Tutorial et Guide
ProcessGuard
ProcessGuard est
un IDS qui intecepte les modifications au sein du système.
Ce
programme vous prévient donc dès qu'un programme tente de modifier des
éléments du système. ProcessGuard est donc capable de protéger votre
ordinateur de toute modification ou installation de programmes sans
votre consentement.
Une version bridée de
ProcessGuard existe, elle est gratuite pour une utilisation personnelle
existe.
ProcessGuard est téléchargeable à partir de l'adresse
suivante :
http://www.diamondcs.com.au/processguard/index.php?page=downloadUn
fichier d'aide en anglais très détaillé est disponible à cette adresse
:
Page
d'aide sur le site officielSommaire :
- Tutorial et Guide
ProcessGuard
- Interface
de ProcessGuard
- Onglet
Main
- Onglet
Alerts
- Onglet
Protection
- Onglet
Security
- ProcessGuard en action !
- Rootkit Pe386
- Magic.Control
- Failles
de sécurités sur navigateur WEB
- Conclusion
- Autres
Liens
Interface
de ProcessGuard
L'interface de ProcessGuard se
présente avec des onglets horizontaux.
Onglet
Main
L'onglet
Main permet de configurer ProcessGuard.
Protection Enabled
permet de désactiver la protection globale.
Execution Protection
permet d'activiter ou non la protection contre l'exécution des
programmes (voir plus bas).
Block new and changed
applications bloque toute modification d'un
programme ou l'exécution d'un
nouveau
programme.
Learning Mode active
le mode apprentissage. ProcessGuard va décider par lui même s'il doit
laisser ou non une application de s'executer.
Je vous déconseille fortemment d'activer
l'option Learning mode. En effet, ProcessGuard peut laisser des
programmes malveillants s'executer !!!
(Note : La partie qui suit est
réservée à la version complète et payante de ProcessGuard)Protect
Physical Mémory protège la mémoire contre des
attaques par débordements de tampon si des applications y sont
vulnérables
Block Global Hook
protège contre les hook, c'est à dire les interceptions effectués par
exemple par un keylogger qui tente d'enregistrer les frappes claviers.
Block
Rootkit/Driver/Service bloque la création de
nouveau service ou l'installation de nouveau driver (utilisé par les
rootkit).
Block Registry DLL Injection
bloque les DLL injection, c'est à dire l'exécution de DLL par un
programme tier (comme par exemple internet explorer) utilse pour
infecter un ordinateur via internet.
Le
bouton Lock a droite permet de vérouiller les options de ProcessGuard.
Cliquez
sur le bouton Lock un mot de passe vous sera demandé, ProcessGuard sera
alors vérouillé, pour le dévérouiller, ressaisissez votre mot de passe.
Cette
option est
particulièrement
interressante avec l'option
Block new and changed
applications dans le cas où vous prétez
votre ordinateur ou si vos enfants utilisent votre ordinateur. En
effet, vous pouvez bloquer l'installation ou la modification des
applications sur l'ordinateur et vous bloquer ensuite ProcessGuard.
Ensuite vous bloquez la modification des options sur ProccessGuard à
l'aide du bouton
Lock.
Les
changes de modifications et donc infections sur votre ordinateur sont
presques nulles.
Lors
de l'exécution d'un nouveau programme inconnus par ProcessGuard, une
popup s'ouvrira vous demandant si vous
Onglet
Alerts
Onglet
Alerte affiche un historique des actions effectuées par ProcessGuard.
Les
applications bloquées ou ayant eu le droit de démarrer apparaîssent
sous forme de liste.
Le bouton View LogFiles
permet d'ouvrir l'historique sur le bloc-note.
Le bouton Remove
All supprime tous les éléments de la liste.
En
cliquant sur une alerte, vous pouvez modifier les droits sur une
application.
Pour une modification plus avancées, utilisez
plutôt l'onglet
Protection
(voir plus bas).
Onglet Protection
L'onglet
Protection permet de régler la protection par application.
Apparaîssent sous forme de liste les applications ayant les droits en
exécution sur l'ordinateur.
Le bouton
Add Application
permet d'ajouter une application dans la liste (sinon une popup s'ouvre
si le mode learning n'est pas activé voir plus bas).
Le bouton
Remove
Applications supprime l'application de la
liste.
Dans la partie basse de la fenêtre les
protections :
- Protection this application from - Protéger
cette application de :
- Termination
: d'être tué par une application tiers (pratique pour votre
antivirus/antispyware/firewall).
- Modification
: d'être modification par une application tiers.
- Reading
: de lire des fichiers de l'application.
- Authorise
this application - Autoriser cette
application de :
- Terminante protected applications
: terminer des applications protégées
- Modify
protected applications : Modifier des
applications protégées
- Read from protect applications
: Lire le contenu des fichiers d'une application.
- Other
options for this application - Autres options
pour cette application :
- Install
Global Hook - Installer des Hook, cette
fonction est utilisé par les rootkit, si cette option n'est pas cochée
pour une application, celle-ci ne pourra se comporter comme un rootkit
- Access
Physical Memory : Les pilotes ou certains
programmes (programme de protection ou jeux) ont besoin d'accéder à
mémoire. Des programmes malveillants peuvent aussi tenter d'accéder à
la mémoire afin d'y modifier certains informations. Cette
fonctionnalité permet de protéger la mémoire utilisée par les
applications.
