34 replies to this topic

[vigen]

Je me permet d'ouvrir un post sur OSSS, qui me semble un logiciel très prometteur.

Le premier point que j'ai vraiment, mais alors vraiment aimer, c'est son extreme légereté...en utilisation on ne le sens vraiment pas.

Le second point et le paramétrage très pointu et une foule d'options, j'avouerais qu'au début c'est un peu désapointant.

Le troisième point et une protection difficile a mettre en défaut.

Pour moi c'est vraiment un logiciel a suivre, en espèrant qu'à terme une version gratuite existe.

[Thelwin Argon]

Un sujet déjà abordé à une époque...

Malheureusement, OSSS est un produit payant, ce qui évidemment lui fait perdre une grande partie de son intérêt, IMHO.

Si tu comptes le tester plus avant, puisque tu sembles le posséder, je t'avoue qu'un dossier serait le bienvenu, avec screenshot des options, etc...
Bien entendu, je ne te demande pas de mener une procédure de test "pro", simplement de nous en montrer les principaux intérêts.

[vigen]

D'accord avec toi sur la perte d'attrait du produit concernant son cout.

Je boss ce week-end mais ok ça marche, j'essayerais de faire un ptit topo...

[Thelwin Argon]

Voilà, tu as tout compris, un topo serait parfait (c'est exactement ce à quoi je pensais... Enfin presque, moi je pensais "Kurzfassung" )

[Txon]

Ce que je regretterai peut-être c'est le nombre de popups, en effet, à chaque évènement on est averti, mais à la longue je me demande si ça ne fatiguerait pas l'utilisateur. Bon par contre les détails bien qu'en Anglais sont simples à comprendre grâce aux images bien illustrées. Ya aussi des nuances de couleur d'alerte en fonction de la gravité de l'évènement, et si c'est ultra méga méchant il nous inscrit en rouge qu'on a fortement intérêt d'empêcher l'évènement sauf si nous connaissons l'application.

Les alertes à répétition sont le propre de tous les HIPS qui font vraiment dans le détail. Dans un sens, c'est mieux. Il est possible que les usagers se lassent vite, mais, d'un autre côté, s'ils sont assez ignorants et sots pour passer outre un grand nombre d'avertissements, il n'est pas vraiment possible de les aider.

... RTS Antivirus 2010, le super rogue du moment qui est super malin car il passe au travers de tous les HIPS, car il utilise Windows Installer pour s'installer, ça va pourquoi s'embêter quand on peut faire simple ?
Seulement le hic, c'est que Windows Installer est considéré sûr ...

Les techniques les plus simples ont toujours été redoutables. C'est l'une d'elles que Johanna Rutkowska a utilisée il y a des années maintenant pour contourner l'UAC (de Vista à l'époque) et Microsoft n'a toujours pas comblé sa lacune (voir aussi L'UAC de Vista, faites-en ce que vous voulez !).
Bonne continuation !

@+

[vigen]

Tout comme Peghorse je pensais que la suite possèdais un anti-virus; Vu le nom..et bien que nenni.....

Concernant les pop-up effectivement elles sont en nombre, je me suis amuser a installer le meme logiciel avec comodo et OSSS, et les alertes sont assez différentes, ont vois que le logiciel ne travail pas de la meme manière.

Par contre OSSS possède une fonction que comodo a perdu de la version 3 a la version 4, la fonction "installer" qui est quand meme bien pratique, ou alors tu met le log dans le trusted application et tu es tranquille.

En tout cas la suite et vraiment super légère, et ça c'est vraiment appréciable.

Concernant les malwares, j'ai trouver un "svchost" (un bon vieux trojan) qui a reussi a s'installer en mémoire sans alerte d'OSSS, j'ai envoyer l'exemplaire ...mais c'est bien le seul pour l'instant.....j'ai pas encore vraiment tester les rogues....


bossant ce week-end je m'attaquerais au "topo" a partir de lundi.

Ce message a été modifié par vigen - 29 mai 2010 - 07:32 .

[Txon]

Par contre OSSS possède une fonction que comodo a perdu de la version 3 a la version 4, la fonction "installer" qui est quand meme bien pratique, ou alors tu met le log dans le trusted application et tu es tranquille.

... Ou alors tu passes Comodo momentanément en "mode apprentissage".

@+

[visualbasic]

Concernant les malwares, j'ai trouver un "svchost" (un bon vieux trojan) qui a reussi a s'installer en mémoire sans alerte d'OSSS, j'ai envoyer l'exemplaire ...mais c'est bien le seul pour l'instant.....j'ai pas encore vraiment tester les rogues....

Les botnet, ou les adclickers, ce mettent dans la mémoire sans alertes, que ce soit OSSS ou COMODO, et vue la config par défault de COMODO, le botnet fait tout s'quil veut.

Ce message a été modifié par visualbasic - 29 mai 2010 - 08:58 .

[Txon]

Les botnet ...

Les botnets ne sont pas des maliciels en soi mais des ensembles de PCs "zombies".

Avez-vous fait part de ces intrusions non détectées à l'équipe de Comodo, celle de Online Solution et/ou celle de Matousec.com ???

@+

[visualbasic]

Bah les botnets sont comme des backdoors, c'est un mec quil les controles ..



Et certains se mettent que dans le processus, et ne fait plus rien appars ce connecter sur internet, et c'est là que la config du pare-feu de comodo par défault est innéficase(sandbox ou non), mais le processus en question ne fait rien, c'est pourquoi il a un programme légitime qui vien avec un botnet. ( Personne croyant que c'est un crack ou un hack pour tricher dans les jeux),
Et chaque fois qu'il l'execute, il se lance.

Ce message a été modifié par visualbasic - 29 mai 2010 - 09:22 .

[Shaoran]

Les alertes à répétition sont le propre de tous les HIPS qui font vraiment dans le détail. Dans un sens, c'est mieux. Il est possible que les usagers se lassent vite, mais, d'un autre côté, s'ils sont assez ignorants et sots pour passer outre un grand nombre d'avertissements, il n'est pas vraiment possible de les aider.

Justement non, il ne font pas dans le détails. Un exemple à la con repris sur l'idée que j'ai donné à vigen recement, tu fait une application qui au demarrage lance une update via un de ses propre processus (demande droit création processus) et qui kill cet update (demande le droit de terminer)
Question, es tu sûr de lui interdire ces droits ? Étant donné qu'il touche à ces propre applications, je ne pense pas.
Le soucis de la plupart des hips si ce n'est tout les hips (sauf peut être malware defender) ce que tu viens de l'autoriser à créer ce qu'il veut et tuer ce qu'il veut, donc tu n'as juste qu'à faire écran, en ne faisant tes réelles actions qu'une fois les droits acquis.

EDIT : après contrôle, lui est intelligent, il ne se laissera pas avoir par cette méthode.


OSSS par contre ne travail pas avec des listes de fichiers sûrs, et cela se sent, on dirait un Defense+ version 3, les pop up arrivent par vagues de 10 pop up, et sur une machine virtuelle avec presque rien dessus, je n'ose imaginer sur un pc normal ... Tout ça pour quoi, pour avoir une application que va se charger sans souci parce que l'application ne parviendra jamais à tout sécuriser ou bien l'utilisateur se fera berner comme dans mon exemple ou celui de Peghorse. A quoi bon donc regarder ce genre d'application si c'est pour s'embêter et subir toute ces pop up pour qu'un jour, vous en ayez un qui passe tranquillement. D'ailleurs, pauvre de moi, je voulais confirmer pendant que j'écrivais ce soucis de "détails" exposé au dessus, et apparemment, un des malware qui tournait à kill en parti OSSS, sa gui ne se lance plus ...

Enfin, il reste les malwares passifs, qui ne touchent pas au système directement mais sont la pour voler une info par exemple, eux peuvent toujours faire ce qu'ils veulent, comme prendre des informations privées du pc et les envoyer. Vous me direz, il y aura l'alerte firewall, oui certes, et si on met un écran "contrôle de la version" comme beaucoup d'applications font, allez vous réellement toujours répondre bloquer à coups sûr ?

Pour me répéter sur ce que j'avais dit à Vigen approximativement, OSSS (comme d'autre), c'est une suite pour les paranoïaques qui se pensent être en sécurité.
EDIT : bien qu'après un nouveau contrôle, cet hips est sans doute l'un des meilleurs si ce n'est le meilleur, le nombre de failles est bien réduit, mais bonjour les pop up comme prévisible ....

Ce message a été modifié par Shaoran - 29 mai 2010 - 09:47 .

[visualbasic]

Enfin, il reste les malwares passifs, qui ne touchent pas au système directement mais sont la pour voler une info par exemple, eux peuvent toujours faire ce qu'ils veulent, comme prendre des informations privées du pc et les envoyer. Vous me direz, il y aura l'alerte firewall, oui certes, et si on met un écran "contrôle de la version" comme beaucoup d'applications font, allez vous réellement toujours répondre bloquer à coups sûr ?

Un programme qui tente de se conencter en tcp, est plus ou moin légitime et c'est ca la faille, le pare-feu details pas assez, sur le type de connection il va.

Concernant certaines alertes, ca en devien débile,
Comme pour l'écran, le clavier etc. inutile,(pour comodo)
et les alertes pour avoir un hook pour prendre possésion du clavier est inutille, ca peut etre autant saint que malveillant.
Comme je le disaient dans un autre forum, un behavior blockers est exellent, si y permet de prevenir l'attaque contre l'uac, regedit, et quelque autre code du genre, detecte vmware, ca permetrais de detecter directement, si ce fichier est malveillant ou non.
Pour info : COMODO Premium sort bientot, j'aimerais voir ses " ajouts " contre le khobe8 et le java de shaoran, 15000 bugs a peut être etait rajotuée, qui sait.

Ce message a été modifié par visualbasic - 29 mai 2010 - 10:02 .

[Shaoran]

Pour info : COMODO Premium sort bien, j'aimerais voir ses " ajouts " contre le khobe8 et le java de shaoran, 15000 bugs a peut être etait rajotuée, qui sait.

A quoi bon qu'ils le corrigent quand un simple regedit /s code.reg passera toujours .... Comodo et OA font fausse route, OSSS et Defense Wall sont déjà plus dans le bon chemin.

Ce message a été modifié par Shaoran - 30 mai 2010 - 13:11 .

[electra]

Pour info : COMODO Premium sort bien, j'aimerais voir ses " ajouts " contre le khobe8 et le java de shaoran, 15000 bugs a peut être etait rajotuée, qui sait.

A quoi bon qu'ils le corrigent quand un simple regedit /s code.reg passera toujours .... Comodo et OA font fausse route, OSSS et Defense Wall sont déjà plus dans le bon chemin.

Bonjour,
j'aurais aimé l'essayer, mais pas compatible 64 bits, ce sera pour plus tard. J'en profite pour saluer les anciens de COMODO qui ont toujours su nous dépanner nous les novices, à bientôt.

[Thelwin Argon]

Tant qu'il n'y a pas de 64-bits dispos, je risque pas d'y passer ^^'

Bah, c'est le problème de nombres de logiciels... (Spyware Terminator, par exemple n'avait toujours pas de version Win 7 64bits la dernière fois que j'ai regardé...)

[EboO]

Pour info : COMODO Premium sort bien, j'aimerais voir ses " ajouts " contre le khobe8 et le java de shaoran, 15000 bugs a peut être etait rajotuée, qui sait.

A quoi bon qu'ils le corrigent quand un simple regedit /s code.reg passera toujours .... Comodo et OA font fausse route, OSSS et Defense Wall sont déjà plus dans le bon chemin.

Pourquoi OSSS et DW seraient sur une meilleure voie ? Parce qu'ils n'ont pas de liste blanche ?

[visualbasic]

Pourquoi OSSS et DW seraient sur une meilleure voie ? Parce qu'ils n'ont pas de liste blanche ?

OSSS et DW ont aussi une base de données mais.. ce fait pas tuer par le Msi de rst antivirus(rogue)
Si tu regardes bien la video de osss de peghorse, a ce moment là, il autorise tout, mais le rogue ne se lance pas dans les processus.
Avec COMODO, il aurait etait la et chiant avec ces alertes.

[Shaoran]

Pourquoi OSSS et DW seraient sur une meilleure voie ? Parce qu'ils n'ont pas de liste blanche ?

Oui pour OSSS, pour DW lui est peut être mieux, il considère presque tout comme non sûr.
Toutefois, les hips, il faut oublier. OSSS déjà, rien que sur une machine virtuelle c'est invivable, alors sur une machine réelle ...

Ce message a été modifié par Shaoran - 05 juin 2010 - 21:54 .

[visualbasic]

Toutefois, les hips, il faut oublié, OSSS par exemple, rien que sur une machine virtuelle c'est invivable, alors sur une machine réelle

C'est vraiment utile pour déterminer un fichier saint ou non, apres on quitte la virtualbox, c'est le mieux a faire, mais ca restes agacant.
Au pire faire un learning mode, sur tout les programmes existants seraient une bonne choses.

Ce message a été modifié par visualbasic - 05 juin 2010 - 21:56 .

[Shaoran]

C'est vraiment utile pour déterminer un fichier saint ou non, apres on quitte la virtualbox, c'est le mieux a faire, mais ca restes agacant.

Très sincèrement, je ne pense pas être trop abruti, mais la plupart des alertes étaient pour moi incompréhensible, ou tout du moins, ne me permettait pas de savoir ce que voulait faire l'application.
Pour tester un fichier, il vaut mieux encore passer par Virustotal ou anubis, c'est plus rapide et plus efficace à mon sens.

[EboO]

côté pop-up il semblerait que DW soit un excellent choix, avec très peu de pop-up et une protection très efficace. En plus avec la v3 ils ont ajouté un fw. Mais par contre côté licence c'est pas donné.
Peut-être que peghorse pourrait faire un test ? oO

[visualbasic]

Virustotal ou anubis

Malheureusement si il le fichier est encrypté, virustotal ne detectera rien, et anubis si le malware est codé en .net, on en sera pas plus avancés, pareil si i lest codé en C, si il arrive a detecter anubis, c'est fini, anubis detectera rien.

[Shaoran]

En général ça marche bien
Après il y a peut être mieux, mais comme je l'ai déjà dis, lancer une machine virtuelle à chaque fois, c'est vite barbant.

[visualbasic]

j'en serais heureux d'etre un des beta-testeur.

[visualbasic]

Chanceux