IceSword et Contrôleur d'intégrité, Processus protégés

[horus agressor]

 

1) On configure le Gestionnaire des taches dans PG pour lui interdire de terminer des processus :

 

 

Le gestionnaire des tâches m'avertit que je n'ai pas le droit de terminer ce processus. Bingo !

http://benoit.aun.free.fr/securite-facile-...rocessguard.php

 

2) On autorise IceSword (ou un autre "tueur de processus" externe) à tuer les processus à la place du Gestionnaire des taches en lui donnant l'autorisation via PG

 

 

Tout est bien expliqué dans le tuto ci-dessus

 

Amicalement.

Modifié le 8 juin 2006 par horus agressor

[horus agressor]

n'est il pas conseillé de laisser le pc tourné comme il est s'il fonctionne bien comme cela, et penser a autre chose qu'a la securité informatique, et les bidouilles des differents logiciels existants ?

Re,

 

A toi de voir, si tu as envie de lire un peu

Qu’est-ce que ProcessGuard ?

DiamondCS ProcessGuard est un système novateur de sécurité, présenté pour la première fois fin 2003. Il protège les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.

 

Pourquoi en ai-je besoin ?

Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple:

 

* Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.

 

* Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

 

* Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.

 

* Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.

 

* Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.

 

ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.

 

Principaux usages de ProcessGuard

Chaque dispositif de ProcessGuard est une fonction puissante en elle-même. Par exemple, le dispositif de blocage d'implantation des RootKits est un puissant processus en lui-même. ProcessGuard est un ensemble de processus de cette nature coopérant entre eux avec un seul objectif : empêcher le système d'être pollué / modifié. Voici une brève liste des principaux usages de ProcessGuard.

 

* Sécurisation des processus contre leurs attaques (terminaison, suspension, modification)

* Contrôle des autorisations / interdictions d'exécution des programmes

* Blocage de l'installation des RootKits et autres pilotes parasites

* Protection des données en mémoire physique contre toute tentative de modification parasite

* Blocage des interceptions de code et des injections de code

* Déterminer quels programmes vont être exécutés sur votre système

* Déterminer quels programmes en attaquent d'autres sur votre système

* Analyser le comportement inter-processus des programmes

* Tenir un journal de toutes les activités (important pour une analyse post infection)

 

Principales attaques que ProcessGuard bloque

ProcessGuard protège contre une immense variété de types d'attaques et il est difficile d'en faire l'inventaire. Par exemple, lorsque l'on dit que ProcessGuard protège contre les attaques de type "Terminaison de processus", c'est contre une douzaine de modes opératoires différents, de ce type, que ProcessGuard vous protège. Voici quelques classes d'attaques contre lesquelles ProcessGuard vous protège de manière préventive :

 

* Exécution non sollicitée d'un processus ou exécution d'un processus inconnu

* Terminaison d'un processus ou d'un service

* Suspension d'un processus ou d'un service

* Modification d'un processus ou d'un code

* Fin anormale (crash) d'un processus ou d'un service

* Installation d'un RootKit

* Contournement des pare-feu par des méthodes de type Leak Tests.

* Interception de code et injection de code

* Modifications en mémoire vive (durant l'exécution)

* Attaques contre le système de protection de fichiers de Windows

* Attaques en imitation d'utilisateur

 

Conclusions

Sans un moyen de protection au niveau cœur de Windows votre sécurité est menacée et votre système de sécurité minimal (antivirus et pare-feu) est totalement vulnérable. ProcessGuard se sécurise lui-même (c'est la moindre des choses), sécurise votre système d'exploitation (tous les composants de Windows) et sécurise vos autres outils de sécurité, leur permettant de faire leur travail sans risque d'être tués ou attaqués. Son action est résolument préventive tandis que celles des pare-feu concerne les intrusions / extrusions et celle des antivirus est partiellement préventive (modules "sur accès" ("on-access")) et partiellement curative (modules "à la demande" ("on-demand")). Attention - il faut tout de même avoir une notion, même vague, de ce qu'est un processus, un service, une dll etc. ... J'ai, également, essayé d'employer ici des termes simples et en français pour présenter ProcessGuard qui est en anglais et "parle" un peu "technique".

http://assiste.free.fr/p/internet_utilitai...rocessguard.php

 

Intéressant et instructif aussi :

Le gestionnaire des tâches m'avertit que je n'ai pas le droit de terminer ce processus. Bingo !

http://benoit.aun.free.fr/securite-facile-...rocessguard.php

 

Test de pénétration...

