Process Guard ou SSM

Modérateur: Modérateurs et Modératrices

Messagede michte » 28 Juin 2007, 18:01

Salut,

Comme SSM est un logiciel délicat à paramétrer, et que j'hésite pour des règles je préfère demander une fois pour pouvoir avancer avec de bonnes bases...
Si les règles de Process Guard sont applicables à SSM, je ne suis pas sûr de moi pour les "transposer" un petit exemple de paramétrage
pour SSM, serait un plus dans mon apprentissage...

exemple de règles pour Process guard:

winlogon.exe
Protected From : Termination + Modification + Reading
Authorized To : Termination + Modify + Read. Other options : Access Memory Physical + Secure Message Handling


Pour SSM cela donnerai (je n'ai encore rien fait):

onglet Règles Application;onglet Contrôle Système;Allow physical memory access (case cochée);Autoriser la terminaison du process (case cochée)
;Autoriser l'installation d'un pilote (case cochée);à quoi correspond Autoriser la fermeture du système pour les règles de PG ci-dessus?
Dans SSM j'ai donc tout interdit, dans l'onglet Code/DLL injection pour toutes les applis dont les règles sont avancées.

Si quelqu'un pouvait compléter ou corriger mes règles pour SSM concernant winlogon.exe, je pourrais ainsi continuer tranquillement de paramétrer les autres applications.

Je vous remercie pour les conseils que vous pourrez me donner. Je suis conscient que c'est un log qui, si il est mal paramétré, peut ouvrir des failles.

A+
Mes configs
"la terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
michte
 
Messages: 430
Inscription: 05 Sep 2006, 14:28

Messagede Vazkor » 29 Juin 2007, 19:49

Salut ô dieu égyptien,

Tu as enfin compris que le mieux est souvent l'ennemi du bien.
J'ai testé SSM, maitneant j'ai PG. Il tourne sans problème sur mon PC et je ne me prends pas la tête avec ses réglages.
Mes applications fiables si elle veulent installer un global hook, je le leur accorde.

@+

Allez, je retourne tester mon dico avec une liste de 250 000 mots d'ABU. :D
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Félix le Chat » 30 Juin 2007, 07:26

Bonjour,

L'abu [encore un qu'est pas dans le dico] n'évoquerait-il pas un voyage égyptien ?
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede michte » 30 Juin 2007, 18:18

Salut,

Je te remercie ô Horus pour toutes ces précieuses infos et corrections, pour Process Explorer, cela va faire déjà quelques mois que l'avais installé à la place du Gestionnaire des Tâches, pour raison de sécurité mais je ne l'ai pas encore vraiment utilisé à fond (petits contrôle des process en cours, CPU utilisé, recherche sur le process...) mais maintenant j'ai mis le lien du tuto dans mon Bookmark :wink:

Hier j'ai eû droit à un petit : "Error in XML parsing in config file" de la part de SSM, puis il s'est réinitialisé tout seul comme un grand, tout à Zéro, entraînant dans sa chute le pauvre Spyblocker et ses compteurs (même pas mal) j'ai donc de nouveau tout paramétré (Zen...) avec tout ce dont je dispose maintenant, mais j'avoue avoir quelques questions qui m'interpellent de nouveau, car je m'embrouille avec les "équivalences" des fonctions entre PG et SSM, à savoir:

1) Pour PG "Termination" dans l'onglet "protection" est-elle égale pour SSM à "Autoriser la terminaison du process" ?
2) Pour PG "Modification" je suis dans l'interrogative quand à SSM...
3) Pour PG "Reading" (idem) pour SSM ?

4) Pour SSM "Autoriser la modification des données à distance" je ne sais pas si pour PG c'est "Modify protected applications"

Je ne trouve pas non plus pour SSM les "correspondances" pour PG:

5) Autoriser la fermeture du système; 6) Autoriser le contrôle à distance du code; 7) garder ce processus en mémoire; 8) Autoriser ce process à éxecuter tout programme non classifié; 9) ne pas vérifier MD5 au démarrage; 10) Autoriser pour admin seulement.

