Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Un Comparatif : 10 HIPS testés contre des malwares très particulier

nicM

Par nicM
dans Sécurisation, prévention

 Partager

Messages recommandés

nicM Mega Power Member

nicM

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Comme annoncé dans le titre, un comparatif vient d'être achevé, portant sur le test de 10 HIPS contre 7 samples très particuliers : Des malwares qui cherchent à bypasser ces HIPS, pour ensuite les désactiver en pratique (d'où l'expression "tueurs de HIPS").

 

http://membres.lycos.fr/nicmtests/Unhooker...oking_tests.htm

 

 

 

Une fois de plus, c'est en anglais (désolé :P ), mais n'ayant pas le temps de faire les pages du site en français, je vais faire un petit résumé pour les anglophobes :

 

 

 

En principe, les HIPS fonctionnant en "kernel-mode" utilisent des "hooks" dans la SSDT (system services dispatch table) qui leurs servent de "capteurs", pour faire en sorte de pouvoir intercepter et suspendre les "api-calls" (appels système par les programmes), et soumettre le changement requis par le programme ayant déclenché l'alerte à autorisation par l'utilisateur.

 

Cela peut être pour la création d'un clé Autostart dans le registre, la création d'un nouveau service, la tentative de modification de la mémoire d'un autre processus, etc.

 

Ces hooks servent donc de "capteurs" aux HIPS, et il est établi que les hooks en kernel-mode sont bien plus "solides" que les hooks en mode utilisateur, disposant de moins de privilèges.

 

Par exemple, lorsqu'un HIPS "kernel-mode" surveille la création de services, il est capable de bloquer un rootkit "kernel-mode" en empêchant la création du service requis par le rootkit pour s'installer dans le noyau.

 

 

 

* Cependant, quelques malwares commencent à "changer les règles", en essayant de contourner cette protection : Puisque ces HIPS "kernel-mode" (de même que certains firewalls) sont capables d'empêcher leur installation, et/ou leur fonctionnement, il semble que certains auteurs de malwares aient décidés d'employer les grands moyens, en crééant des malwares capables de briser ces "capteurs" évoqués plus haut, ce qui a pour effet de rendre le HIPS, le firewall, aveugles.

 

En effet, sans leurs "capteurs", le HIPS ou le firewall sont totalement aveuglés, et ne fonctionnent plus : Ils ne sont plus capables ni de détecter l'activité au niveau du système, ni d'empêcher ces changements - qu'ils ne décelent plus de toute façon :P ...

 

On aboutit donc à un résultat où le HIPS tourne encore, son/ses processus sont toujours en cours, et même son interface signale un état normal, mais en pratique, le programme a été tué : Il ne peut plus rien voir, ni rien faire; exactement comme s'il avait été désinstallé.

 

 

En fait, à défaut d'arriver à coutourner le "mur" que représente le HIPS sur le système (en contournant sa détection), ces malwares choisissent la solution de détruire ce mur, pour utiliser une image.

 

C'est ce qu'ils font en restaurant les hooks utilisés par les HIPS, dans leur état d'origine : C'est-à-dire dans l'état où les adresses Nt étaient AVANT l'installation du HIPS.

 

 

 

 

Dans les tests, vous remarquerez que certains malwares testés procèdent ainsi : Ils rendent d'abord aveugle le HIPS testé, puis sont ensuite libres d'installer un rootkit, de lancer des connections utilisant des processus systèmes, de lancer d'autre processus, etc

 

Autant d'évènements que tous les HIPS testés ici sont normalement capables de détecter, et d'empêcher, mais ceux qui échouent aux tests ne détectent strictement rien, étant rendus aveugles et muet.

 

 

 

* En conclusion, c'est là le double danger de ce type de malware : D'une part, ils sont capables de bypasser des programmes qui sont normalement supposés les bloquer, et d'autre part, toute la perfidie est que l'utilisateur n'a aucune raison de s'inquièter, puisqu'il se sait protégé par un programme apte à bloquer les malwares traditionnels - Le programme s'affichant comme tournant normalement (statut OK dans l'interface, par ex), il en résulte un faux sentiment de sécurité extrêmemment préjudiciable...

 

 

Heureusemment, tous les malwares ne se comportent pas comme cela, et c'est pour cette raison que ces tests ne sont pas représentatif de la protection globale offerte par chaque programme testé : Il ne s'agit que de tests sur un type très particulier de malwares. Mais ces malwares existent cependant, et doivent représenter une petite proportion de l'ensemble des malwares en activité. Il est donc important de pouvoir faire face.

 

 

Voilà, je pense que l'essentiel est là. Pour les tests proprement dit, des captures d'écrans illustrent chaque propos, donc je pense que c'est accessible.

 

 

 

______________________________________

 

 

 

 

Chaque programme a sa propre page de tests, et une page de conclusion générale dresse un comparatif.

 

 

 

Les résultats des test (dernière page) sont...mitigés :P , mais je vous laisse découvrir par vous même. Certains programmes très connus, et très réputés, ne s'y montrent pas sous leur meilleur jour, c'est le moins que l'on puisse dire...

