Aller au contenu


Quel est le meilleur antivirus gratuit?

AVG Avast Comodo Avira Panda MSE AdAware UnThreat Toms Guide

  • Vous ne pouvez pas répondre à ce sujet
73 replies to this topic

#31 franckinou69

franckinou69

    Touriste Phobosien

  • Zimien
  • PipPipPipPip
  • 76 Messages :
  • Gender:Male

Posté 22 juillet 2013 - 15:54

pour aider à sécuriser son parefeu windows, que pensez-vous de l'outil Windows Firewall Control ?

 

http://www.binisoft.org/wfc.php

 

 

#32 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 22 juillet 2013 - 17:44

D'autant que beaucoup de pare-feu de suite de sécurité, fonctionnant en mode "Automatique", n'offre pas beaucoup plus que le pare-feu embarqué Windows.

 

"Mais il faut accepter son niveau d'intégration (d'intrusion) dans le système"

 

Je trouve aussi, cette phrase intéressante, car elle soulève, je pense, une autre problématique.

 

Je pense que l'on s'accorderas tous, sur le fait, qu'un logiciel a trop forte intrusion/incrustation dans le système ( eventuellement pour certains, modifications du noyau Windows, captent les interruptions, substituent les tableaux des vecteurs etc etc) peux affaiblir la stabilité de celui-ci, voir meme crée des vulnérabilités, et donc sa productivité qui est, son role premier..

 

N'y a t'il pas là un paradoxe?

 

Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?


Ce message a été modifié par vigen - 22 juillet 2013 - 17:50 .


#33 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 01:05

"Ok, il le gère, mais comment croire que les utilisateurs Windows dans leur ensemble iront faire cette vérification ?"

 

Wikipédia ! c'est une encyclopédie accessible et gratuite.

 

"...ce qu'une pop-up d'alerte lui aurait appris."

 

le syndrome d'évitement de la fenêtre surgissante se manifeste rapidement après une salve de notifications.

 

"...considères-tu que se méfier de Microsoft pour la sécurité de sa machine et de sa vie privée relève du mensonge et de la désinformation ?"

 

Je préfère l'esprit critique que l'esprit de dénigrement systèmatique.

 

"Quel critère proposes-tu pour mesurer la confiance que nous devrions accorder à un OS plutôt qu'à un logiciel qui fonctionne sur cet OS, ou à ses dépends ?"

 

La confiance n'est jamais neutre. Elle est une dépendance. Elle est un parasite. Elle est un vide. Elle est une faiblesse. Elle est une facilité. Elle est une manipulation. Elle est tôt ou tard une trahison. Quand vient le moment de faire un choix, j'applique la théorie du moindre mal.

 

"Dans quel sens passerait-il ? "

 

Comment le vent sait-il dans quel sens il doit souffler ?



#34 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 05:56

Salut triste Sire,


t'as ptête raison pour la confiance ... ou pas ... en tout cas, j'aurais tendance à penser qu'on ressent la confiance telle qu'on la pense, c'est pas mal une question de représentation. La confiance, ce peut être aussi positif que le seul négatif que tu relèves.

 

 

 

Je préfère l'esprit critique que l'esprit de dénigrement systèmatique.

 

Sauf pour la confiance, visiblement. ;)

 

 

 

 

 

 

Pour en revenir au sujet, je ne crois pas que ce soit une aberration de tester l'antivirus de la suite seul.

Au moins pour vérifier ce que tu dis, que cet antivirus seul n'est pas (aussi - assez - rayez la mention qui vous plait) efficace.

Ce serait plutôt une aberration de l’utiliser seul, si je te suis bien,

 

 

règle à laquelle j'ai déjà trouvé, dans la pratique, un contre-exemple. D'importance en plus, mais passons (ça concerne le ver Conficker. sur mon lieu de travail, je t'aurais bien demandé quelques explications techniques sur cette chose, avec ton avis sur une situation donnée et ce qu'elle peut cacher, mais ce serait abuser du fil et de ton temps - en tout cas c'est une histoire où l'antivirus "seul" a eu un rôle assez positif).



