Administrateur ou pas ??

Modérateur: Modérateurs et Modératrices

Messagede Horus Agressor » 18 02 2007

Bonsoir,

J'ai testé GesWall : excellent au début de l'installation, puis il me posait tellement de questions pointues que j'ai finit par ne plus plus rien y comprendre et par planter mon Windows adoré...J'ai fini par bloquer complètement mon système (OS WD XP SP2). Mais peut être suis-je trop bête ?

J'ai adopté DropMyRight...Malgré son peu de transparence...Privbar indique bien la réduction des droits sous IE ( PrivBar -- An IE/Explorer toolbar to show current privilege level http://blogs.msdn.com/aaron_margosis/ar ... 95350.aspx ) mais que pouic sous Firefox où seul un log, à ma connaissance, Process Guard, permet de voir que l'on lance un programme avec DropMyRight :

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 07 2005
Localisation: Derrière moi...

Messagede ogu » 18 03 2007

Bonjour.

j'ai aussi abandonné GeSWall, trop ardu à régler et trop restricitf pour un usage quotidien du net: impossible de passer par un gestionnaire de téléchargement par exemple,certaines bitmaps ne pouvaient pas se charger, dans Amsn par exemple...Le jour où un tuto existera, peut-être que les "utilisateurs moins avancés" comme moi y retourneront!!

Je teste actuellement DefenseWall (shareware, 30 jours d'essai):

http://www.softsphere.com/

Descriptif sur ZDNet:

http://www.zdnet.fr/telecharger/windows ... 16s,00.htm

Tuto de Malekal Morte:

http://www.malekal.com/tutorial_DefenseWall.html


Vous connaissez??Votre point de vue?

Est-ce compatible avec Process Guard?
Avatar de l’utilisateur
ogu
 
Messages: 204
Inscription: 02 07 2006
Localisation: Seine Saint Denis

Messagede Horus Agressor » 18 03 2007

ogu a écrit:...Je teste actuellement DefenseWall (shareware, 30 jours d'essai)...
...Est-ce compatible avec Process Guard?
Bonjour,

=> Une première chose, reprise dans le post initial de Jim, à propos de Processexplorer :
Pour vérifier les droits de Firefox que ce soit avec DMR, RunSafe, lancer FF au départ du raccourci DMR ou de la fenêtre RunSafe

Firefox apparaît dans le fenêtres du haut
Cliquer alors sur l'icône « Show process tree »

Une série de lignes apparaissent dans la fenêtre inférieure
Descendre jusqu'à la première ligne commençant par « File »
Vous devez voir apparaître à la fin de cette ligne : Dropmyrights ou RunSafe http://assiste.forum.free.fr/viewtopic. ... 7397#97397
l'icône « Show process tree » apparaît en grisé chez moi :? Mais je vois que Firefox "passe" par DMR via clique droit sur le processus Firefox puis Properties :

Image

=> A propos de DefenseWall, les témoignages me laissent quelque peu sceptique, ça fait un peu pub pour de la lessive à mon goût :
Testimonials :
"Excellent software. Very simple, easy to use, and elegant. I forget it's even there, yet it offers greater protection than any anti-virus and anti-spyware scanner can provide on their own. A must-have for anyone that wants or needs something to set-and-forget. - A.B. USA"

"I have been using DefenseWall almost since its conception and the protection it affords is great. Easy to install, setup and use and support is very responsive as well. Chris W., USA"

"DefenseWall is a very powerful and unobtrusive approach to protecting your computer from malware. Todd, USA"
http://www.softsphere.com/
...mais le tuto de Malekal semble annoncer de bonnes choses et de l'efficacité.

=> Process Guard : ...
# Agir en "pare-feu applicatif" (il ne s'occupe pas des ports comme les pare-feu habituels). Son travail sera de répertorier les applications et d'appliquer les règles qu'on lui donne : telle application a le droit de faire ceci, telle autre n'a pas le droit de faire cela. Par exemple, les Leak Tests qui prennent en défaut les pare-feu traditionnels peuvent être bloqués par Process Guard.

# Agir en prévention d'injection. L'une des grandes techniques utilisées par les parasites consiste à s'injecter dans les processus légitimes afin de profiter des droits de ceux-ci. Process Guard empêche ceci. Il empêche un processus d'en attaquer un autre.
... http://assiste.com.free.fr/p/logitheque ... sguard.php
Double emploi avec DefenseWall ? PG est donc, lui aussi, un outil de prévention, à installer sur un système propre bien entendu, voir aussi
...Cette astuce permet à PG, via son driver procguard.sys de démarrer avant tout le monde sous Windows et de détecter les anomalies au lancement...
http://forum.zebulon.fr/index.php?showt ... ntry954026
(à la base, il s'agit d'une astuce en cas d'écran bleu de la mort dû à PG)
...Il protège (ProcessGuard donc...) les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. http://assiste.com.free.fr/p/logitheque ... sguard.php
ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.... http://assiste.com.free.fr/p/logitheque ... sguard.php
bref, lire l'excellent tuto sur PG proposé par Assiste.

PG est payant lui aussi mais il bénéficie d'une référence et d'une excellente note sur Assiste au contraire de Defense Wall (après quelques recherches infructueuses, DW semble inconnu sur Assiste...), Defense Wall me paraît faire double usage avec PG, et sachant que trop de sécurité tue la sécurité...

J'ignore si cela à quelque chose à voir avec le sujet, mais :
=> Pour compléter l'excellent boulot de PG, je lui ai adjoint quelques camarades-anti-rootkit "gratuits" (camarades de surveillance, non résident donc, je précise)) comme RkU
rku "TrapZero" http://assiste.forum.free.fr/viewtopic.php?t=14824 et sur OpenForum http://www.open-files.com/forum/index.p ... opic=31049 (/!\ RkU déteste GMER, un autre excellent anti-rootkit, il faut choisir entre un des deux... GMER : http://gmer.net/files.php , pour ma part, j'ai opté pour RkU suite à la lecture de Les anti-rootkits...bof sauf 4 http://assiste.forum.free.fr/viewtopic.php?t=15339 ...tient, encore un excellent post de Jim, prolifique :Mouaaarrrrffffffff: )
, IceSword ( http://www.open-files.com/forum/index.p ... opic=29383 ) et Seem ( http://assiste.forum.free.fr/viewtopic.php?t=14610 et http://www.open-files.com/forum/index.p ... opic=30793 ), le tout doublé des outils Systernal de Mark Russinovitch : http://assiste.forum.free.fr/viewtopic. ... ssinovitch ...
...A réserver donc aux utilisateurs avertis !... http://assiste.forum.free.fr/viewtopic. ... ssinovitch
...Merci Vazkor :D Personnellement, j'ai installé la panoplie RegMon, ProcMon, DiskView et et FileMon histoire de voir mais je dois admettre que mon cerveau d'acarien est quelque peu outrecuit par les informations données par ses logs, alors si l'idée et la volonté te viendrait d'étoffer la chose, tu serais aussi bienvenu que la pluie dans le désert de Gobi :wink: Mais peut être que comme le dit L'Ecclésiaste 1, il n'y rien de nouveau sous le Soleil :?

Amicalement.

PS : Sacré Bon Dieu, pas court mon post, mais assez clair j'espère :shock: Sinon, j'accepte que mon post soit la version écrite de Casting Râté http://www.dailymotion.com/video/265043 :Mouaaarrrrffffffff:


Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 07 2005
Localisation: Derrière moi...

Messagede ogu » 20 03 2007

Salut.

Petit retour sur DefenseWall.

