Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ProcessGuard

megataupe

Par megataupe
dans Sécurisation, prévention

 Partager

Messages recommandés

Emm' Extrem Member

Emm'

Posté(e)
Posté(e)

Bonsoir,

 

Dites, c'est normal que le gestionnaire de tâche de windows refuse de fermer toutes les applications ?

Faut que j'utilise Ikill pour tout ?

:P

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Dites, c'est normal que le gestionnaire de tâche de windows refuse de fermer toutes les applications ?

Regarde dans PG les permissions qui sont données à taskmgr.exe (task Manager):

 

Onglet Protection, tu sélectionnes taskmgr.exe et tu regardes ce qui est coché dans "Authorize this application to" (en particulier "Terminate protected applications").

 

Si "Terminate protected applications" n'est pas coché, le gestionnaire de tâches ne pourra pas arrêter les applications protégées par PG.

 

Lis aussi les #6 et #7 du présent sujet.

 

Amicalement.

Modifié par Sacles
  • 4 semaines après...
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Concernant

ADVANCED PROCESS TERMINATION sur ce site :

http://www.diamondcs.com.au/index.php?page=apt

, Process Guard (Full dans mon cas) n'a pas pu empêcher la désactivation d'Outpost free pour les tests Kill 7 et Kill 8, malgré le "réglage" de PG exactement comme indiqué dans ton tuto et avec Outpost dans l'onglet Protection configuré :

 

sanstitre1copie2or.png

 

J'ai par contre passé avec succès les Kill de 1 à 10 pour tout les autres *.exe présent dans ADVANCED PROCESS TERMINATION, il n'y que Outpost qui foire le 7 et le 8 :-P Mais c'est plutôt mon Process Guard qui foire...

 

Refresh effectué après chaque Kill...

 

Merci de vos réponses.

 

Amicalement.

 

:PEdit : mais qu'ai-je donc fait, un doublon aujourd'hui à 07h05 Message #43

http://forum.zebulon.fr/index.php?showtopic=66234&st=30 :P

Modifié par horus agressor
nicM Mega Power Member

nicM

Posté(e)
Posté(e)

Bonjour horrus agressor,

 

As-tu coché la case "secure message handling" pour le process d'Outpost, dans l'onglet Protection?

 

Normalement, ça devrait empêcher Apt de le terminer avec les methodes 7 et 8.

 

Bien que Process Guard ne journalise pas les tentatives de termination de ce type, et en outre j'ai l'impression que la béta 3.4 b1 (sortie aujourd'hui :P ) a un bug avec l'affichage de la fenêtre de confirmation :P - c'est celle que j'utilise en ce moment.

 

Par contre, il devrait être encore plus efficace qu'avant, et désormais clouer le bec à un troyen qui parvenait à terminer certains processus ciblés malgré la protection de process Guard :-P .. Je m'en vais vérifier ça sans plus attendre!

 

Au fait, APT 4.0 vient aussi de sortir, avec de nouvelles methodes de terminations.

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Merci de ta réponse.

 

J'ai suivi le tuto de Mégataupe au pied de la lettre :

S'agissant des antivirus, firewall, antispy (A2, Ad-aware, Spybot, etc..), navigateurs (Internet Explorer, Firefox, etc..) vous appliquez à tous les .exe les concernant les réglages suivants :

 

Protected From : Termination + Modification + Reading

 

Authorized To : Modify + Read

 

http://forum.zebulon.fr/index.php?showtopic=66717

et à mon avis, il n'a pas pu se tromper sur un sujet pareil :P
winlogon.exe

Protected From : Termination + Modification + Reading

Authorized To : Termination + Modify + Read. Other options : Access Memory Physical + Secure Message Handling

http://forum.zebulon.fr/index.php?showtopic=66717

Amicalement.
nicM Mega Power Member

nicM

Posté(e)
Posté(e)

Euh, désolé, je ne suis pas sûr de bien comprendre ta réponse :P

 

APT methodes 7 et 8 simulent des messages de fermeture de l'application : WM_CLOSE pour la 7ème, et SC_CLOSE pour la 8ème... Si tu veux qu'Outpost ne soit pas terminé par ces 2 méthodes, tu doit configurer Process Guard en conséquence, et le seul moyen, c'est d'activer la protection "secure message handling" pour son processus.

 

..Qui en principe te demandera confirmation lorsque Outpost sera fermé par le biais d'un message de fermeture (simulé ou non, c'est donc parfois embétant).

 

Extrait de l'Aide de Process Guard : Secure Message Handling

 

Due to the structure of the Windows operating system, it is possible for applications to control other applications using windows messages. There are many messages which mean a lot of different things, but a few of them allow an application to close another application. This is unwanted in most cases because you only want to close an application when YOU are ready, not when some other program on your system wants to. A message is generated for instance when you press the X button on a window. All a malicious program needs to do is mimic this message and Windows thinks you actually pressed the X button yourself

 

 

 

Essaie de refaire ces 2 tests avec cette protection activée, tu verras le résultat :P

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Bonjour,

 

J'ai réessayer le test APT ce matin...

 

Toujours les même soucis que dans

 

aujourd'hui à 06h47 Message #46

http://forum.zebulon.fr/index.php?showtopic=66717&st=45

 

...et j'ai revérifier et revérifier encore ma configuration de PG :-P

 

Le Kill 4 et 5 arrivent eux aussi à terminer lsass.exe et smss.exe, écran bleu et redémarrage...

 

Aide PG :

 

Kill #4 - Attempts to terminate the target process by modifying the EIP register of all existing threads so that they all point to the ExitProcess function in kernel32.dll. This is similar to Kill #3, but doesn't involve the creation of any new thread. Instead, existing threads are used.

Main functions: SetThreadContext (kernel32.dll)

 

Kill #5 - Attempts to terminate the target process by attaching to it as a debugger, using the DebugActiveProcess function in kernel32.dll. To terminate the target process, the debugger process simply needs to terminate itself, at which point the process being debugged (the target process) is also terminated.

Main functions: DebugActiveProcess (kernel32.dll)

 

PG devrait réagir mais il ne le fait pas...

 

Pourquoi une application configurée exactement comme lsass.exe et smss.exe dans PG résiste au Kill de 1 à 10 mais pas lsass.exe et smss.exe, qui se terminent suite Kill 4 et 5 ?

 

Pourquoi une application configurée exactement comme Outpost dans PG résiste au Kill de 1 à 10 mais pas Outpost, qui ne résiste pas aux Kill 7 et 8 ?

 

Aide PG :

 

Kill #7 - Attempts to terminate the target process by sending Close messages (called WM_CLOSE) to all windows in the target process. This method only works if 1) the target process has at least one window, and 2) the target process doesn't handle the WM_CLOSE message (most programs usually don't).

Main functions: SendMessage(WM_CLOSE) (user32.dll)

 

Kill #8- Attempts to terminate the target process in the same manner as Kill #7, but sends SC_CLOSE system messages rather than WM_CLOSE window messages. Again, this method only works if 1) the target process has at least one window, and 2) the target process doesn't handle the WM_CLOSE message (most programs usually don't).

Main functions: SendMessage(SC_CLOSE) (user32.dll)

 

J'ai eu droit à ce genre d'avertissement :

 

sanstitre1copie4nu.png

capture061220061041080at.png

capture061220061041127xf.png

capture061220061041171rt.png

 

et, au final :

 

capture061220061041226xp.png

 

Beaucoup de :P de mon côté :P

 

Amicalement.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...