en plus de çà.merci et a ++++

Salut Fifi29 !

 

Bon, c'est re-moi et j'ai relu le premier post au complet :P Désolé, mais je me suis "emporté" sans te lire, c'est la panne serveur qui m'a bouffé le cerveau grave :P Mais je me calme et je reprends possession de mes (maigres) moyens :P

 

=> Oui, tu peux installer Spyware Terminator et t'en servir, aussi, comme antivirus, pour cela il faut que tu acceptes d'installer l'excellent ClamAntivirus(appelé également ClamWin il me semble, antivirus libre développé à la base pour Linux),

L'assistant vous propose ensuite d'installer un antivirus gratuit : ClamAntivirus

http://www.malekal.com/tutorial_SpywareTerminator.php

. Cet antivirus existe également en version "portable", exécutable depuis une clé USB par exemple... http://fr.clamwin.com/ et son tuto sur Zebulon : Antivirus ClamWin Portable http://www.zebulon.fr/dossiers/64-antiviru...n-portable.html

 

ST est à installer sur un système propre !! Si une vérole fait "partie" de ton système au moment de l'installation de ST, celle-ci risquera sûrement de passer entre les mailles du filet.

Un bon nettoyage s'impose donc avant que d'installer ST (scan anti-virus, anti-spy/trojan (a2, Spybot S&D,...) et un bon nettoyage des traces avec CCleaner par exemple).

 

Il va de soit qu'il faudra désinstaller Avast! si tu optes pour ClamWin via Spyware Terminator.

 

=> Oui, tu peux sans soucis installer ZebProtect en complément : http://www.zebulon.fr/dossiers/40-zebprotect.html pour le tuto :P

 

Ton choix me semble excellent, ST semble être un excellent "tout en un", pratique pour quelqu'un qui n'a pas envie de se casser la tête mais qui toutefois reste très bien protégé. Anti-spyware, anti-trojan, anti-virus - si ClamWin installé !- (qui tendent à se rapprocher quant à leurs bases de donnée), voir, par exemple, la dernière mise à jour de ST du 24 mai 2007 :

 

720393504951f78bd75f49cd8242d9be.th.jpg

 

...et possibilité de faire automatiquement les mises à jour soit du log lui-même Et du fichier de définition (base de donnée) soit uniquement du "fichier de définition :

 

b7b370dc7e70bdcc178ab25b46834439.th.jpg

 

De plus, cocher l'option...

 

ffc770ac3abf49ab9d431d2385687d7a.th.jpg

 

...permet de se protéger encore mieux puisque que ST surveillera les comportements anormaux (et normaux également durant la phase d'apprentissage) de tes processus qui échapperont peut être à ClamWin, prévenir vaut mieux que guérir...Voir mon blabla plus haut.

 

Selon moi, ST sans "Protection en temps réel" coché ne sert pas à grand chose, selon le principe qu'il vaut mieux prévenir que guérir...

 

Faire de temps à autre un scan avec un HIDS comme GMER ou RkU, en plus des scan réguliers à faire avec son antivirus et son/ses antispy/trojan non résident (a2, Spybot S&D,Ad-Aware...), peut être pas mal aussi pour être rassuré quant à la propreté de son système :

 

* GMER : http://forum.malekal.com/ftopic3218.php

 

* RkU : http://forum.malekal.com/ftopic3220.php

 

Intéressant et utile aussi de surveiller son système avec des log comme IceSword et/ou Seem :

 

* IceSword : http://www.malekal.com/tutorial_IceSword.php

* Seem : http://forum.malekal.com/ftopic2141.php ...Ces deux log sont très utiles pour "tuer" un processus récalcitrant, comme par exemple Firefox qui semble être fermé mais qui ne l'est en fait pas quand tu jettes un oeil dans IceSword et/ou dans Seem...Si tu crois que Firefox est bel et bien fermé et que tu n'arrives plus à le lancer par exemple, ce qui arrive de temps en temps je ne sais pas pourquoi...

 

=> Une dernière chose et j'arrête de te prendre le chou :P

 

J'ai constaté que les captures de Malekal_morte faisait parfois référence au "Windows Task Manager", le gestionnaire des taches de Windows (Ctrl+Alt+Del - ou Suppr pour les claviers français -). Ce machin, quoique pratique, est très fragile et aisément atteignable par certaines véroles qui "shootent" certains processus en passant par lui.