 

Antivirus et Firewall, Un test d'extermination révélateur

http://forum.zebulon.fr/index.php?showtopic=66234

 

..et cela :

 

Leak Tests contre les pare-feu (firewall)

http://assiste.free.fr/p/leak_test/leak_tests_accueil.php

 

=> Process Guard et IceSword font bon ménage et empêchent, entre autre, qu'une vérole désactive mon parefeu et mon antivirus.

 

* Configurer le Gestionnaire des taches de Windows dans PG pour lui interdire de terminer des processus, à savoir que des véroles style chevaux de Troie s'attaquent au Gestionnaire des taches de Windows pour tuer des processus stratégiques, comme le parefeu et l'antivirus.

* IceSword, en tant que tueur de tache externe à Windows (entre autre fonction), lui, est autorisé à tuer des processus parce que on l'aura autorisé à le faire via PG.

 

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

 

...et voilà, j'estime que mes PC sont bien sécurisés, donc je peux profiter du soleil et du chant des zoziaux, et quand je reviendrais chez moi, mes PC seront comme quand je les avaient quittés, propre et en état de marche...

 

Ma signature est à ta dispo

 

Amicalement.

Modifié le 8 juin 2006 par horus agressor

[horus agressor]

Re-re,

 

J'ai édité et corrigé mon

 

hier à 22h26

Message #11

 

Amicalement.

[horus agressor]

Re,

 

IMPORTANT : il faut très bien configurer Process Guard - ou son contrôleur d'intégrité -, sinon tout cela ne servirait strictement à rien et risquerait même d'être très dangereux, rien de pire d'être convaincu que l'on est en parfaite sécurité, on s'amuse, puis tout s'écroule ! Faut pas se reposer sur ses lauriers, pas sous Windows en tout cas.

 

=> prendre le temps de lire et d'appliquer TRèS scrupuleusement :

 

ProcessGuard, Paramétrage des versions lite et full

http://forum.zebulon.fr/index.php?showtopic=66717&hl=#

 

Protéger les processus

http://benoit.aun.free.fr/securite-facile-...rocessguard.php

 

ProcessGuard - Process Guard

http://assiste.free.fr/p/internet_utilitai...rocessguard.php

 

C'est bien beau de crouler sous les outils sécuritaires et de se pavaner, mais encore faut-il qu'ils soient tous très bien configurés et encore faut-il connaître le rôle très précis de chacun de ses outils dans sa config.

 

Bref...

 

=> Je m'amuse comme un petit fou à dérouiller des processus dans le Gestionnaire des taches de Windows juste pour voir :

 

cause toujours, tu m'intéresse et hop :

...trop marrant ça

 

Amicalement.

[horus agressor]

Bonjour,

 

Les fonctionnalités des rootkit et comment les contrer

 

19.08.2005

 

Alexey Monastyrsky

Konstantin Sapronov

Yury Mashevsky

Analyste Virus, Kaspersky Lab

 

Les auteurs de virus ont toujours fait face à un sempiternel problème : comment conserver la présence des codes malicieux le plus longtemps possible à l'insu des utilisateurs et des solutions antivirus?

http://www.viruslist.com/fr/analysis?pubid=167948065

Le terme rootkit désigne une série de programmes qui permettent au pirate de s'installer sur une machine et d'empêcher sa détection. Pour se faire, les fichiers exécutables (login, ps, ls, netstat etc.) ou bien les bibliothèques (libproc.a) sont modifiés, ou encore, un module noyau est installé. Dans tous les cas, le but est d'empêcher que l'utilisateur ne reçoive des informations indiquant la présence d'activités nuisibles sur son ordinateur.

http://www.viruslist.com/fr/analysis?pubid=167948065

La croissance des rootkit est également favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.

http://www.viruslist.com/fr/analysis?pubid=167948065

Les auteurs de virus ainsi que les développeurs de spyware « légaux » font l'éloge de ces programmes du fait qu'ils sont invisibles pour l'utilisateur et impossibles à détecter par les solutions antivirus.

http://www.viruslist.com/fr/analysis?pubid=167948065

Technologie de Rootkit sous Windows

Masquage de présence dans le système

 

A l'heure actuelle, on peut diviser en deux sections les méthodes utilisées par les rootkit pour cacher leur présence dans le système:

 

1. modifications du chemin des programmes exécutables;

2. modification des structures du système .

 

Ces méthodes sont utilisées pour masquer l'activité dans le réseau, les clés de registre, différents processus c'est-à-dire tous les éléments qui permettent à l'utilisateur, dans une certaine mesure, d'identifier un programme malveillant sur son ordinateur

http://www.viruslist.com/fr/analysis?pubid=167948065

Détection des rootkit

 

La première étape à franchir pour combattre les rookit est de les détecter.

http://www.viruslist.com/fr/analysis?pubid=167948065

 

=> vous commencez à mieux comprendre l'alliance stratégique parefeu - antivirus - contôleur d'intégrité (comme Process Guard) - tueur/contrôleur de processus (comme IceSword) autre que le Gestionnaire des taches de Windows XP...

 

Amicalement.

[horus agressor]

Bonjour,

 

Nota : quand je me suis offert mon premier PC il y a plus de 2 ans maintenant, je n'arrêtais pas de me choper des véroles. Je ne disposais d'aucuns outils, ni antivirus, ni parefeu, je ne connaissais pas encore les forums comme celui-ci.

 

Ma "stratégie" de l'époque en cas d'infection : réinstaller Windows...Pas terrible, il y a mieux ai-je appris avec le temps et grâce à un pote qui a commencé à m'expliquer les choses, un pote que j'ai accepté d'écouter. Cela m'a pris énormément de temps pour commencer à maîtriser Windows, et je suis conscient que cet investissement n'est pas une volonté ni une possibilité pour tout le monde.

 

S'il y a des procédures et des outils de désinfection efficaces, il y a aussi des moyens pour tout simplement éviter de se choper des véroles, et là son comportement personnel est crucial.

 

Il y a même des moyens pour empêcher les véroles de "toucher" votre système , véroles conçuent pour désactiver votre panoplie d'outils de sécurité (parefeu et antivirus compris) à votre insu, au cas où, si suite à une erreur, la vérole se serait introduite sur votre C:\.

C'est la stratégie pour laquelle j'ai opté. Cela me permet de rester maître de mon PC, j'aime contrôler moi-même mes processus et les protéger contre toutes interventions malicieuses, j'aime savoir qui fait quoi sur mes PC, j'aime rester maître des programmes que j'ai installé et leur dire "Toi, tu as le droit de te connecter au Net, mais pas toi, je ne te fais pas confiance !"). Mais cela n'est que ma stratégie propre, à chacun(e) de trouver une configuration qui lui convienne

 

Je me suis dit que se serais une bonne chose d'essayer de donner quelques explications simples, pour tenter de justifier ce sujet...Je vais essayer de faire simple, mais cela ne sera pas très compliqué, vu que je suis moi-même un débutant qui commence à être vaguement éclairé

 

=> Vos avis et corrections seraient très bien venues

 

1) Vous venez d'installer un parefeu, un antivirus, un antispy qui tourne en arrière plan et même une protection de la base de registre (type TeaTimer de Spybot). Vous avez suivi tous les tutos pour bien les configurer.

 

Vous dites : <<Youpee, je vais pouvoir commencer à surfer peinard, bien à l'abri et en toute sécurité...>>

 

2) Vous surfez tranquille, vous tomber sur un site qui a l'air sympa et qui propose un programme sympa et gratuit (que je vais nommé "A").

 

Eh hop, vous le téléchargez et l'installez illoco. Bien sûr, vous êtes tellement sur votre nuage que vous avez négligé de mettre à jour votre antivirus ainsi que les mises à jour de Windows...Du style "ça peut attendre demain !".

3) Peu de temps après, vous remarquez que votre PC tourne au ralentit, que des écrans bleus commencent à se faire fréquents, que votre messagerie envoie des messages toute seule, que votre disque dur travail tout seul...

 

4) Il s'agit très probablement d'une infection. "A" contenait une vérole (cheval de Troie, virus,...).

 

Vous l'avez installé sans le scanner au préalable avec vos outils (antivirus, antispy).

 

Vous avez fait rentrer vous même l'ennemi dans vos murs... C'est bête ça, hein

 

La vérole va s'attaquer à vos outils de sécurité, en les désactivant (un peu comme le fait le Gestionnaire des taches de Windows lorsque vous cliquez sur "Terminer le processus"), et certaines véroles sont si bien conçues qu'elles arrivent même à vous faire croire que vos outils de sécurité sont toujours en fonction...

 

...sauf que ce n'est pas vous qui choississez d'arrêter le processus, c'est la vérole. Triste, hein ?

Vous avez les boules, et c'est compréhenssible.

 

Mais vous vous débrouillez et vous réussissez à désinfecter votre PC.

 

Vous vous dites, défaitiste : <<De la daube mes outils de sécurité, ils ne me servent absolument à rien ! Tous des nases sur les forums de sécurité !>> => FAUX

 

Pour éviter que cette sale mésaventure ne se reproduisent à nouveau, il faut commencer par se poser de meilleures questions, voir remettre son concept de la sécurité en question et se dire :

 

<<Comment puis-je faire pour protéger mes outils de sécurité contre toutes interventions malicieuses, à mon insu, et donc protéger ainsi mon PC contre les infections? et comment puis-je faire pour que rien ni personne, à par moi-même, ne puisse "Terminer le processus" ?>> => CELA EST POSSIBLE !

 

1) Installer un "contrôleur d'intégrité" et très bien le configurer (CECI EST VITAL !) de manière à protéger et contrôler ses outils de sécurité, sa messagerie, son browser (Internet Explorer, Firefox,...) et même à protéger le fameux (et fragile !) Gestionnaire des taches de Windows contre toutes interventions malicieuses.

 

Le contrôleur d'intégrité est une sorte de parefeu, mais interne, alors que le parefeu, lui gère les entrées et les sorties.

 

Pour imager :

 

=> Parefeu = un videur à votre porte

 

=> Contrôleur d'intégrité : le maître de la maison qui regardent si les invités se comportent bien et surtout s'ils ne volent rien quand vous avez le dos tourné.

 

2) Installer un log style "IceSword" pour avoir ses processus à l'oeil et pour pouvoir, puisque le Gestionnaire des taches de Windows sera "désactivé" (mais les autres onglets restent opérationnels, pas de soucis ), "terminer" vous même les processus, au cas où.

 

J'entends déjà celles et ceux qui vont dire : <<Il y a aura bien un hacker pour te casser la baraque !"

 

Oui, cela est possible. C'est pourquoi je reste vigilant et que je m'informe, je remets sans cesse ma configuration en question, je la fais évoluer au mieux, parce que "rien ne dure, tout change"

 

L'OS parfait ou le log parfait n'existe pas (encore ), mais il y a des choses comme :

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

=> c'est le meilleur des mondes possibles.

 

Et si jamais je devais me faire infecter, je me dirais que ma config n'était pas au point et je me creuserais les méninges pour colmater la faille et pour me recréer une config différente.

Sous Windows, il faut savoir s'adapter, et parfois très vite.

 

Avec des choses simples et des réflexes simples, ont s'enlèvent déjà beaucoup de soucis...

 

-= Ressources =-

http://forum.zebulon.fr/index.php?showtopic=64246

 

Amicalement.

[horus agressor]

Bonjour,

 

Pour signaler que j'ai éditer :

mercredi 07 juin 2006 à 09h51 Message #3

...pour corrections et pour divers rajoûts, en effet, il faut distinguer la v. 1.12 de la v. 1.18, la 1.18 comporte deux options supplémentaires, et le réglage dans Process Guard doit être différent.

 

De plus, la v. 1.18 est assortie d'une aide :

 

 

...c'est sympa

 

Amicalement.