Pour les définitions j'ai l'aide, mais comme je "m'appuie" sur les règles de PG j'ai besoin de savoir si il y a les "modules" correspondants pour SSM.

Je crois pouvoir dire que :

11) Pour SSM "Allow physical memory access" = "Access physical memory" dans PG
12) Pour SSM "Autoriser l'installation d'un pilote" = "Install drivers services" dans PG
13) Pour SSM "Autoriser les hooks globaux" = " Install global hooks" dans PG

J'ai toutefois autorisé Explorer.exe à "terminer un processus", mais dois-je continuer à "l'autoriser à fermer le système" ?

Merci encore, et bonne soirée.
Mes configs
"la terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
michte
 
Messages: 430
Inscription: 05 Sep 2006, 14:28

Messagede Félix le Chat » 01 Juil 2007, 14:51

Bonjour,

Je notule ici, le sujet est SSM vs ProcessGuard, mais j'ai touvé ce tuto ou il est question de Dynamic Security Agent qui semble un clone de PG [plus prometteur que ProcessGuard si on en croit ce tuto]. http://www.malekal.com/tutorial_DynamicSecurityAgent.php#mozTocId409319

On peut trouver Dynamic Security Agent ici http://www.privacyware.com/dynamic_security_agent.html

Merci d'avance pour les réponses

Pour ce qui me concerne, j'ai pas réussi à l'installer pour le tester, le dossier Privacyware dans "program files" n'a pas été créé et le reboot n'a pas été demandé.

J'ai essayé de contourner le problème en ouvrant l'installateur DSA.exe avec UniExtract, pas évident, mais pas mieux en essayant d'installer directement Dynamic Security Agent 1.0.msi.

Un regard dans Setup.ini montre que normalement XP sp n'est par supporté ?

[INDENT][SupportOS][/INDENT]
[INDENT]Win95=1[/INDENT]
[INDENT]Win98=1[/INDENT]
[INDENT]WinME=1[/INDENT]
[INDENT]WinNT4=1[/INDENT]
[INDENT]Win2K=1[/INDENT]

D'où, DSA peut-il être installé sous XP, si ce n'est pas le cas, peut-on contourner l'intallation automatique en plaçant les fichiers à la main, driver pwipf2.sys dans sytem32\drivers et pfproc.dll dans sytem32, pour cette dernière faut-il l'enregistrer ? si oui ? comment ?
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede michte » 02 Juil 2007, 18:46

Salut Horus,
Ton principal soucis semble être l'anglais

Yes, mon anglais est un peu JUST surtout l'anglais technique, et une mauvaise interprétation peut être fatale ISN'T IT ?

J'espère t'avoir répondu le plus complètement possible :roll:

Oui tu m'es d'une grande aide sur ce coup là, j'avance :wink:

...Sympa de me tenir au courant si cela devait t'arriver de devoir désinstaller ton parfeu/antivirus pour en tester un autre sous SSM

Je compte en effet changer de pare-feu, Kério devrait laisser sa place à Outpost (free) et je te tiendrai au courant pas d'problèmes.

Si je suis revenu à PG full (payant), c'est que je le trouve beaucoup plus simple à utiliser et beaucoup plus aisé à configurer, mais il faut le payer...Le gratiot est souvent excellent, mais pas toujours :roll:

Comme je te comprends! Je vais voir si "j'y arrive" avec SSM, sinon je vais être obligé de casser ma tirelire (lireulire) pour acquérir ce logiciel.

Encore merci pour tout.
Amicalement.


PS: j'ai également posté sur Zébulon sur les mêmes questions, cela pourra peut-être permettre à d'autres de répondre pour le reste.
Mes configs
"la terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
michte
 
Messages: 430
Inscription: 05 Sep 2006, 14:28

Messagede Félix le Chat » 02 Juil 2007, 18:59

Bonsoir,

Comme j'utilise depuis un certain temps PG, quelques remarques :

En règles globales -> protect, block, block, block sont activées

Citation:
explorer.exe
Protected From : Termination + Modification
Authorized To : Termination + Modify + Read
http://forum.zebulon.fr/index.php?showtopic=66717&hl=
Donc deux fois Oui, ta config est bonne pour explorer.exe,


Pour comprendre la suite... pour explorer.exe, j'utilise un fichier bat qui tue le bureau et le relance aussitôt avec des droits restreints par DropMyRights, donc seuls les programmes lancés avant ce script [antivirus et PG] ont hérités des droits d'administrateur, tous les autres vont hériter des droits d'un utilisateur restreint. Après cette manip, mon compte administrateur est "presque" devenu un compte utilisateur.