Je te recommanderais de le remplacer par Process Explorer : > Mini Tuto Process Explorer http://forum.zebulon.fr/index.php?showtopic=92628

 

89dac05e83052bfee85e006ab4e04aa5.th.jpg (capture d'une capture de Tesgaz;) )

 

Et ne pas oublier que tout cela ne dispense absolument pas d'avoir un parefeu bien configuré !

 

Bon, je craque...Un dernier tuyau : éviter le mode Administrateur comme la peste...Lire Tutorial DropMyRights et PrivBar : Comment surfer sans les droits administrateurs http://www.malekal.com/tutorial_DropMyRights.php :P

 

Amicalement.

Modifié par horus agressor
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour,

 

Du nouveau Fifi29 ?

 

Pour essayer de relancer le débat avec d'autre personne que moi-même :P

Pour différencier les utilitaires de protection du PC, il est possible de distinguer ...

- ceux qui utilisent une base de connaissance des ’’malwares’’ (1), c’est à dire eux qui s’appuient sur les éléments identifiés par des spécialistes :

- ceux qui procèdent à une analyse comportementale, c’est à dire ceux qui détectent les évènements potentiellement dangereux comme une modification du coeur du système d’exploitation ou une nouvelle tentative de connexion à Internet.

 

Il ne se passe pas de semaine sans qu’il apparaisse de nouveaux logiciels malveillants. Si certains d’entre eux restent bâtis sur les règles de fonctionnement bien connues des outils classiques, d’autres évoluent et contournent les défenses. Dès leur apparition, les rootkits ont été les plus difficiles à détecter. Ils étaient peu nombreux, leur diffusion était relativement rare. Les logiciels de défense traditionnels ont essayé tant bien que mal de s’adapter, des utilitaires spécialisés de détection ont été crées pour compléter leur tâche.

 

Les rootkits aussi évoluent. Ils deviennent également plus fréquents. On voit même apparaître des ’’familles’’ à forte propagation comme celle des « Haxdoor » (2)

 

Pour venir à bout d’une aussi grande variété de parasites, les bases de connaissances ordinaires ne suffisent plus, il n’existe aucune arme absolue. Les usagers doivent combiner plusieurs logiciels de défense.

 

Il est souhaitable que l’un d’eux au moins soit basé sur l’analyse comportementale : un « IDS », système de détection d’intrusion (3) ou, théoriquement mieux, sur un « IPS », système de prévention d’intrusion (4).

 

Depuis l’apparition d’outils de détection capables d’interventions comme « Darkspy », « Gmer » ou « IceSword », la différence essentielle entre « IDS » et « IPS » réside dans la fréquence de recherche des intrus. Les « IDS » effectuent leurs recherches à la demande de l’utilisateur, c’est à dire parfois trop tard.

 

Les « IPS » sont sensés protéger l’ordinateur en ’’temps réel’’ ...

- analyser en permanence les logiciels ou modules codés qui sont lancés dans l’ordinateur,

- détecter les comportement douteux,

- agir dans les cas connus suivant des règles pré-définies, ou alerter l’utilisateur pour qu’il prenne une décision, par exemple celle d’arrêter ou détruire le programme dangereux et les fichiers qu’il a créé.

 

De nombreux logiciels de ce type (5) ont été développés depuis longtemps, mais ils étaient souvent conçus pour des malwares classiques, pas pour débusquer leurs homologues cachés par des rootkits. Là encore, beaucoup doivent évoluer pour rester efficaces. Ils n’y arrivent pas tous avec bonheur.

 

Pour une utilisation sous Windows, de nombreux « IPS » sont gratuits. Le plus souvent ce sont des « HIPS » (Host Intrusion Prevention System) pour usage sur un PC individuel.

 

Parmi eux se trouvent « Antihook », « SnoopFree », « SpywareGuard », « System Safety Monitor » (anciennes versions), « WinPatrol », « WinPooch » (logiciel « libre ») ... et dans une certaine mesure « Seem » dont nous espérons une nouvelle version avant la fin de l’année.

 

Sont-ils efficaces ?

http://www.open-files.com/IPS-HIPS.html

Amicalement.
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...