Appel aux zimiens chevronnés pour tester ThreatFire
#1
Posté 19 janvier 2008 - 16:43
Le logiciel CyberHawk est, depuis quelques temps, devenu la propriété de PCTools. Ce dernier l'a rebaptisé ThreatFire et a enrichi la version gratuite de fonctions jusque là réservées à CyberHawk Pro.
J'ai lu certains tests de CyberHawk sur informars qui ne disaient pas vraiment du bien de CyberHawk. Donc je vous demande : ThreatFire a-t-il progressé par rapport à CyberHawk ?
Je m'intéresse à lui car il est le seul produit à avoir réussi mes tests ( que pratique d'habitude pour des antivirus et antispywares ).
En effet, il est le seul ( que j'ai vu ) à ,par exemple, stopper le programme d'installation de Kazaa avant l'ouverture de la fenêtre, les autres produits attendent généralement l'installation de Cydoor, RXToolBar, et des autres spywares pour agir ( et ne les bloquent pas vraiment en fait ). Aussi, il réussi à bloquer l'installation de plusieurs programmes responsables des pop-up Spyware secure ( adware assez coriace à supprimer ).
Mais comme c'est une protection contre les menaces Zero Day, je ne sais pas quels tests faire pour voir réellement son efficacité ou sa non-efficacité. Donc je m'en retourne à votre savoir.
Merci d'avance de vos réponses.
#2
Posté 19 janvier 2008 - 17:39
Je ne sais pas ce que vaut la version actuelle de Cyberhawk/ThreatFire, mais les essais de début juillet 2007 portaient sur la version "pro" et le moins qu'on puisse dire est qu'elle n'était pas très efficace en tant que "HIPS" face à des rootkits que d'autres arrivaient à détecter (et à bloquer).
Je ne sais pas ce que vaut la nouvelle version, mais si elle a été améliorée, il faut bien se dire que les parasites de toutes sortes, rootkits malsains en tête sont encore plus performants (les deux dernières versions de "Unreal" en particulier sont "décoiffantes").
Agur !
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
#3
Posté 19 janvier 2008 - 17:52
Oui, je ne sais pas quels tests pratiquer pour voir l'efficacité de la protection Zero Day. Et je crois que PCTools a fait évolué le moteur même de CyberHawk/ThreatFire, donc peut-être qu'il se rattrappe. Je vais essayer de télécharger ce fameux Unreal, histoire de voir le résultat.
#4
Posté 19 janvier 2008 - 18:01
Pour tester un logiciel de défense de type "HIPS" (pas un antivirus se basant sur une "blacklist), tu trouveras des suggestions >>> ICI
Les versions les plus récentes de Unreal sont à diffusion limitée et ne peuvent pas être rendus publics ... surtout depuis le départ de l'équipe de RootkitUnhooker vers MicrosoftLand.
Les anciennes versions sont toujours disponibles pour les essais?
Agur !
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)
#5
Posté 19 janvier 2008 - 18:09
Je me débrouillerais bien pour le trouver.
#6
Posté 05 février 2008 - 17:11
désolé, j'avais oublié de refiler le lien
http://infomars.fr/t...kit_1.0.1.0.zip
Ton antivirus devrait s'opposer au téléchargement .
En tout cas KAV7 m'a averti illico. Bon point pour lui.
#8
Posté 06 février 2008 - 17:40
Merci pour le lien !
Déjà, Antivir ne réagit pas ( ni lors du téléchargement, ni lors de l'extraction, et ni lors de l'analyse du fichier en question ).
Mais j'ai un peu peur de le lancer pour voir la réaction de ThreatFire car je ne suis pas sur ma amachine virtuelle. Je vais lancer un scan de rootkit avec ThreatFire pour voir.
Il n'est pas dangereux au moins ?
#9
Posté 06 février 2008 - 17:45
je cite Txon:
* Description Unreal cache son processus dans les "ADS" (Alternate Data Stream) du disque système et le driver unreal.sys (C:\:unreal.sys) se cache lui-même à l'aide d'un "DKOM" (Direct Kernel Object Manipulation). Aucune crainte à l'utiliser, il est complètement inoffensif. Il ne sert aux utilisateurs qu'à tester les capacités de réaction de leurs défenses en cas de pénétration d'un rootkit comparable.
extrait de ce topic, dont je recommande la lecture à ceux qui veulent utiliser ces petites bebêtes
#10
Posté 06 février 2008 - 17:49
Merci de ta réponse.
#11
Posté 06 février 2008 - 18:30
D'ailleurs Antivir se réveille quelques secondes plus tard.
#12
Posté 06 février 2008 - 18:40
#13
Posté 06 février 2008 - 18:45
#14
Posté 06 février 2008 - 18:50
Je suis un peu désolé de ne pas trop aider en ce moment dans le forum sécurité, mais ça va revenir.
#15
Posté 06 février 2008 - 20:17
1) ThreatFire résiste bien au gestionnaire des tâches. C'est encore heuereux pour un logiciel spécialisé dans les malwares Zero-Day.
2) ThreatFire résiste aussi à Spybot 1.5
3) Par contre, pour Seem 4.5, ThreatFire reconnait qu'une tentative plus violente s'est produite, et en avertit l'utilisateur. Il me propose donc de fermer et de supprimer Seem. J'ignore la demande en cliquant sur "Allow". Malgré cela, ThreatFire résiste à Seem.
4) ThreatFire résiste aussi au "Forece Kill" de Rootkit Unhooker
5) Et lors de la tentative de désactivation par IceSword, il échoue sans même avoir le temps de réagir. D'ailleurs, je ne sais même pas si un logiciel arrive à résister à ce monstre.
#16
Posté 06 février 2008 - 20:38
Rien à voir avec de mauvais résultats, donc. Cela signe sans doute un logiciel pas trop mal pensé à la base pour se défendre.
C'est tout un pan des compétences qu'on attend de lui que tu viens de tester là
#17
Posté 07 février 2008 - 18:50
Ben, en fait, je trouve ça un peu léger, un test avec un seul rootkit. J'aimerais surtout trouver des malwares récents pour tester la réaction de ThreatFire. La plupart du temps, j'ai l'habitude de faire des tests un peu plus poussés, mais si ça te convient, je ne vais pas me plaindre.
#18
Posté 07 février 2008 - 19:15
0 utilisateur(s) en train de lire ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)