#35 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 15:10

Salut à tous,

 Salut mon B.B

 

@Vigen

"Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?"

C'est une bonne remarque. Un logiciel de protection dont le fonctionnement dépend des privilèges d'exécution en mode ring0 peut fortifier ton système et/ou l'amollir.

 

Un autre problème souvent rencontré: un logiciel (hors installation) qui demande une élévation de privilèges via un manifest. Ce qui est discutable venant d'un convertisseur d'unités par exemple. L'utilisateur a là l'occasion de jouer pleinement son rôle d'administrateur en supprimant le manifest avec un éditeur de ressources. La découverte du logiciel pourra se faire dans un contexte de sécurité renforcé.

 

@Noisette

Raconte-moi ton histoire. Merci.



#36 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 15:57

La confiance n'est jamais neutre. Elle est une dépendance. Elle est un parasite. Elle est un vide. Elle est une faiblesse. Elle est une facilité. Elle est une manipulation. Elle est tôt ou tard une trahison. Quand vient le moment de faire un choix, j'applique la théorie du moindre mal.

Tout un sujet de philosophie à proposer aux rossards qui obtiendront de toutes façons le bac un jour ou l'autre (sauf 10 à 12% d'irrécuparables) et pourront envahir les universités pour y prolonger leur "cancritude" chronique.

 

@Vigen

"Un système fait pour le protégé, et donc le "renforcé", au final, l'affaiblis?"

C'est une bonne remarque. Un logiciel de protection dont le fonctionnement dépend des privilèges d'exécution en mode ring0 peut fortifier ton système et/ou l'amollir.

Effectivement. Un logiciel mal fini qui pénètre dans le système peut-être très dangereux.

Heureusement ce n'est pas le cas de tous. Certains ARKs ont démontré être tout à fait stables et indolores pour WIndows.

 

Note : Analyser ce qui se passe au "ring0" n'est plus suffisant. Le "ring-1" aussi est attaqué depuis pas mal de temps (Vive Joanna Rutkowska ! :love: )

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#37 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 16:41

Désolé du HS

 

 

L'histoire en question, c'est un réseau sous Windows, dans un cadre professionnel "non sensible", et à l'équipement informatique disparate, assez mal maitrisé, etc etc

 

le truc classique.

 

J'ai un PC sur ce réseau, et ce PC m'a été "livré" avec un antivirus payant (à quand le jour où on me retranchera le prix de la licence sur mon salaire ?), dont le module heuristique est désactivé (pas de souscription donc voilà),

une espèce de coquille vide, ou ne reposant que sur une base de signatures.

Pare-feu MS, et à ce propos, la majorité des postes tournent sous XP, dont le mien.

 

XP, juste pour un foutu logiciel bidon, une sorte de vague surcouche excel, payée à prix d'or, mais je m'éloigne de mon sujet.

 

On me livre ce PC, un compte admin (comme tout le monde), mais pas tout à fait admin: admin en local, pas sur le réseau (domaine).

 

Je constate le problème de l'antivirus castré, je remonte l'info, mais au dessus, on semble s'en branler, je me demande même si ils ont compris le problème, je passe juste pour - l'éternel - emmerdeur insatisfait.

 

Je tente de le désinstaller pour mettre autre chose ... impossible, installation via le serveur.

 

J'en ai eu ma claque, installé MSE, qui arrive à cohabiter sainement avec ma coquille vide d'antivirus, sans aucun conflit.

 

Et puis j'installe Comodo.

 

J'ai vraiment de drôle de droits, m'enfin, pas de temps à perdre à leur signaler toussa, de toute façon ça ne sert à rien à court terme, j'ai donc:

 

ma coquille vide,

MSE,

Comodo, avec surveillance en temps réel activée.

 

Un jour, un tech passe le midi pour faire une mise à jour de je ne sais quoi.

 

Je me barre manger, et en revenant, je vois qu'il a du désactiver Comodo, et qu'il a oublié ...  de le réactiver.

