72 replies to this topic

[spywar]

Par défaut Avast! isole complètement et Comodo partiellement limité et l'analyse Comodo l'a fait dans le Cloud (CAMAS) Avast! analyse en locale l'application.

[Valère]

ce qui voudrait dire que la sandbox d'Avast isole mieux que celle de Comodo !

Non c'est pas la même chose comme dit spywar par défaut quand comodo ne reconnaît pas un fichier il le sandbox comme partiellement limité alors que avast lui il isole complètement si on veut on peut changer les paramètres pour qu'il virtualise totalement les application inconnu

[Mandrake]

Re Spywar,

 

Naren sur le forum de Comodo a refait ton test avec les échantillons que tu lui as fournis. Il semblerait que les logiciels de ranson ne se soit pas installés! VM peut il être la cause de cette différence de fonctionnement. Surtout que ces tests ont été réalisés avec le réglage par défaut "partiellement limité" .

J'attends tes tests avec des réglages plus stricts pour voir le comportement de CIS .

Ce message a été modifié par Mandrake - 14 avril 2013 - 19:22 .

[spywar]

Re Spywar,

 

Naren sur le forum de Comodo a refait ton test avec les échantillons que tu lui as fournis. Il semblerait que les logiciels de ranson ne se soit pas installés! VM peut il être la cause de cette différence de fonctionnement. Surtout que ces tests ont été réalisés avec le réglage par défaut "partiellement limité" .

J'attends tes tests avec des réglages plus stricts pour voir le comportement de CIS .

Oui j'ai vu ça de toute façon quel qu'il en soit les réglages par défauts de CIS 6 sont vraiment vraiment le minimum ... A la V5 personne ne changeait les réglages (en tout cas pas autant) maintenant il y a carrément une page dédiée à la configuration de CIS fait gentiment par un mod du forum.

Je vais devoir tester avec Limité/Untrusted/Fully Virtualised.

[Valère]

 

Re Spywar,

 

Naren sur le forum de Comodo a refait ton test avec les échantillons que tu lui as fournis. Il semblerait que les logiciels de ranson ne se soit pas installés! VM peut il être la cause de cette différence de fonctionnement. Surtout que ces tests ont été réalisés avec le réglage par défaut "partiellement limité" .

J'attends tes tests avec des réglages plus stricts pour voir le comportement de CIS .

Oui j'ai vu ça de toute façon quel qu'il en soit les réglages par défauts de CIS 6 sont vraiment vraiment le minimum ... A la V5 personne ne changeait les réglages (en tout cas pas autant) maintenant il y a carrément une page dédiée à la configuration de CIS fait gentiment par un mod du forum.

Je vais devoir tester avec Limité/Untrusted/Fully Virtualised.

 

Salut spywar tu peut me donner le lien de la page dédiée a la configuration de CIS stp  

[spywar]

Salut,

 

https://www.techsupp...tm#main-content

[Valère]

Salut,

 

https://www.techsupp...tm#main-content

Ok merci  

[Valère]

Spywar tu testeras comodo avec la configuration proactive security ?  

[Th-Crown]

Salut,

 

https://www.techsupp...tm#main-content

Bonne idée Spywar de partager ce lien de tutoriel d'install et config de Comodo 6. Il peut être utile à plus d'un.

[spywar]

Comodo Internet Security 6.1 vs 12 malwares inconnus

paramètres : défauts.

 

http://www.youtube.c...h?v=kid7pOCSit4

 

[tma86]

s'en sort bien...

 

leur manque plus qu'un webfilter pour remplacer leur dns qui filtre pas grand chose

[spywar]

Comodo Valkyrie qui s'améliore de plus en plus, une fois l'intégration faîte, le nombre de FP générés par les systèmes de classifications automatiques devraient être limité (en tout cas bien moins que CAMAS seul).

 

SiteInspector est un bonne outil, on verra par la suite s'il fera l'objet de quelconques intégrations...

[manzai]

Il se débrouille bien, mais Avast fait mieux avec Evo-gen et FilerepMalware .

[EboO]

Valkyrie c'est quoi au fait ?

Sans l'antiviral je ne me souviens pas de quelles analyses on dispose pour les fichiers inconnus, je ne suis pas contre un petit rafraîchissement de mémoire

[spywar]

Valkyrie = Système d'analyse automatique basé sur le Cloud computing.

 

Il est formé de 3 parties.

 

Analyse statique : Analyse statique du PE (à l'aide d'AI engines, 15 au total).

 

Analyse dynamique : Exécution du PE sous machine virtuelle, enregistrement des actions malveillantes si il y a (en fait c'est CAMAS). Ils ont ajoutés un autre module dans la partie dynamique appelé VDD = Valkyrie Dynamic Detection. Je n'ai pas encore d'info sur son fonctionnement.

 

Et enfin, l'heuristique avancé qui est très puissant.

Tout cela faut le dire, donne des résultats impressionnants (cf http://forums.comodo...s-t88429.0.html)

 

Il est toujours en développement à l'heure actuelle car ce système devra aider Comodo à classifier des fichiers malveillants aussi bien que des fichiers bienveillants.

 

Concernant la partie static : c'est un peu comme Malware Similarity Search d'avast! (pas tout à fait néanmoins). C'est simple :

Le fichier est comparé à 1 000 000 de fichiers bienveillants et 1 000 000 de fichiers malveillants si il est similaire à 1 ou plusieurs fichiers malveillants alors c'est un malware si non (similaire à des fichiers malveillants), c'est un goodware. A savoir qu'un fichier peut être similaire à la fois à un fichier malveillant aussi bien que bienveillant. Cela marche plutôt bien.

un exemple d'analyse : http://valkyrie.como...ff17c96aa0b8e8f

A noter qu'au moment ou j'écris valkyrie est down.

 

Enfin, concernant les fichiers inconnus, une fois exécutés ils sont envoyés chez CAMAS (=CIMA) en gros analyseur comportementale mais basé sur le cloud...

 

N'hésitez pas si vous avez d'autres questions.

Ce message a été modifié par spywar - 21 avril 2013 - 19:06 .

[Seb211]

Merci spywar pour toutes ses explications.

[EboO]

Et tout ça c'est avec l'antivirus d'installé ou pas ?
Pour un Pc connnecté en permanence il est utile l'antivirus ?

Merci.

[spywar]

Non c'est compris dans la partie D+ > CFW.

 

Il est toujours utile d'avoir l'AV installé mais CFW seul bien config c'est pas si mal puisque CFW interroge le cloud* sur chaque exécution d'exécutable qui n'est pas dans la liste blanche locale.

 

*La base de donnée CAV est comprise dans leur cloud.

Ce message a été modifié par spywar - 22 avril 2013 - 06:26 .

[EboO]

CFW bien configuré c'est à dire ? Quels paramètres stp ?

Ce message a été modifié par EboO - 22 avril 2013 - 20:18 .

[spywar]

Par défaut CFW V6 est installé avec le l'AutoSandbox désactivé mais le HIPS activé. (en tout cas ce que j'ai vu sur une installation sur un PC). 

Activer l'AutoSanbdox. Avec la 6.1 partiellement limité devrait suffire mais il faut plus de tests sur plus d'échantillons afin d'en être sur.

Sinon voici un article écrit par l'un des mods du forum (bien détaillé) qui aidera sur la config : http://www.techsuppo...figure_Firewall

[EboO]

Merci.
Le hips tu l'actives ou tu comptes que sur le BB ?

[spywar]

Pour avoir un contrôle plus complet j'ai activé le HIPS. 

[EboO]

Et avec le BB tu mets restreint, non fiable ou carrément le tweak pour tout virtualiser ? Sans que ça devienne trop galère non plus.

[spywar]

Bah le BB j'ai laissé en partiellement limité (c'est rare que je tombe sur des appli unknown toute façon) c'est un choix personnel mais limité/restreint sont assez conseillés même si partiellement limité pour un utilisateur assez normal ça suffit amplement. Le seul défaut c'est qu'il faut que l'on attende les prochaines versions de CIS afin d'avoir un "vrai BB" à la Mamutu, là on en a un mais il est basé sur le cloud (CAMAS).

[EboO]

Quelles sont les différences entre limitées restreint stp ?

Le BB devait pas arriver avec la 6.1 ?

[spywar]

Partially Limited - The application is allowed to access all operating system files and resources like clipboard. Modification of protected files/registry keys is not allowed. Privileged operations like loading drivers or debugging other applications are also not allowed. (Default)

 

Limited - Only selected operating system resources can be accessed by the application. The application is not allowed to execute more than 10 processes at a time and is run without Administrator account privileges.

 

Restricted - The application is allowed to access very few operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights.Some applications, like computer games, may not work properly under this setting.

 

Untrusted - The application is not allowed to access any operating system resources. The application is not allowed to execute more than 10 processes at a time and is run with very limited access rights. Some applications that require user interaction may not work properly under this setting.

 

Blocked - The application is not allowed to run at all.

 

Fully Virtualized - This option is not available by default but can be enabled by adding a registry key (advanced users only). To do this, open the registry editor and browse to HKLM >SYSTEM > software > Comodo > Firewall Pro. Add a DWORD key to this hive named EnableDefaultVirtualization and set the value to 1. 'Fully Virtualized' will now be listed in the auto-sandbox restriction level drop down.

 

C'est en anglais, mais facilement compréhensible.

source : http://help.comodo.c...r-Blocker-.html

 

[EboO]

Je l'avais lu ça, mais comme ça reste flou au niveau des autorisations je voulais savoir quel était le meilleur compromis entre sécurité et compatibilité.
D'un autre côté j'ai aucun logiciel qui est sandboxé et quand j'installe c'est un truc connu.

[spywar]

Quelles sont les différences entre limitées restreint stp ?

Le BB devait pas arriver avec la 6.1 ?

Si mais en vue du nombre de bugs corrigés avec la 6.1 c'est plus une maj de maintenance que de grosses nouveautés. Le full BB à la Mamutu c'est donc pour les prochaines versions.

[spywar]

Je viens juste d'avoir une confirmation : Le full Behavior blocker comme Mamutu sera bien présent mais pour le moment ils s'occupent d'améliorer le GUI selon les retours des utilisateurs.

[Monaco61]

Ca serait mieux de s'occuper du BB d'abord... Le GUI est pas si mal que ça. J'aime bien moi, en tout cas.