J'ai lu les articles sur les rootkits et j'hésite à installer Winpooch sur mon PC.
D'après ce qui est dit sur les antirootkits, les rapports et messages d'alerte ne sont pas simples à décrypter.Eétant néophyte sur le sujet (registre et autres paramètrs système), est il vraiment judicieux d'installer ce type de log ?
Salut !!!
Je trouve la réponse de
noisette excellente sur bien des points, mais pas sur les éloges qu'il fait de mes compétences.
Spybot S&D et Winpooch ne sont en effet comparables qu'au niveau des capacités
HIPS de détection préventive (la fonction « résident » = « tea timer » de Spybot). Winpooch n'a pas de « deuxième ligne » de défense ... pas de scanner.
Spybot S&D ... Il faut avouer que, dans sa version actuelle 1.4, Spybot est un peu dépassé par les évènements. Il résiste moins bien que d'autres aux attaques des maliciels récents (banc d'essai de PC Security Test), encore moins quand ils sont camouflés par un rootkit. C'est une passoire pour les drivers des
rootkits de test.
Spybot S&D reste utilisable en « deuxième rideau de défense » pour ses autres fonctions, sa « vaccination » et son scanner qui est assez efficace.
Winpooch ...
Les fonctions préventives (HIPS) de Winpooch avec les règles standards sont plus performantes que celles de Spybot S&D.. Même chose me semble-t-il en ce qui concerne les intrusions dans le Registre Windows. Il fait surtout défaut dans certains domaines (et en particulier contre l'intrusion des rootkits) faute de règles adéquates.
*-* Si tu veux te lancer dans le paramétrage de règles, tu peux faire de Winpooch un des deux ou trois meilleurs meilleurs HIPS disponibles actuellement.
*-* Winpooch a besoin d'un autre logiciel en « deuxième ligne » de défense, un scanner « a posteriori » ... (voir >>
ICI).
Firewall ... Deux firewalls sur un même PC sont moins déconseillés que deux antivirus. Ils sont moins souvent incompatibles et se complètent parfois, surtout dans le cas d'un firewall matériel (la fonction routeur d'une « box » par exemple) et d'un firewall logiciel. Tous les firewalls ont des fonctions HIPS, au moins partielles.
J'ai procédé à des essais de Winpooch en présence de la version gratuite de Jetico puis de Comodo FP sans noter le moindre conflit. Surtout si tu as un routeur et si tu es prêt à paramétrer de nombreuses règles, tu peux remplacer ton firewall actuel par Winpooch sans gros problème. Ceci est encore plus vrai si tu as la veille version 2.1.5 de Kerio qui est mieux que la passoire de Microsoft, mais est quand même totalement dépassée.
CITATION(Txon)
Les HIPS comme
CoreForce et
Winpooch sont sans aucun doute très performants lorsqu'ils sont convenablement paramétrés. Ils sont peut-être à la base des meilleures solutions de défense mais requièrent une bonne maîtrise du sujet pour définir les règles appropriées.
Ceux qui ne souhaitent pas se compliquer l'existence peuvent en rester à une solution classique et simple de défense ...
- « Première ligne » ... Un firewall (Comodo FP gratuit est en même temps très performant et simple) et un HIPS complémentaires (Spyware Terminator ou Dynamic Security Agent sont actuellement ce qu'on fait de mieux comme gratuiciels simples).
- « Deuxième ligne » ... Un antivirus (AVS, Antivir ou Avast!) et un scanner complémentaire comme celui de Spybot S&D par exemple (moins utile si on utilise Spyware Terminator qui en a un).
- Les cerises sur le gâteau, ce sont les purs HIDS antirootkits ... IceSword, RkUnhooker, Seem (la nouvelle version 4.5 dès qu'elle va sortir officiellement) ...
N'oublie pas de procéder à une désinstallation complète de tout logiciel de défense que tu n'utilises pas (ou plus).
@+