Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

AntiHook Intrusion Prevention


ipl_001

Messages recommandés

Bonjour à Xerta, ipl, jack, megataupe, charles, à tous,

 

LOL je savais pas que vous aimiez les tests sur cobaye :P

 

Je veux bien être volontaire, vu que je pensais deja desinstaller processguard. Par contre en quoi consisterait le test ? Si vous me demander de foncez sur des sites infectieux pour tester sa réactivité, là je serai tout de suite moins chaud, bien que confiant en ma config de sécurité... :P

 

Bonne journée à tous

S.B

Lien vers le commentaire
Partager sur d’autres sites

Youpiiiiiiiiiiiiiiiiiiiii, on a trouvait un pige.. oups, je veux dire un volontaire :-(:P

 

Merci S.Birkoff :-P

 

Edit : la rédaction et les membres de zebulon ne pourront en aucun cas etre tenus pour responsable des dégats occasionnés lors du test de ce logiciel... :P

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

LOL je ne me considere pas comme un pigeon, simplement il faut un volontaire et je suis confiant. N'empeche je ne vois pas ou est le danger ? xerta l'utilise et elle n'a aucun problème... :P

Quant aux test du feu, je n'ai pas encore dit oui... :P

S.B

Lien vers le commentaire
Partager sur d’autres sites

Bravo S.Birkoff, d'autant que tu ne risques rien :P . Je l'aurai bien testé mais d'après ce que j'ai déjà lu sur le sujet, ce soft est difficile à paramétrer si l'on est pas un utilisateur averti et je préfére tester les applis de sécurité accessibles à tous ou, demandant peu de connaissances pour accepter ou non une mofidication :

 

"Les points faibles :

- Il lui faut une phase d'apprentissage sinon les alertes sont incessantes. Autrement dit il faut lancer une par une toutes les applications installées ... sacré boulot, et il faut être sûr que le système soit sain.

- Il n'est pas toujours facile de savoir si une modification est légitime ou non.

- Impossible d'éditer la liste des règles créées sur XP home, à moins de télécharger un pack "microsoft .net framework" de... 23 Mo !"

 

Lien vers le commentaire
Partager sur d’autres sites

Re à tous,

Ok ben c'est parti, je vais essayer de produire un test digne de ce nom :P

 

-Le telechargement du log se passe bien, à l'adresse donné par ipl.

-Tout se passe bien, par contre necessité de mentionner une adresse mail pour obtenir la clé de registration. Aucun problème, clé reçue.

 

Voilà tout ce que je peux dire pour l'instant, je ne l'ai pas encore installé semaine chargée, pas le temps), mais je m'y mettrai ce WE.

Bonne journée à tous

S.B

PS : un premier screen ( glanné sur le net) de Antihook en action :

1113412877.screenshotantihookvsapispyz.jpg

Lien vers le commentaire
Partager sur d’autres sites

Mode d’emploi succint d’Antihook :

 

Après installation d’antihook il faut télécharger son rules éditor, s’enregistrer avec un numéro d’utilsation reçu par mail, redémarrer le PC. En fait il suffit de suivre les instructions données à l’écran.

 

Antihook a trois modes de fonctionnement :

 

1) Allow All : tout s’éxécute sans que rien ne soit demandé à l’internaute et sans que rien ne soit enregistré dans le rules éditor. Equivalent processeguard : Deactivate (Désactivé)

 

2) Le mode d'apprentissage (fingerprint) qui est celui de l’installation : rien n’est demandé à l’internaute, mais les applications que vous lancez, tous les processus qui en découlent sont enregistrés dans le rules éditor de sorte que lorsque vous passerez au mode normal rien ne vous sera demandez lorsque vous lancerez ces applications. Equivalent processguard : learning mode activé.

 

3) le mode normal. Pour tout ce qui s’éxécute dans le PC et s’il s’agit de quelque chose de nouveau, Antihook fait office de firewall d’applications. Il suspend l’éxécution de l’application ou d’un processus quelconque, vous demande si vous autorisez celui-ci à s’éxécuter ou pas avec la possibilité de mémoriser ou pas la réponse. Equivalent procesguard : learning mode désactivé et donc contrôle d’applications activé.

 

Quand on veut le fermer un message indique qu’antihook est un système intégré au kernel de Windows et qu’il convient dans ce cas de redémarrer le PC.

 

Ancien utilisateur de SSM et de Processguard free j’ai vite compris comment ce programme fonctionne. Une fois installé je suis immédiatement passé en mode normal, pour constater tout de suite en lancant internet explorer qu’Antihook détecte beaucoup plus de choses que Processguard, idem en lançant Windows Update. Néanmoins on peut lui demander de mémoriser les réponses de sorte qu’il ne les demandera plus pour une même application et franchement à moins d’avoir des centaines de programmes installés sur le P.C. il ne faut pas une éternité pour en venir à bout.

