VIRUS , TROJAN ...

[Le canard]

Salut tout le monde

Je me posais quelques questions :

 

1) un virus ou autre spy quand on en attrappe ( ) est ce qu' ils s'installent dans le système d'exploitation et donc modifient la base de registre et ajoutent de nouveaux processus en cours d'éxécution (ctrl + alt + suppr)

 

2) si c'est effectivement comme cela que ça se passe pourquoi s'encombrer d' inombrables outils anti infections , alors que pour surveiller son OS registryprot et process guard font très bien l'affaire (je les ai découvert grâce à mégataupe et contrairement à ce que je pensais ils sont très simple d'utilisation )

 

--> donc pour résumer : peut-on garder uniquement process guard , registryprot et un pare feu ( évidemment ) pour assurer la protection d'un PC ?

 

à +

[S.Birkoff]

Bonsoir Le canard,

 

1) un virus ou autre spy quand on en attrappe ( icon_mad.gif ) est ce qu' ils s'installent dans le système d'exploitation et donc modifient la base de registre et ajoutent de nouveaux processus en cours d'éxécution (ctrl + alt + suppr)

 

En effet, la plupart du temps un spyware installe des processus, et modifie et/ou crée de nouvelles de lignes. C'est là qu'est tout l'interet d'Hijackthis, car il permet de deceler les clés de registre néfaste, et de deceler aussi les processus infectieux ainsi que leur emplacement.

 

2) si c'est effectivement comme cela que ça se passe pourquoi s'encombrer d' inombrables icon_eek.gif outils anti infections icon_confused.gif , alors que pour surveiller son OS registryprot et process guard font très bien l'affaire (je les ai découvert grâce à mégataupe et contrairement à ce que je pensais ils sont très simple d'utilisation icon_wink.gif )

 

C'est sur que Processguard et registryprot sont de tres bon outil de prevention. Maintenant, de là à ne jamais scanner de temps en temps...ca se discute. Tout dépends de ce que tu fait : si tu a un comportement prudent ( pas de sites douteu...X, crack, etc), il n'y a pas vraiment de risque à avoir. Neanmoins processguard et registryprot surveille respectivement les processus et le registre. Sur Internet, tu a aussi les cookies ( bien moins dangereux toutefois) et autre webbugs.

 

Je pense donc que scanner de temps en temps n'est pas une mauvaise chose, ne serait ce que pour se rassurer (parano power ).

 

Pour résumer, je pense qu'un parefeu, registryprot et processguard sont une bonne défense, mais j'y rajouterai un surf avec Firefox, sécurisé "sauce" megataupe ( et pis......un chti spybot avec ces focntions avancés, et un spywareblaster, et...bon bon j'arrete ).

Le débat reste ouvert, et chacun à ses propres défenses et argument

Bonne soirée

S.B

 

edit : je vois que mégataupe passe par là, tu vas donc avoir un autre avis interressant sur la question

Modifié le 26 octobre 2005 par S.Birkoff

[megataupe]

Peut-on garder uniquement process guard , registryprot et un pare feu ( évidemment) pour assurer la protection d'un PC ?

 

Bonjour Le canard. C'est effectivement possible (je fais d'ailleurs un test depuis plusieurs semaines sans antivirus actif sur le PC) à condition d'avoir la version full de Processguard qui elle est capable de surveiller la mèmoire système et d'empêcher l'implantation d'un rootkit par exemple car, la version lite ne te protégera pas de ce type d'attaque par exemple.

 

Un buffer overflow est une attaque très efficace et assez compliquée à réaliser. Elle vise à exploiter une faille, une faiblesse dans une application (type browser, logiciel de mail, etc...) pour exécuter un code arbitraire qui compromettra la cible (acquisition des droits administrateur, etc...).

 

Le fonctionnement général d'un buffer overflow est de faire crasher un programme en écrivant dans un buffer plus de données qu'il ne peut en contenir (un buffer est une zone mémoire temporaire utilisée par une application), dans le but d'écraser des parties du code de l'application et d'injecter des données utiles pour exploiter le crash de l'application.

 

Cela permet donc en résumé d'exécuter du code arbitraire sur la machine où tourne l'application vulnérable.

 

L'intérêt de ce type d'attaque est qu'il ne nécessite pas le plus souvent d'accès au système, ou dans le cas contraire, un accès restreint suffit. Il s'agit donc d'une attaque redoutable. D'un autre côté, il reste difficile à mettre en oeuvre car il requiert des connaissances avancées en programmation ; de plus, bien que les nouvelles failles soient largement publiées sur le web, les codes ne sont pas ou peu portables. Une attaque par buffer overflow signifie en général que l'on a affaire à des attaquants doués plutôt qu'à des "script kiddies".

[Invité tesgaz]

Salut,

 

j'ai déja montrer qu'en modifiant les autorisations sur des dossiers clés du système d'exploitation, les codes arbitraires auront du mal à s'éxécuter ou s'intaller sur le système, et tout cela sans aucun logiciel

http://forum.zebulon.fr/index.php?showtopic=67024

 

ca rejoint un peu tes attentes

[Invité grenouille]

Slt,

 

A propos des restrictions, perso c'est une partie importante de ma protection.

 

Le problème (à mes yeux) avec ce que tu indiques tesgaz dans ton topic , c'est que tu donnes des dossiers ou fichiers à protéger en particulier, mais ça laisse la place ailleurs...

 

Sur mon pc, j'ai adopté une autre stratégie : j'interdit tout sauf ce qui est indispensable au bon fonctionnement du reste.

 

C'est très périlleux à mettre en place, mais je pense que c'est la solution la plus efficace...

Modifié le 26 octobre 2005 par grenouille

[Invité tesgaz]

hello grenouille,

dans mon post, je n'indique que quelques dossiers

 

les autres ne sont pas indiqués sur ce que j'ai fait sur le système

 

mais mettre des interdictions à des endroits stratégiques intedit beaucoup de choses en très peu de manipulation (je n'interdis pas les programmes courants, juste certains dossiers et quelques executables windows)

 

faudra que tu nous indiques un peu plus ta stratégie personelle, ca m'interesse

Modifié le 26 octobre 2005 par tesgaz

[Le canard]

Salut tout le monde

 

Merci pour vos réponses toujours aussi claires

 

Je pensais avoir fais déjà pas mal de choses pour protéger mon PC ( firefox ,mises à jour ,antivirus ,pare feu ,désactivation de nombreux services ,... , et bien sûr ne pas surfer n'importe où ) , mais à chaque fois je découvre de nouvelles techniques ou astuces pour encore améliorer la sécurité .

 

Bref je vais voir de plus près ce que propose tesgaz , et quand j'en aurais vraiment marre d'essayer ce que Bill n'a pas su faire ( ou veut pas ) c'est-à-dire sécuriser windows je pense que je vais migrer vers une distribution LINUX

 

à +

[O.Fournier]

Salut

 

Le seul repproche que j'aurais a faire a ta technique de restriction avec firefox, tesgaz, c'est que quand on efface le cache de firefox, le dossier cache disparait. En tout cas ca fait cela en utilisant ccleaner.

 

Salut,

 

euh je vois pas le problème puisque Firefox (comme Windows/IE) recréé le dossier à l'ouverture suivante, mais vide ...