Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Antivirus et Firewall

megataupe

Par megataupe
dans Sécurisation, prévention

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Bonjour à tous. Afin de vérifier s'il était possible à un attaquant malveillant de « trucider » un antivirus, un firewall, ou tout autre application, je me suis livré à un petit test très révélateur sur la perméabilité de nos cerbères préférés (Avast et Look'n'Stop pour ce qui me concerne).

 

Pour réaliser ce test, j'ai utilisé un petit soft de 43 ko : ADVANCED PROCESS TERMINATION (apt.exe). Ce petit programme permet de tuer une application selon 9 méthodes différentes et remplace efficacement le « TASK MANAGER » en plus puissant.

 

Comment effectuer le test :

 

Tout d'abord, téléchargez ADVANCED PROCESS TERMINATION sur ce site :

 

http://www.diamondcs.com.au/index.php?page=apt

 

-fermez le navigateur ainsi que votre connexion à Internet

 

-dézippez le fichier apt.zip et lancez l'exécutable apt.exe

 

-dans la fenêtre qui va s'ouvrir, sélectionnez votre antivirus, votre firewall ou toute autre application, cliquez sur Kill 1 et cliquez ensuite sur Refresh List (ou F5) pour vérifier que le processus choisi est toujours présent. S'il y est toujours, cliquez sur Kill 2 et Refresh List (et ainsi de suite jusqu'à Kill 9). Si après l'un des kill, vous constatez avec stupeur que votre « joujou » préféré a disparu de la liste ainsi que de la barre des tâches, cela signifiera qu'un attaquant potentiel sera également capable de désactiver vos chères protections (sur mon PC Avast et look'n'Stop ont rendus les armes au 6ème kill :-( ).

 

Alors me direz vous, c'est grave Docteur ce que vous me conté là et comment se prémunir contre ce type d'attaque ? La réponse est dans l'utilisation d'un chien de garde comme Process Guard qui va stopper toutes les tentatives de Kill comme je vais vous le démontrer.

 

Pour ceux (j'espère nombreux) qui ont installé ce précieux compagnon, les autres peuvent le faire en utilisant le raccourci présent dans le dossier apt, il y a lieu d'effectuer les manipulations suivantes :

 

-après avoir lancé l'exécutable apt.exe, Process Guard va vous demander si vous permettez son installation, cochez la case Always perform this action puis, cliquez sur permit.

 

-ouvrez Process Guard, puis l'onglet Sécurité, sélectionnez apt.exe dans la liste déroulante, faites un clic droit dessus et sélectionnez Add to protection list.

 

-ouvrez ensuite l'onglet Protection et sélectionnez de nouveau apt.exe puis, en dessous de Authorize this application to, décochez les 2 cases - Modify protected applications et Read from protected applications.

 

- fermez Process Guard et relancez apt.exe pour effectuer les tests puis, savourez sous forme d'alertes Popup le travail de Process Guard : net et sans bavure :P .

 

edit :un autre test très simple de pénétration peut également être effectué avec l'utilitaire Zapass. Ce leak test permet d'injecter un parasite (non dangereux) dans un composant actif (donc après que le composant soit monté en mémoire et ait été activé) et voir si les utilitaires de type pare-feu et contrôleurs d'intégrité voient cette attaque et la bloquent.

 

Ce leak test, très simple, apporte la preuve qu'un parasite peut s'allouer des droits illimités et sans aucune notification de l'utilisateur.

 

Plus d'infos et mode d'emploi de Zapass chez nos amis d'Assiste :

 

http://assiste.free.fr/assiste.com.html?ht...test_zapass.php

Modifié par megataupe

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Bonsoir chepiok. J'ai utilisé la version full mais, la méthode de test est la même avec la version lite. Tu trouveras le résultat des blocages de Process Guard dans l'onglet Alerts/ view logfiles, exemple :

 

Tue 10 - 17:50:40 [MODIFY] g:\documents and settings\jch\bureau\apt\apt.exe [2220] was blocked from modifying g:\program files\looknstop\looknstop.exe [1076]

 

Tue 10 - 17:50:55 [TERMINATE] g:\windows\system32\svchost.exe [820] was blocked from terminating g:\program files\looknstop\looknstop.exe [1076]

Léon9 Member

Léon9

Posté(e)
Posté(e)

Comprend pas. En procédent comme indiqué le Kill 7 quand même était fatal à KPF.

 

Depuis j'ai trouvé une solution activer aussi la protection for "Reading" des trois logiciels de sécurité avast, KPF et Processguard.

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)
Comprend pas. En procédent comme indiqué le Kill 7 quand même était fatal à KPF.

 

Depuis j'ai trouvé une solution activer aussi la protection for "Reading" des trois logiciels de sécurité avast, KPF et Processguard.

500970[/snapback]

 

Bien vu Léon :P car cette fonction Reading protége l'application contre la lecture non autorisée. Faut dire aussi que le kill est un vrai "tueur" difficile à neutraliser.

Lord Vamp Extrem Member

Lord Vamp

Posté(e)
Posté(e)

Salut,

 

J'ai testé le "KILL" sur mon PC du boulot avec avact4 Home edition et il crève au KILL 1 :P

 

J test ca ce soir chez moi avec BitD8

 

Sinon util ton test merci

 

@+ :-(

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)
Salut,

 

J'ai testé le "KILL" sur mon PC du boulot avec avact4 Home edition et il crève au KILL 1  :P

 

J test ca ce soir chez moi avec BitD8

 

Sinon util ton test merci

 

@+ :-P

500991[/snapback]

 

Bonjour Lord Vamp. Tu peux essayer de tester avec toutes les options cochées du bloqueur de comportement d'Avast (bouclier standard/personnaliser/bloqueur) mais, ça m'étonnerait que le "serial killer" ne te flingue pas rapidement. :-(

Léon9 Member

Léon9

Posté(e)
Posté(e)

J'ai refait les tests tout à l'heure et cette fois Processguard a bloqué toutes les tentatvives de désactivation de Kerio et d'avast. Hier soir j'ai du commetre une erreur de paramétrage de Processguard, je ne sais pas encore laquelle, mais je chercherais à l'identifier dans la soirée!

 

Néanmoins je crois qu'à titre de protection supplémentaire il faut effectivement activer la protection en lecture des processus actifs des programmes de sécurité, (je ne l'ai désactivée que pour les tests) de sorte que ceux-ci soient "invisibles" pour d'éventuels malwares qui débarqueraient dans le PC.

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Salut Léon :P . Effectivement, c'est beaucoup plus prudent d'activer cette option mais hélas, réservée à la version payante. Ceci dit, je vais réfléchir à la rédaction d'un tutorial sur Process Guard car, certaines de ses actions (ou le choix des options) risquent d'en dérouter plus d'un, ce qui est toutefois moins évident en version lite plus simple à paramétrer.

Léon9 Member

Léon9

Posté(e)
Posté(e)

En fait je parlais de la protection for "Reading" également disponible dans la version gratuite de Processguard.

 

Avec cette fonction j'arrive à ce que le "Serial Killer" n'affiche plus les processus actifs des programmes de sécurité.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...