[Split] Protection des logiciels de sécurité

[Sacles]

Re,

 

le scan antispyware d'un antivirus ne remplace pas un antimalware dédié.

Les éditeurs d'antivirus ont compris qu'il était bon d'ajouter quelques compétences à leurs antivirus, donc ils ont ajouté dans leurs bases de données des définitions concernant des malwares/spywares, au passage.

Je ne parlais pas des scans. J'ai bien écrit "Je ne vois donc pas l'utilité de conserver Windows Defender actif." Autrement dit avec son bouclier résident.

 

MBAM reste un bon complément à un antivirus, même s'il connaît des malwares, pour les clés de registre, et une base de données dédiée uniquement à cela.

Entièrement d'accord, pour les scans.

 

>>>>>>>>>>>>

 

Un aspect qui est souvent négligé avec les AntiMachins, c'est leur capacité de résister à une désactivation illicite. Il semblerait que Microsoft Security Essentials puisse se faire désactiver très facilement.

 

Dans Antivir (en tout cas la version Premium), il y a un outil appelé "Sécurité" qui a deux fonctions:

1. Protéger les processus d'un arrêt non souhaité. "Si l'option est activée, tous les processus du programme AntiVir sont protégés d’un arrêt non souhaité par des virus et des logiciels malveillants ou d'un arrêt 'incontrôlé' par un utilisateur, par ex. via le gestionnaire des tâches" (extrait de l'aide d'Antivir).

 

2. Protéger les fichiers et entrées d'inscription de toute manipulation. "Si l'option est activée, toutes les entrées de registre du programme AntiVir Premium, ainsi que tous les fichiers (fichiers binaires et de configuration) sont protégés contre toute manipulation. La protection contre la manipulation comprend la protection contre l'accès en écriture, en suppression et partiellement en lecture aux entrées de registre ou aux fichiers du programme, par l'utilisateur ou des programmes-tiers" (extrait de l'aide d'Antivir).

 

Falkra, je crois que tu as la version de MBAM avec bouclier résident. Qu'en est-il de sa capacité à résister à une désactivation?

 

Salut.

Modifié le 21 octobre 2009 par Sacles

[Falkra]

Je ne parlais pas des scans. J'ai bien écrit "Je ne vois donc pas l'utilité de conserver Windows Defender actif." Autrement dit avec son bouclier résident.

J'en parle plus bas, on est d'accord.

 

Un aspect qui est souvent négligé avec les AntiMachins, c'est leur capacité de résister à une désactivation illicite. Il semblerait que Microsoft Security Essentials puisse se faire désactiver très facilement.

Ca, je vais le tester et remonter l'information à Microsoft (il faut bien qu'on leur dise).

J'adore le terme "d'antimachins", c'est vrai que c'est devenu comme ça.

 

Falkra, je crois que tu as la version de MBAM avec bouclier résident. Qu'en est-il de sa capacité à résister à une désactivation?

Je vais tester ça aussi.

 

Je posterai les résultats ici.

Merci pour ces infos et pistes à explorer.

[Sacles]

Re,

 

Ca, je vais le tester et remonter l'information à Microsoft (il faut bien qu'on leur dise).

L'expérience ne vient pas de moi (d'où l'emploi du conditionnel dans ma phrase: "il semblerait").

 

Voir ceci: http://forum.malekal.com/microsoft-securit...32.html#p176557

 

Salut.

Modifié le 21 octobre 2009 par Sacles

[Falkra]

Je viens de le vérifier directement par moi-même, je n'avais pas connaissance de ce topic, mais quelqu'un m'en avait parlé aussi sur libellules.

J'ai remonté l'information à Microsoft et à MalwareBytes à l'instant.

 

Je ne sais pas si Malekal_morte leur remonte l'information (il ne dit rien là dessus), il me semble utile d'aider les antivirus à s'améliorer, tant que les équipes répondent et nous écoutent, bien entendu (tous ne le font pas). J'espère que ça ne fera pas doublon, s'il les a contactés. Je vous tiens au courant.

[Sacles]

Re,

 

J'ai remonté l'information à Microsoft et à MalwareBytes à l'instant.

Ce qui veut dire que MBAM se laisse aussi désactiver facilement en bouclier résident?

 

Je ne sais pas si Malekal_morte leur remonte l'information (il ne dit rien là dessus), il me semble utile d'aider les antivirus à s'améliorer,[...]

Avouons quand même qu'ils auraient pu y penser eux-mêmes, c'est quand même élémentaire.

 

Salut.

Modifié le 21 octobre 2009 par Sacles

[Sacles]

Re,

 

Ceux qui ont Antivir peuvent essayer d'arrêter avguard.exe via la gestionnaire de tâches (CTRL+ALT+DEL), ce n'est pas possible. D'autres AntiMachins doivent aussi pouvoir opposer de la résistance.

 

Ce qui ne veut pas dire, comme le souligne Malekal qu'une peste un peu élaborée ne serait pas capable de le faire.

 

Note: les HIPS sont censés apporter un plus dans cette protection.

 

Salut.

Modifié le 21 octobre 2009 par Sacles

[Falkra]

Ceux qui ont Antivir peuvent essayer d'arrêter avguard.exe via la gestionnaire de tâches (CTRL+ALT+DEL), ce n'est pas possible. D'autres AntiMachins doivent aussi pouvoir opposer de la résistance.

Tout à fait, et c'est parce qu'il a les privilèges system.

 

On va sans doute splitter la discussion sur ces auto-protections pour la développer.

 

Avouons quand même qu'ils auraient pu y penser eux-mêmes, c'est quand même élémentaire.

Je crains que ce ne soit pas aussi simple. N'importe quel processus finit par se faire désactiver, c'est une question de droits/privilèges et de programmation, la plupart des AV et firewalls sont dans ce cas, d'ailleurs (faites le test). Dans ce cas leur stratégie a pu être de se concentrer sur les détections des malwares qui s'attaquent aux logiciels de sécurité, pour éviter le problème.

 

Cela dit, et tu as raison, il faudrait que ce soit plus difficile de terminer ces processus, qu'il y ait au moins un degré de difficulté supplémentaire, comme on en voit pour le désinstallateur de ZA si ma mémoire est bonne, ou des modules d'Avast (qui n'est pas exempt de problèmes d'ailleurs à cause de cette auto-protection). Une peste peu élaborée devrait avoir plus de mal, c'est dans ce sens que j'ai remonté l'information à MS et MBAM, j'attends leurs tests car les deux se désactivent (trop) facilement.