Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Reg Test

Léon9

Par Léon9
dans Analyses et éradication malwares

 Partager

Messages recommandés

Léon9 Member

Léon9

Posté(e)
Posté(e)

En plus du programme Apt.exe que nous a présenté Megataupe, je pense que le "Reg Test" du site "Ghostsecurity", doit, sans doute, également être un programme approprié pour vérifier l'efficacité ou le bon paramétrage de ProcessGuard ou de tout autre "firewall du système" présent sur le PC. En déambulant sur le net, j'ai trouvé que l'un de ces programmes "Prevx Home" ne réussirait pas complètement ce test.

 

 

http://castlecops.com/t111173-Prevx_home_f...egtest_zip.html

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonjour Léon9 :-P . Amusant le petit test. Première remarque : pour ceux qui ont ProcessGuard version tu casques, il suffit de cocher la case (dans Main) Block new and changed applications (ce qui est hautement recommandé), de cliquer sur l'exe de regtest et tu as une fenêtre qui surgit pour te dire :"descripteur non valide" (adieu regtest je t'aimais bien, test terminé puisque non commencé :-P ).

 

Test sans le blocage (pour la version Lite donc) :

 

Le premier a entrer en action est Registryprot qui surgit pour me demander si j'autorise les modifications du registre, réponse no à chaque demande, rien ne rentre. Puis, entrée en action de ProcessGuard qui détecte que regtest veut trucider ou modifier Registryprot, nouvel échec de la tentative de contournement. Ensuite, l'écran se vide de toutes ses icones et barres et il faut rebooter à la main donc, échec total du test :P .

 

Conclusion : ProcessGuard est meilleur que Prevx :-(

 

Lien pour charger Registryprot (minuscule et précieux utilitaire)

 

http://www.diamondcs.com.au/index.php?page=regprot

Léon9 Member

Léon9

Posté(e)
  • Auteur
Posté(e)

Bonjour Megataupe. Je crois, à la lecture de ton post quil vaut mieux s'ajouter Registryprot pour ceux qui ne l'aurait pas encore et c'est mon cas. Quoi qu'hier soir j'ai réussit le Reg Test avec la version lite de Processs Guard mais aussi avec Kerio 4.1.3, son module de sécurité système et ses trois paramètres généraux activés. Je n'ai pas vérifié si sans Kerio La version lite de ProcessGuard aurait complètement réussit le test. Je ferais des tests plus affinés ce soir.

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

En effet, il serait bon de refaire le test sans les protections Kerio. Ceci dit, ce test cible surtout les tentatives d'inscription dans le registre sur un système non, ou mal, protégé afin de te faire croire que tu as besoin de leur "fantastique" outil RegDefend qui n'est pas gratos lui. Registryprot :P fait quasiment la même chose en étant trés léger et fort peu gourmand en RAM (128 ko sur mon PC, une misère) et de plus, il est le compagnon idéal gratuit de ProcessGuard.

 

Bon test :-(

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Bonjour Megataupe, bonjour à tous,

 

...  il suffit de cocher la case (dans Main) Block new and changed applications (ce qui est hautement recommandé)...

 

Jusqu'à présent, je n'ai jamais coché cette option étant donné l'avertissement de ProcessGaurd. Si je traduis bien : "En activant cette option, vous empêchez beaucoup d'applications de démarrer. Seuls les programmes que vous aurez toujours autorisés à démarrer seront utilisables."

 

Et l'option elle-même précise : " Bloquer les nouvelles applications ou les applications modifiées."

 

- Quels sont les problèmes que l'on risque de rencontrer en cochant cette option? Pas de problème au démarrage? ...

 

- Même sans cocher cette option, l'utilisateur doit autoriser les nouvelles applications ou celles qui ont été modifiées lorsqu'elles se lancent. Alors, quel est l'intérêt d'activer cette option?

 

Merci d'avance pour tes réponses et/ou précisions Megataupe..

 

Bon week-end.

Modifié par Sacles
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Bonjour Sacles. Tout d'abord merci de l'intérêt que tu portes à cet excellent soft qu'est ProcessGuard (que l'on se rassure, je n'ai pas d'actions chez Diamond.cs :P ) et de tes remarques toujours très pertinentes concernant les options ou protections parfois obscures de ce logiciel.

 

Il faut tout d'abord préciser que ProcessGuard démarre en même temps que Windows (au coeur du noyau donc), ce qui empêche l'intrusion perverse d'un virus de boot ou de toutes autres nuisances.

 

Si tu actives cette option, tous les services et applications qui sont listés dans l'onglet Protection vont démarrer normalement et seront donc protégées à partir du boot ini de toute tentative de lancement d'un exe non sollicité. Le seul problème de cette option, quand elle est activée en permanence, est d'empêcher les mises à jour automatiques des antivirus puisqu'elle va bloquer le setup de l'antivirus. Dans ce cas, la parade consiste à modifier la protection du setup.

 

Exemple pour Avast :

 

Dans l'onglet Protection, sélectionner avast4/setup puis dans Protected From ne cocher que la case Termination. Cocher ensuite dans Authorized To : Modify + Read et dans Other Options : Install Global Hooks et Install Drivers. Faire ensuite une mise à jour manuelle pour vérifier (clic droit sur la boule bleue, mise à jour et mise à jour de la base virale).

 

Enfin, il faut bien évidemment penser à décocher cette protection Block new and changed applications si l'on souhaite installer un nouveau programme ou modifier une application protégée.

 

Bon week-end à toi aussi :-(

Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

Re,

 

Je viens d'activer la protection "Block new and changed applications" sans rien modifier aux protection "d'origine" des outils de mise à jour de NAV (luall.exe et ndetec.exe), ces deux applications travaillent normalement mais comme il n'y a pas de mise à jour à charger je n'ai pas pu mener l'expérience jusqu'au bout.

 

... que l'on se rassure, je n'ai pas d'actions chez Diamond.cs

 

Je n'en ai jamais douté.

 

Cordialement.

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Je précise qu'il s'agit des mises à jour automatiques, et que je suis vraiment très étonné de te voir protégé par le Doktor Mord'hom. :P

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

Re,

 

je suis vraiment très étonné de te voir protégé par le Doktor Mord'hom.

 

Norton était installé d'origine sur mon ordinateur. J'attends la fin de l'abonnement pour changer (sans doute Avast).

 

N.B. ndetec.exe est l'application qui est lancée par le service des tâches planifiées (toutes les 4 heures par défaut).

 

Cordialement.

Modifié par Sacles

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...