107 replies to this topic

[Nara-Strod]

Tu peux nous mettre un screen de l'interface stp ?

[Nara-Strod]

Ah ok pas grave

[Thelwin Argon]

Mhhh, c'est sympa de la part des admins d'Avira de te laisser le testeer, surtout que t'es pas un tendre

Mais ce qui m'étonne, c'est qu'ils laissent déjà en test une version qui fasse moins bien que l'ancienne ^^'
Autrement, effectivement un screen serait sympa, mais don't stress, on a tous le temps
Pour les vidéos, je pense aussi qu'il n'y a pas de problème : Intel envoie des processeurs de test "top secret" où tu dois signer un tas de papier comme quoi tu le renvoies dans 3 mois, etc. Mais ils tolèrent que les tests soient publiés online, avec Photo, et tout et tout...
(J'ai déjà vu un processeur 6 cores... Par exemple. Mais il est pas à moi, ni pour moi Et c'était pas à un salon quelconque )

[VIRUS-T]

La Beta 2010 de Avira:

[Thelwin Argon]

De toute façon, Avast c'est vraiment plus ce que ça a peut-être eu été... (Fut un temps... Lointain... ...)

[VB 6]

Lointain... et encore
Le bon coté est qu'il est gratuit

[MUSTANG]

Et bé, çà a bien changé ici ...
Sur seven 64 bits et autre que avast et antivir,
y a quoi de bien sinon

[X-System]

Quand j'avais mon ancien ordinateur Intel 486 DX4/100 sous Win3.1. Il y avait l'antivirus intégré qui s'appellait Microsoft Anti-Virus for MS-DOS

[X-System]

Oui je m'en rappelle bien de celui-là, le truc qui détectait rien

Ca dépend quelle année tu lancais le scan parce que ça se date en 1993. Cet antivirus contenait seulement environ 1000 définitions virales. Et cet antivirus ne possédait pas la mise à jour des définitions virales...

[VB 6]

C'était bien les premières de Microsoft

Collector collector

[X-System]

C'était bien les premières de Microsoft

Collector collector

Et j'ai toujours Microsoft Anti-Virus for MS-DOS dans des disquettes de l'installation de MS-DOS 6.22

[X-System]

Être vengé = être faible, être looser, etc...

[vigen]

En gratuit sur mon serveur antivir+le pare-feu de comodo 3 pour leurs faible conso de ressources (c'est une "vieille" machine).

Sinon sur la bécane principale, G-data et online armor free.

[VIRUS-T]

C'est clair que ci G-Data garde comme moteur l'antivirus Avast + Bitdefender il risque d'être toujours aussi bon en détection!

Ce message a été modifié par VIRUS-T - 16 mai 2010 - 04:08 .

[vigen]

Au vu des résultats je suis surpris que panda cloud ne soit pas plus utilisé.

[loumax]

J'utilise panda"cloud" depuis quelques temps, aprés l'avoir testé je peux dire qu'il est plutot efifcace, discret et léger.
J'ai aussi malwarebytes en résident, et les 2 s'entendes bien, pas de conflis!

[Shaoran]

Le souci de panda, c'est entre autre quelques quelques incompatibilités qui provoquent des ralentissements et le fait qu'il prenne du temps avant de s'activer au démarrage. Mais pour la plupart, cela sera sans doute plus le cas avec la prochaine version qui est en beta, la 1.1.

Quand au problème qu'il nécessite toujours une connexion à internet, cela peu paraitre trivial quand on sait qu'un pc est connecté la majorité du temps même hors de chez soit avec les borne wifi qui se multiplient, voir la 3G. Le principal souci reste les disques amovibles, qui sont bien un problème même avec des signatures, car si la menace est fraiche ...

Panda est toutefois intéressant sur un point, il est réellement préventif. En effet, quel est le meilleur moyen de protéger un pc ? Empêcher l'exécution et non tenter de la contenir car cela serait comme une rivière, essayer de l'empêcher de rejoindre la mer, on pourrait construire un barrage (sans écoulement), mais ça finira par céder ou être contourné par le haut ou sur les cotés. C'est le problème avec les hips qui sont une fausse protection puisque d'une, on est restreint par la décision de l'utilisateur et de l'autre, par le fonctionnement même de l'hips.
Panda est moins bête puisqu'il interdit l'accès au fichier le temps qu'il soit analysé par les équipes de panda. Le souci est plus le temps, j'ai pu lire ans une interview qu'ils estimaient à 6 minutes l'attente avant d'avoir une suppression ou une autorisation mais je ne vois pas des temps aussi court, donc je me demande où ils ont vu ces stats.
Mais c'est déjà un mieux, le seul soucis est que l'analyse comportementale n'est pas encore entièrement au point vu qu'elle laisse passer certaines menaces. A voir avec la version 1.1 où ils doivent modifier le ce moteur d'analyse.

D'un autre coté aussi, je trouve que c'est une partie de la meilleur protection. En y ayant réfléchi, je pense qu'il faut deux moteurs principaux pour les deux voies d'accès des menaces : les fichiers et internet.

Pour les fichiers, une analyse comportementale sur tous les fichiers et pas simplement les exe, bat et autre exécutable, on oubli souvent qu'on a aussi du code dans les dll par exemple (ces fichiers restent problématiques d'ailleurs, c'est aussi une des voies pour contourner un hips comme ils ne les contrôles pas (enfin, CIS lui c'est sûr dans mes souvenirs) et l'application sur fera ce que l'on veut en exécutant une des fonctions)
Bref, à mon avis, il faut rester vague pour englober trop de fichier et générer des faux positifs, ces derniers étant solutionnés par hash. Tout ce qui peut être malveillant étant bloqué et envoyé pour être débloquer ou supprimé une fois l'analyse terminé. Reste simplement le souci des fichiers systèmes et autres applications importantes, les bloquer même temporairement, c'est naturellement pas très bon, ça reste le gros souci dans mon idée.

Le second moteur, la seconde voie d'infection, internet, non pas sur les fichiers que l'on peut téléchargé (même s'il vaut mieux les intégrer, c'est déjà ça de gagné), l'autre moteur est là pour ça, mais pour les pages web pouvant potentiellement utiliser une faille de sécurité pour exécuter un code malveillant. Donc même soucis, la page est analysée et bloquée si un comportement est détecté, derrière, c'est non pas un hash mais un couple ip + url (pour passer le souci du fichier host ou autre contournement possible pour utiliser la liste sûre avec une méthode simple).
Je ne sais pas si ce genre de système existe déjà, il y a certes les web shield, c'est déjà un bon plus, il faut déjà voir celui d'avast qui est très bon, il suffit de regarder sans, avast ne détecte généralement pas le virus mais uniquement la page.

Bref voila en tout cas mon idée plus finement réfléchie sur la question.

Ce message a été modifié par Shaoran - 25 mai 2010 - 14:21 .

[visualbasic]

Pour les fichiers, une analyse comportementale sur tous les fichiers et pas simplement les exe, bat et autre exécutable, on oubli souvent qu'on a aussi du code dans les dll par exemple (ces fichiers restent problématiques d'ailleurs, c'est aussi une des voies pour contourner un hips comme ils ne les contrôles pas (enfin, CIS lui c'est sûr dans mes souvenirs

Il detecte l'injection de dll, mais COMODO a la meilleur detection de .DLL, vous pouvez me croire, le seul soucis, c'est que comodo ne detecte pas les dll qui se lance quand l'application se lance, je mexplique,
les nouveaus malware, tu places un dll dans firefox, meme si firefox ne le lit pas.. Le dll se lance, et fait son action, et ca aucun hips ne le detecte pour le moment.

Un shema

Firefox => se lance
.DLL => firefox
et firefox fait l'action du trojan.
Ca reste dur a mettre en place et ca en se fait pas sans reverse enginering, mais quand c'est bien coder, c'est génial, comme truc lol, et c'est loin d'etre efficace .. pour le moment, mais les seuls qui existe se servent d'une exexutable avant, et ca by-pass tout les hips.

Ce message a été modifié par visualbasic - 25 mai 2010 - 14:57 .

[visualbasic]

De plus le temps que le hacker trouve l'offsets ", le programme se sera mis a jour, et y peut recommencer.

[loumax]

Comme nous sommes entourés d'experts , j'aurais une petite question :

j'avais installé Titanium cloud version beta sur mon pc (seven 64 bit, int expl 8)

Jusque la tout va bien, mais losque je voulais télécharger des URLs malveillantes via virtualbox (XP 32 bit int expl 6), pour mes tests, pages web bloqués !

C'est plutot pas mal comme protection, mais quand on veux tester, pas terrible ... Obligé de désactiver Titanium !

Et pour info Malwarebytes fait la meme chose !

Je ne suis surement pas le seul à qui cela arrive , et je ne suis pas non + super bon en sécurité informatique , mais je veux bien qu'on m'explique.Et c'est peut-etre bete, mais je me demande si l'effet inverse ne pourrait pas se produire...?

[Txon]

.... Quand au problème qu'il nécessite toujours une connexion à internet, cela peu paraitre trivial quand on sait qu'un pc est connecté la majorité du temps même hors de chez soit avec les borne wifi qui se multiplient, voir la 3G.

Il me semble que tu oublies tous les PCs qui demeurent à poste fixe (même quand ils sont des "laptops"). Ils sont encore bien plus nombreux que les "mobiles" pour l'instant réservés à une minorité, généralement jeune : de l'étudiant au cadre dynamique et bien pensant. La généralisation de la mobilité prendra des années. A titre indicatif, sur bien plus de cent ordinateurs dont je m'occupe, une douzaine seulement sont connectés en WiFi à domicile et, parmi eux, quatre seulement se baladent à travers la France.

Le principal souci reste les disques amovibles, qui sont bien un problème même avec des signatures, car si la menace est fraiche ...

Tout ce qui est amovible est effectivement un fort danger potentiel.

Panda est toutefois intéressant sur un point, il est réellement préventif.

S'il est préventif et par définition il est aussi un HIPS ou tout au moins dispose de leur fonctionnalités de "Host Intrusion Prevention System". En quoi est-il plus préventif que d'autres HIPS ou utilitaires disposant de fonctions équivalentes ?

Mais c'est déjà un mieux, le seul soucis est que l'analyse comportementale n'est pas encore entièrement au point vu qu'elle laisse passer certaines menaces. A voir avec la version 1.1 où ils doivent modifier le ce moteur d'analyse.
D'un autre coté aussi, je trouve que c'est une partie de la meilleur protection. ...

L'analyse comportementale, l'heuristique ou autre appellation de techniques du même genre sont sans doute les plus sujets à caution.

L'heuristique ou l'analyse comportementale, fonction d'une « norme » admissible de fonctionnement d'un logiciel et de statistiques. C'est généralement un système flou et partial, peut-être le moins fiable actuellement.

L'analyse comportementale est sans doute mieux que pas d'analyse du tout mais elle me fait encore trop souvent penser à un contrôle policier au cours duquel les flics emmerderaient tout individu coupable du "délit de sale gueule" et laisseraient passer les salopards déguisés en jeunes cadres dynamiques ou en honnêtes commerçants.

Il detecte l'injection de dll, mais COMODO a la meilleur detection de .DLL, vous pouvez me croire, le seul soucis, c'est que comodo ne detecte pas les dll qui se lance quand l'application se lance, je mexplique,
les nouveaus malware, tu places un dll dans firefox, meme si firefox ne le lit pas.. Le dll se lance, et fait son action, et ca aucun hips ne le detecte pour le moment.

+ 1

Ca reste dur a mettre en place et ca en se fait pas sans reverse enginering, mais quand c'est bien coder, c'est génial, comme truc lol, et c'est loin d'etre efficace .. pour le moment, mais les seuls qui existe se servent d'une exexutable avant, et ca by-pass tout les hips.

... Et ne parlons pas des attaques en "ring -1" ou dans les "processeurs secondaires" qui, si elles arrivent à s'introduire, permettent de contourner ou détruire absolument tout. Heureusement elles ne relèvent, pour l'instant au moins, que de rootkits d'essai PoC.

@+

[Shaoran]

Panda est toutefois intéressant sur un point, il est réellement préventif.

