Aller au contenu


Spyware Terminator : HIPS et HIDS.


  • Sujet fermé Ce sujet est fermé
4 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 01 juin 2007 - 11:11

cc.gif


Généralités


[1]Versions de Windows
  • Real-Time Protection (module préventif) : MS Windows 2000, XP 32-bit et Vista 32-bit
  • Spyware Scanner (module curatif) : MS Windows 98, ME, 2000, XP 32-bit, XP 64-bit, Vista 32-bit et Vista 64-bit
[2]Installation - Précautions
Afin d'éviter d'éventuels problèmes d'incompatibilité ...
  • Désinstallez complètement toute ancienne version de DT avant d'en installer une nouvelle,
  • Par mesure de précaution, désactivez vos utilitaires de défense le temps de l'installation et faites ensuite une tentative de réactivation.
[3]Composants et modules ...
[a] Spyware Terminator utilise plusieurs processus ...
  • Spywareterminatorshield.exe (protection en temps réel) et sp_rsser.exe lancés dès le démarrage de ST,
  • SpywareTerninator.exe lancé dès la première sollicitation d'une fonction de ST.
La consommation totale de mémoire, en crête, ne devrait pas excéder 90Mo.
[b] Spyware Terminator utilise aussi ...
  • sp_rssrv et sp_rsdrv2, ses « services »,
  • sp_sdrv2.sys, son driver qui crochète la SSDT
  • dans la ruche HKLM du Registre Windows, une clé de démarrage dès le lancement du système,
...
[c] Ailleurs dans le Registre, ST installe plus de 40 nouvelles clés et plus de 150 nouvelles valeurs. Il modifie aussi plus d'une douzaine d'autres clés. L'outil de désinstallation de ST ne remet pas tout en l'état original. Si vous pensez devoir le supprimer un jour de votre PC, procédez donc à son installation sous la surveillance d'un puissant désinstallateur.
[d] Spyware Terminator utilise une Software Database, à la fois liste blanche et liste noire qui contient plus de 2.500 références. Elle sert ...
  • pour ne pas obliger l'utilisateur à autoriser l'exécution de logiciels sains et réputés, ou, au contraire, d'interdire ceux qui sont connus comme malintentionnés,
  • pour trier le bon bon grain de l'ivraie lors du scan complet du système.
[e] ST est proposé en deux versions ...
  • La plus simple comporte les principales fonctions de prévention, un scanner pour la détection des maliciels qui seraient passés et la possibilité d'intégration de l'antivirus ClamAV ... fichier compressé d'un peu plus de 3Mo et, sans ClamAV installé , seulement ~15Mo sur le disque
  • La seconde a toutes les fonctionnalités de la première et, en plus, le module Web Security Guard, un système d'alerte à la navigation qui donne accès aux informations sur les sites fournies par les internautes ... fichier compressé de plus de 9Mo et plus de 250Mo sur le disque pour l'ensemble et une fois toutes les actualisations faites.
[4]Liens directs...

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 01 juin 2007 - 11:13

.../...

Fonction « HIPS »


[5] Protection Temps réel (bouclier temps réel)
CITATION(Spyware Terminator)
  • La protection temps réel protège votre système en permanence et garantit que les espiogiciels peuvent être interceptés et désactivés avant leur installation. Elle aide à empêcher les infractions potentielles de sécurité avant qu'un espiogiciel puisse fonctionner
  • Dans certaines versions elle utilise l'antivirus ClamAV pour prévenir l'infection virale
  • Les fonctions de prévention (HIPS) de Spyware Terminator protègent l'ordinateur de l'utilisateur du fonctionnement d'applications inconnues qui peuvent infiltrer le système à travers des failles de sécurité ou par le biais d'application utilisées. Pendant le « full scan », ST crée un base de données des fichiers exécutables situés sur le(s) disque(s). Quand elle est constituée et que la fonction HIPS est active, toute tentative de s'installer venant d'une application inconnue ou d'une librairie est immédiatement analysée par le bouclier temps réel. Si ce bouclier ne peut pas dé terminer si c'est une application saine il affiche une alerte.
    Le système de « décision automatique » sera amélioré dans les prochaines versions pour réduire au minimum la nécessité pour l'utilisateur de décider s'il doit permettre l'installation ou pas, et maximiser la sécurité. Par exemple, la surveillance des activités des applications inconnues sera étendue, et la capacité de reconstituer le système à son état original sera préservée.
  • Des « profils prédéfinis » permettent de configurer la protection en temps réel suivant le type d'utilisateur. [La protection en temps réel donne un contrôle complet et le droit de modification de parties importantes du système comme les éléments de démarrage, les services, les serveurs, les BHO ...



[6] Paramètres d'installation de la protection en temps réel (PTR).
  • Débutant ... L'ordinateur ne sera protégé que contre les logiciels malveillants connus (de la Software Database - voir paragraphe 3-d). Les logiciels inconnus ne sont pas bloqués et l'utilisateur n'est pas interrogé. Cette solution offre une protection minimale. Elle n'est conseillée qu'aux débutants qui s'engagent fermement à n'utiliser que des logiciels standards, à ne jamais ouvrir de pièce jointe à un email et à ne naviguer qu'au sein d'un système d'isolation (bac à sable) ou d'une machine virtuelle.
  • Confirmé ... L'ordinateur sera protégé contre les inconnus. ST questionnera l'utilisateur si l'analyse automatique du logiciel n'a donné aucun résultat probant. Cette solution est conseillée même aux débutants qui ont conscience des risques d'infection, et veulent rester maîtres des décisions importantes.
  • Expert ... Malgré son appellation ronflante, ce niveau n'est guère plus complexe que le précédent. Simplement un peu plus d'interrogations au sujet de ce qui est ou non autorisable. Cette solution est conseillé aux utilisateurs confimés comme à ceux qui sont encore plus expérimentés.


Les réglages mis en place lors de l'installation sont parfaitement visibles dans le module [Protection Temps Réel], sections [Système], [Applications] et [Internet].
Chacun peut y changer tel ou tel autre paramètre en fonction de son niveau de connaissance du sujet et de ses habitudes.



…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 01 juin 2007 - 11:15

.../...

Fonctions « HIDS » et autres


[7] Scanner ...
CITATION(Spyware Terminator)
  • L'analyse rapide contrôle tous les secteurs importants du système : processus, bibliothèques, services, BHO, barres de tâches, Winsock2, clés de démarrage dans le Registre et menu de démarrage, désinstallateurs, bureau, favoris, cookies ...
  • L'analyse complète vérifie complètement la mémoire, le Registre, les pilotes, les ADS (Alternate Data Stream) NTFS (paramètre optionnel). Il comporte aussi un balayage pour les virus en cas d'utilisation de ClamAV.
  • L'analyse personnalisée permet à l'utilisateur de spécifier quelles parties du système doivent être contrôlées, tout particulièrement dans la cadre d'une optionnelle analyse minutieuse des fichiers.
... ...

Les paramètres des analyses permettent d'enlever ou rajouter quelques uns des critères de scan et en particulier celui des « fichiers streams » (ADS déjà cités ci-dessus, un des lieux de camouflage adopté par certains rootkits).

[8] Nettoyage.
  • Utilisation du driver de ST pour éliminer effectivement les menaces,
  • Effacement des fichiers bloqués au redémarrage du système,
  • Le système de « quarantaine » permet à l'utilisateur de déplacer les éléments potentiellement nocifs vers un emplacement de stockage spécial, et de les remettre en place s'ils s'avèrent sains.

[9] Fonctions complémentaires.
Elles permettent ...
  • le retour à certains des paramètres par défaut de ST,
  • l'utilisation directe à partir de ST de l'outil de sauvegarde et de restauration du système de Windows, solution utile pour « écraser » l'implantation de certains maliciels mais à laquelle les utilisateurs avertis préfèrent un système de sauvegarde/restauration plus général.
  • la sélection d'un fichier pour une analyse poussée (utilisation, entrée dans le Registre etc), avec possibilité de l'envoyer aux experts de ST pour étude et intégration à la « software database »
  • la suppression d'un fichier sélectionné.
...

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#4 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 01 juin 2007 - 11:23

.../...

Modules optionnels


[10]ClamAV
Cet antivirus, plus connu comme ClamWin (son enrobage pour Windows), est tout à fait respectable car « open-source ». C'est aussi un des antivirus que peut incorporer Winpooch.
Il faut cependant noter que ce n'est pas un logiciel très efficace, même s'il se base maintenant sur plus de 10.000 signatures de virus. Non seulement il ne possède pas encore de protection en temps réel, mais ses résultats lors des essais effectués en avril 2007 par virus.gr sont décevants. Il demeure mieux que rien ou que l'antivirus de Microsoft qui n'a même pas réussi à passer ce test, mais il est plus sûr de préférer un antivirus plus puissant comme les gratuiciels Antivir ou Avast!

D'autre part, et pour des raisons d'incompatibilité, il est déconseillé d'utiliser simultanément deux antivirus. Si vous en avez avez déjà un cette option ne sera donc pas à retenir. Dans ce cas, l'option d'installation [Protection contre les spywares et les virus] doit être évitée au profit de l'option [Protection contre les spywares].


[11]Web Security Guard (WSG)
CITATION(Spyware Terminator)
Web Security Guard passe en revue le contenu de chaque site web visité, le niveau de menace et les commentaires des utilisateurs avant que vous y entriez. Il permet d'être alerté au sujet des sites Web qui pourraient être la cause d'infection par des espiogiciels ou d'autres types de maliciels.
Les avertissements concernant les sites dangereux sont les bienvenus car le nombre des pièges augmente de plusieurs milliers tous les mois si on croit l'étude réalisée par les experts de Google.
Un des avantages de WSG est d'incorporer son système au navigateur principal, Internent Explorer ou Firefox.

L'évaluation des sites est symbolisée par un petit bouclier de couleur différente suivant une appréciation que vous pouvez adapter à votre convenance.

Il faut cependant veiller à rajouter son moteur de recherche habituel (Google, Yahoo ...) car seuls ceux de Crawler et de inbox.comsont considérés de confiance en standard.

La base de connaissance de la version « beta » actuelle est encore réduite. Elle croit cependant assez vite, et chacun peut l'enrichir en rajoutant son évaluation de chaque site visité.

A noter ... Firefox lorsqu'il intègre WSG peut aussi fonctionner ainsi au sein de Sandboxie pour une navigation encore plus sûre.


…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)


#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 10 854 Messages :
  • Gender:Male

Posté 01 juin 2007 - 11:33

.../...

Tests

Les essais décrits ci-dessous ont été réalisés avec la version complète 1.8.7 et la version de base 1.9.2 ... dans tous les cas avec l'option d'installation « expert » et la fonction HIPS active.


[12] Résistance à l'interruption forcée
Un maliciel peut-il facilement désactiver Spyware Terminator ? Les tests réalisés avec des outils courants donnet de précieuses indications ?
  • Une tentative d'interruption de ST par le gestionaire de tâches de Windows a provoqué une fermeture de la fenêtre ouverte mais la protection en temps réel est toujours active et la fenêtre peut être réouverte à tout instant.
  • Dès qu'on utilise des utilitaires plus performants, ST ne résiste pas. Des essais ont été réalisés avec IceSword, HideToolz et RkUnhooker ("force kill") ...
    • Les processus sp_rsser.exe et SpywareTerminator.exe sont "tués" sans incident par n'importe lequel des trois.
    • Le processus Spywareterminatorshield.exe (protection en temps réel) est interrompu sans problème par IceSword ou RkUnhooker mais pas par HideToolz.
  • Dès que le bouclier de protection en temps réel est désactivé, ST ne sert plus à grand chose. Il peut cependant être relancé "manuellement" ou en redémarrant le système.
Cette faible protection contre l'interruption forcée peut-être considéré comme un point faible de ST.
...


[13] Détection de rootkits
Lorsque la fonction [Protection des Services] du Bouclier Logiciels n'est pas sélectionnée, tous les rootkit essayés ont installé sans difficulté leur driver.

Au contraire, quand cette fonction [Protection Services] est activée, ST bloque le lancement des drivers de nombreux rootkits ... BadRKDemo.sys, rkdemo12.sys, unreal.sys etc.
...

Parmi les rootkits de démonstration utilisés, le seul qui tente d'implanter une clé de lancement dans le Registre est BadRKDemo. ST a bien bloqué le lancement du driver mais pas celui des clés de Registre dans les ruches [HKLM] [SYSTEM] [ControlSet00x] que ce soit celle de démarrage dans les [Services] ou la clé "Legacy" dans [Enum] [Root]. D'autre part, le driver est toujours présent sur le disque. Il aurait pu être celui d'un nouveau maliciel absent des bases de connaissances. Au démarrage suivant du système, la clé de lancement de BadRKDemo.sys est prise en compte avant celle de ST et le driver est lancé en mémoire sans que le système de protection permanente ait eu le temps de s'activer. BadRKDemo a contourné la défense de Spyware Terminator.

/!\ ... Warning ... /!\

Un rootkit malveillant peut être constitué de nombreux composants. Le blocage de l'un d'entre eux ne suffit pas. Tous les éléments doivent être non seulement arrêtés mais aussi détruits, les clés de lancement dans le Registre comme tous les fichiers autonomes.

Lorsqu'une alerte est déclenchée et qu'elle semble justifiée, l'utilisateur doit immédiatement se renseigner sur tous les composants du maliciel incriminé et, éventuellement intervenir avec des moyens complémentaires pour tousles éradiquer.

Dans le cas présent, la valeur de démarrage de la clé de BadRKDemo.sys a été changée grâce à DarkSpy, mais il ne faut pas oublier que dans le cas de rootkits très complexes, le recours à une restauration complète du système aurait peut-être été plus efficace et plus rapide.

Spyware Terminator devra être complété par un utilitaire capable de bien protéger le Registre. ... Winpooch avec ses règles très paramétrables par exemple.

Dans certaines versions, Spyware Terminator risque de bloquer complètement le lancement de processus sains à cause de [Protection Services]. Cette fonction utilise la liste des logiciels connus par ST où ils pourraient être indiqués à tord comme maléfiques. Il suffit de désactiver provisoirement cette fonction pour que le logiciel puisse être lancé normalement, puis de la réactiver.

Il faut noter que les rootkits comme fhide.sys (lancé par ...) ne sont pas arrêtés car ils ne lancent aucun service détectable par ST. Par contre, ils sont détectés par des HIDS performants comme RkUnhooker. Pour ST, ce sont des compléments indispensables.



Fin provisoire ...

Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution de Spyware Terminator.

Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...
>>> ICI <<<


@+

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety."(Benjamin Franklin)




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)