3 replies to this topic

[Txon]

== Description ==

== Traduction libre d'extraits de la FAQ officielle ==

Cyberhawk de Novatix Corporation est un logiciel de sécurité « zero-day » pour les untilsateurs communs. Cyberhawk protège en temps réel contre les virus, les vers, les trojans, les spywares, les adwares, les rootkits, les keyloggers, et des débordements de mémoire tampon. Il est conçu pour être employé en complément de votre antivirus courant pour vous protéger entre ses mises à jour. Puisqu'il est basé sur l'analyse comportementale et non sur la signature, Cyberhawk protège contre les menaces connues et inconnues ou « zero-day ». Il est facile à installer, indolore à l'utilisation, et immédiatement efficace contre les menaces qui pèsent aujourd'hui sur la sécurité de l'ordinateur. Et le meilleur de tous, Cyberhawk est gratuit à usage personnel.

Cyberhawk ne se fonde pas sur des fichiers de signature pour protéger, mais offre à la place une meilleure solution. La technologie avancée d'ActiveDefense de Cyberhawk analyse intelligemment le comportement des processus et des programmes sur un système et stoppe immédiatement n'importe quelle action malveillante. La technologie en attente de brevet ActiveDefense est la technologie d'analyse comportementale la plus intelligente disponible aujourd'hui. Elle surveille sans interruption toutes les activités sur votre PC à un niveau très bas du système et emploie une combinaison d'analyses « propriétaires », d'algorithmes de risque, d'historiques de programme et de seuils de tolérance pour identifier et arrêter les menaces. Elle paralyse proactivement n'importe quelle activité ou comportement qui pourraient compromettre le degré de sécurité d'un PC. Ainsi le PC est toujours protégé, aussi nouveau que soit le type de menace.

En quoi Cyberhawk est-il différent ou meilleur que d'autres produits sur la protection comportementale ?
Les raisons principales sont les suivantes :

• Cyberhawk n'exige aucun paramétrage ou configuration à faire par l'utilisateur. Il est complètement configuré en l'état original et il n'exige pas de réglage difficile ou deconnaissances techniques de la part de l'usager.
• La technologie en attente de brevet ActiveDefense™ de Novatix offre le de plus haut niveau d'intelligence en déterminant ce qui constitue une menace ou non. Ceci a comme conséquence une incidence de « faux positifs » plus limitée que pour les solutions basées sur le comportement actuellement disponibles.
• Tandis que Cyberhawk utilise un « liste blanche » pour réduire le nombre de faux positifs potentiels, il ne fait pas confiance aveugle aux applications de cette « whitelist ». Cyberhawk néanmoins examine toujours tous les événement exécutés dans le système et il vous alertera si quelque chose de douteux se produit, indépendamment de si cela provient d'une application de la liste blanche ou non. Puisque n'importe quelle application peut être corrompue, la confiance en n'importe quelle application est une approche fondamentalement dangereuse et inefficace pour n'importe quel logiciel de sécurité.
• Cyberhawk est spécifiquement conçu pour avoir un impact minimal sur les ressources informatiques, beaucoup moins que d'autres solutions basées sur l'analyse du comportement, et moins que des logiciels classiques antivirus et anti-spyware. Pour une aide à la décision et puisqu'il consomme aussi peu de ressources, il peut fonctionner à côté de vos autres lourds programmes de sécurité, constituant une couche supplémentaire de défense.

== Versions « pro » et « basic » ==

Cyberhawk existe en deux versions dont une gratuite à usage personnel. La version « pro », payante, est cependant fournie à l'essai pour deux semaines quand on souhaite télécharger la version gratuite « basic ». Une mesure fortement incitative à l'achat qui ne plaira pas à tout le monde.

Quelques liens ...

• >> Novatix Cyberhawk (en - site officiel)
• >> F.A.Q (en - site officiel)
• >> User manual (.pdf - en)
• >> Download (en -site officiel)

…\…

[Txon]

.../...

== Caractéristiques v2.0.4 ==

Suivant les descriptif de son éditeur, Cyberhawk serait un HIPS en temps réel. Il disposerait en plus d'un scanner de maliciels en temps différé.

[1]

• Versions du système ... Windows 32-bit seulement : Windows Vista, Windows XP SP1 or SP2 (Home, Pro & Media Center Editions), Windows 2000 SP 4 avec Update Rollup 1, ou Windows 2003
• 15 Mo sur le disque dur.
• Quelques une des fonctions ont besoin d'une connexion à internet.

[2] – Processus et drivers.
Cyberhawk utilise deux processus : "CHTray.exe" qui utilise au maximum un peu plus de 5Mo de mémoire et "CHService.exe" qui, en pointe, consomme environ 20Mo de mémoire.

Cyberhawk utilise trois drivers : "NxSysMon.sys", "NxNetMon.sys" et "NxFsMon.sys" ... Il faudrait vérifier s'il utilise aussi un driver très spécial : "mchInjDrv.sys" pour effectuer ses crochetages 'Inline'.

[3] – Bibliothèque logicielles/ [Edit – 2007.07.04]

Un nombre d'important de librairies sont disposées dans les fichiers communs : celles chargées par le c:\program files\fichiers communs\novatix\cyberhawk\chservice.exe
CHCR.dll 01EA0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHCR.dll
CHDBM.dll 015D0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHDBM.dll
CHEngine.dll 009F0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHEngine.dll
CHLog.dll 00BF0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHLog.dll
CHMisc.dll 00340000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHMisc.dll
CHMon.dll 00E10000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHMon.dll
CHOriginator.dll 01D50000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHOriginator.dll
CHQuarantine.dll 01450000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHQuarantine.dll
CHRK.dll 014A0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHRK.dll
CHScan.dll 025F0000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHScan.dll
CHServer.dll 10000000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHServer.dll
CHService.exe 00400000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHService.exe
CHTM.dll 01920000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHTM.dll
CHUndo.dll 01430000 C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHUndo.dll

[4] – Registre Windows.
A l'installation, CyberHawk implante des centaines de clés et valeurs dans le Registre Windows.

Une des clés est celle de son lancement automatique au démarrage du système.

Toutes les clés ne sont pas enlevées par le désinstallateur, en particulier les différentes clés « Legacy » d'un des processus et des drivers.


[5] – Crochetages.
SSDT ... par son driver NxSysMon.sys

Côté hook kernel, Seem voit la même chose que RkU
SSDT [041] NtCreateKey 0x80618E86 0xEF838058 c:\windows\system32\drivers\nxsysmon.sys SSDT Address hook
SSDT [063] NtDeleteKey 0x80619316 0xEF839BAE c:\windows\system32\drivers\nxsysmon.sys SSDT Address hook
SSDT [065] NtDeleteValueKey 0x806194E6 0xEF839D00 c:\windows\system32\drivers\nxsysmon.sys SSDT Address hook
SSDT [247] NtSetValueKey 0x80617546 0xEF839FFE c:\windows\system32\drivers\nxsysmon.sys SSDT Address hook
SSDT [257] NtTerminateProcess 0x805C776C 0xEF83BB86 c:\windows\system32\drivers\nxsysmon.sys SSDT Address hook

Inline ... des dizaines de crochets qui touchent de nombreux processus génériques de Windows : "services.exe", "lsass.exe", "svchost.exe", "explorer.exe", "spoolsv.exe", "ctfmon.exe", "installer.exe" et d'autres programmes comme par exemple les processus de contrôle des modems (ou routeurs) quand il les connaît.

La librairie qui réalise ces hooks est certainement "C:\Program Files\Fichiers communs\Novatix\Cyberhawk\CHWAH.dll". C'est l'unique librairie concernant cyberhawk chargée par ces programmes hookées, si tu forces le déchargement de cette librairie, les hooks disparaissent.

…\…

[Txon]

.../...

Puisque la version « pro » limitée dans le temps est fournie d'office, c'est elle qui a fait les frais des contrôles et essais avec les paramètres par défaut et les règles standards, en l'état de la version 2.0.4 téléchargée le 29 juin 2007 depuis le site officiel.

== Essais ==

[1] Les conditions .des essais ..

• Les tests ont été effectués sur un PC « laptop » équipé de Windows XP Home Edition sans aucun firewall ou antivirus, et réputé sain après un contrôle externe.
• Le système a été redémarré immédiatement après l'installation de Cyberhawk afin que les contrôles et tests se fassent avec un antimaliciel parfaitement installé avant tout logiciel malveillant ou non.
• Les divers logiciels « classiques » utilisés dans le cadre des essais, IceSword et RkUnhooker (qui n'ont posé aucun problème de compatibilité), Regshot, Irfanview, OOo Writer ... n'ont créée aucune réaction de la part de Cyberhawk. Une preuve de l'existence d'une « liste blanche efficace » ?

[2] Le rootkit fhide.sys et son lanceur, le D.I.U de Beyond Logic.
Aucune réaction de Cyberhawk, ni au lancement du dropper ni à celui du driver dont la présence et les crochets 'Inline' sont détectés par RkUnhooker.

... ... ...

…\…

[Txon]

.../...

== Essais ... suite ==

[3] Le rootkit RkU Test Rootkit
[a] Cyberhawk signale le lancement du processus "RKSTART.exe" avec un léger retard (deux ou trois secondes).

Pour imiter un utilisateur trop pressé ou inconscient, il est accepté.[Allow].
[b] Cyberhawk détecte le lancement du driver par le processus, encore une fois avec le même retard. Cette fois ci, il est demandé de le rejeter [Deny].

Cependant un contrôle effectué avec Rkunhooker montre que le driver est bien chargé dans le noyau et caché.

[4] Le rootkit Unreal
Aucune réaction de Cyberhawk, ni au lancement du dropper ni à celui du driver dont la présence est détectée par RkUnhooker.

[5] Les scanners.
Cyberhawk dispose de deux « Rootkit scanners » pour la traque des maliciels furtifs. L'un est réputé rapide et l'autre « full ». En l'état de leur installation, aucun des deux n'a signalé le moindre maliciel qu'il soit à ce moment là présent en mémoire comme l'étaient les trois rootkits de test ou simplement présent sur le disque où pourtant se trouvent de nombreux rootkits, à l'état inactif, dont Oddyseee, KircBot, BadRKDemo et le très connu "pe386.sys" (vieux de plus de un an).

[6] Essais de désactivation.
Comme l'a rappelé Patrick M. Kolla de Safer-Networking (Spybot S&D) il n'est pas admissible qu'un logiciel de protection puisse facilement être désactivé.
Les processus de Cyberhawk résistent bien à Rkunhooker et à HideToolz, mais absolument pas à IceSword.

== Conclusion ==

Au delà d'une brillante présentation commerciale, il y a les essais avec des « outils » dont les techniques de contournement et de furtivité sont déjà utilisées par les maliciels les plus agressifs et le seront demain par n'importe quel parasite.
Il faut se rendre à l'évidence, à ce jour Cyberhawk, avec ses paramètres standards n'est pas un HIPS très performant. Il faudra lui préférer Spyware Terminator et Dynamic Security Agent, qui sont au moins aussi simples et gratuits.

A n'en pas douter, il devrait être possible d'améliorer les résultats de Cyberhawk en rajoutant des règles. Cependant, et pour les utilisateurs que cette idée ne rebute pas, il vaut encore mieux choisir Winpooch, un solide HIPS « libre » ou CORE FORCE à la fois firewall et HIPS sous licence GPL, tous deux gratuits.

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Ce dossier sera complété en fonction de vos demandes de précision ou d'autres outils et méthodes de test ou encore grâce aux résultats de vos essais.

Veuillez faire part de vos réflexions et tests, et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

@+