S'il est préventif et par définition il est aussi un HIPS ou tout au moins dispose de leur fonctionnalités de "Host Intrusion Prevention System". En quoi est-il plus préventif que d'autres HIPS ou utilitaires disposant de fonctions équivalentes ?

Parce que les hips permettent l'exécution, il ne font que brider l'exécution en interdisant automatiquement ou par demande à l'utilisateur certaines actions, il suffit d'utiliser une faille et c'est bon, un hips ne te protégera jamais à 100 %, de ça j'en suis certain, il pourra combattre la plupart des menaces actuelles, mais un jours il en laissera passer une, et là, on pourra se demander à quoi cela sert de supporter les alertes pour rien au final. J'ai déjà une méthode qui ne sera jamais fixé par les hips (ou si c'est le cas, beaucoup d'applications ne marcheront plus correctement, sur leurs mise à jours entre autre) il faudrait juste que je trouve une jolie amorce ou arriver la masquer assez pour ressembler à un programme classique ce que je n'ai pas encore fait.

Panda vérouille le fichier, autrement dit tu pourra tenter de l'exécuter autant de fois que tu veux, windows répondra que ce n'est pas un fichier win 32. Le seul moyen pour l'exécuter c'est de patienter qu'il soit analysé par les équipes de panda ou de le déverrouiller manuellement (et il vaut mieux ne pas expliquer que c'est possible).
Il est possible que d'autre logiciels procèdent de la même manière (verrouiller sans demander à l'utilisateur), pour l'instant, Panda cloud est le seul que j'ai pu trouver.

L'analyse comportementale, l'heuristique ou autre appellation de techniques du même genre sont sans doute les plus sujets à caution.

Si on se base sur l'heuristique que l'on rencontre sur les suites existantes, je serai pour y integrer encore plus de chose comme la simple écriture dans le dossier windows. Comme je disais, cela génèrerai beaucoup de FP, mais le tout est qu'ils soient ensuite déverrouiller.

L'analyse comportementale est sans doute mieux que pas d'analyse du tout mais elle me fait encore trop souvent penser à un contrôle policier au cours duquel les flics emmerderaient tout individu coupable du "délit de sale gueule" et laisseraient passer les salopards déguisés en jeunes cadres dynamiques ou en honnêtes commerçants.

Ça je crois de toute façon que ça sera toujour le cas et nécessitera toujours des maj de l'heuristique, mais aussi des autres solition de sécurité, c'est aussi l'exemple du problème soulevé par matousec.

Il detecte l'injection de dll, mais COMODO a la meilleur detection de .DLL, vous pouvez me croire, le seul soucis, c'est que comodo ne detecte pas les dll qui se lance quand l'application se lance, je mexplique,
les nouveaus malware, tu places un dll dans firefox, meme si firefox ne le lit pas.. Le dll se lance, et fait son action, et ca aucun hips ne le detecte pour le moment.

+ 1

Je pensais à plus simple, tu interverti une dll de firefox par exemple, lorsqu'il exécute sa fonction, il exécute aussi le code inséré, s'octroyant au passage tous les droits avec les hips vu que firefox est "sûr" vu que tu ne modifie pas le programme lui même, je ne pense pas que cela soit impossible et très compliquer à faire.

Ce message a été modifié par Shaoran - 26 mai 2010 - 10:23 .

[visualbasic]

je pense que les hips sont vouée a l'echec et que le behavior blockers est l'avenir avec la virtualisation .. Aprés ca ne reste que mon avis !
De plus il est impossible de detecter un keylogger avec COMODO.

j'ai trouver un site sympa : http://www.urlvoid.com/

http://www.urlvoid.c...can/infomars.fr

Ce message a été modifié par visualbasic - 26 mai 2010 - 14:07 .

[ractamard]

Moi j'utilise kaspersky car j'aime bien la naguation sécurisé et sa sand box.

[manzai]

Pour moi c'est Drivesentry ou digital-defender en gratuit ou Norton 2011 en payant (je sais pas lequel mêtre car j'ai plus d'antivirus)

J'aime bien aussi Preventon Antivirus free edition quand il ce fais démonter dans des tests sur YouTube^^

pour Norton 2011,G Data , BullGuard et ESET NOD32! ^^

PS: j'aime bien aussi Mamutu et un petit peu TheatFire!