Au préalable, il fait (a priori) doublon avec ProcessGuard, comme confirmé par Malekal Morte lors d'une discussion avec lui: en effet il empêche que certains logiciels,dit "untrusted", n'installent des services ....Pourtant il semble agir comme GeSWall, en "isolant" du système les applications se lançant sur le Net, et en les empêchant de toucher au registre , ce que ProcessGuard ne fait pas.
"Les applications dit untrusted ne pourront écrire dans le registre, ajouter/charger des services, des programmes au démarrage de l'ordinateur, modifier des fichiers ou en ajouter. Concrètement, elles ne pourront faire aucune modification au sein du système."(dixit Malekal). Elles sont en effet lancées en droits restreints et dans une "zone virtuelle "(!??) si j'en crois la description du soft par l'éditeur.


J'aimerai avoir les avis d'expert pour savoir si DefenseWall et ProcessGuard peuvent cohabiter efficacement, sachant que je n'ai noté aucun dysfonctionnement ou conflit entre ces deux HIPS.


Autrement, DefenseWall est très simple à l'usage, bien plus que GeSWall (il suffit d'indiquer dans sa configuration quelles sont les applications "untrusted-celles qui se connectent au WEB; certaines sont réglées par défaut, de même pour certains services Windows).Le menu contextuel permet aussi de choisir sous quel statut lancer une applic'.

Image

Quand une applic' "untrusted" se lance, on retrouve la mention "DefenseWall status:Untrusted" dans le titre de la fenêtre.

Image

Pas de fenêtre d'alerte, ou de notification, ou d'info-bulles etc...En cas d'infection, un bouton permet de "killer" les applications surveillées.Une fenêtre permet de visualiser le log.

Image

Au niveau des ressources, j'ai noté sur mon système (dual core 1.6, 1024 MO Ram) qu'il utilisait 1% de CPU maximum par application lancée, mais plus généralement il tournait entre 0,7 et 1,5 % (avec Firefox, Thunderbird et aMSN).Il mange 12 000 ko de Ram.Au démarrage, je suis passé de 73 à 79 secondes.


Difficile par contre de juger de son efficacité réelle, je ne suis pas assez qualifié...Comparatif interessant ICI, mais je ne sais pas ce que vaut TechSupportAlert...Néanmoins DefenseWall s'y classe bien.Le site de l'éditeur fournit d'autres liens de test, mais à prendre avec des pincettes j'imagine !!

http://www.neatnettricks.com/SoftwareRe ... seWall.htm

http://security.over-blog.com/article-3030160.html

En essayant des "terminations" avec APT, bonne surprise: DefenseWall l'isole automatiquement, et APT ne peux même pas "lire" la présence de ProcessGuard, de NOD32 ou de Look n Stop.

Je l'ai trouvé beaucoup plus simple à utiliser et à comprendre que ProcessGuard, et moins pénible à l'usage que GeSWall.Il se fait vraiment discret et conviendra peut-être à ceux qui ne se sentent pas les épaules pour régler un contrôleur d'intégrité, ou ne savent pas quoi répondre aux alertes.

Je pense qu'il serait profitable que d'autres forumers plus avancés que moi se penche sur la question.Surtout pour juger de son efficacité conjointement à ProcessGuard...ou de son éventuel "doublonitude" avec ce dernier!!(Cette question m'OBSEDE !!)

Merci!!
Avatar de l’utilisateur
ogu
 
Messages: 204
Inscription: 02 07 2006
Localisation: Seine Saint Denis

Messagede Vazkor » 20 03 2007

Salut,

Attention aux obsessions qui tuent. J'ai arrêté d'intervenir tout un temps sur Assiste parce que j'en étais arrivé à ne rêver que de PC et d'être en train d'analyser des Logs HJT pendant mon sommeil. Il me fallait évacuer ce virus avant de revenir.
...Merci Vazkor ... Personnellement, j'ai installé la panoplie RegMon, ProcMon, DiskView et et FileMon histoire de voir mais je dois admettre que mon cerveau d'acarien est quelque peu outrecuit par les informations données par ses logs, alors si l'idée et la volonté te viendrait d'étoffer la chose, tu serais aussi bienvenu que la pluie dans le désert de Gobi
Les outils de SysInternals ne doivent pas être installés. Il suffit de les décompresser.
Certains utilitaires DOS doivent être mis dans le "path" ou dans un dossier facilement accessible en ligne de commandes.
RegMon et compagnie ne sont à lancer qu'occasionnellement par curiosité ou en cas de doute.
Pour comprendre leur fonctionnement et surtout les rapports il faut plutôt être un expert.

