Nouvel utilitaire anti-parasites - Cyberhawk

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Nouvel utilitaire anti-parasites - Cyberhawk

Messagede pierre » 18 Juil 2006, 10:41

Bonjour

http://www.novatix.com/Cyberhawk/

Pas de base de signature. Analyse comportementale uniquement (probablement de type SandBox - à analyser - je ne pense pas qu'il s'agisse d'un contrôleur d'intégrité - voir la manière dont il s'installe).

Gratuit pour un usage personnel.

Prudence - tests sur une machine de test sous contrôle de Total Uninstal pour voir ce qui est touché et ne pas déployer en clientèle.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Jim Rakoto » 18 Juil 2006, 13:41

Salut

QQ infos complémentaires sur Libellules.ch
http://www.libellules.ch/dotclear/index ... -cyberhawk

Attention : ne pas utiliser conjointement avec KAV6 qui est déjà équipé d'un module semblable > Plantage du PC

Un commentaire de Novatix et les appréciations de membres de wildersecurity
Sorry for stepping in - I thought though that I could answer some of your questions directly.

- Cyberhawk will remain free. We intend though to offer a paid-for "Pro" version in the second quarter of 2006. Similar model to what other companies such a Zone Labs have done.

- The built-in rules are not exposed in the Settings dialog. This was done by choice to further simplify the product. We really want Cyberhawk to be easy to use for everyone, remove clutter, and offer some more advanced features for advanced users. I can see that it didn't take you guys too long to figure the product out. Cool!

- A lot of effort was done buidling "smarts" which is code that analyzes a process when a rule is triggered to determine how trustworthy the process actually is. The intension here is to cut down the false positives and prevent so called "dialog fatigue" which one experiences with firewalls for example. This is why you may not see Cyberhawk pop an alert dialog in some cases. We continue to work on "smarts" to even further reduce false positives.

- While we do not yet offer a discussion forum on our web site, it is our plan to get one up and running shortly. Stay tuned (www.novatix.com). We welcome feedback as it will help us enhance the product with guidelines coming directly from actual users.

Let me know if you have any questions and I'll be happy to help.

Mike Kronenberg
CEO, Novatix Corporation

http://www.wilderssecurity.com/showthread.php?t=118227


Voilà, voilà

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 19 Juil 2006, 00:53

Re,

Je vois une "Protection des programmes".
:?: :?: :?:

Il faut l'installer pour observer comment il s'installe. S'il fait un scan des fichiers c'est qu'il calcul des sha1 ou md5 des fichiers et donc agit en contrôleur d'intégrité, sinon c'est une sandbox.

Surpris qu'il donne les noms des parasites... il y aurait donc une base de signatures ?

A suivre.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Jim Rakoto » 19 Juil 2006, 08:42

Salut

Comme je le comprends d'après les commentaires ici ou là, il s'agit d'un mélange de PrevX + éditeur de règles, comme le contrôleur d'intégrité (module proactif) de KAV 6.

Plus souple que PrevX et qui permet la création de règles (éditeur de règles présent) pour la réalisation desquelles d'ailleurs le site demande des contributeurs pour créer une base de données

Libellules.ch a écrit:il ne se base pas uniquement sur une liste de signature, mais aussi sur des comportaments de programmes, il bloquera tout comportement jugé suspect


Je sens poindre, sur Assiste, une synthèse des démarches sécurité existantes car, et l'apparition de nouveaux utilitaires, et la création de fonctions nouvelles dans les utilitaires existants (AV, pare-feu) amène déjà des "plantages" chez ceux ou celles qui installent un maximum de programmes pour être en sécurité.

Réponse à Pierre

Cyberhawk does not rely on signature files to protect, but instead offers a better solution.

Cyberhawk’s advanced ActiveDefense technology intelligently analyzes the behavior of process and programs on a system and immediately halts any malicious action.

The patent-pending ActiveDefense technology is the most intelligent behavioral analysis technology available today.