 

 

L'après-midi-même, MSE m'alerte qu'il a décelé Conficker. Avec ses putains de fichiers sur mon PC.

 

 

 

Personne n'était au courant. Forcément.

 

Et puis petit à petit, ah bah oui, effectivement, il y a une merde sur le réseau.

 

 

Il a été prétendu que deux boites se sont succédées pour désinfecter. En deux ans. Ce qui est peut-être vrai.

 

C'est assez lourd je crois, de désinfecter un réseau d'une petite cinquantaine de PC,

de mettre en place une stratégie minimale de sécurité parmi des utilisateurs habitués à faire n'importe quoi, bref, je cherche des circonstances atténuantes,

mais à part d'être tombé sur deux boites dépassées par ça, cela finit par me faire me poser des questions.

 

 

Que peut cacher Conficker ? Quels outils peuvent être entrés avec lui, bref, on revient sur le terrain de la confiance, là ...



#38 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 juillet 2013 - 20:58

@Noisette

 

Je crois que l'on connais tous, plus ou moins, des aberrations dans le déploiement logiciel de nos entreprises.

 

Dans mon entreprise, ont tournent aussi sous XP, mais toutes les données sont cryptées par une surcouche logiciel..Ont a le droit a du McAfee pour la solution AV, et ont a accès qu'a une liste "Blanche" de sites (liste très très restreinte) donc impossible d'aller depuis mon poste sur IM par exemple.

 

Ont a nous aussi nos logiciels "Antédiluvien", un "outlook" oldschool :D et évidemment, la suite office, certainement acquise pour un prix modique :D

 

Mais bon soyons positif, si meme la Gendarmerie Nationale, a choisie de passé sous Linux ( http://www.zdnet.fr/...ns-39377943.htm ) , cela commenceras peut être  a se généralisé....

 

 

Edit: Quand l'Administration dit "NON" :D

 

http://www.numerama....-et-mcafee.html

 

(Ce qui est assez rare pour etre souligné ^^)


Ce message a été modifié par vigen - 23 juillet 2013 - 21:02 .


#39 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 22:04

Salut à tous,

 Salut mon BigBoss,

 

La confiance est  ton talon d'Achille...

 

@Txon

 

"(Vive Joanna Rutkowska ! :love: )"

 

N'est-ce pas trop dur de vivre cet amour sous l'oeil de Platon ?

Elle est douée dans son domaine.



#40 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 22:14

Salut à tous,

 Salut mon BigBoss,

 

La confiance est  ton talon d'Achille...

 

 

Pourvu que ça dure.



#41 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 juillet 2013 - 22:19

 

Salut à tous,

 Salut mon BigBoss,

 

La confiance est  ton talon d'Achille...

 

 

Pourvu que ça dure.

 

 

Le monde binaire, ne connait pas cette "faiblesse Humaine" ;)

 

Il n'y a que deux options :)

 

En meme temps, une fois que l'on est "Aware" c'est bete comme chou ^^


Ce message a été modifié par vigen - 23 juillet 2013 - 22:20 .


#42 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 23 juillet 2013 - 22:44

@Noisette

Ma copine pense presque comme toi.

 

@Vigen

Jean-Claude van Damme était en avance sur son temps ^^



#43 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 juillet 2013 - 23:11

Un visionnaire même !!!! :)

 

http://www.youtube.com/watch?v=65M00Dwn8Bc



#44 khuylkhor

khuylkhor

    Touriste Martien

  • Eminence Verte
  • PipPipPipPipPip
  • 129 Messages :

Posté 24 juillet 2013 - 07:09

L'avis de Pierre Pinard d'assiste.com sur les tests antivirus:

Crédibilité des tests comparatifs antivirus: http://assiste.free...._antivirus.html

 

en sachant que Comodo et  lui; comment dire, c'est pas le grand amour :siffle: (il y a quelques années , ca a failli tourner au vinaigre apparemment,vu les menaces de Comodo sur son forum;

faut dire qu'il dézinguait sec :XZombi: (à tord ou à raison à l'époque) Comodo.. )

 

à+



#45 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 24 juillet 2013 - 09:17

@Noisette

Ma copine pense presque comme toi.

 

 

Je ne croyais pas avoir été si clair, ni même l'être, mais comme on dit, nul n'est prophète en son pays.

 

Ceci dit, et pour en revenir à cette petite histoire, c'est bien MSE (puisque Comodo avait été désactivé) qui m'a révélé la tentative d'intrusion de Conficker, et m'en a (en partie seulement, je le crains) préservé.

 

Il y a deux trucs que je trouve appréciables dans MSE:

 

  • d'abord, comme je l'ai relaté, il est possible de le faire cohabiter avec un autre antivirus, ce qui en temps normal est vivement déconseillé, mais qui parfois est salvateur, comme dans mon cas où le premier est aussi creux qu'impossible à désinstaller,
  • ensuite, mais là, c'est pour un public un peu différent: c'est la solution la plus simple et transparente, et qui permet de focaliser l'attention de l'utilisateur le plus novice sur les mises à jour Windows uniquement, afin de ne pas le perdre, et de l'inciter à regarder au moins ça. C'est le N => N+1 si cher aux pédagogues. ;)

Usuellement, dans le premier cas, je double avec Comodo, alors que dans le premier, j'ai tendance à penser que le pare-feu Windows est la meilleure solution, au moins temporairement (certains apprennent, d'autres non). Dans une certaine mesure, je suis en cela l'adage de Gailuron (à qui se forum doit tant): "le meilleur pare-feu, c'est celui que tu maîtrises".



#46 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 24 juillet 2013 - 09:34

L'avis de Pierre Pinard d'assiste.com sur les tests antivirus:
Crédibilité des tests comparatifs antivirus: http://assiste.free...._antivirus.html



Il y a du vrai dans ce qu'il écrit, mais il à mon avis, il y a du faux aussi. :siffle:

L'analogie consistant à dire que si tel labo ou telle association de consommateurs dit un truc et que les forums d'utilisateurs apportent leur propre retour, on a une vison plus globale et plus réaliste sans doute de la réalité. Maintenant, penser que tel retour d'un seul utilisateur vaut autant que l'expertise de tel labo ou telle association de consommateurs, c'est certain que dans une très grande majorité des cas, ce sera une erreur.

Tous les tests ont leur intérêt, y compris certains qu'il dénonce d'ailleurs (sa palme revient à cnet): ces tests signent justement des collusions qu'il s'agit de dénoncer; l'information est nulle, mais l'information sur l'informateur est très intéressante. Et il a bien raison en définitive de dénoncer cette catégorie de tests.


D'autres tests ont réalisés avec trop peu d'envergure selon lui pour être significatifs, et en cela, je pense qu'il a tort. Il faut juste mettre bout à bout les différentes informations pour en avoir une plus globale, plus nuancée.
Là où je lui donne raison, en revanche, c'est que dans les tests, n'apparaissent jamais ni le niveau du testeur, ni le public visé, en tout cas ça n’apparaît jamais sauf quand c'est irréprochable (façon de parler). :D
En cela, certains tests "amateurs" sont tout bonnement trompeurs, réalisés avec trop peu de connaissances ou de recul, nous en avons souvent parlé ici, pour inciter non à tout dénigrer, mais à prendre les tests avec discernement, pour ce qu'ils sont.

Enfin, on ne peut pas non plus affirmer qu'un test amateur est systématiquement parasite, surtout dans le domaine de l'informatique, où les compétences sont parfois acquises seul (dans un garage :dd:), ou jeune, ou en parallèle à d'autres trucs, par passion, etc. Il y a des gens capable de beaucoup même seuls. ;)



 

en sachant que Comodo et  lui; comment dire, c'est pas le grand amour :siffle: (il y a quelques années , ca a failli tourner au vinaigre apparemment,vu les menaces de Comodo sur son forum;
faut dire qu'il dézinguait sec :XZombi: (à tord ou à raison à l'époque) Comodo.. )
 