On pourrait aller plus loin en transformant très tôt dans la séquence de boot le compte administrateur d'une manière permanente en utilisant la clé magique de Sogno :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="StripMyRights.exe /D /L N"
et en utilisant un autre compte d'administrateur pour l'administration du pc [édité, c'ar j'ai pas testé les droits du second compte], c'est quasiment la voie utilisée par Vista... bref, on revient à PG...

Donc mes règles pour explorer.exe, dans mon contexte :

1) protect -> termination, modification, mais pas reading
2) authorize -> modify, read, mais pas terminate, donc mon exploorer.exe n'est pas autorisé à terminer des applications et ça fonctionne parfaitement
3) other -> install Global hooks [j'en avais probablement assez d'autoriser sans arrêt, d'autant qu'il ne lui reste pas beaucoup de droits après mon script], mais pas install, access, secure

[édité]
[édité 3ème]


La clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe
"Debugger"="StripMyRights.exe /D /L N" restreint les droits de tous les comptes créés sur l'ordinateur :

Another advantage is that it affects all users on the computer
http://www.sysint.no/nedlasting/StripMyRights.htm
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Horus Agressor » 03 Juil 2007, 15:07

Sympa d'avoir pu te rendre service Michte, l'anglais plus traditionnel de PG vaut mieux que le français lamentable et parfois dangereux de SSM, mais mieux vaut laisser chacun faire ses propres expériences, tous les chemins mènent à Rome, Outpost free, PG full et Avira Antivir free :Mouaaarrrrffffffff:

Pour Félix le Chat :roll: Combien de mètres carré de moquette dois-je fumer pour comprendre ton post ? :Mouaaarrrrffffffff: C'est vrai qu'en consacrant plus de temps à mes Windows, j'arriverais à te comprendre, mais se serait sans compter sur ma douce moitié qui me pendrait avec les cordons d'alimentation de mes PC :Mouaaarrrrffffffff:
L'été est là, et vu que je suis le Roi du barbecue et autres marinades, et que le tire-bouchon au dessus d'un Château-Neuf me titille, idem avec un couteau au dessus d'un Très Saint Epoisse et un bon pain frais à la croûte bien épaisse et croustillante, et que j'ai trouvé une mine d'or dans le chalet de la mémé de ma douce moitié, eau de vie datée 1952 et autres kirsh fait maison plus vieux que moi :roll: Donc mes tous congés de juillet = chalet, on verra plus tard...Mais bon, je déborde du sujet !

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Félix le Chat » 03 Juil 2007, 15:45

En plus court,

Dans mes réglages, explorer.exe n'a pas le droit de terminer des applications...

... je suis un adepte forcené du bureau avec droits restreints...

... et tout ça fonctionne très bien...

Bonne vacances... quant à la moquette, c'est la saison des soldes, c'est le moment de faire des stocks...
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede Horus Agressor » 08 Juil 2007, 01:41

Bonjour !
Bonsoir, bien que ce soit un logiciel de sécurité, j'ai pensé poser ma question ici; car il me semble avoir un problème de fonctionnement.J'ai désinstallé spyware terminator. Mais mon problème demeure.
Quand je fais une recherche sur la barre principale de firefox en inscrivant que "zébulon" sans www ni fr, il m'apparait un logo "crawler" que je n'arrive pas à supprimer. Voici l'image:...
http://forum.zebulon.fr/index.php?showtopic=125434
ça casse la baraque ce genre de truc, non ? :Mouaaarrrrffffffff:

Amicalement.

Je me répète pour la bonne cause :roll:
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

PrécédenteSuivante

Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité