17 replies to this topic

[le barbier fou]

Bonjour à tous !
Le logiciel CyberHawk est, depuis quelques temps, devenu la propriété de PCTools. Ce dernier l'a rebaptisé ThreatFire et a enrichi la version gratuite de fonctions jusque là réservées à CyberHawk Pro.
J'ai lu certains tests de CyberHawk sur informars qui ne disaient pas vraiment du bien de CyberHawk. Donc je vous demande : ThreatFire a-t-il progressé par rapport à CyberHawk ?
Je m'intéresse à lui car il est le seul produit à avoir réussi mes tests ( que pratique d'habitude pour des antivirus et antispywares ).
En effet, il est le seul ( que j'ai vu ) à ,par exemple, stopper le programme d'installation de Kazaa avant l'ouverture de la fenêtre, les autres produits attendent généralement l'installation de Cydoor, RXToolBar, et des autres spywares pour agir ( et ne les bloquent pas vraiment en fait ). Aussi, il réussi à bloquer l'installation de plusieurs programmes responsables des pop-up Spyware secure ( adware assez coriace à supprimer ).
Mais comme c'est une protection contre les menaces Zero Day, je ne sais pas quels tests faire pour voir réellement son efficacité ou sa non-efficacité. Donc je m'en retourne à votre savoir.
Merci d'avance de vos réponses.

[Txon]

Salut !

Je ne sais pas ce que vaut la version actuelle de Cyberhawk/ThreatFire, mais les essais de début juillet 2007 portaient sur la version "pro" et le moins qu'on puisse dire est qu'elle n'était pas très efficace en tant que "HIPS" face à des rootkits que d'autres arrivaient à détecter (et à bloquer).

En effet, il est le seul ( que j'ai vu ) à ,par exemple, stopper le programme d'installation de Kazaa avant l'ouverture de la fenêtre, les autres produits attendent généralement l'installation de Cydoor, RXToolBar, et des autres spywares pour agir ( et ne les bloquent pas vraiment en fait ).

Dans ce cas c'est une fonction "HIDS" et non "HIPS" qui a dû s'activer si "Kazaa" est désigné comme malsain dans la base de connaissance de Cyberhawk/ThreatFire ("blacklist"). La protection "zero day" n'est pas assurée pour autant.

Je ne sais pas ce que vaut la nouvelle version, mais si elle a été améliorée, il faut bien se dire que les parasites de toutes sortes, rootkits malsains en tête sont encore plus performants (les deux dernières versions de "Unreal" en particulier sont "décoiffantes").

Agur !

[le barbier fou]

Merci de ta réponse.
Oui, je ne sais pas quels tests pratiquer pour voir l'efficacité de la protection Zero Day. Et je crois que PCTools a fait évolué le moteur même de CyberHawk/ThreatFire, donc peut-être qu'il se rattrappe. Je vais essayer de télécharger ce fameux Unreal, histoire de voir le résultat.

[Txon]

Re ...

Pour tester un logiciel de défense de type "HIPS" (pas un antivirus se basant sur une "blacklist), tu trouveras des suggestions >>> ICI
Les versions les plus récentes de Unreal sont à diffusion limitée et ne peuvent pas être rendus publics ... surtout depuis le départ de l'équipe de RootkitUnhooker vers MicrosoftLand.
Les anciennes versions sont toujours disponibles pour les essais?

Agur !

[le barbier fou]

Les anciennes versions sont toujours disponibles pour les essais?

Ben, la version stockée sur infomars n'est plus disponible..
Je me débrouillerais bien pour le trouver.

[noisette]

Hello Le Barbier Fou !

désolé, j'avais oublié de refiler le lien

http://infomars.fr/t...kit_1.0.1.0.zip


Ton antivirus devrait s'opposer au téléchargement .

En tout cas KAV7 m'a averti illico. Bon point pour lui.

[Kyro]

[le barbier fou]

Salut.
Merci pour le lien !
Déjà, Antivir ne réagit pas ( ni lors du téléchargement, ni lors de l'extraction, et ni lors de l'analyse du fichier en question ).
Mais j'ai un peu peur de le lancer pour voir la réaction de ThreatFire car je ne suis pas sur ma amachine virtuelle. Je vais lancer un scan de rootkit avec ThreatFire pour voir.
Il n'est pas dangereux au moins ?

[noisette]

Hello !

je cite Txon:

Rootkit « Unreal » version A (1.0.1.0) de e MP_ART © - janvier 2007 ...

* Description Unreal cache son processus dans les "ADS" (Alternate Data Stream) du disque système et le driver unreal.sys (C:\:unreal.sys) se cache lui-même à l'aide d'un "DKOM" (Direct Kernel Object Manipulation). Aucune crainte à l'utiliser, il est complètement inoffensif. Il ne sert aux utilisateurs qu'à tester les capacités de réaction de leurs défenses en cas de pénétration d'un rootkit comparable.

extrait de ce topic, dont je recommande la lecture à ceux qui veulent utiliser ces petites bebêtes

[le barbier fou]

Ah ! Me voilà rassuré !
Merci de ta réponse.

[le barbier fou]

ThreatFire avertit instantanément l'utilisateur lors de l'installation du rootkit.
D'ailleurs Antivir se réveille quelques secondes plus tard.

[noisette]

Ma fois, tu ne serais pas en train de commencer un test en bonne et due forme ?

[le barbier fou]

Ah non pas encore ! Je n'ai pas assez de "matériel" pour cela. Mais si vous voulez je peux tester la résistance du logiciel à la désactivation.

[noisette]

Tu es trop modeste .

Je suis un peu désolé de ne pas trop aider en ce moment dans le forum sécurité, mais ça va revenir.

[le barbier fou]

Aller, juste pour le plaisir, j'ai fait un petit test de résistance à la désactivation.

1) ThreatFire résiste bien au gestionnaire des tâches. C'est encore heuereux pour un logiciel spécialisé dans les malwares Zero-Day.

2) ThreatFire résiste aussi à Spybot 1.5

3) Par contre, pour Seem 4.5, ThreatFire reconnait qu'une tentative plus violente s'est produite, et en avertit l'utilisateur. Il me propose donc de fermer et de supprimer Seem. J'ignore la demande en cliquant sur "Allow". Malgré cela, ThreatFire résiste à Seem.

4) ThreatFire résiste aussi au "Forece Kill" de Rootkit Unhooker

5) Et lors de la tentative de désactivation par IceSword, il échoue sans même avoir le temps de réagir. D'ailleurs, je ne sais même pas si un logiciel arrive à résister à ce monstre.

[noisette]

Et aprés tu n'appelles pas ça un test ?



Rien à voir avec de mauvais résultats, donc. Cela signe sans doute un logiciel pas trop mal pensé à la base pour se défendre.
C'est tout un pan des compétences qu'on attend de lui que tu viens de tester là

[le barbier fou]

Et aprés tu n'appelles pas ça un test ?

Ben, en fait, je trouve ça un peu léger, un test avec un seul rootkit. J'aimerais surtout trouver des malwares récents pour tester la réaction de ThreatFire. La plupart du temps, j'ai l'habitude de faire des tests un peu plus poussés, mais si ça te convient, je ne vais pas me plaindre.

[noisette]

ah bah c'est un petit test, et pleins de petits tests font un grand test
et quand ils se rencontrent, ils se racontent des histoires de tests