à+


On lui a pardonné depuis longtemps. :p

#47 manzai

manzai

    Manzailleur

  • Zimien
  • PipPipPipPipPipPipPipPipPip
  • 2 521 Messages :
  • Gender:Male
  • Location:Molsheim (Alsace)

Posté 24 juillet 2013 - 10:30

Je dirais rien sur MSE, on connait mon avis sur ce bidule :D

 

Pour AdAware, ce qui me fait rire c'est qu'il est testé, alors qu'il est fortement déconseiller (compagnie racheté par un panier de crabe apparamment)

 

Si vous voulez pas de virus => Linux ! :transpi:


J'ai : Un PC, un navigateur, un av et un fai, ça te va ?!

#48 spywar

spywar

    L'espion qui m'aimait...

  • Tonton Flingueur
  • PipPipPipPipPipPipPip
  • 991 Messages :
  • Gender:Male

Posté 24 juillet 2013 - 11:17

Salut,

 

"Si vous voulez pas de virus => Linux"

 

ça va être difficile de chopper un virus sous Windows déjà

 

"Notre laboratoire d'analyse a découvert que les virus classiques constituent moins de 0,5 % de la totalité des menaces (en 2012). Il serait donc par définition faux de l'appeler « Anti-Virus ». Nous sommes des perfectionnistes, et c'est pour cela que nous avons opté pour le terme « Malware » qui couvre mieux la définition. « Malware » inclut toutes sortes de menaces, telles que les virus (0,5 %), logiciels de sécurité falsifiés (0,5 %), publiciels (2,7 %), applications possiblement malicieuses (4,1 %), vers (4,6 %), logiciels malveillants financiers et voleurs de mot de passe (5,3 %), enregistreurs de frappe (6,9 %), backdoors (13,3 %) et chevaux de Troie (61,3 %). Veuillez tenir en compte que les logiciels « anti-malware » du marché ne proposent pas tous les mêmes fonctions et le même niveau de protection."

 

http://www.emsisoft....re/antimalware/

 

 

 


#49 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 24 juillet 2013 - 22:14

Salut à tous,

 Salut BigBoss,

 

Je partage l'analyse d'emsisoft.

 

@Noisette

Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.

Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
 
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface

Quelles informations/fonctions du keylogger peut-on exploiter ?
* Log d'enregistrement (date/heure - données captées)
* Les paramètres de configuration
* Login/Password des comptes FTP/Mail/Serveur de la barbouze
* Désinstallation du keylogger (fonction souvent présente intra-muros)  

Après, libre à chacun d'imaginer des scénarios de riposte.
 



#50 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 25 juillet 2013 - 09:09


Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.

Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
 
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface
 

Vaste programme !

Une chose est analyser un keylogger "commercial" (un truc pour surveiller les gosses etc.) et donc un logiciel volontairement installé, une autre est analyser ce que fait un keylogger mal intentionné généralement bien caché par un rootkit.

Pour ces derniers, quels seraient selon toi les "outils ad hoc" (détection + analyse + contournement d'un éventuel mot de passe). Utilises-tu un logiciel de rétroingénierie ? Si oui, lequel ?

 

Ce serait bien que tu fasses un "tuto" sur ce sujet.

 

@+


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#51 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 25 juillet 2013 - 17:16

 


Quand c'est possible, il est préfèrable de prendre le contrôle du malware que de laisser l'antivirus le supprimer.
Un exemple simple et très répandu: le keylogger.

Note importante. Un malware est un logiciel, et comme tous les logiciels, il a parfois des faiblesses.
 
Comment peut-on prendre le contrôle d'un keylogger ?
* En analysant l'objet avec des outils ad hoc
* En contournant le mot de passe autorisant l'accès à son interface
 

Vaste programme !

Une chose est analyser un keylogger "commercial" (un truc pour surveiller les gosses etc.) et donc un logiciel volontairement installé, une autre est analyser ce que fait un keylogger mal intentionné généralement bien caché par un rootkit.