It continuously monitors all activities on your PC at a very low system level and uses a proprietary combination of analytics, risk algorithms, program histories and tolerance thresholds to identify and shut down threats.

It proactively paralyzes any activity or behavior that might compromise the security of a PC so the PC is always protected, no matter how new the threat.
http://support.novatix.com/ics/support/ ... eptID=1603


Mais aussi
The Cyberhawk Secure Community is a worldwide network of active users who volunteer to aid in identifying new threats.
Any time a suspect alert is triggered in Cyberhawk, information related to this event is automatically reported to Novatix for analysis through a secure connection.

Any information collected is held completely confidential and is used solely for the purposes of researching new or previously unknown threats, gaining an understanding of their behaviors, and developing new protection against them. Information collected may include the Cyberhawk alert that fired, the history of relevant events leading to that alert, the decision taken, and any relevant IP address information.

This immediate confidential feedback on potentially dangerous new threats allows Novatix to advance its ActiveDefense technology to block these threats.

So as threat strategies evolve and new security penetration tactics emerge, Cyberhawk technology will remain at the forefront of the solutions that defeat those threats.


A+

Edité : une intéressante discussion sur wildersecurity m'amène à compléter les infos ci-dessus.

En gros, il existe 3 catégories de "contrôleurs d'exécution"

- contrôle d'exécution simple : présent dans de nombreux pare-feu

- contrôle des activités de bas niveau : présent dans SSM ou Processguard mais qui ne permet pas de distinguer toujours l'exécution d'une application légitime ou non.

- contrôle de comportement/IDS (Intrusion detection system): présent dans KIS ou KAV 6 , Cyberhawk, A2

Voici une recette donnée sur ce forum pour tester le contrôleur comportement/IDS

- Prendre un trojan qui ne va pas se copier lui-même dans c: et qui ne va pas modifier lui-même le registre (no autostart)

- lancer exécution du trojan pour qu'il ouvre un port

- ne pas bloquer cette exécution ( autrement dit ne pas choisir si cette exécution est bonne, connue ou malicieuse)

- attendre l'alerte du contrôleur de comportement/IDS

- S'il n'y a pas d'alerte, alors c'est un mauvais contrôleur

Ouaaarrfff

Source : http://www.wilderssecurity.com/showthread.php?t=131869
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Falkra » 19 Juil 2006, 09:05

Bonjour,

l'éditeur écrit partout qu'il n'y a pas de signatures, cependant le programme établit une connexion afin de vérifier la présence de mises à jour (du programme lui-même certes). Comment pourrait-il alors détecter les virus connus, si ce n'est par une certaine forme de liste (MD5 par exemple) ? Liste, signature, ne jouerait-on pas sur les mots ? Chaque nouvelle version du programme pourrait contenir une liste, ce ne seraient pas des signatures. D'ailleurs, depuis mon test, le programme a été mis à jour. (+ lien de téléchargement par download.com au lieu de lien direct sur leurs serveurs).

La "community protection" qui est mise en avant, affiche ses statistiques dans le programme, après connexion au réseau. De là à télécharger une liste de signatures (même succinte), je ne sais pas... :roll:

J'aurais dû écrire "il ne se base pas uniquement sur une liste de signature comme le ferait un antivirus" (encore que, maintenant les antivirus intègrent des modules d'intégrité, d'ailleurs KAV utilise les métadonnées comme le ferait un rootkit, pour y stocker de l'information il me semble).
Image
Falkra
 
Messages: 2
Inscription: 01 Oct 2004, 14:44

Messagede Jim Rakoto » 19 Juil 2006, 09:23

Bonjour Falkra

Bienvenue sur les forums d'Assiste

J'ai ajouté en édition de mon post précédent quelques infos complémentaires

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 19 Juil 2006, 23:29

Bonjour Falkra

Bienvenue

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27610
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 21 invités

cron