[horus agressor]

Re-moi,

 

Petite précision concernant :

 

- IceSword

 

- le Gestionnaire des tâches Windows (tellement vulnérable en cas d'attaque, par un trojan par exemple) et

 

- Process Guard...

 

:!: Attention : il faut bien distinguer IceSword v. 1.12 de la v. 1.18 :!:

 

La v. 1.18 comporte 2 options supplémentaires par rapport à la v. 1.12 et la v. 1.18 doit être configurée différemment dans Process Guard par rapport à la v. 1.12

 

 

Il faut configurer Ice Sword dans Process Guard de manière à lui donner l'autorisation de tuer les processus (Capture 1 pour v. 1.12 et Capture 2 pour v. 1.18) à la place du Gestionnaire des tâches de Windows, Gestionnaire que l'on aura bien sûr interdit de tuer les processus via PG (Capture 3) :

 

=> Capture 1 => IceSword v. 1.12 dans PG

 

 

=> Capture 2 => IceSword v. 1.18 dans PG

Pour que IceSword v. 1.18 se lance, il faut cocher <<Install Drivers/Services>> dans "Other options for this application>>, c'est la seul différence de configuration à effectuer dans Process Guard par rapport à la v. 1.12 :!:

(je sais que cet nouvel avertissement fait doublon, mais je trouve utile de le rappeller...).

 

 

=> (Capture 3 => le Gestionnaire des tâches - taskmgr.exe - dans PG)

=> décocher <<Terminate protected applications>> empêchera de "terminer le processus" via le Gestionnaire de tâches de Windows.

 

=> le nouveau "tueur de processus" est maintenant IceSword :

 

 

=> pas d'inquiétude, s'il ne sera désormais plus possible de terminer les processus via le Gestionnaire des tâches de Windows, toutes ses autres fonctions restent parfaitement fonctionnelles, la liste des processus est toujours visible, et tout s'affiche normalement dans les autres onglets :

 

 

Le pauvre, un vrai Caliméro maintenant, personne ne l'aime ce pauvre Gestionnaire des tâches de Windows, c'est vraiment trop injuste, et tout le monde se lève pour IceSword qui, non seulement tue les processus mais aussi certains processus cachés que Windows "omet" de nous montrer => c'est de cette manière que les rootkit et autres véroles "discrètes" pourront être directement et simplement dérouillées via IceSword, les trucs suspects seront affichés en rouge, mais :!: TOUTES LES LIGNES ROUGES NE SONT PAS NéCESSAIREMENT DES VéROLES :!: alors prudence, IceSword pourrait se retourner contre vous si vous jouez trop aux apprentis-sorciers... :twisted:

 

 

Amicalement.

 

PS : Désolé pour les doublons entre les post

[horus agressor]

Je commence à vous énerver avec mes post à répétition

 

Juste pour signaler que j'ai modifié le titre de ce sujet

 

Amicalement.

Modifié le 9 juin 2006 par horus agressor

[horus agressor]

Bonjour,

 

Voilà quelques outils qui vont vous apporter la preuve que votre parefeu peut être "descendu" (désactivé, contourné,...) par une intrusion externe.

 

Ces tests ne sont que des tests, il ne s'agit aucunement de vrais véroles, dons, pas de soucis...

 

1) effectuez les tests sans votre contrôleur d'intégrité => le parefeu sera descendu (désactivé, contourné,...).

 

puis,

 

2) effectuez ces mêmes tests avec votre contrôleur d'intégrité activé (très soigneusement configuré, cela va de soit...) et vous verrez que ces intrusions seront bloquées, ce qui vous apportera la preuve qu'un contrôleur d'intégrité est une pièce maîtresse d'un PC bien sécurisé

Leak Tests contre les pare-feu (firewall)

http://assiste.free.fr/p/leak_test/leak_tests_accueil.php

Antivirus et Firewall, Un test d'extermination révélateur

http://forum.zebulon.fr/index.php?showtopic=66234

What is the purpose of Firewall Leak Tester ?

 

The purpose of this website is to inform users, to explain, and then to help improving your security.

http://www.firewallleaktester.com/

Firewalls outbound application filtering VS Leak Tests

http://www.firewallleaktester.com/tests.htm

 

Amicalement.