[résolu]Différence entre Spybot SD et IceSword

[Wullfk]

Bonsoir le forum,

 

Je viens de lire le tuto sur le logiciel AntiRootkit IceSword (http://www.malekal.com/tutorial_IceSword.php) et je souhaiterai avoir l'avis d'utilisateurs chevronnés, d'autre part comme l'indique le titre du post, qu'elles sont les principales différences entre les deux, car on référence et on parle souvent de SpybotSD mais je suis tombé par hasard sur le tuto de IceSword, et je trouve qu'il y a beaucoups de similitudes dans les fonctionnalitées.

 

alors est ce utile d'avoir plutôt l'un que l'autre? et si oui lequel?

si l'on à installé les deux n'y a t'il pas risque de conflit? ou sont ils complémentaire.

 

Merci d'avance.

Modifié le 7 mars 2008 par Wullfk

[Falkra]

Bonsoir,

 

Ils n'ont rien à voir en fait. IceSword s'occupe de détecter des traces rootkit (fichiers, clés de registre, processus, connexions, hook ssdt, etc...) et de les éliminer. Spybot est un généraliste en spywares, et ne s'occupe guère des rootkits.

 

Les rootkits, ce ne sont pas des parasites mais des techniques. Pour résumer (inexactitudes dues au manque de développements), les techniques rootkit consistent pour un parasite à s'injecter dans le noyau de windows (le module qui fait presque tout, le coeur de l'OS) et le modifier pour se rendre invisible aux yeux du système.

 

Des fichiers et processus ne seront ainsi pas visibles dans ton explorateur, ni le gestionnaire des tâches par exemple. En ouvrant le disque dur et en parcourant les dossiers, tu ne verras pas les fichiers (même en affichant les fichiers cachés ou masqués), car le noyau de windows sera reprogrammé pour faire comme s'il n'y en avait pas. Ton explorateur windows utilise le noyau de windows pour lister des fichiers et des dossiers, en afficher le contenu, etc... donc il ne les voit pas, alors qu'ils sont bien là.

 

Un logiciel de détection de rootkits utilise ses propres routines (instructions) pour lister des fichiers, dossiers et en afficher le contenu, et cela, sans passer par le noyau de windows à aucun moment. Ce logiciel verra les fichiers infectieux, et en comparant les résultats avec ce que le noyau de windows lui renvoie (car il sait aussi passer par lui), il signalera une possible infection et débusquera les fichiers.

 

Spybot ne fait pas ça, IceSword, c'est son truc, mais IceSword se moque de tes cookies et malwares, il ne s'occupe que de regarder ce qui cloche. Il faut donc interpréter ses résultats, car des fichiers ou clés de registres légitimes peuvent se trouver mentionnés.

Il n'y a pas de problème pour les faire cohabiter, IceSword n'a de toute façon pas de module résident, et ne chasse pas sur les mêmes terres.

 

Il est toutefois assez rare d'avoir vraiment besoin d'IceSword, qui est très complet, mais permet facilement, si on se trompe, de malmener son système (le planter gentiment). Des outils de recherche de rootkits (fichiers, processus et clés de registre seulement) existent, ils sont moins évolués, mais moins dangereux.

 

N'hésite pas, en cas de questions.

[Wullfk]

Bonsoir,

 

Ils n'ont rien à voir en fait. IceSword s'occupe de détecter des traces rootkit (fichiers, clés de registre, processus, connexions, hook ssdt, etc...) et de les éliminer. Spybot est un généraliste en spywares, et ne s'occupe guère des rootkits.

 

Les rootkits, ce ne sont pas des parasites mais des techniques. Pour résumer (inexactitudes dues au manque de développements), les techniques rootkit consistent pour un parasite à s'injecter dans le noyau de windows (le module qui fait presque tout, le coeur de l'OS) et le modifier pour se rendre invisible aux yeux du système.

 

Des fichiers et processus ne seront ainsi pas visibles dans ton explorateur, ni le gestionnaire des tâches par exemple. En ouvrant le disque dur et en parcourant les dossiers, tu ne verras pas les fichiers (même en affichant les fichiers cachés ou masqués), car le noyau de windows sera reprogrammé pour faire comme s'il n'y en avait pas. Ton explorateur windows utilise le noyau de windows pour lister des fichiers et des dossiers, en afficher le contenu, etc... donc il ne les voit pas, alors qu'ils sont bien là.

 

Un logiciel de détection de rootkits utilise ses propres routines (instructions) pour lister des fichiers, dossiers et en afficher le contenu, et cela, sans passer par le noyau de windows à aucun moment. Ce logiciel verra les fichiers infectieux, et en comparant les résultats avec ce que le noyau de windows lui renvoie (car il sait aussi passer par lui), il signalera une possible infection et débusquera les fichiers.

 

Spybot ne fait pas ça, IceSword, c'est son truc, mais IceSword se moque de tes cookies et malwares, il ne s'occupe que de regarder ce qui cloche. Il faut donc interpréter ses résultats, car des fichiers ou clés de registres légitimes peuvent se trouver mentionnés.

Il n'y a pas de problème pour les faire cohabiter, IceSword n'a de toute façon pas de module résident, et ne chasse pas sur les mêmes terres.

 

Il est toutefois assez rare d'avoir vraiment besoin d'IceSword, qui est très complet, mais permet facilement, si on se trompe, de malmener son système (le planter gentiment). Des outils de recherche de rootkits (fichiers, processus et clés de registre seulement) existent, ils sont moins évolués, mais moins dangereux.

 

N'hésite pas, en cas de questions.

 

 

Merci pour ces explications détaillées, alors comme tu me l'as proposé, j'hésite pas, et je te demande conseil sur des outils de recherche de rootkits moins dangereux, surtout pour moi qui est tendance à manipuler un peu tout.

 

pour essayer de faire un bref résumer de ce qui est installer en logiciels de protection et sécurité ,voila ce que j'ai actuellement:

 

-SpybotSD

-Spyware Blaster 4

-MRU Blaster

-CCleaner

-NTRegOpt

-Erunt

-Hisjacthis VF

-Zeb Help Processus

-Sunbelt Personal Firewall 4

-AntiVir PersonalEdition Classic

-Zeb-Protect

-Zeb-Utility 2.1

-Safe XP

-JKdefrag

 

Celon toi, cela ne fait pas un peu trop, y-en t'il pas qui font doublons, et donc sont inutile? si oui lesquel?

Ou alors c'est le minimum à posséder pour une bonne protection.

 

et y a pas si longtemps, j'avais aussi JV16PT (la version gratuite) que j'ai supprimer, suite à un petit souci dont j'ai fait part dans un autre post.

 

et avant mon plantage de ma config (que j'ai reformater) j'avais aussi Diskeeper pour défragmenter, ainsi que Pagedefrag, que je n'ai pas réinstaller, et pour finir comme je l'ai deja préciser dans ma signature j'ai supprimer ma suite Norton SystemWorks 2007 Standard, pour mettre AntiVir PersonalEdition Classic (gratuite) ainsi qu'un vrai Firewall à la palace de celui d'XP , Sunbelt Personal Firewall 4.0.976.

 

je suis tout à l'écoute de tes conseils ou recommandations.

 

bon là je vais quanf même faire

 

Modifié le 4 mars 2008 par Wullfk

[Falkra]

Le risque ici est l'empilement de logiciels, à force on en oublie de surfer et on passe 50% du temps de la machine à la scanner ou mettre à jour tous ces logiciels.

C'est bien de se protéger - évidemment - mais il faut parfois un peu de tri.

 

Dans ta liste, il y a des logiciels de tous les types.

 

-SpybotSD => anti spyware pour petit gibier, résidents possibles mais non globaux

-Spyware Blaster 4 => protection passive par blocages (compatible avec tout)

-MRU Blaster => nettoyeur de traces/listes : vie privée.

-CCleaner=> nettoyeur de fichiers/registre généraliste

-NTRegOpt=> compacteur base de registre

-Erunt => sauvegarde de la base de registre, très important, très bien.

-HijackThis VF => diagnostic (pas optimisation, pas fait pour)

-Zeb Help Process => diagnostic (pas optimisation, pas fait pour)

-Sunbelt Personal Firewall 4 => il faut un firewall, le voilà

-AntiVir PersonalEdition Classic => il faut un antivirus, idem. Antivir, bien.

-Zeb-Protect => logiciel de paramétrage. Utilisation occasionnelle, voir unique.

-Zeb-Utility 2.1 => logiciel de paramétrage. Utilisation occasionnelle, voir unique.

-Safe XP => logiciel de paramétrage. Utilisation occasionnelle, voir unique.

 

-JKdefrag => défragmentation, rien à voir avec la sécurité.

 

 

Bref. Je crois que tu fais entrer dans la liste des logiciels que tu n'utilises pas forcément de manière régulière ; tant qu'ils ne sont pas résidents (et ils ne le sont pas) pas de problème. La règle simple est un seul logiciel résident par type de spécialité. Ici pas de problème.

 

Je dis HJT pas pour optimiser, car il n'est pas fait pour alléger une machine, et quand on veut alléger son démarrage, HijackThis vire l'entrée,m ais ne désinstalle pas le logiciel en question (ce qui est plus propre quand on veut optimiser). Tu ne voulais pas forcément optimiser ta machine avec.

 

C'est chargé, donc, mais fonctionnel.

 

Spybot, je dirais bof, dans la mesure où il n'y pas de vrai module résident (teatimer et autres ne ciblent que certaines parties précises).

Teste peut-être Ewido Micro scanner : http://downloads.ewido.net/ewido_micro.exe

Portable (non résident), mise à jour automatiquement, et il utilise la base de données d'AVG.

AVG antispyware n'est pas mal, mais le bouclier résident n'est valable que 30 jours. Après, il devient un simple scanneur sur demande.

Sinon (avec un windows authentique) il y a Windows Defender pour les AS avec module résident, qui n'est pas si mal, bien que très imparfait, comme d'autres logiciels au fond.

[Wullfk]

Bonjour,

 

Spybot, je dirais bof, dans la mesure où il n'y pas de vrai module résident (teatimer et autres ne ciblent que certaines parties précises).

Teste peut-être Ewido Micro scanner : http://downloads.ewido.net/ewido_micro.exe

Portable (non résident), mise à jour automatiquement, et il utilise la base de données d'AVG.

 

qu'apporte réellement Ewido par rapport à Spybot?, dont tu n'as pas l'air convaincu de son éfficacité ou de sa réelle utilité.

de plus il y a un paradoxe dans ce que tu me dis sur Spybot "Spybot, je dirais bof, dans la mesure où il n'y pas de vrai module résident " et ton conseil de tester Ewido Micro Scanner " Teste peut-être Ewido Micro scanner.....Portable (non résident)"

 

j'ai pu remarqué, que quelques uns des programmes, n'ont q'une utilisation unique, alors qu'il faut quand même les installer.

 

En tous cas merci, pour ton analyse, je la garde sous le coude.

 

Cordialement

Modifié le 4 mars 2008 par Wullfk

[Falkra]

Re. Je n'ai rien vraiment contre spybot, j'en ai plutôt après l'attitude générale qui en fait la pierre angulaire des protections logicielles (il ne viendra à bout que du petit gibier, de manière générale), abondamment relayée par de très gros sites et la presse écrite. La forcé de l'inertie, en perte de vitesse d'ailleurs, il y a des progrès ces derniers temps dans le domaine.

 

Je t'ai proposé Ewido micro scanner pour sa légèreté, et parce qu'il s'intègre avec tout, puisqu'il ne s'installe pas et n'a ni résident ni service. Il fait je trouve un excellent second. Pour un résident, j'ai donc ajouté windows defender dans ma petite liste, ou AVG (pour un mois seulement toutefois).

Modifié le 4 mars 2008 par Falkra

[Wullfk]

Re. Je n'ai rien vraiment contre spybot, j'en ai plutôt après l'attitude générale qui en fait la pierre angulaire des protections logicielles (il ne viendra à bout que du petit gibier, de manière générale), abondamment relayée par de très gros sites et la presse écrite. La forcé de l'inertie, en perte de vitesse d'ailleurs, il y a des progrès ces derniers temps dans le domaine.

 

Je t'ai proposé Ewido micro scanner pour sa légèreté, et parce qu'il s'intègre avec tout, puisqu'il ne s'installe pas et n'a ni résident ni service. Il fait je trouve un excellent second. Pour un résident, j'ai donc ajouté windows defender dans ma petite liste, ou AVG (pour un mois seulement toutefois).

 

 

J'ai bien noté ce que tu as dit pour Ewido, je l'ai téléchargé je l'installerai d'abord sur ma config de test pour voir ce que cela donne, par contre contrairement à toi, je n'aime pas Windows Defender, je l'avais avant sur mon ancien Windows (avant de refaire mon installation) mais là je ne l'ai pas remis, car je le trouve lourding, trop commercial par rapport à ce qu'il fait vraiment , enfin ce n'est que mon avis.