TiraniumData Security - AntiVirus à Comportement - 2013

Logiciels

Modérateur: Modérateurs et Modératrices

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede pierre » 04 Nov 2012, 00:19

Bonsoir Seven7,

Lorsque TitaniumData Security à un doute et soumet l'objet du doute à un service multi-antivirus en ligne, quel est l'objet soumis ? Le code en mémoire, le fichier d'origine (quid lorsqu'il n'est pas trouvé ?), le hash code de l'un ou l'autre puis le code ou le fichier si le hash n'est pas trouvé ?

Questions précises :

Comment TitaniumData Security fait la différence entre un ordinateur sur lequel s'exécute un bot de mass mailling et un outil de mass mailing (par exemple pour envoyer une lettre à de multiples destinataire) ? Ce sont deux outils identiques qui ont un comportement identique aux yeux de TitaniumData Security, non ? Il me semble que seules leurs signatures (leur hash code) confrontées à une liste blanche ou une liste noire permet de les différencier, ou l'identification d'une portion de code spécifique.

Quelle est la différence entre un client de calcul distribué au service de l'établissement du génome humain et un client ayant transformé l'ordinateur en zombie dans un BotNet ? Ils ont très exactement le même comportement aux yeux de TitaniumData Security, non ? Comment TitaniumData Security négocie avec les faux positifs et les faux négatif ?

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26673
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede pierre » 04 Nov 2012, 12:07

Re,

Autre question :

A quoi est due le fait que TitaniumData Security ne fonctionne pas avec Internet Explorer ? Et que vient faire la notion de navigateur dans le comportement d'un antivirus ?

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26673
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede Seven7 » 04 Nov 2012, 19:07

Bonsoir bonsoir,

Je vous remercie d'avoir mit à jour le sujet ^.^

Lorsque TitaniumData Security à un doute et soumet l'objet du doute à un service multi-antivirus en ligne, quel est l'objet soumis ? Le code en mémoire, le fichier d'origine (quid lorsqu'il n'est pas trouvé ?), le hash code de l'un ou l'autre puis le code ou le fichier si le hash n'est pas trouvé ?


Cela arrive très rarement que TitaniumData soumet un objet en multi-antivirus, en général elle se débrouille tout seul, a part en cas d'exception de comportement bizarre + comportement identique d'un fichier normal en même temps (Oui, c'est possible, parfois comme les trojans, il est possible qu'il tente de ce cacher en changeant son code par celle d'un fichier normal et s'injecte ailleurs.).
Dans ce cas, il soumet alors automatiquement le code (binaire / hex) du programme en analyse puis récupère automatiquement le résultat. Dans ce genre de cas, il y a 90% de chance que le résultat soit négatif (0 / 36). C'est pourquoi, Titanium recommande à l'utilisateur de lancer un second analyse dans ce cas.

Comment TitaniumData Security fait la différence entre un ordinateur sur lequel s'exécute un bot de mass mailling et un outil de mass mailing (par exemple pour envoyer une lettre à de multiples destinataire) ? Ce sont deux outils identiques qui ont un comportement identique aux yeux de TitaniumData Security, non ? Il me semble que seules leurs signatures (leur hash code) confrontées à une liste blanche ou une liste noire permet de les différencier, ou l'identification d'une portion de code spécifique.

Titanium doute du comportement dès qu'un second mass mail est lancé. (je m'explique:
Par ex. 30-40 mails lancé au premier coup, aucun signalement.
Mais si le même programme tente de lancer encore le même nombre de mails après un moment, dans ce cas elle sera détecté comme malveillant).

Il y a quelques malveillants que TitaniumData n'est pas capable de reconnaître son comportement, cela pourrait être un bot qui envoi 1 mail tous les 2 jours, elle ne remarquera rien de suspect.
Même un antivirus à comportement à des limites, mais vous pouvez toutefois utiliser un antivirus gratuit à côté pour ce genre de cas.




Quelle est la différence entre un client de calcul distribué au service de l'établissement du génome humain et un client ayant transformé l'ordinateur en zombie dans un BotNet ? Ils ont très exactement le même comportement aux yeux de TitaniumData Security, non ?

Je n'ai pas complétement compris votre question (^.^) mais pour ce qui est des botnets, nous avons fait plusieurs tests avec différentes sources, elles ont tous était détectés sans problème.

Comment TitaniumData Security négocie avec les faux positifs et les faux négatif ?

Les faux positifs?
Si un malveillant est détecté comme 5/5 vous pouvez en être sûr qu'il y a quelque chose qui cloche. Mais si vous tombez dans un cas de 1/5 et que vous pensez que c'est un faux positif, vous pouvez ouvrir une requête, nous répondrons si ceci est un faux positif (dans ce cas, nous ajoutons ce fichier dans notre DB-PHP pour éviter la signalisation dans le futur) ou non mais en général, un niveau de 1 / 5 n'est jamais très grave.



A quoi est due le fait que TitaniumData Security ne fonctionne pas avec Internet Explorer ? Et que vient faire la notion de navigateur dans le comportement d'un antivirus ?


Et bien c'est très bizarre, je l'avoue. Mais d'après nos recherches, nous avons appris qu'Internet Explorer pouvait fausser les résultats des comportements (envoi des données cachés à l'extérieur) c'est pourquoi nous avons décidé de bloquer Internet Explorer. De plus, il faut être fou pour utiliser IE ^^
Au moins, nous mettons dans la bonne route ceux qui ne savent pas que d'autres navigateurs, plus rapide, existent.




Voilà, j'espère avoir répondu à tous vos questions sans en oublier.
Je m'excuse pour les fautes, je vous écrit rapidement, je n'ai plus d'ordinateur actuellement, mais ne vous inquiétez pas, j'ai tous les sources dans un HDD extérieur, je continue de travailler sur TD. ^^


Bonne soirée.
Je vous remercie.
Seven7
 
Messages: 9
Inscription: 25 Oct 2012, 10:16

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede Seven7 » 04 Nov 2012, 19:08

Désolé, j'ai oublié d'ajouter.

A présent, TitaniumData dispose d'un SandBox (bac à sable).
Seven7
 
Messages: 9
Inscription: 25 Oct 2012, 10:16

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede pierre » 05 Nov 2012, 00:37

Bonjour,

Temps réel ou toujours pour y regarder le comportement de quelque chose qui a paru suspect après s'être lancé (toutes les 10 secondes)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26673
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede nickW » 05 Nov 2012, 01:56

Bonsoir,

Seven7 a écrit:...
Non, le logiciel agit selon le garde en temps réel qui vérifie tous les 10 secondes si de nouveaux fichiers ont été créés pour ensuite les analyser en les exécutant en SandBox (pas encombrant et rapide) pour visualiser ce que le programme tente de faire. Ensuite, selon un niveau obtenu grâce à cela (sur 2), elle avertie l'utilisateur (si le niveau > 0) d'une possible danger, après, l'utilisateur peux décider de refaire une analyse comportementale plus longue (2min environ), qui détermine un niveau sur 5 du danger. Toutefois, l'analyse complète n'utilise pas de SandBox pour être plus rapide et pour moins encombrer. Elle obtient le comportement du programme en l’exécutant directement (en fond).



Ceci me rappelle cela:

Assiste a écrit:Attention !
Le module appelé " Tea Timer " de Spybot Search & Destroy est présenté comme un module temps réel. C'est totalement faux ! C'est un batch qui tourne à intervales réguliers et qui ne détecte les modifications faites au système que trop tard, une fois les modifications faites (une fois le parasite installé) !
Source: http://assiste.free.fr/Assiste/Spybot_S ... stroy.html


10 secondes ... c'est bien plus qu'il n'en faut pour zombifier n'importe quel PC!

Si les "nouveaux fichiers créés" sont invisibles de l'OS, TD pourra-t-il agir?
S'il y a modification de droits (privilèges) TD pourra-t-il agir?

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede Seven7 » 05 Nov 2012, 10:39

Bonjour,

Temps réel ou toujours pour y regarder le comportement de quelque chose qui a paru suspect après s'être lancé (toutes les 10 secondes)


Mais les 10 secondes, c'est bien en "automatique" (quand il n'y a rien qui ce passe). Si un nouveau fichier ce créé (comme en 90% du temps), l'analyse ce lance automatiquement + sur ce le fichier créé.


Si les "nouveaux fichiers créés" sont invisibles de l'OS, TD pourra-t-il agir?
S'il y a modification de droits (privilèges) TD pourra-t-il agir?


TitaniumData fonctionne avec les droits de Windows (également sur ses propres dossiers) en plus de ce lancer en "Administrateur". En général, les droits ne posent aucun problème, et si cela arrive, le vérificateur (au démarrage du PC) s'occupera de la supprimer quoi qu'il fasse, invisible, avec les droits ou autres.

Comme en grande partie des cas, les trojans, keyloggers etc. sont en "Invisible" comme vous le dite. Et il n'y a eu aucun problème pour les détecter. TitaniumData se lance en "Administrateur" ce qui lui permet de visualiser les fichiers cachés de l'OS.



J'espère avoir répondu à toutes vos questions.
Je vais tenter d'enregistrer une vidéo lors d'une infection par Trojan crypté pour vous présenter mieux le fonctionnement. Je vous fais ça dès que je suis un peu disponible.
Bonne journée.
Seven7
 
Messages: 9
Inscription: 25 Oct 2012, 10:16

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede Seven7 » 06 Nov 2012, 20:04

Seven7
 
Messages: 9
Inscription: 25 Oct 2012, 10:16

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede pierre » 06 Nov 2012, 20:07

Une minute plus tard, j'ai frappé et une fenêtre noire s'est ouverte.
Un très beau noir, profond...
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26673
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: TitaniumData Security - AntiVirus à Comportement - 2013

Messagede pierre » 01 Juil 2013, 03:39

Bonjour,

En mettant à jour les fiches du site, je m’aperçois que nous n'avons plus de nouvelles de ce produit qui semble continuer d'évoluer.

Il a changé de nom pour s'appeler, désormais, TiraniumData Security
Il s'agit probablement d'un litige avec Trend (Trend Micro) et son Titanium Antivirus

Il a changé de site pour se trouver sur http://titaniumdata.servfr.net/
L'ancien site ne renvoi pas vers le nouveau. Il faut fouiller pour le retrouver.
L'hébergement de ce site est agaçant (il faut autoriser une foule de serveurs)
Le formulaire de contact est impossible à utiliser (des polices de caractères inconnues sont utilisées, qui ne sont pas remplaçables par des polices par défaut, et sont bloquées - cela fait beaucoup trop de trucs à autoriser pour y accéder)

Il est présent sur SourceForge dont serait un projet Open Source dont
http://de.sourceforge.jp/projects/sfnet_titaniumdata/
http://es.sourceforge.jp/projects/sfnet ... /releases/
https://sourceforge.net/projects/titaniumdata/

Il est gratuit - illimité - avec une assistance en télémaintenance gratuite, ce qui me laisse perplexe car ce type d'intervention ne se fait que dans un profond climat de confiance qui ne s'acquiert pas du jour au lendemain.

Je change le titre de ce fil et je fais un alias sur le site.

Cordialement
Avatar de l’utilisateur
pierre
 
Messages: 26673
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

PrécédenteSuivante

Retourner vers Logithèque

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités