67 replies to this topic

[Jiras]

Dans la série des tests : j'ai vu que AM5 avait subit une mise a jour logiciel donc je décide de refaire un test sur version 64 bits (seven) au cas ou, sans trop y croire...

Et bien que du contraire : la ou lors de mon 1er test sur 64 bits AM5 déconnait a plein tube, ici plus aucun soucis, mes programmes s'ouvre correctement et toutes les intrusions ont été détectés et stoppé (j'ai vérifié quand même après avec Malware Byte et Hitman Pro au cas ou).

Néanmoins l'impacte sur les ressources du pc, la ca n'a pas changé : au moindre scan du disque dur le cpu tourne a 99% en continu et le taux d'activité du disque dur est complètement saturé.

Donc je ne sais pas si je vais me prendre une licence ou non, le fait que sur 64 bits il réagit beaucoup mieux depuis la mise a jour (comme sur 32 bit en fait) me donne envie de me le prendre (je voulais Mamutu a la base mais étant en 64 bits....) mais le fait de sa lourdeur et lenteur lors de scan, me fait fortement hésiter...

[EboO]

et mamutu n'est toujours pas en 64 bits ?

[Jiras]

Non hélas
Je pense que je vais continuer a attendre sagement OA 64... la lourdeur de AM5 me gênerais trop je me connais

[loumax]

mais le fait de sa lourdeur et lenteur lors de scan, me fait fortement hésiter...

Pour moi les scans avec ce type de logiciel son secondaires : si l'euristique de l'av et le ids fonctionne correctement,
tu n'auras pas besoin de scaner avec EAM5.
Bien souvent lors des tests, lorsqu'un malware passe, même en faisant un scan après, celui-ci ne sera pas plus détecté.
Au pire tu fait un scan de temps en temps avec Malwarebytes pour te rassurer, et voilà.

[EboO]

je veux OA 64 bits avec mamutu à la place du hips, je le veuxxxxxxxxxxxxxxxxxxx !

[loumax]

je veux OA 64 bits avec mamutu à la place du hips, je le veuxxxxxxxxxxxxxxxxxxx !

Mamutu si tu le maitrise, avec n'importe quel antivirus gratuit ça fera l'affaire.
Pour ce qui du pare-feu, idem il en existe de très bons en gratuit.(Voir post: Firewall)

[Txon]

Pour ce qui du pare-feu, idem il en existe de très bons en gratuit.(Voir post: Firewall)

Ou bien voir ce post( ), ou encore celui-ci ...

@+

[visualbasic]

tu n'auras pas besoin de scaner avec EAM5.
Bien souvent lors des tests, lorsqu'un malware passe, même en faisant un scan après, celui-ci ne sera pas plus détecté.

tu as tors
Certains malware ce lance et ce plante automatiquement a cause de l'antivirus.
Dans un autre cas, le malware passe et au scanner, il est detecter, ca arrive souvent sur les backdoors.( des vrais)

Ce message a été modifié par visualbasic - 15 juin 2010 - 12:17 .

[loumax]

tu as tors
Certains malware ce lance et ce plante automatiquement a cause de l'antivirus.
Dans un autre cas, le malware passe et au scanner, il est detecter, ca arrive souvent sur les backdoors.( des vrais)

Ok, mais tu sais comme moi que ce n'est pas une généralité, dans certains cas bien précis oui, mais ce que je voulais dire c'est qu'en règle général (et surtout chez l'utilisateur lambda, qui lui n'infecte pas son pc volontairement!), ce qu'on attend d'une bonne protection en temps réel, c'est que les malwares soient bloqués, sans qu'on ais besoins de faire un scan toute les heures !

Pour moi les scans avec ce type de logiciel son secondaires : si l'euristique de l'av et le ids fonctionne correctement,
tu n'auras pas besoin de scaner avec EAM5.

Si tu lis bien, je parles de EAM5 qui embarque mamutu, donc l'infection n'est pas impossible, aucun produit ne sécurise à 100%
mais mamutu travaillant en amont, et si par malchance un malware passe et que l'anti-malware anti-virus de chez emsisoft ne le reperd pas, alors change d'av et garde mamutu.

Ce message a été modifié par loumax - 16 juin 2010 - 12:41 .

[EboO]

Je viens de regarder les résultats de mamutu chez matousec, eh ben il est pas fait pour leurs tests... (2%,passe pas le level 1)

[loumax]

Je viens de regarder les résultats de mamutu chez matousec, eh ben il est pas fait pour leurs tests... (2%,passe pas le level 1)

A voir:
http://www.wildersse...mp;postcount=89
http://www.wildersse...mp;postcount=36
Il faut quand même que les tests soient représentatifs en fonctions des produits et de leurs utilités !
C'est mon point du vu, sans pour autant défendre qui que ce soit, ils sont asses grands pour le faire eux-même.

[EboO]

C'était ironique, mamutu n'est pas un fw (ce que matousec ne test pas de toute façon). Par contre il vaut quoi dans les leaktests et contre les keyloggers ?

[loumax]

C'était ironique, mamutu n'est pas un fw (ce que matousec ne test pas de toute façon). Par contre il vaut quoi dans les leaktests et contre les keyloggers ?

Mamutu est un "behavior blocker" et donc doit bloquer les keyloggers, mais je ne sais pas si des tests on été réalisés récemment (je vais chercher!).
Pour les leaktests c'est pas ça qui manque avec Online armor (voir chez Matousec! j'te donne pas le lien tu connais!)

[loumax]

Test mamutu sur youtube
http://www.youtube.c...feature=related

[EboO]

Merci pour la vidéo.
Existerait-il un intérêt à combiner un hips et un ids ? (à part celui de vouloir un écran couvert de pop-ups ?)

[loumax]

Merci pour la vidéo.
Existerait-il un intérêt à combiner un hips et un ids ? (à part celui de vouloir un écran couvert de pop-ups ?)

A mon sens non, en ce qui concerne mamutu.
Sans parler des difficultés à faire cohabiter deux logiciels ayant des fonctions presque similaires, l'évolution de ce logiciel donne un produit peut-être supérieur à un hips ordinaire, donc quel intérêt ?
Pour plus de détails voir ici.

[Txon]

Mamutu est un "ids "(behavior blocker) et donc doit bloquer les keyloggers ...

À coté du Behavior Blocking (Inhibiteur de comportement) il est actuellement une technologie très à la mode, du Nom de HIPS (Host Intrusion Prevention System). Ces outils signalent les tentatives de manipulation sur beaucoup d'interfaces du système comme les Autostart, les pilotes, les services, le réseau, etc., toutefois, sans indications précises quant à indiquer si une action est en fait nuisible. On peut se représenter cela, un peu comme un pare-feu, qui surtout au début commence avec beaucoup de fausses alertes, jusqu'à ce que l'on a entraîné le logiciel. Que ce soit simplement un nouveau pilote que l'on installe ou alors un cheval de Troie malveillant, l'utilisateur doit toujours décider lui-même. Contrairement aux programmes HIPS, le Malware-IDS signale vraiment seulement les logiciels potentiellement nocifs afin de minimiser en une fraction les fausses alertes. Il est donc également et particulièrement adapté pour les utilisateurs inexpérimentés, tandis que les professionnels activent l'option "Paranoïd " d'Emsisoft Anti-Malware et peuvent ainsi atteindre un état semblable aux HIPS, dans la mesure où ils le veulent.

Je vais me permettre de ne pas être tout à fait d'accord. Emisoft sachant l'aversion de beaucoup d'utilisateurs pour les HIPS qui créent trop d'alertes prétend que son produit est un (H)IDS.
Cependant, il dispose de fonctions propres aux HIPS et en particulier le fonctionnement en temps réel. Qu'ensuite il néglige les "interfaces du système comme les Autostart, les pilotes, les services, le réseau", pour se concentrer sur une analyse comportementale, c'est une autre affaire. Même s'il est efficace dans beaucoup de cas, il serait en fait un HIPS aux fonctions limitées plus qu'un pur (H)IDS comme le sont l'antivirus Clamwin ou les ARKs.
Je vous propose de voir les définitions -> HIDS ... HIPS <- et de proposer les corrections qui s'imposeraient.

@+

[loumax]

Je vais me permettre de ne pas être tout à fait d'accord. Emisoft sachant l'aversion de beaucoup d'utilisateurs pour les HIPS qui créent trop d'alertes prétend que son produit est un (H)IDS.
Cependant, il dispose de fonctions propres aux HIPS et en particulier le fonctionnement en temps réel. Qu'ensuite il néglige les "interfaces du système comme les Autostart, les pilotes, les services, le réseau", pour se concentrer sur une analyse comportementale, c'est une autre affaire. Même s'il est efficace dans beaucoup de cas, il serait en fait un HIPS aux fonctions limitées plus qu'un pur (H)IDS comme le sont l'antivirus Clamwin ou les ARKs.
Je vous propose de voir les définitions -> HIDS ... HIPS <- et de proposer les corrections qui s'imposeraient.

@+

Alors, à ton avis c'est un HIPS ou un hybride des deux ?
Si je m'en tiens à tes définitions ce serait un HIPS, mais chez Emsisoft ils disent que c'est un HIDS ... !
Car j'ai fouillé un moment sur ce logiciel, et résultat rien de concret .
Si tu pouvais éclairer mes lanternes, ce serait pas de refus !
Tu as écrit concernant les HIDS:

Les anti-maliciels actuels agissent encore essentiellement « après coup » et utilisent en général, comme leurs prédécesseurs, une base de données objet (base de "signatures" / base de connaissances) qui doit être mise à jour très régulièrement pour ne pas devenir trop rapidement caduque. Une autre technique employée est le « profilage "heuristique" ».
De plus en plus d'anti-maliciels deviennent « hybrides » et intègrent des fonctions "HIPS".

Fait-il partie de cette catégorie ?

[Txon]

Alors, à ton avis c'est un HIPS ou un hybride des deux ?

A l'origine il y avait deux grandes variétés de systèmes de protection :
- les (H)IDS qui n'agissaient qu'à la demande de l'usager pour détecter et éradiquer les maliciels (virus) déjà installés. Dans cette catégorie entraient les antivirus qui agissaient seulement en fonction d'une base de connaissance virale et les ARKs (plus rares et réservés aux "pros") qui se passaient de "liste noire".
- Les (H)IPS dont un module "résident" réagissaient en temps réel et bloquait tout inconnu avant même que l'usager ait son mot à dire. Dans cette catégorie entraient les extensions des pare-feux (Comme Defense+ de Comodo actuellement) ou des logiciels sans firewall (comme Spyware Terminator ou Dynamic System Agent, au moins dans leurs anciennes versions). Dans certains cas, ils incluaient une "liste blanche" de logiciels autorisés.

Actuellement les choses ont changé. Les antivirus sans possibilité d'action en temps réel ni système de prévention sont considérés comme désuets (c'est le cas de Clamwin). Presque tous ont un module de fonctionnement en temps réel, qui, au moins, compare toute nouveauté à la base de connaissance. Comme les HIPS maintenant, certains commencent a intégrer une analyse comportementale qui est désignée assez souvent comme "behaviour" quelque chose. On continue cependant à les qualifier de (H)IDS par habitude et parce qu'ils font toujours de la détection.
Au résultat, il y a de plus en plus de logiciel "hybrides" de fait. D'ailleurs la définition actuelle de IDS dans Wikipedia associe les deux styles ...

Un IDS est une application qui surveille le réseau et / ou les activités du système et produit des rapports à une station de gestion sue les activités malveillantes ou des violations des politiques. La prévention d'intrusion est le processus de détection d'intrusion et de tenter d'arrêter d'éventuels incidents détectés . La détection d'intrusion et la prévention (IDPS) sont essentiellement axées sur l'identification d'éventuels incidents, l'enregistrement des informations à leur sujet, en essayant de les arrêter, et de les signaler aux administrateurs de sécurité.

Dans le même temps, le même Wikipedia fait évoluer la définition de IPS ...

