Process Guard, System Safety Monitor, DSA, ST...

[horus agressor]

Bonjour,

 

Pour info, l'Horus, il est sous Windows XP SP2 Home...

 

Concernant Process Guard (PG), Sacles a écrit :

Je ne sais quoi penser concernant l'évolution de Process Guard:

 

Le site est toujours opérationnel: http://www.diamondcs.com.au/processguard/

 

Mais il y a ce ci depuis la fin de l'année 2006:

 

http://www.wilderssecurity.com/showthread.php?t=159189

 

Cet avertissement est assez curieusement accessible indirectement à partir du site de Diamonds.

 

http://forum.zebulon.fr/index.php?showtopi...p;hl=terminator

...Au cas où le développement de PG partirait complètement en vrille, je me suis "amusé" à tester quelques IPS.

 

+ A propos des différences entre IDS et IPS, Txon d'OpenForum a écrit :

# Les IDS (Intrusion Detection System) qui agissent à la demande de l'utilisateur et auscultent au moment choisi les système à la recherche des activités anormales ou suspectes...

 

# Les IPS (Intrusion Protection System), outils de prévention destinés à signaler toute nouvelle activité dans le PC...

http://www.open-files.com/forum/index.php?...mp;#entry468455

Quoi qu'il en soit, IDS et IPS me semblent être complémentaires.

 

IDS comme RkU, GMER, IceSword, Seem entre autre, non résident, se lance à la demande, souvent une fois l'infection installée...Guérit mais ne prévient pas.

 

IPS comme Process Guard, OSSEC, CoreForce, Dynamic Security Agent (DSA), Spyware Terminator (ST) -avec Protection HIPS cochée- et System Safety Monitor (SSM), résident, se lance au démarrage, prévient (ou essaie de le faire tout du moins) les infections, mais ils ne sont pas parfait, donc, par prudence, il vaut mieux allier un ou plusieurs IDS à son IPS.

/!\ A INSTALLER SUR UN SYSTEME PROPRE /!\

 

/!\ Il est recommandé de n'installer qu'un seul IPS /!\

/!\ L'installation de plusieurs IDS est tout a fait possible et même recommandé à mon avis /!\

 

* J'ai utilisé PG plus d'une année, excellent ! Voir http://assiste.forum.free.fr/viewtopic.php?t=11828 (réglage d'IceSword (IDS) dans PG (IPS)) et http://assiste.com.free.fr/p/logitheque/processguard.php , entre autre. PG permet d'effectuer des réglages très fins en plus d'être très lisible.

 

SSM, dans sa version gratuite, est exactement construit dans le même esprit que PG, dans sa version payante, SSM est réglable en français, contrairement à PG, un sacré plus ! (voir plus bas)

 

=> PG : pour utilisateur assez avertit dans sa version complète (full). Je ne connais pas assez la version gratuite mais il me semble qu'il lui manque trop d'options essentielles.

 

* J'ai testé ST-avec Protection HIPS cochée- : il est dans la crapathèque d'Assiste http://assiste.com.free.fr/p/craptheque/sp..._termintor.html , voir aussi http://assiste.forum.free.fr/viewtopic.php?t=16691. ST ne permet absolument aucun réglages, impossible de savoir ce qu'il fait. Il ne pose des questions que pour certaines applications qui utilisent des drivers (IceSword, RkU...), et encore, il en loupe un paquet comparé à PG, DSA ou SSM. Impossible, par exemple de faire des réglages sur Internet Explorer (Mémoire Physique, Hook,...). Du pipo et du vent ce log à mon avis.

- Tutorial et Guide SpywareTerminator http://www.malekal.com/tutorial_SpywareTerminator.php Malekal_morte a écrit :

J'ai vu sur pas mal de forums que l'on se posait la question sur la fiabilité de ce produit. Il faut savoir que SpywareTerminator a été un moment classé comme rogue.

Ce n'est plus le cas maintenant, SpywareTerminator est bien un outil fiable.

http://www.malekal.com/tutorial_SpywareTerminator.php

 

Le manque de souplesse, l'impossibilité de créer des règles pour chacun de ses log et autres processus, la nébuleuse qui gravite autour de ST (voir le papier de la Crapathèque), et aussi le fait qu'il essaye d'imiter Spybot S&D pour le reste (protection Internet Explorer, BHO et autre) me fait dire que ST n'est pas recommandable. Mieux vaut Spybot S&D doublé d'un vrai et efficace IPS.

