Tutorial et Guide ProcessGuard

ProcessGuard est un IDS qui intecepte les modifications au sein du système.
Ce programme vous prévient donc dès qu’un programme tente de modifier des éléments du système. ProcessGuard est donc capable de protéger votre ordinateur de toute modification ou installation de programmes sans votre consentement.

Une version bridée de ProcessGuard existe, elle est gratuite pour une utilisation personnelle existe.
ProcessGuard est téléchargeable à partir de l’adresse suivante : http://www.diamondcs.com.au/processguard/index.php?page=download – mirroir : http://download.cnet.com/ProcessGuard/3000-2239_4-10333974.html

Un fichier d’aide en anglais très détaillé est disponible à cette adresse : Page d’aide sur le site officiel

Sommaire :

  1. Tutorial et Guide ProcessGuard
    1. Interface de ProcessGuard
      1. Onglet Main
      2. Onglet Alerts
      3. Onglet Protection
      4. Onglet Security
    2. ProcessGuard en action !
      1. Rootkit Pe386
      2. Magic.Control
      3. Failles de sécurités sur navigateur WEB
    3. Conclusion
    4. Autres Liens

Interface de ProcessGuard

L’interface de ProcessGuard se présente avec des onglets horizontaux.

Onglet Main

L’onglet Main permet de configurer ProcessGuard.
Protection Enabled permet de désactiver la protection globale.
Execution Protection permet d’activiter ou non la protection contre l’exécution des programmes (voir plus bas).
Block new and changed applications bloque toute modification d’un programme ou l’exécution d’un nouveau programme.
Learning Mode active le mode apprentissage. ProcessGuard va décider par lui même s’il doit laisser ou non une application de s’executer.

Je vous déconseille fortemment d’activer l’option Learning mode. En effet, ProcessGuard peut laisser des programmes malveillants s’executer !!!

(Note : La partie qui suit est réservée à la version complète et payante de ProcessGuard)
Protect Physical Mémory protège la mémoire contre des attaques par débordements de tampon si des applications y sont vulnérables
Block Global Hook protège contre les hook, c’est à dire les interceptions effectués par exemple par un keylogger qui tente d’enregistrer les frappes claviers.
Block Rootkit/Driver/Service bloque la création de nouveau service ou l’installation de nouveau driver (utilisé par les rootkit).
Block Registry DLL Injection bloque les DLL injection, c’est à dire l’exécution de DLL par un programme tier (comme par exemple internet explorer) utilse pour infecter un ordinateur via internet.

Tutorial et Guide ProcessGuard

Le bouton Lock a droite permet de vérouiller les options de ProcessGuard.
Cliquez sur le bouton Lock un mot de passe vous sera demandé, ProcessGuard sera alors vérouillé, pour le dévérouiller, ressaisissez votre mot de passe.

Cette option est particulièrement interressante avec l’option Block new and changed applications dans le cas où vous prétez votre ordinateur ou si vos enfants utilisent votre ordinateur. En effet, vous pouvez bloquer l’installation ou la modification des applications sur l’ordinateur et vous bloquer ensuite ProcessGuard. Ensuite vous bloquez la modification des options sur ProccessGuard à l’aide du bouton Lock.

Les changes de modifications et donc infections sur votre ordinateur sont presques nulles.

Tutorial et Guide ProcessGuard

Lors de l’exécution d’un nouveau programme inconnus par ProcessGuard, une popup s’ouvrira vous demandant si vous

Onglet Alerts
Onglet Alerte affiche un historique des actions effectuées par ProcessGuard.
Les applications bloquées ou ayant eu le droit de démarrer apparaîssent sous forme de liste.

Le bouton View LogFiles permet d’ouvrir l’historique sur le bloc-note.
Le bouton Remove All supprime tous les éléments de la liste.

Tutorial et Guide ProcessGuard

En cliquant sur une alerte, vous pouvez modifier les droits sur une application.
Pour une modification plus avancées, utilisez plutôt l’onglet Protection (voir plus bas).