Les Intrusion Prevention Systems (IPS), aussi connu sous le nom de détection et prévention d'intrusion (IDPS), sont des utilitaires de sécurité réseau pour surveiller le réseau et / ou les activités du système d'activité malveillante. Les principales fonctions des "systèmes de prévention d'intrusion''' sont d'identifier les activités malveillantes, informer un journal sur ces activités, pour tenter de bloquer / arrêter ces activités.

Comme tu le vois, il y a mélange des genres et apparaît la notion hybride de "IDPS" (Intrusion Detection and Prevention Systems).

Dans le cas de Mamutu, il y a une différence assez sensible avec d'autres (H)IDS, le manque de base de signature.

Mamutu est un Inhibiteur de comportement qui bloque les logiciels malveillants sans les signatures.

Les ARKs aussi se passent de base de connaissance virale, mais ils ne fonctionnent pas en temps réel, c'est bien dommage. Ils demeurent de pur (H)IDS.
Pour Mamutu, je dirais que c'est un "IDPS léger", mais chacun le voit à sa manière, n'est-ce pas ?

@+
P.S : Il va falloir que je rajoute (H)IDPS dans l'annuaire du Windows furtif.

[EboO]

Tu entends quoi par léger ? Mamutu me plait vraiment, je pense que c'est un peu le précurseur d'un nouveau type de logiciel anti-malware, les hidps donc.

[Txon]

Oui Mamutu a l'air intéressant mais je veux qu'il soit compatible 64 !

Le "64" c'est le passé, le présent et l'avenir de la France ! (par comparaison, le "32" ça fait carrément "plouc" , mais il y a une grande partie de ça pour rattraper le coup )

Tu entends quoi par léger ? Mamutu me plait vraiment, je pense que c'est un peu le précurseur d'un nouveau type de logiciel anti-malware, les hidps donc.

Mamutu est "léger" par rapport aux utilitaires de défense qui incluent davantage de procédés de détection, de protection et d'éradication, les "tout-en-un" (suites de sécurité) en particulier. Selon ce que je lis, il relève de la seule logique floue qui est à la base de l'analyse comportementale. C'est très imprécis, en général et à mon sens.
Sans l'avoir essayé, je pense qu'il est insuffisant, mais je me trompe peut-être.
Par ailleurs, comme c'est un logiciel commercial (payant), je le rejette de toute façons. Les propriétaires des ordinateurs dont je m'occupe n'ont pas les moyens nécessaires, moi non plus. Vive le gratuit !

@+

[loumax]

Mamutu 3.0 disponible version 64 bits.
http://www.emsisoft....les/news100720/

[loumax]

En tous cas la version 64 semble stable je l'utilise depuis 3 semaines, pas de bugs à notifier !

[visualbasic]

J'ai regarder les nouveau test, et j'ai bien ris sur mcafee, en tous cas j'ai etais le premier " vue " sur coranti

[loumax]

http://infomars.fr/W...peghorse/?p=627

Voilà ça c'est fait

Excellent test Peg (que beaucoup attendaient !), pour ma part j'en déduis que Mamutu (même s'il est payant) fait bien ce pourquoi il est prévu : prévenir et stopper (les menaces connus et inconnus) en amont de l'antivirus.

Comme tu le soulignes, ne pas autoriser n'importe quoi sous peine de compliquer la situation et de favoriser une intrusion, c'est peut-être le côté négatif de Mamutu (par contre de mémoire, je ne crois pas qu'il place systématiquement un fichier autorisé dans "fichiers sûrs"comme le font beaucoup de HIPS, à vérifier !).

Donc à mon sens, ces nouveaux (H)IDS (ou (H)IDPS) sont presque indispensables (et vont quoi qu'il en soit, le devenir) pour compléter et renforcer le système sécuritaire d'un PC (en complément, mais en aucun cas il ne vous dispense de l'av et du Firewall).

Le problème actuel est qu'il n'existe pas (encore) de logiciel gratuit semblable à Mamutu.

[EboO]

je continue de rêver à OA 64 bits avec mamutu à la place du hips...