- Install Drivers/Services
: les rootkit kernel mode ont besoin d'installer un
Service/Drivers au sein du système pour fonctionner en tant que
rootkit. Néanmoins, certains applications comme par exemple les
antivirus/firewall peuvent avoir besoin d'installer un service ou
pilotes. Ne donner la possibilité d'installer un pilotes ou services
que seulement si vous êtes sûr de la provenance de l'application.
- Secure
Message Handling : Permet de valider la
fermeture d'une application. Si par exemple un message de
fermeture est envoyé à une application critique (votre
antivirus/firewall)n ProcessGuard ouvrira une popup. En cliquant sur
Cancel, l'application continue de fonctionner, en saisissez un code
aléatoire contenu sur une image l'application sera alors terminée. Ceci
permet de se prémenir des messages envoyés par une application tiers
pour demander la fermeture d'une application (par exemple un virus qui
tente de terminer l'exécution un antivirus).
Apparaissent sous forme de liste
les applications ayant le droit d'être executé sur l'ordinateur.
En sélectionnant une application
dans la liste et à partir du bouton Remove Applications, vous pouvez
supprimer l'application de la liste et donc empécher son exécution.
Un
clic droit sur une application de la liste permet :
- d'obtenir
les propriétés de l'application à partir du bouton Properties.
- Add
to Protect List ajoute l'application dans la
liste des applications protégées (voir onglet précédent).
- Change
Lact Action permet de modifier le comportent
de l'application au prochain lancement :
- Set
To Permit Once : seulement au prochain
lancement, une popup s'ouvrira pour vous demander ce que ProcessGuard
doit faire.
- Set to Permiet Always
: au prochain lancement, l'application pourra démarrer sauf si celle-ci
a été modifiée
- Set to Deny Once
: seulement au prochain lancement, une popup s'ouvrira pour
vous demander ce que ProcessGuard doit faire.
- Set
to Deny Always : au prochain lancement,
l'exécution de l'application sera bloqué.
- Remove
: supprime l'application de la liste.
Lors de l'exécution d'une nouvelle
application, si le learning mode n'est pas actif, une popup s'ouvre
pour vous demander ce que ProcessGuard doit faire.
Le bouton
Permit
permet de laisser l'application s'executer, si vous cochez l'option
Alaways
Perform this action, l'application sera
placée dans la liste de securité et son exécution sera permis à chaque
fois.
Si vous choisissez
Deny
l'exécution de l'application sera bloquée, de même, si vous cochcez
Always
Perform this action, l'exécution de
l'application sera bloquée si vous retentez de l'executer. Ceci est à
effectuer sur les fichiers infectieux.
!!!!!!!
Ne donner accès qu'à des applications dont vous êtes sûr de la
légitimité !!!!!!!
ProcessGuard en action !
Voici
quelques essais de ProcessGuard sur des infections plus ou moins
courantes.
ProcessGuard a été "testé" dans sa version complète
avec la configuration de la capture
Onglet Main
de la partie précédente.
Le learning mode est
désactivé... Attention en learning mode, il s'avère être une vrai
passoire.
Rootkit Pe386
ici
le
trojan-dropper.win32.small a été laisser s'executer, ce dernier doit
installer le
Rootkit
Pe386 Malheureusement ce rootkit devient de plus
en plus monnaie courante surtout avec les infections zlob (faux codecs
etc..).
Ci-dessous, on peut voir que ProcessGuard
détecté l'installation du driver et service lzx32.
Le rootkit
n'a pas réussi à s'installer et ProcessGuard a bien bloqué son
installation.
Magic.Control
Ensuite,
a été installé MailSkinner.. MailSkinner installe une infection de type
Magic.control avec un rootkit user-mode avec un nom de fichier
aléatoire, cette infection est invisible pour la plus part des
antivirus et antispyware.
Pour plus d'informations :
http://www.malekal.com/Adware.Magic_Control.htmlOn
peut remarquer que lors de l'installation de MailSkinner, ProcessGuard
a bien détecté le fichier aléatoire ce qui permet d'empécher son
exécution.
Failles
de sécurités sur navigateur WEB
J'ai ensuite essayé d'acceder
à deux sites WEB différents. Ces deux sites WEB utilisent des failles
de sécurités sur le navigateur WEB pour infecter l'ordinateur.
Celle-ci
dessous est une page blanche qui execute un script vbs pour télécharger
un dropper du nom de C:\new.exe, une fois executé un client IRC est
installé à l'insu de l'utilisateur, la machine est transformée en
PC Zombie.
ProcessGuard
laisse le script s'executer, en effet, wscript (Windows Script Host)
qui gère les scripts sous Windows a les droits d'exécution par défaut.
Cependant
le téléchargement et l'exécution du fichier C:\new.exe ne fonctionne
pas provoquant une erreur du script.
On
retrouve le script et le fichier new.exe
Ci-dessous,
un site crack qui infecte votre ordinateur... les sites de cracks et
les cracks sont un vecteur d'infection !
Je vous invite à
jeter un coup d'oeil à cette page :
Le danger des
cracks !
On peut constater que
ProcessGuard détecte bien l'exécution du fichier qui a été téléchargé à
votre insu à l'accès , il ne reste plus qu'à empécher son exécution via
le bouton Deny.
Conclusion
ProcessGuard
offre une très bonne protection en complément d'un antivirus/Firewall.
L'utilisateur
doit tout de même rester vigilent et bien ne donner accès qu'à des
applications dont il est sûr de leur légitimité.
Autres
Liens
Pour
plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