Tutorial et Guide ProcessGuard

Onglet Protection

L’onglet Protection permet de régler la protection par application. Apparaîssent sous forme de liste les applications ayant les droits en exécution sur l’ordinateur.
Le bouton Add Application permet d’ajouter une application dans la liste (sinon une popup s’ouvre si le mode learning n’est pas activé voir plus bas).
Le bouton Remove Applications supprime l’application de la liste.

Dans la partie basse de la fenêtre les protections :

  • Protection this application fromProtéger cette application de :
    • Termination : d’être tué par une application tiers (pratique pour votre antivirus/antispyware/firewall).
    • Modification : d’être modification par une application tiers.
    • Reading : de lire des fichiers de l’application.
  • Authorise this application – Autoriser cette application de :
    • Terminante protected applications : terminer des applications protégées
    • Modify protected applications : Modifier des applications protégées
    • Read from protect applications : Lire le contenu des fichiers d’une application.
  • Other options for this application – Autres options pour cette application :
    • Install Global Hook – Installer des Hook, cette fonction est utilisé par les rootkit, si cette option n’est pas cochée pour une application, celle-ci ne pourra se comporter comme un rootkit
    • Access Physical Memory : Les pilotes ou certains programmes (programme de protection ou jeux) ont besoin d’accéder à mémoire. Des programmes malveillants peuvent aussi tenter d’accéder à la mémoire afin d’y modifier certains informations. Cette fonctionnalité permet de protéger la mémoire utilisée par les applications.
    • Install Drivers/Services : les rootkit kernel mode ont besoin d’installer un Service/Drivers au sein du système pour fonctionner en tant que rootkit. Néanmoins, certains applications comme par exemple les antivirus/firewall peuvent avoir besoin d’installer un service ou pilotes. Ne donner la possibilité d’installer un pilotes ou services que seulement si vous êtes sûr de la provenance de l’application.
    • Secure Message Handling : Permet de valider la fermeture d’une  application. Si par exemple un message de fermeture est envoyé à une application critique (votre antivirus/firewall)n ProcessGuard ouvrira une popup. En cliquant sur Cancel, l’application continue de fonctionner, en saisissez un code aléatoire contenu sur une image l’application sera alors terminée. Ceci permet de se prémenir des messages envoyés par une application tiers pour demander la fermeture d’une application (par exemple un virus qui tente de terminer l’exécution un antivirus).

Tutorial et Guide ProcessGuard

Onglet Security
Apparaissent sous forme de liste les applications ayant le droit d’être executé sur l’ordinateur.

Tutorial et Guide ProcessGuard

En sélectionnant une application dans la liste et à partir du bouton Remove Applications, vous pouvez supprimer l’application de la liste et donc empécher son exécution.
Un clic droit sur une application de la liste permet :

  • d’obtenir les propriétés de l’application à partir du bouton Properties.
  • Add to Protect List ajoute l’application dans la liste des applications protégées (voir onglet précédent).
  • Change Lact Action permet de modifier le comportent de l’application au prochain lancement :
    • Set To Permit Once : seulement au prochain lancement, une popup s’ouvrira pour vous demander ce que ProcessGuard doit faire.
    • Set to Permiet Always : au prochain lancement, l’application pourra démarrer sauf si celle-ci a été modifiée
    • Set to Deny Once :   seulement au prochain lancement, une popup s’ouvrira pour vous demander ce que ProcessGuard doit faire.
    • Set to Deny Always : au prochain lancement, l’exécution de l’application sera bloqué.
  • Remove : supprime l’application de la liste.
Tutorial et Guide ProcessGuard
Lors de l’exécution d’une nouvelle application, si le learning mode n’est pas actif, une popup s’ouvre pour vous demander ce que ProcessGuard doit faire.
Le bouton Permit permet de laisser l’application s’executer, si vous cochez l’option Alaways Perform this action, l’application sera placée dans la liste de securité et son exécution sera permis à chaque fois.
Si vous choisissez Deny l’exécution de l’application sera bloquée, de même, si vous cochcez Always Perform this action, l’exécution de l’application sera bloquée si vous retentez de l’executer. Ceci est à effectuer sur les fichiers infectieux.