 

 

Cela étant, certains ont déjà commencés à améliorer leur programme, c'est bon signe :P

 

 

 

nicM

Modifié par nicM
Lien vers le commentaire
Partager sur d’autres sites

nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Sortie d'une nouvelle version de System Safety Monitor, la 'build 619', qui passe maintenant tous les tests. Idem pour la version 3.4 d'EQsecure, fraîchement disponible en anglais.

 

Ces 2 programmes obtiennent maintenant 7 sur 7, passant les tests contre lesquels leurs versions précédentes échouaient.

 

J'ai rajouté une page Update, sur la page principale, pour présenter comment ces 2 nouvelles versions bloquaient ces 4 tests manqués.

 

 

nicM

Lien vers le commentaire
Partager sur d’autres sites
Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Bonjour,

 

Merci pour ces précieuses informations.

 

Cela étant, certains ont déjà commencés à améliorer leur programme, c'est bon signe

C'est le problème de ProcessGuard (pas très bon pour ces tests). Il n'évolue plus pour le moment. Pas de nouvelles?

 

Amicalement.

Lien vers le commentaire
Partager sur d’autres sites
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour Sacles,

 

Et merci.

 

En effet, contrairement aux autres programmes testés, il n'y a pas de correctif à attendre de Diamondcs : La compagnie est aux abonnés absents.

 

Etant donné que le site n'est plus en ligne, je ne leur ai même pas envoyé les samples. J'ai bien l'adresse de Wayne Langlois, mais n'ai reçu aucune réponse à des mails envoyés il y a 3 mois.

 

Si la page de Process Guard est encore en ligne, il suffit de cliquer sur n'importe quel lien (par ex. Support) pour arriver sur une page type 404, déclarant :

The DiamondCS website is temporarily down for maintenance, please come back soon. Thankyou for your patience.

 

 

Concernant Process Guard, le programme peut encore rendre de bons services, mais il faut être conscient qu'il est complètement dépassé, aujourd'hui : Même des freewares comme Dynamic Security Agent, ou EQSecure 3.4 font bien mieux. Et ont l'immense avantage d'être en développement actif, supportés.

 

Pour ce qui est des "concurrents" traditionnels de Process Guard, comme SSM, AntiHook ou Online Armor, ils le dépassent de la même manière (voir la correction très rapide de SSM suite à ses mauvais résultats dans ce comparatif).

 

Donc étant donné cette propension à être littéralement tué par des malwares comme ceux utilisés pour ce comparatif, il faut se rendre à l'évidence, et considérer Process Guard comme un programme "faillible" : Bien sûr, il peut bloquer tout type de malware tant que leur exécution n'est pas autorisée, mais la "seconde ligne de défense" (après exécution), elle, est manifestement défectueuse :P ...

Lien vers le commentaire
Partager sur d’autres sites
Falkra Devil Member !

Falkra

Posté(e)
Posté(e) (modifié)

Je pense que je vais adopter SSM, que j'avais testé il y a quelque temps, j'ai croisé un tableau comparatifs sur les versions, que nicM commentera mieux que moi :

http://www.syssafety.com/product.html

 

Merci pour les tests, je n'aurais sans doute pas tenté SSM pour adoption sans eux. :P

Modifié par Falkra
Lien vers le commentaire
Partager sur d’autres sites
nicM Mega Power Member

nicM

Posté(e)
  • Auteur
Posté(e)

Bonjour Sacles, Falkra,

 

Juste une petite précision : C'est la version complète de SSM qui a servi pour ces test, et non la gratuite.

 

Et de surcroît, c'est encore la version complète qui a bénéficié de modifications en vue de réussir l'ensemble de ces tests : Je ne saurai dire si la gratuite va bénéficier elle aussi de ces améliorations, étant donné le décalage de numéros de version entre les complète et gratuite (les gratuites sont toujours des versions moins récentes, en comparaison).

 

Pour les autres différences de caractéristiques entre les complètes et gratuites, il y a notamment les protections spécifiques pour certains processus (façon Process Guard), réservées apparemment à la version complète, la détection des accès disque bas-niveau, des accès clavier bas-niveau, la gestion de groupes de programmes, le contrôle des connexions réseau, la surveillance registre peut être configurée plus finement, il y a aussi un détecteur de processus caché, etc...

 

Enfin c'est difficile de lister avec exactitude les différences entre les 2 versions, car la comparaison sur leur site est un peu lapidaire :P (par ex Advanced/Basic, sans expliciter plus en avant). J'ai encore la version free qui tourne dans une snapshot, j'essaierai de lister plus précisémment les différences.

 

 

 

Personnellement, je pense que la version free (comparé aux autres programmes gratuits concurrents) est correcte, mais sans pouvoir prétendre à la première place, parmi les HIPS gratuits. Pour la version complète, et bien là c'est différent, SSM est très complet, et on a pu voir que quand un problème critique est décelé dans le programme, il est corrigé très rapidemment : Le programme est donc excellent (par rapport à sa concurrence), est son support est actif - La qualité est là, et c'est ensuite pure affaire de goût pour le choix du programme.

Lien vers le commentaire
Partager sur d’autres sites
Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

J'utilise Antivir.

 

Qui connaît les paramètres de la ligne de commande à inscrire pour scanner, à partir de SSM, un programme qui veut s'ouvrir?

 

ssmetaves1.png

 

Merci d'avance pour la réponse (pas évidente à trouver).

 

Salut.

Modifié par Sacles
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...