Bref, je n'ai pas trop envie à me remettre à étudier le peu de doc fournie avec ceux-ci. Les quelques neurones que j'ai encore en état de fonctionnement sont déjà assez sollicités.

Avec un peu d'habitude, je trouve Process Guard très facile à utiliser. Comme avec un pare-feu, en cas de doute, on refuse et on autorise progressivement si on constate qu'une application connue ne fonctionne pas comme on le voudrait.
Il est d'une efficacité redoutable. A propos de la protection de la BDR, je ne vois pas comment une application inconnue que l'on n'autorise pas à démarrer pourrait aller modifier le registre de Windows.

Le sérieux et la compétence de DiamondsCS - éditeur de TDS3 - n'est plus à démontrer alors que l'auteur de DefenseWall est pratiquement inconnu, à ma connaissance.

De ma passion pour tout ce qui touche à la cryptographie, j'ai retenu qu'un bon programme de cryptage ne peut jamais être testé valablement.
Un algorithme, une méthode ou une clé sera réputé incassable, tant qu'on n'y sera pas arrivé en y mettant les moyens. C'est donc au pied du mur que l'on reconnaîtra le maçon.

C'est aussi valable pour tous les programmes de sécurité, parce que l'on ne peut pas, comme pour un programme Office, voir s'ils font leur boulot comme on l'espère. La seule manière de les juger est de les prendre en défaut ou de les soumettre à des tests intensifs pas à la portée de tous.
Tant que ces programmes ne signalent rien, cela ne prouve pas qu'ils agissent efficacement.

A titre d'info, Process Guard 3.x Full version m'a coûté 31.50 € exactement en septembre 2005. Cela fait donc 18 mois que je l'utilise et j'ai déjà fait une mise à jour sans avoir dû dépenser un € de plus. Je ne peux pas dire que l'on m'a volé.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9756
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede ogu » 20 03 2007

Vazkor a écrit:Salut,

Attention aux obsessions qui tuent.


:) C'était une façon de parler!!Simplement, il me faudrait la réponse à cette question pour savoir quelle suite donner à mon essai, vu que DefenseWall est un shareware avec période d'essai.D'après toi font-ils doublon?


Vazkor a écrit:A propos de la protection de la BDR, je ne vois pas comment une application inconnue que l'on n'autorise pas à démarrer pourrait aller modifier le registre de Windows.


Certes...mais je ne jure plus de rien avec Windows, et la prudence est mère de sûreté etc...

Vazkor a écrit:Le sérieux et la compétence de DiamondsCS - éditeur de TDS3 - n'est plus à démontrer alors que l'auteur de DefenseWall est pratiquement inconnu, à ma connaissance.


C'est juste, mais il faut bien commencer un jour!!

A+
Avatar de l’utilisateur
ogu
 
Messages: 204
Inscription: 02 07 2006
Localisation: Seine Saint Denis

Messagede Vazkor » 20 03 2007

Salut,

- Y a pas un volontaire pour tester DefenseWall ?