 

* J'ai essayé de tester OSSEC et CoreForce : impossible à installer chez moi...

 

* J'ai testé DSA quelque temps : Excellent pour les débutants et pour celles et ceux qui ne veulent pas trop se casser la tête avec des réglages aussi fins que ceux proposés par PG ou SSM. Gratuit, et même s'il est en anglais, son utilisation et sa gestion ne pose pas trop de problème pour un non-anglophone.

Je le trouve par contre un peu léger dans la finesse des réglages, mais je suis assez maniaque...

Voir http://www.malekal.com/tutorial_DynamicSecurityAgent.php

...Il semble être capable de stopper des tentatives d'installation d'infection dont ProcessGuard ne soit pas capable...

http://www.malekal.com/tutorial_DynamicSecurityAgent.php

 

* J'ai gardé le meilleur pour la fin...SSM, excellent et adopté sur mon poste fixe depuis 1 semaine, je le teste en parallèle avec PG, que j'ai conservé sur mon PC portable.

 

Pour une assez bonne mise en bouche : http://assiste.com.free.fr/p/logitheque/ss...ety_monitor.php et http://www.malekal.com/tutorial_SystemSafetyMonitor.php

 

Gratuit et pourtant aussi complet que la version payante de PG !

Configurable en français contrairement à PG !

Le bouton Mode apprentissage permet d'activer le Learning Mode, System Safety Monitor va prendre alors les décisions à votre place lorsqu'il sera confronté à une nouvelle application.

Je vous conseille fortemment de ne pas activer cette option.. car il laisse passer certaines infections!!!

http://www.malekal.com/tutorial_SystemSafetyMonitor.php

SSM réagit exactement de la même manière que PG, les réglages à faire dans SSM concernant ses log et autres processus se fait exactement dans le même esprit que PG.

D'ailleurs, j'ai appliqué les réglages prévu pour PG pour SSM ( http://forum.zebulon.fr/index.php?showtopic=66717 )

 

Les boîtes de dialogue de SSM sont, à mon avis, plus complète que celles offertes par PG, et en français en plus !

 

SSM, dans son onglet "Rêgles Application" nous offre le MD5 pour toutes les applications/processus recensés.

 

Plutôt que de pondre une tartine de mot, je vais essayé de vous montrer SSM en image, cela fera peut être doublon avec les captures que nous offrent Malekal_morte dans son tuto, mais tant pis...

 

1) Présentation :

 

L'onglet Monitorer le processus est l'équivalent du gestionnaître de tâches de Windows...

http://www.malekal.com/tutorial_SystemSafetyMonitor.php

 

 

Pour l'onglet Modules, voir le tuto de Malekal_morte, je ne m'en sert pas pour l'instant...

 

- Détails des onglets des Options de réglage :

Pour complètement bloquer une option proposée : mettre la case en blanc (double-clique à partir de "?")

Pour accepter une option : mettre un "vu"

Pour attendre une réaction : laisser le "?" qui est mis dans toutes les cases de tous les onglets par défaut.

 

 

 

 

 

* Pour lancer une application sous SSM :

 

- Ouvrir une application de la manière habituel

- une boîte de dialogue SSM apparaîtra et vous demandera la manière dont vous voudrez ouvrir cette application à l'avenir :

 

"Autoriser"

 

ou "Bloquer"

 

Il en va de même pour les drivers.

 

- Les réglages "fins" se font ensuite via l'onglet "Règles Application", en surlignant l'application souhaitée. Une fonction de recherche intégrée à SSM est très pratique, surtout si l'on a un paquet d'application gérée par SSM.

 

 

2) Pas de réglages possible pour ...

 

3) Mes réglages pour Firefox :

 

 

et

 

L'onglet Logging n'apparaît pas ici, normal, j'ai laisser le "?" dans toutes les cases de toutes mes applications/processus recensés.

 

4) Mes réglages pour RkU et son driver :

 

pour "RkU".exe.

 

Vu que je tâtonne encore, je ne peux pas vous garantir de la justesse de tout mes réglages...

 

pour son driver.