Pour ces derniers, quels seraient selon toi les "outils ad hoc" (détection + analyse + contournement d'un éventuel mot de passe). Utilises-tu un logiciel de rétroingénierie ? Si oui, lequel ?

 

Ce serait bien que tu fasses un "tuto" sur ce sujet.

 

@+

 

Oui cela serait même passionnant. Merci d'avance.



#52 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 25 juillet 2013 - 17:20

Moi j'ai rien dit hein :D



#53 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 26 juillet 2013 - 02:07

Moi j'ai rien dit hein :D

Loll !!!!!



#54 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 26 juillet 2013 - 22:15

De toute façon, je suis en stand by sur cette histoire encore quelques temps,

 

d'ici un mois, je regarderai (et merci, même si c'est vrai, vaste programme, on ne sait par où commencer ^^).



#55 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 05 août 2013 - 16:58

Salut à tous,
 Salut mon BBoss,

@Txon
Pour celui qui veut se lancer dans ce type d'analyse, les outils suivants me semblent adaptés: Ida pro, OllyDbg et ses plugins, Wireshark, zynamics BinNavi, API monitor, WinAPIOverride, wxHexEditor, CFF explorer (Explorer suite).
Il n'est pas toujours nécessaire de sortir la grosse artillerie pour contourner le système de protection d'un malware. C'est le cas de Phrozen Keylogger Lite 1.0 R2 de DarkCoderSc, développeur du redoutable et redouté DarkcometRAT.

Note importante. M'étant contenté d'une analyse très superficielle (non intrusive), il est probable que mon raisonnement souffre de quelques erreurs.
Quelques informations basiques sur cet objet pernicieux:
 • protection de l'application (pkllagent.exe) par VMProtect (le plus puissant protecteur du moment);
 • niveau d'intrusion: ring3;
 • compilateur: Delphi (version indéterminée);
 • crypto-système: Advanced Encryption Standard (AES);
 • niveau de furtivité: 10/46 (ration VirusTotal);
 • technique du Keylogger: WinAPI classiques,
 • répertoire d'installation par défaut: C:\Documents and Settings\%username%\Application Data\PhrozenSoft.

"To ensure the privacy of our user, all logs are stored in a single local database and strongly encrypted. Only the administrator is be able to read them, using his secret password. Even – in the extremely unlikely situation – if the database is discovered, it will still be virtually impossible to extract the logs history."  DarkCoderSc, auteur de phrozen keylogger lite.

D'après mes observations, il est possible de (re)prendre le contrôle de ce keylogger. En fonction de la méthode utilisée, on peut aboutir à deux résultats:
1) Contrôle partiel (historique du log chiffré (cryptogramme) + accès aux paramètres)
2) Contrôle total (historique du log déchiffré + accès aux paramètres)

#56 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 05 août 2013 - 17:02

Merci beaucoup tristan.

 

Question au passage: est-ce que le type de malware que j'ai mentionné, Conficker en l'occurrence, permet de préciser les menaces potentiellement cachées avec ou au contraire, ça peut cacher à peu près tout ?



#57 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 05 août 2013 - 19:09

Re BBoss,
Je n'en ai aucune idée. Je vais essayer de dégager un peu de temps pour travailler sur une analyse complète de conficker. Mais je ne te promets rien dans l'immédiat. Je dois bientôt partir en Australie pour quelques mois.



#58 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 06 août 2013 - 09:25

Le principe du ''bon maliciel'' est simple :

Un rootkit (ring0 ou ring3 *) ou, mieux, un bootkit (ring-1) qui intègre le lancement d'un rootkit avec le système d'exploitation, cache …

  • un cheval de Troie (ring3) pour communiquer (**) à travers une porte dérobée avec un donneur d'ordre apparent lui-même ''zombie'' d'un autre donneur d'ordre apparent … lui même ''zombie'' du véritable donneur d'ordre, (botmaster) selon le principe hiérarchique des meilleurs botnets.
  • un cheval de Troie ''dropper'' pour télécharger/installer tout élément nuisible (charge utile) selon l'ordre du botmaster :

     

    .. désactivateur de logiciels de sécurité connus (Norton, Antivir etc.)