- (silence)

- Bon, je vais jeter un oeil, mais je ne promets rien.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9756
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede Félix le Chat » 20 03 2007

Bonsoir,

J'ai installé et désinstallé, parce que payant, mais pourquoi ne pas engager un dialogue avec le développeur, comme pour runscanner, il répond volontiers aux questions qu'on lui pose, par exemple :

************************
Hello Félix le Chat,

Wednesday, January 25, 2006, 3:07:23 PM, you wrote:

G> Bonjour et thank for your interest,

G> Chm.exe = your help file = DefenseWall.chm

G> can you add in your help file [or inside your program] a model [example] list of possible untrusted process and folders , because your help file explain only the "how" without explaining the
G> "what" or the "why" ?

In fact, it is already explained in help file and at the first sheet
of the program's dialog.

G> Something like this

G> proposal untrusted folder -> explanation why
G> C:\Documents and Settings\ton compte\Application Data\ -> because -> explanation
G> C:\Documents and Settings\ton compte\Local Settings\ -> because -> explanation
G> C:\WINDOWS\system32\drivers\etc\ -> because -> explanation
G> C:\WINDOWS\repair\ -> because -> explanation
G> C:\WINDOWS\Registration\ -> because -> explanation
G> C:\WINDOWS\addins\
G> C:\WINDOWS\Help\
G> C:\WINDOWS\inf\
G> C:\WINDOWS\Config\
G> C:\WINDOWS\
G> C:\WINDOWS\System32\

G> proposal untrusted files -> explanation
G> cmd.exe,cmdl32.exe,drwtsn32.exe,, net.exe, net1.exe, nbtstat.exe, netdde.exe, netsh.exe, netstat.exe, nwscript.exe, pathping.exe, ing.exe, proxycfg.exe, gappsrv.exe, rasdial.exe, rcp.exe, rsh.exe,
G> sessmgr.exe, shadow.exe, shutdown.exe, smss.exe, systeminfo.exe, telnet.exe ? explorer.exe ?

G> à bientôt,

G> Félix le Chat

***********************

Hello Félix le chat,

Monday, January 23, 2006, 1:46:23 PM, you wrote:

G> Bonjour,

G> Questions regarding your DefenseWall :

G> 1) compatibility with others programs like Safety Safe Monitor, Process Guard, PreEmpt, WinPatrol, etc, etc ?

Yes, DefenseWall is compatible with the many security software. What
is exactly you are interested in?

G> 2) compatibility with Drop My Rights ?

100%

G> 3) annual licence or not ?

What do you mean "annual"?

G> 4) french version when ?

Well, I don't know. If I find french distributor - ASAP. If I don't
find- it will be depends on the number of my users in France.

G> 5) DefenseWall HIPS + DefencePlus promotion pack or not ?

DefencePlus defense core will be integrated into DefenseWall in the
future.

G> Merci d'avance,

G> Félix le Chat

G> 11:23:00 le 23/01/2006
G> XPro sp2, look 'n' Stop, Avast, Firefox avec Adblock, Foxmail, Spybot S & D, Spyware Blaster et Shield, ProcessGuard, WinPatrol et son fidèle Scotty, PreEmpt

DefenseWall is fully compatible with your security software list.

--
Best regards,
SoftSphere Technologies
www.softsphere.com
mailto:info@softsphere.com
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 08 2004

Messagede Vazkor » 20 03 2007

Salut,

J'ai lu attentivement tous les tests effectués, en particulier ceux de kareldjack.
DefenseWall paraît effectivement très efficace mais ne procède pas comme ProcessGuard.
Les deux pourraient donc être complémentaires mais je pense que ce serait de l'overkilling que de les utiliser en même temps.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9756
Inscription: 05 11 2002
Localisation: Ans, BE

Messagede Jim Rakoto » 20 03 2007

Salut

L'un ou l'autre test
http://www.techsupportalert.com/Securit ... 0V1.71.htm

Un analyse complète
http://security.over-blog.com/article-3088768.html
(voir les tests dans colonne de droite)

A+

édité : damned, grilled by Vazkor :D
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 03 2004
Localisation: Durbuy

PrécédenteSuivante

Retourner vers Windows (toutes versions) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités

cron