 

Double-cliquer sur une application présente dans l'onglet "Règles Application" va donner :

 

Pour mes réglages de RkU :

 

 

 

 

5) les log à disposition (via clique-droit sur l'icône dans le systray) :

 

pour le log des Applications et pour le log des Alertes Modules

 

Réglage de la "durée de vie" des log :

 

 

Amicalement.

 

PS : j'ai copié-collé un de mes post sur Assiste, je pensais le sujet assez intéressant pour le faire...

Modifié le 14 juin 2007 par horus agressor

[horus agressor]

Re !

 

* Pour télécharger la version gratuite de SSM :

System Safety Monitor 2.0 Free Edition [description]

This is free edition of System Safety Monitor.

2.0.8.583 [notes] (2007-05-29 14:41)

ssm-2.0.8.583-free.exe--http://www.syssafety.com/files.html

, les autres versions sont soit payantes soit des bêta...

 

* Lors de chaque changement de version/mise à jour d'un log, SSM fait apparaître une boîte de dialogue qui vous préviendra que la nouvelle version pourrait éventuellement être un faux et vous suggèrera d'effacer les règles de la version précédente (c'est sous-entendu...) et d'en recréer de nouvelles pour la nouvelle version.

 

Pour télécharger la version gratuite de SSM :

System Safety Monitor 2.0 Free Edition [description]

This is free edition of System Safety Monitor.

2.0.8.583 [notes] (2007-05-29 14:41)

ssm-2.0.8.583-free.exe--http://www.syssafety.com/files.html

, les autres versions sont soit payantes soit des bêta...

 

Concernant les Options de SSM :

 

* Protection par mot de passe :

 

 

Au redémarrage, SSM sera représenté, dans le SysTray, par une icône bleue si protection par mot de passe.

 

En cours d'utilisation, si l'on souhaite protéger son PC de toute utilisation maladroite ou illicite, pas besoin de redémarrer le PC, il suffit de faire un clique-droit sur l'icône verte dans le sysTray puis de cliquer sur Exit et, enfin, de redémarrer SSM.

Très pratique si l'on absente et que l'on ne fait pas trop confiance à son entourage...

 

suite à un double-clique sur l'icône bleue pour retrouver les fonctionnalité de SSM.

 

En cas de protection par mot de passe, pour une application protégée :

 

 

* Vérification des mises à jour :

 

Je recommande de tout décocher, la mise à jour conseillée renvoie vers une version de SSM qui n'existe pas...

 

* SSM n'installe pas de service contrairement à PG, DSA, ST par exemple.

 

* Après une semaine sous SSM, je le trouve agréable à utiliser, réactif, rapide et léger (10Mo en tout et pour tout) . Aucune différence de vitesse que l'on soit sous PG ou sous SSM, par contre différence de prix...Il faut passer un peu de temps dessus, tout comme avec PG, ensuite très facile à utiliser...

 

* Chose étrange : SSM n'apparaît pas dans l'onglet Démarrage de msconfig, pourtant SSM se lance au démarrage, le splashscreen et l'icône faisant foi...

 

 

Amicalement.

Modifié le 14 juin 2007 par horus agressor

[horus agressor]

Re !

 

Excellent les faux positifs d'IceSword (Download - Current Version - 1.20 English http://www.antirootkit.com/software/IceSword.htm ) concernant SSM :

 

IS reste toutefois un excellent IDS Voir http://assiste.forum.free.fr/viewtopic.php?t=11828

 

Idem pour GMER ( GMER 1.0.12.12244 http://gmer.net/files.php ): ...

 

Pour Seem (Seem 4.1b (fr) http://seem.about.free.fr/?004%2FTelecharg...576968993729583 ):

 

...juste en passant : Faux-positif de RkU dans Seem :

 

...bref, faux-positifs de SSM dans Seem (v4.1) :

 

Impossible pour l'instant de tester les faux-positifs de SSM dans RkU, vu qu'il a repéré le driver de GMER et que RkU me demande de désinstaller GMER (il y une "guerre" entre les concepteurs de RkU et ceux de GMER, RkU à une rage féroce contre GMER...).

 

Amicalement.

Modifié le 14 juin 2007 par horus agressor

[horus agressor]

Bonjour !

 

Concernant SSM (System Safety Monitor)...

 

J'avais cru voir le Saint Graal dans avec System Safety Monitor...Et bien non...Même si l'idée et le concept sont excellents...Cliquer sur "Scanner" est sensé lancé un scan avec son antivirus, si mon misérable esprit à bien compris cette fonction, mais je m'attendais à un scan du processus spécifique indiqué dans la boîte de dialogue...Et bien non !

 

Cliquer sur scanner ouvre, avec Antivir : ...et avec ClamWin (installé chez moi sur ma partition) :

(mais j'ai découvert que ClamWin offre un outil supplémentaire de scan via menu contextuel...Pas mal pour du gratuit et du tout bon en plus ! ClamWin n'est pas un antivirus résident, il peut s'installer sur C:\, sur une partition ou sur une clé USB, il faut seulement penser à le mettre à jour régulièrement pour qu'il reste efficace, donc lui en donner l'autorisation via son parefeu...Voir http://www.clamwin.com/content/view/18/46/ et http://www.zebulon.fr/dossiers/64-antiviru...n-portable.html pour un tuto Zeb !)

Pour activer "Scanner" de SSM : Mettre le chemin vers avcenter.exe pour Antivir (free).

 

Mettre le chemin vers "avscan.exe" conduit à un message d'erreur : , chez moi en tout cas.

Pour ClamWin : idem que pour Antivir mais avec le chemin vers Clamwin.exe

 

J'ai également placé le chemin vers A2 (version 3.0) en guise de "scanner" via SSM...Même topo, le processus spécifique n'est pas scanné individuellement mais c'est la la boîte de dialogue du scan d'A2 qui s'ouvre.

 

Au moins "Scanner" à le mérite de rappeler à la prudence en scannant un processus suspect avec ses outils anti-véroles...

 

Amicalement.

 

PS : ne pas oublier de cliquer sur "Appliquer les options" pour enregistrer les modifications faite dans SSM !!

 

Re-PS : pour sauvegarder sur une partition, CD, USB, DD externes, et autres moyen de sauvegarde, ses paramètres de configuration SSM : C:\Program Files\System Safety Monitor\Global.cfg...

 

Amicalement.

Modifié le 18 juin 2007 par horus agressor

[Gof]

Bonsoir Horus Agressor

 

Intéressant ton post.

 

(mais j'ai découvert que ClamWin offre un outil supplémentaire de scan via menu contextuel...Pas mal pour du gratuit et du tout bon en plus ! ClamWin n'est pas un antivirus résident (...)

 

Une précision : Associé à winpooch Clamwin devient résident.

ClamWin est un antivirus open source pour Windows qui n'est malheureusement pas capable d'analyser les fichiers en temps réel. Grâce à Winpooch, il est maintenant possible de scanner les programmes avant leur lancement.

Cette suite complète gratuite serait intéressante à tester, j'avais perdu de vue winpooch depuis un moment, mais les versions et les mises à jour suivent, il serait surement intéressant de voir ce qu'il devient.

[sogno]

Bonsoir horus agressor,

 

Très intéressant ton dossier, il faut noter aussi la parution prochaine d'un EQSecure 3.4 (qui sera enfin complètement traduit en anglais) et le prochain comodo 3.0 (J'ai pu faire quelques tests avec leur version alpha et je dois avouer qu'ils m'ont laissé pantois ). Tout deux me semblent être une très bonne alternative à des logiciels hips payants. Du moins dès qu'ils paraîtront dans une version stable.

[horus agressor]

Bonsoir Horus Agressor

 

Intéressant ton post.

Une précision : Associé à winpooch Clamwin devient résident. Cette suite complète gratuite serait intéressante à tester, j'avais perdu de vue winpooch depuis un moment, mais les versions et les mises à jour suivent, il serait surement intéressant de voir ce qu'il devient.

Salut Gof !

 

J'ai bien du plaisir à relire ta prose...J'avais testé également Winpooch, mais il m'avait gavé grave le clébard à la tête d'ampoule et au galurain ridicule ...Certes il propose également ClamWin en antivirus résident, merci du rappel, j'avais oublié tellement Winpooch m'avait énervé

 

Je ne dis pas que Winpooch est nul, mais simplement que ses "manières" m'ont énervé, Winpooch ne me convient tout simplement pas...Mais il semble néanmoins efficace !

 

Cela dit, à propos de Winpooch, que des bonnes choses sur lui sur OpenForum :

Winpooch - Windows watchdog http://www.open-files.com/forum/index.php?showtopic=30200

et

Winpooch - Support et commentaires http://www.open-files.com/forum/index.php?showtopic=30383

Spyware Terminator propose également ClamWin en antivirus résident, voir le post (épique et que j'adore !) : a propos de spyware terminator http://forum.zebulon.fr/index.php?showtopic=122604 (ne faite pas confiance à ST à mon avis, glauque, nébuleux et pas transparent du tout, l'ambiance qui l'entoure est du style maffieuse !)

 

Amicalement.

[horus agressor]

Re 404 Horus Error

Modifié le 18 juin 2007 par horus agressor

[horus agressor]

Bonsoir horus agressor,

 

Très intéressant ton dossier, il faut noter aussi la parution prochaine d'un EQSecure 3.4 (qui sera enfin complètement traduit en anglais) et le prochain comodo 3.0 (J'ai pu faire quelques tests avec leur version alpha et je dois avouer qu'ils m'ont laissé pantois ). Tout deux me semblent être une très bonne alternative à des logiciels hips payants. Du moins dès qu'ils paraîtront dans une version stable.

Salut Sogno !

 

Sympa si tu présentais toi-même EQSecure 3.4, je n'en ai encore jamais entendu parler...

 

Concernant le parefeu Comodo, j'y suis personnellement allergique...Mais j'ai sûrement tort : il suffit de voir Comodo Firewall Pro http://www.open-files.com/forum/index.php?showtopic=31580 sur OpenForum, post de Master Txon que je salue au passage qui démontre que mes préjugés sont sûrement injustifiés...Mais j'ai la rancune facile !

 

De mon côté, c'est :

Comodo Trust Toolbar - Attention

Comodo Trust Toolbar

Comodo Trust Toolbar En français Logiciel "crapware" inutile ou piégé ou trompeur ou frauduleux ou crapuleux

Ne pas télécharger - Ne pas utiliser - Ne pas acheter - Ne pas tester

Fraude ou tromperie ou crapulerie ou piège

http://assiste.com.free.fr/p/craptheque/co...st_toolbar.html

qui me fait tenir mes propos...J'ai sûrement tort, seul la référence "Comodo" m'horripile, et il n'y peut être aucun rapport entre Comodo Firewall et Comodo Trust Toolbar...

 

L'Indien m'a dit vouloir tester Comode Firewall, voit avec lui pour un avis sûrement plus honnête que le mien

L'Indien

Junior-Sécu

http://forum.zebulon.fr/index.php?showuser=174434

 

Je ne puis m'empêcher de penser aux rapports entre la Crawler Toolbar et Spyware Terminator :

Spyware Terminator - Attention

Spyware Terminator

Spyware Terminator En français Logiciel "crapware" inutile ou piégé ou trompeur ou frauduleux ou crapuleux

Ne pas télécharger - Ne pas utiliser - Ne pas acheter - Ne pas tester

Fraude ou tromperie ou crapulerie ou piège

http://assiste.com.free.fr/p/craptheque/sp..._termintor.html

?

 

Voir aussi, à propos de Spyware Terminator que j'ai testé et commenté, et avec les commentaires d'autres membres : > a propos de spyware terminator http://forum.zebulon.fr/index.php?showtopic=122604 (une vraie série télé ce post, excellent, à ne manquer sous aucuns prétextes )

 

Amicalement.

Modifié le 18 juin 2007 par horus agressor

[sogno]

Difficile de faire une présentation de l'actuel EQSecure, je l'avais installé en virtuel mais il s'était montré instable et une grosse partie restait en chinois. Des téméraires de wilderssecurity sont actuellement entrain de collecter les bugs rencontrés avec la version anglaise.

 

http://www.wilderssecurity.com/showthread.php?t=170691

 

En ce qui concerne comodo, il est diffice d'accorder sa confiance à une telle compagnie. La gratuité de la version 3.0 me laisse vraiment perplexe, je ne comprends pas comment ils pourraient en retirer un quelconque bénéfice. D'après eux l'objectif est de diffusé un maximum le label comodo. J'ai testé leur firewall dans sa version 3.0 alpha, il est instable certes, mais je n'ai pas décelé de comportement douteux (pas de communication avec les serveurs comodo).