!!!!!!! Ne donner accès qu’à des applications dont vous êtes sûr de la légitimité !!!!!!!

Tutorial et Guide ProcessGuard

Un topic sur Zebulon.fr propose un paramétrage de ce logiciel : http://forum.zebulon.fr/index.php?showtopic=66717

ProcessGuard en action !

Voici quelques essais de ProcessGuard sur des infections plus ou moins courantes.
ProcessGuard a été « testé » dans sa version complète avec la configuration de la capture Onglet Main de la partie précédente.

Le learning mode est désactivé… Attention en learning mode, il s’avère être une vrai passoire.

Rootkit Pe386

ici le trojan-dropper.win32.small a été laisser s’executer, ce dernier doit installer le Rootkit Pe386
Malheureusement ce rootkit devient de plus en plus monnaie courante surtout avec les infections zlob (faux codecs etc..).

Ci-dessous, on peut voir que ProcessGuard détecté l’installation du driver et service lzx32.
Le rootkit n’a pas réussi à s’installer et ProcessGuard a bien bloqué son installation.

Tutorial et Guide ProcessGuardTutorial et Guide ProcessGuard

Tutorial et Guide ProcessGuard

Magic.Control

Ensuite, a été installé MailSkinner.. MailSkinner installe une infection de type Magic.control avec un rootkit user-mode avec un nom de fichier aléatoire, cette infection est invisible pour la plus part des antivirus et antispyware.
Pour plus d’informations : http://www.malekal.com/Adware.Magic_Control.html

On peut remarquer que lors de l’installation de MailSkinner, ProcessGuard a bien détecté le fichier aléatoire ce qui permet d’empécher son exécution.
Tutorial et Guide ProcessGuard

Failles de sécurités sur navigateur WEB

J’ai ensuite essayé d’acceder à deux sites WEB différents. Ces deux sites WEB utilisent des failles de sécurités sur le navigateur WEB pour infecter l’ordinateur.
Celle-ci dessous est une page blanche qui execute un script vbs pour télécharger un dropper du nom de C:new.exe, une fois executé un client IRC est installé à l’insu de l’utilisateur, la machine est transformée en PC Zombie.
ProcessGuard laisse le script s’executer, en effet, wscript (Windows Script Host) qui gère les scripts sous Windows a les droits d’exécution par défaut.
Cependant le téléchargement et l’exécution du fichier C:new.exe ne fonctionne pas provoquant une erreur du script.

Tutorial et Guide ProcessGuard
On retrouve le script et le fichier new.exe

Tutorial et Guide ProcessGuard

Ci-dessous, un site crack qui infecte votre ordinateur… les sites de cracks et les cracks sont un vecteur d’infection !
Je vous invite à jeter un coup d’oeil à cette page : Le danger des cracks !

On peut constater que ProcessGuard détecte bien l’exécution du fichier qui a été téléchargé à votre insu à l’accès , il ne reste plus qu’à empécher son exécution via le bouton Deny.
Tutorial et Guide ProcessGuard

Conclusion

ProcessGuard offre une très bonne protection en complément d’un antivirus/Firewall.
L’utilisateur doit tout de même rester vigilent et bien ne donner accès qu’à des applications dont il est sûr de leur légitimité.

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 46 times, 1 visits today)

6 thoughts on “Tutorial et Guide ProcessGuard

  1. re

    le lien fonctionne

    mon propos était de savoir si Win Patrol et ProcessGuard avaient les mêmes fonctions , la même utilité ou sont -ils complémentaires
    A+

  2. L’adresse de l’éditeur de ProcessGuard est maintenant complètement bidon.
    Le site http://www.diamondcs.com.au/ n’a plus à voir avec PG.

    Il ne fait que présenter des « Anti-virus Software ». Il n’y a strictement rien à télécharger. C’est à se demander à quoi il sert.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *