Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Dynamic Security Agent : Une évaluation

nicM

Par nicM
dans Sécurisation, prévention

 Partager

Messages recommandés

nicM Mega Power Member

nicM

Posté(e)
Posté(e)

Bonjour,

 

Voici une évaluation réalisée sur Dynamic Security Agent , un freeware de type HIPS, c'est-à-dire de prévention.

 

http://membres.lycos.fr/nicmtests/Dynamic-...s/DSA_index.htm

 

Ont été utilisés 80 tests au total, dont une dizaine de troyens, 5 AV killers, 5 backdoors, 4 vers, 27 rootkits, 22 keyloggers, et 6 "kernel-hooks unhookers", une sorte de brute épaisse apparemment très récente, peu connue. Ceux-ci sont visiblement destinés à bypasser, puis litérallement à tuer les HIPS ou firewalls qui seraient susceptibles de bloquer leur installation, en des circonstances "normales".

 

Le site est en anglais (désolé :P ), mais je vais traduire en français les 2 pages principales, l'introduction, et le bilan (dernière page), d'ici la fin de la semaine.

 

Sans tout dévoiler dans ce post, il est clair que les résultats sont très bons, DSA a été très efficace tout au long des tests réalisés. Les seuls points sur lequel il est un peu juste, sont les keyloggers, et ces "brutes épaisses" dont je parlais ci-dessus. Encore qu'étant donné leur récente apparition (postérieure à la sortie de la version courante de DSA), il ne pouvait pas faire grand chose de plus.

 

Les samples ont été choisis pour leur virulence, je veux dire par là que la note obtenue est vraiment bonne, tout particulièremment pour un programme gratuit (sans citer de noms, plusieurs HIPS plus connus, et payant, ne font pas aussi bien :P ).

 

Je précise que ces tests ont été menés de manière indépendante, le rôle de Privacyware n'ayant été que de donner son accord final pour la publication de cette review (en effet, les "benchmarks" sont soumis à autorisation écrite avant publication, aux termes du contrat de licence du programme).

 

Voilà, en espérant que ce travail se révèle utile à certains :P

 

nicM

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir nicM,

 

Tu as vraiment fait de l'excellent travail !

 

Il ne reste plus qu'à essayer l'outil !

michte Mega Power Member

michte

Posté(e)
Posté(e)

Salut,

 

Oui :P super boulot.

 

Je suis justement en-train de chercher un autre contrôleur d'intégrité, et ces tests sur DSA me donne envie de l'éssayer, mais je ne sais pas si il peut cohabiter avec RegistryProt, si oui, y-a t-il des modules à désactiver dans DSA? Pour qu'il n'y est pas de problèmes de compatibilité entre eux.

 

Modules de DSA:

 

- Application Monitor/Manager

- Registry Monitor

- Process Monitor/Manager

- Email Anomaly Analyzer/Manager

- System Anomaly Analyzer

 

A+

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour michte,

 

Tu parles bien de RegProt de Diamondcs?? Si c'est bien le cas, il ne devrait pas y avoir de problèmes, mais je vais installer RegProt par dessus DSA pour tester, pour pouvoir te dire s'il y a conflit ou incompatibilité quelconque.

 

Quoi qu'il en soit, cette protection ne sera pas désactivable dans DSA, puisque la protection du registre est intégrée au module "Application Security", qui tourne de manière permanente.

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Voilà le résultat :

 

* Les 2 sont compatibles, DSA et RegProt

 

* Mais RegProt est inutile lorsque DSA est installé : Lorsqu'un changement est apporté à une clé que les 2 programmes surveillent conjointement, DSA intercepte le changement avant que RegProt ne puisse se manifester. DSA procède par crochetage direct en mode noyau, tandis que RegProt ne fait que "sonder" le registre à intervalle de temps régulier, c'est-à-dire qu'avec DSA, il faut l'autorisation pour créér/modifier une clé, alors qu'avec RegProt, le changement est détecté en scannant le registre, c'est à dire cycliquement. Il peut arriver qu'une clé soit déjà créée avec RegProt, lorsqu'il soument le changement à acceptation; avec DSA, en principe, non.

 

Surtout, DSA contrôle beaucoup plus de clés que ne le fait RegProt...

 

 

Cela étant, il est possible que RegProt puisse compléter DSA, dans certains tests effectués lors de la review mentionnée plus haut, il a été démontré que parfois, la protection registre de DSA est deffectueuse : Elle ne détecte pas certains changements qui sont pourtant compris dans des clés contrôlées. Un petit problème de fiabilité, qui devrait être corrigé dans les prochanes versions, dixit l'équipe de Privacyware.

 

De même, lorsque certains "kernel-hooks unhookers" ont eu l'occasion de sévir (cf tests supra), la protection registre de DSA a été complètement "désactivée", réduite à néant : Lorsque ces kernel-hooks sont restorés dans leur état d'origine, la protection du registre par "polling" (scan cyclique), elle, n'est pas affectée :P ...

 

 

Donc voilà, dans l'absolu, rien n'empêche d'utiliser les 2, étant donné qu'il ne produisent pas de conflits, fonctionnant de manière différente.

 

nicM

michte Mega Power Member

michte

Posté(e)
Posté(e)
...Surtout, DSA contrôle beaucoup plus de clés que ne le fait RegProt...

Cela étant, il est possible que RegProt puisse compléter DSA, dans certains tests effectués lors de la review mentionnée plus haut, il a été démontré que parfois, la protection registre de DSA est deffectueuse : Elle ne détecte pas certains changements qui sont pourtant compris dans des clés contrôlées. Un petit problème de fiabilité, qui devrait être corrigé dans les prochanes versions, dixit l'équipe de Privacyware.

 

De même, lorsque certains "kernel-hooks unhookers" ont eu l'occasion de sévir (cf tests supra), la protection registre de DSA a été complètement "désactivée", réduite à néant : Lorsque ces kernel-hooks sont restorés dans leur état d'origine, la protection du registre par "polling" (scan cyclique), elle, n'est pas affectée :P ...

Donc voilà, dans l'absolu, rien n'empêche d'utiliser les 2, étant donné qu'il ne produisent pas de conflits, fonctionnant de manière différente.

 

nicM

 

Salut nicM,

 

Je te remercie pour tes précisions et test. :P

Donc si je laisse les deux ils ne gênent pas et se complétent même pour l'instant (en attendant une prochaine version de DSA).

Je ne te cacherai pas que j'hésite aussi avec prevx, mais j'avoue que maintenant DSA me parait plus complet, peut-être moins accessible?

De toute façon je verrai ça demain en pesant le pour et le contre.

 

Merci encore à toi.

michte Mega Power Member

michte

Posté(e)
Posté(e) (modifié)

Salut,

 

Je l'ai installé ce matin, ses débuts chez moi se passe normalement, en :P harmonie avec ma petite tribu :P déjà installée...

C'est le round d'observation :P

 

Merci encore,

A+

Modifié par michte
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonsoir michte, horrus agressor,

 

Michte, je vois que tu as maintenant installé DSA : Si tu as le moindre problème, n'hésite pas à nous en faire part.

 

Prevx 2, avec lequel tu as hésité, est certainement plus facile d'utilisation, en ce qu'il fait tout pour prendre les décisions "à la place de l'utilisateur". DSA reste cependant globalement moins "bruyant" que d'autres HIPS, comme Process Guard, ou SSM par ex, à ce niveau là.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...