Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonsoir KewlCat, bonsoir à tous,

...

A vrai dire je suis très intrigué par ce qui se passe dans le forum "Sécurité" :P

Par quoi es-tu donc intrigué, KewlCat ?

Posté(e)
Bonsoir KewlCat, bonsoir à tous,Par quoi es-tu donc intrigué, KewlCat ?

495306[/snapback]

Par toutes ces choses que je ne connais pas ;-P

(plusieurs années sous Linux, et voilà le travail : je ne suis même pas au courant de tout ce qu'un malware peut pourrir sous Windows...)

Invité grenouille
Posté(e)

Bonsoir tlm,

 

Pkoi ne pas adopter la meme logique avec les processus ?

demander l'avale de l'utilisateur avant d'executer tel ou tel processus.

Des soft de ce type existe t'il ?

 

 

J'en connais 2 à priori qui font ça : System Safety Monitor et processguard.

 

Ce que je crains personnellement, c'est l'adjonction d'un code malveillant (et indétecté) dans un fichier déjà installé sur le pc.

 

A ceci, je ne connais aucune parade.

 

Un outil qui permettrait d'être informé des modifications faites à l'intérieur de certains fichiers système, avec la possibilité d'accepter ou de refuser, me semble être une piste intéressante.

 

On peut voir dans les propriétés d'un fichier sa date de création et de modification et on a aucun retour ni contrôle s'agissant des modif.

Posté(e)

Salut,

Un outil qui permettrait d'être informé des modifications faites à l'intérieur de certains fichiers système, avec la possibilité d'accepter ou de refuser, me semble être une piste intéressante.

 

Bien je trouve aussi, mais par exemple un simple coup d'oeil sur son MsWin avec un FileMonitor ou un RegMonitor ( http://cryptologie.free.fr/crypto/espionnage.html ) permet de se rendre vite compte que le kernel ou des applis accedent au registre ou a des fichiers sans arret. A la longue ca va etre vite lourd de valider tous les acces !

Il faut donc prévoir des zones non "traité" et donc des vulnérabilités !

 

Z'avez des idées pur ca ?

 

A++

 

Hexanium

Posté(e)
...

l'objectif serait plutôt de faire un logiciel qui n'existe pas à ce jour

Surveillance de clé dans la base de registre pour les nouveaux malwares

verification de toutes les clés policy est déja un beau challenge, mais il en existe plein d'autres  clés mal connues et à déterminer.

 

Si cet outil permet déja de faire ce genre de chose, ce sera d'un grand secours, mais c'est déja un sacré objectif.

 

à suivre...

495167[/snapback]

 

Ce programme existe et s'appelle RegistryProt. C'est un freeware téléchargeable içi : http://www.diamondcs.com.au/index.php?page=regprot

Posté(e)
Salut,

Bien je trouve aussi, mais par exemple un simple coup d'oeil sur son MsWin avec un FileMonitor ou un RegMonitor ( http://cryptologie.free.fr/crypto/espionnage.html ) permet de se rendre vite compte que le kernel ou des applis accedent au registre ou a des fichiers sans arret. A la longue ca va etre vite lourd de valider tous les acces !

Il faut donc prévoir des zones non "traité" et donc des vulnérabilités !

 

Z'avez des idées pur ca ?

 

A++

 

Hexanium

495337[/snapback]

 

 

Registry Prot est diablement efficace, diablement casse bonbon aussi car il n'arrete pas de venir au premier plan, il manque d'options et pour dire oui ou non, il faut connaitre la BdR.

Posté(e)

Bonjour a tous,

 

Quand je disais liste noire en fait je voyais plus une liste blanche avec par defaut les process de Windows et pour les autres une alerte lors de la premiere execution permettant de mettre en liste blanche ou noir et une option "info en ligne sur le fichier..."

 

Sinon il existe aussi des api's Windows pour notifier la modification d'un dossier ou d'un fichier comme pour la bdr donc cela ne devrait pas trop poser de problemes

 

Et pour en revenir au probleme qu'a souleve Tesgaz:

j'en veut pour preuve les nouvelles tendances de modification et blocage du desktop ou personne n'a encore sorti d'outil permettant de retrouver ses fameuses clés bloquées, on sait à peu près ou elles se situent, mais ce n'est pas toujours évident parce que : pas derriere la machine à scruter la BDR du membre.

Pour le desktop faudrait voir si cela est vraiment la consequence de cles modifiees ou l'action d'un process en cours....

Et pour les cles bloquees ne pourrait on pas jouer sur le meme terrain en Verrouillant prealablement les cles "vitales" ?

 

@+

Invité tesgaz
Posté(e)

Salut à tous,

 

je donne juste un point de vue personnel

ce n'est pas forcement un logiciel de surveillance qu'il faut faire

 

tout dépend de l'objectif, si on veux faire un logiciel de prévention,

 

il faut un logiciel simple d'utilisation, que tout le monde comprennent, et qui ne neccessite aucune intervention de la part de l'utilisateur.

il clique sur les options et ca bloque plein de trucs en gros.

 

il faut faire un logiciel qui interdit simplement (ce que ne fait pas Windows, puisque l'utilisateur a les droits admin par défaut)

- interdit d'écrire dans certaines clés de la BDR\ certains dossiers\

- interdit d'utiliser certaines fonctions (réseau, commande, etc.)

- supprime des droits utilisateur, admin, reseau, ou système

- interdit de mettre l'attribut (fichier caché)

etc..

 

je dis ça simplement parce qu'aucun logiciel traditionnel vient mettre des restrictions dans ces clés, installe des fichiers cachés, etc. seuls les malwares le font.

alors interdire purement et simplement protègera et n'aura pas besoin de travailler en résidant

 

mettre un switch sur le logiciel au cas ou l'installation d'un programme connu neccessite l'utilisation d'une commande spéciphique, et hop, activé/désactivé

Invité tesgaz
Posté(e)
Pour le desktop faudrait voir si cela est vraiment la consequence de cles modifiees ou l'action d'un process en cours....

Et pour les cles bloquees ne pourrait on pas jouer sur le meme terrain en Verrouillant prealablement les cles "vitales" ?

 

Salut sebdraluorg,

 

c'est des clés de restrictions qui sont installées par les malwares, d'ou mon post au-dessus

Posté(e)

Bonjour à tous,

 

Je reporte ici ce que j'ai écrit dans une autre discussion parallèle :

Est-ce que PrevX ne fait pas çà ?

( http://www.prevx.com/ ) heu, il existe une version free...

---édition : voici l'URL pour la version Home gratuite  http://www.prevx.com/prevxhome.asp

(source : http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry495432 )

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...