    .. bloqueur d'outils de ''traçage'' et de désinfection connus,

    .. camoufleur d'activité,

    .. ''ver'' reproducteur, keylogger, spammer etc.

    .. éventuellement, d'autres rootkits et chevaux de Troie pour cacher et communiquer de manière différente du premier (changement du port de communication ...) ou même un réparateur et un outil de nettoyage pour enlever tout module qui n'est plus utilisé et ses fichiers de travail.

 

Les ''bon maliciels'' sont furtifs, chiffrés, polymorphes ou métamorphes.

A partir de là, et comme les communications se font à travers un serveur proxy ou des réseaux d'anonymisation, le repérage du maliciel est difficile et la désinfection peut très bien n'être que partielle car seuls quelques éléments ont été identifiés.

Si le botmaster et ceux qui travaillent avec lui sont des travailleurs consciencieux (entendez : vicelards), ils modifient fréquemment tous les éléments constitutifs de leur maliciel, y compris le donneur d'ordre apparent. Heureusement, beaucoup des réseaux préfèrent la quantité de corrompus à la qualité de l'infection.

Aucun des outils cités plus haut n'est suffisant en soi. Seuls des ''pros'' disposant de temps suffisant arriveront à détecter les meilleurs maliciels. Certains ont résisté des mois et même des années avant d'être découverts, parfois à cause d'un détail insignifiant en apparence, parfois parce que l'auteur lui-même a donné toutes les indications nécessaires.

 

@+

 

(*) Les rootkits en ring0 et les bootkits en ring-1 sont beaucoup plus difficiles à développer et injecter ne serait-ce qu'à cause des protections incluses dans les systèmes d'exploitation comme l'UAC (contrôle du compte de l'utilisateur) de Windows et de la connaissance approfondie du système qu'ils requièrent. Ce sont bien entendu les plus efficaces.

(**) Le rôle du pare-feu est très important. Il est nécessaire qu'il soit correctement paramétré pour empêcher toute communication sortante intempestive et protégé contre les neutralisation/désinstallations.


"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#59 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 797 Messages :
  • Gender:Male

Posté 06 août 2013 - 09:49

Merci aussi de ces précisions. ;)

 

En ce qui me concerne, ce que j'ai à craindre, c'est:

soit l'utilisation très peu probable d'un système de surveillance non déclaré,

soit l'infection du réseau par une entité externe, classiquement, possiblement utilisée, mais dont j'ai mentionné à maintes reprises l'existence à qui de droit.

 

Dans les deux cas je n'ai donc rien de personnel à craindre, mais en revanche, j'aimerais avoir le coeur net sur ce qu'il se passe.



#60 tristan

tristan

    Phobosien

  • Zimien
  • PipPipPipPipPipPipPip
  • 516 Messages :
  • Gender:Male

Posté 06 août 2013 - 16:08

Salut à tous,
Salut BBoss,

"Aucun des outils cités plus haut n'est suffisant en soi. Seuls des ''pros'' disposant de temps suffisant arriveront à détecter les meilleurs maliciels" Txon

Ces outils que je cite sont destinés à analyser un malware connu, exception faite de Wireshark à qui on peut assigner d'autres rôles. Je ne parle pas de détection mais d'analyse d'un objet connu. La détection d'une activité non répertoriée requiert d'autres moyens.

"Les ''bon maliciels'' sont furtifs, chiffrés, polymorphes ou métamorphes" Txon

Un keylogger se contente très souvent de l'anneau 3: les API comme GetAsyncKeyState(), GetForegroundWindow(), SetWindowsHook(), SetWindowsHookEx(), et cetera, sont couramment utilisées par d'autres programmes légitimes, ce qui explique la cécité de la plupart des anti-malwares.
L'enregistreur de frappes à l'apparence de Monsieur Tout-le-monde. C'est ce qui fait sa force.



0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)