 

Je lui ai fait passé avec succès les leaktests Copycat, Wallbreaker, Thermite, Firehole, le test de trojan « Zapass » et le programme de terminaison des processus actifs apt.exe.

 

Globalement Antihook est nettement plus performant que Processguard Free en contrôle d’applications mais ce dernier s’il est correctement paramétré avec son système particulier d’autorisations-protections en modification, lecture, terminaisons peut intéresser d’avantage d’internautes. Si on fait par exemple la bêtise d’autoriser un malware à s’éxécuter, celui-ci va devoir affronter le système de protection en modification, lecture, terminaisons de processguard tant qu’on n’a pas fait une autre bêtise mettre le malware dans la liste de protection du programme !

Lien vers le commentaire
Partager sur d’autres sites

Merci Xerta pour ce très bon tutorial :P . Je pense en effet qu'AntiHook est supérieur à ProcessGuard en version free (difficile à comparer avec la version full de PG qui intégre beaucoup plus de fonctions et donne plus de souplesse à l'utilisateur, surtout s'il fait une erreur).

 

J'avais en son temps proposé des paramétrages concernant ProcessGuard et il en était issu une très bonne discussion :

 

http://forum.zebulon.fr/index.php?showtopic=66717&st=0

 

Est-il possible d'avoir l'équivalent avec AntiHook :P Merci d'avance de ta réponse qui devrait intéresser beaucoup de membres de Zeb'sécu.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Megataupe:

 

C'est vrai qu'on trouve dans Antihook des fonctions de protections qu'on ne retrouve que dans la version pro de processguard les rootkits, les injections de DLL, la protection de la mémoire, etc.. Néanmoins du point de vue fonctionnalités ProcessGuard est supérieur parcequ'il a des fonctions de protection qui peuvent être paramétrées pour fonctionner automatiquement à la différence d'AntiHook où c'est toujours l'internaute qui décide:

 

voici un C/C de tests des leaktest Copycat et Zapass avec AntiHook:

 

A potentially dangerous program

C:\copycat.exe (pid:3500)

is attempting to execute code or change the application

C:\Program Files\Internet Explorer\IEXPLORE.EXE (pid:3368)

 

You have the choice to either allow this event to occur, or to block it.

 

More information:

This event may be the result of malicious code being injected or a legitimate interaction between two applications that are part of your system.

 

It is a common method of malicious programs to attempt to inject some program code into an application already running on a computer. Once injected the malicious code might not be detected by other security software, such as firewalls and anti-spyware, and has the ability then to change the functioning of your application, or even terminate or close the application down without your knowledge.AntiHook has detected suspicious code injection on your computer, and has temporarily stopped it.

 

2)

A potentially dangerous program

C:\DOCUME~1\.....~1\LOCALS~1\Temp\QZTEMP\zapass.exe (pid:3896)

is attempting to execute code or change the application

C:\WINDOWS\Explorer.EXE (pid:1636)

 

You have the choice to either allow this event to occur, or to block it.

 

More information:

This event may be the result of malicious code being injected or a legitimate interaction between two applications that are part of your system.

 

It is a common method of malicious programs to attempt to inject some program code into an application already running on a computer. Once injected the malicious code might not be detected by other security software, such as firewalls and anti-spyware, and has the ability then to change the functioning of your application, or even terminate or close the application down without your knowledge:

 

Voici une alerte de navigation avec Internet Explorer:

 

AntiHook has detected the loading of a COM/ActiveX DLL module on your computer, and has temporarily stopped it.

 

The program [internet Explorer]

C:\Program Files\Internet Explorer\IEXPLORE.EXE (pid:3660)

is attempting to load a potentially dangerous module

C:\WINDOWS\system32\devenum.dll

 

You have the choice to either allow this event to occur, or to block it.

 

More information:

This event may be the result of a malicious code being loaded through the DLL, or could just be a legitimate part of your system.

 

DLLs (Dynamic Link Libraries) will in most cases be a necessary part of your computer, but they can also be malicious programs. AntiHook detects whenever a DLL is loaded or run on your computer to allow you to be notified of the event occurring and to give you the option to block it from happening.

Lien vers le commentaire
Partager sur d’autres sites

  • 11 mois après...

Bonjour,

 

AntiHook 2.6 de InfoProcess : http://www.open-files.com/breve0539.html et http://www.open-files.com/forum/index.php?showtopic=30235 pour plus d'info.

 

Amicalement.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...