[Resolu]debordement de buffer

[TA-K-2-PT]

Salut,

Je suis tombé sur une discution ou on evoque le buffer over...,j'ai fait une recherche et j'ai "comprit" le principe general de ce genre d'attaque.

 

Y a t-il un moyen pour s'en proteger ?

 

Merci

 

@+++

Modifié le 14 août 2007 par TA-K-2-PT

[nicM]

Bonjour,

 

Comme tu l'as exprimé ici, la "prévention matérielle de l'exécution des données" (Hardware DEP) est une solution, liée à certaisn processeurs.

 

Il existe dans XP sp2 la prévention logicielle (software DEP), qui est nettement moins efficace, ne protégeant que contre UN type de buffer overflow.

 

Des solutions plus complètes existent :

 

BufferShield (payant mais prix raisonnable, apparemment. Il semble y avoir une version gratuite, moins complète, également) : http://www.sys-manage.com/BufferShield/tabid/61/Default.aspx

 

WhenTrust (gratuit pour utilisation personnelle) : http://www.wehnus.com/products.pl

 

DefencePlus (payant) : http://www.softsphere.com/

 

Samurai dispose d'une protection de ce type (mais je ne suis plus sûr..) : http://turbotramp.fre3.com/

 

 

...notamment: Il y en a d'autres, mais certains ont disparus, plus ou moins.

 

 

Sinon, d'autres programmes plus généraux intègrent cette protection, parmi d'autres, comme Prevx.

 

 

Généralement, la première protection contre les buffer overflow est d'avoir son OS parfaitement à jour, et les versions les plus récentes des programmes que tu utilises ...

[Falkra]

Bonjour, je n'avais vu que l'autre sujet.

Intégrée au matériel, la fonction a plus d'intérêt qu'une surcouche logicielle supplémentaire, tant que cela ne devient pas pénalisant sur des programmes sophistiqués. La partie intégrée à windows XP avait été vendue comme un grand bon en avant dans la lutte antivirus (Sasser était en ligne de mire à l'époque). Cet argument est caduc, +1 pour un OS parfaitement à jour, OS et logiciels, etc...

[nicM]

Bonjour,

 

Juste un ajout : Un autre programme de protection contre les buffer overflow est sur le point de sortir, il s'agit de Memory Guardian, de Comodo.

 

Il est encore en beta (v1), mais devrait sortir bientôt.

Modifié le 11 août 2007 par nicM

[TA-K-2-PT]

Salut alor plusieurs truc a dire,

 

deja bon payer,payer,payer,bon pourquoi pas,mais perso (et c'est l'avis d'un petit jeune [26ans ] "novice" en info) acheter ce genre de truc c'est d'une façon tomber un peu dans la parano securitaire (meme si j'y suis deja un peu).

 

Evidement on est jamais a l'abrit,mais je ne me sent pas de depenser mes €uros durement gagner pour ça.

 

Apre par rapport a l'autre topic sur le service DEP,oui la sa me fait hesité car d'un coté ok sa peut proteger (si j'ai bien comprit),mais en meme temp sa fait planter des truc donc bon au final que choisir

 

Par contre et la je vais etre peut etre un peu long (vais essayer de resumer au max).

 

Au niveau d'un OS a jour (pas les MAJ windows),je veut dire par exple passer du SP1 au SP2.

 

Et ben figurez vous que j'ai comprit un truc tres zarb,je vous explique.

 

Il y a quelque temp un des 3 pc chez moi (on est en WI-FI) a eu son fichier hosts redirigé.Comme en Wi-Fi sa passe d'un ordi a l'autre.

Bon moi je savait pas du tout a quoi servait ce fichier servait,j'ai fait des recherches.

 

Bref j'ai reussit a bloquer l'infection sur mon pc (elle ne revient pas)[precision je suis au SP2]

Sur le pc de ma mere (SP2 aussi) l'infection est là et a evoluée en spyware.

 

Sur le pc de mon frere l'infection est la aussi MAIS comme il est rester au SP1 j'ai verifié dans les processus il a 4 ou 5 svchosts.exe qui ne bouffe pas toutes les resources (meme aucunes 0% ) alor que le pc de ma mere on est obligé de fermer le processus avant de faire quoique ce soit car 99% de ressources bouffées.

 

J'ai donc discuté avec mon frere de ce truc,car c'est sur l'infection est presente sur son pc (il me la refilé plusieur fois quand je cherchais comment bloquer le truc) mais elle semble inactive.

 

Et il m'explique que "la mode" de MAJ a fond le ballon c'est pas forcement toujours bon.Car dans cet exple precis sur cette infection precise,je serait rester au SP1 et ben sans rien faire je ne serait pas enuyer par mon fichier hosts.

 

Et pour conclure vite fait quand je voit (deja dit dans l'autre topic) que soit disant le SP2 est plus securisé que le SP1,alor que la modif du registre a distance et accepter par defaut.

Oui Oui je sait je pense qu'une MAJ de securité modifie ça car quand je suis allé voir,s'etait modifié et je ne l'avait pas fait.

 

Mais bref tous sa pour dire que dans certain cas (comme le mien et ce fichier hosts)et ben rester au SP1 aurait était peut etre la meilleur solution.

 

Apres evidment je suis pas un expert c'est juste en aprennant des chose que je me rend compte que y a des truc qui sont comment dire... "ilogique".

 

Voila apres je sait pas ce que vous en pensez,meme si vous en pensez quelques chose deja.

Mais j'ai trouvé sa vraiment incroyable de voir le pc de mon frere infecté mais le spy qui ne peut se devolloper dut a la version de XP.

 

Moi sa me fait reflechir tous ça,c'est pour ça que l'avis de gens qui sont vraiment competent m'eclairerais un peu.

 

Voila.

 

Merci

 

@+++

Modifié le 12 août 2007 par TA-K-2-PT

[TA-K-2-PT]

Désolé je suis long mais juste un detail (je cre un autre post pour pas avoir un pavé encore plus gros lol)

 

nicM quand tu dit:

 

la protection Hardware DEP cela correspond a mon lien de l'autre topic, Celui ci

 

Mais quand tu parle dans XP SP2 de la protection software DEP c'est quoi ça ?

 

Il existe dans XP sp2 la prévention logicielle (software DEP), qui est nettement moins efficace, ne protégeant que contre UN type de buffer overflow.

 

C'est un option integre au SP2 c'est ça?

Un lien serait le bien venu si sa te derange pas stp.Sinon je chercherai par moi meme

 

Merci

 

@++++