Tutorial et Guide ProSecurity

Tutorial ProSecurity


ProSecurity est un HIPS (voir papier sur les IDS/HIDS).

ProSecurity comme son nom l’indique scrute votre système afin de détecter tout changement ou activité suspecte.
Lorsqu’un élément douteux est détecté, vous avez la possibilité de stopper l’activité, ce qui permet dans le cas d’une tentative d’infection de stopper l’infection avant son installation.

ProSecurity un peu comme un firewall, lorsqu’une activité suspecte est détectée ou une l’activié d’une nouvelle application, vous pouvez autoriser ou non l’activité de l’application, vous pouvez ajouter des règles au fur et à mesure afin d’éduquer ProSecurity et qu’il ne vous repose plus de questions concernant telle ou telles application.

Enfin ProSecurity est disponible en langue française !

Installation de ProSecurity

Vous pouvez télécharger ProSecurity depuis ce lien officiel : http://www.proactive-hips.com/download.php
ProSecurity existe en version gratuite (free) et payante, la version gratuite possède moins de fonctionnalités que la version payante, voir le tableau : Différence entre la version gratuite & payante de ProSecurity

L’installation ne pose pas de soucis en soi, laissez vous guider.

A la fin de l’installation, vous obtenez cette fenêtre.

  • Purchase Now permet d’acheter le logiciel.
  • Input Licence Code permet d’enregistrer le numéro de licence fourni lors de l’achat du logiciel
  • Enfin le bouton Continue permet de continuer l’installation avec la préconfiguration du logiciel.

Tutorial ProSecurity
Le programme vous demande si vous désirez configurer le logiciel.
Ceci est recommandé, en effet, le logiciel va créer des règles d’exécution pour les programmes installés sur votre ordinateur. Ceci vous évitera de vous faire « harceler » par des popups vous demandant si tel ou tel programme peut s’executer.

Pour utiliser la configuration automatique, vous devez être certains que votre ordinateur n’est pas infecté, sinon ProSecurity donnera les droits aux malwares installés de s’executer.

Répondez Yes puis cliquez sur le bouton Next pour passer à l’étape suivante.

Tutorial ProSecurity
Vous devez évaluer le système afin que ProSecurity ajoute au mieux les règles automatiques.
Il est conseillé de laisser l’option sur I’m unsure if my system is clean, ProSecurity va alors créer des règles pour les programmes contenus dans le dossier Windows & Program Files\ possedant les certifications Microsoft.

Cliquez sur le bouton Next pour passer à l’étape suivante.

Tutorial ProSecurity
Le scan de votre système et la création des règles s’effectuent..
Tutorial ProSecurity
Une fois les opérations effectées, le Wizard vous informe que la configuration est terminée.
Cliquez sur le bouton Finish pour fermer le Wizard.
Tutorial ProSecurity

Premier démarrage & Présentation de Pro Security

Premier démarrage
Tutorial ProSecurityVous avez gagné une nouvelle icône sur votre bureau.
Celle-ci vous permet de démarrer l’interface de ProSecurity.

La première étape consiste à passer le logiciel en langue française.
Pour cela, ouvrez l’interface, puis cochez l’option others
Dans le menu déroulant, language, choisissez Français.

Tutorial ProSecurity
Présentation
L’interface de ProSecurity se présente avec des onglets dans la partie gauche.
Vous trouverez ensuite sur la fenêtre principale, des onglets horizontaux pour chaque catégorie d’option.

Tutorial ProSecurity

En haut à droite, les icônes suivantes permettent :Tutorial ProSecurity

permet d’acheter ProSecurity

Tutorial ProSecurity
permet de protéger la configuration et l’accès de la configuration via un mot de passe

Tutorial ProSecurity
permet de vérifier et télécharger des mises à jour de ProSecurity

Tutorial ProSecurity
Ouvre l’aide du logiciel, celle-ci n’est disponible qu’en anglais.

Tutorial ProSecurity
Ouvre l’accès au forum d’aide de ProSecurity. Le forum est en langue anglaise.

Configuration de ProSecurity

Onglet Configuration
  • Dans la partie Configuration de Protection, vous pouvez activer quatre types de protections que vous pouvez ensuite configurer de manière plus appronfie via les onglets à gauche. Il est conseillé de laisser les options par défaut, c’est à dire tous les éléments activés pour une protection optimale.
  • Dans la partie basse, vous trouverez des onglets permettant de configurer certains éléments de ProSecurity. Toutes ces options ne seront pas énumérées ici.
  • La partie Mode de Protection permet de choisir le mode de fonctionnement de la protection.
    • Le mode apprentissage permet la création de règles après l’installation de ProSecurity, ce qui a été fait via le Wizard.
    • Le mode d’installation permet la création de nouvelles règles, lorsque vous installez une nouvelle application. Ceci évite l’ouverture de popups lors de l’installation d’un logiciel. Il est déconseillé d’activer cette option car certains programmes d’installation peuvent installer des malwares. Utilisez cette option seulement si vous êtes sûr de la provenance du programme.

ATTENTIONUne fois l’application installée, vous devez désactiver le mode apprentissage sinon vous ne serez pas protégé puisque ProSecurity va ajouter des règles pour toutes nouvelles applications (et malwares) qui sera executée.
Vous devez donc décocher l’option mode apprentissage.

L’icône de ProSecurity en bas à droite de l’horloge permet de savoir si le mode apprentissage est désactivé.
Lorsque le cadenas est ouvert, le mode apprentissage est activé et ProSecurity ne protège pas le système.
Lorsque le cadenas est fermé, le mode  apprentissage est désative ProSecurity protège le système.

Tutorial ProSecurityTutorial ProSecurity
Il est à noter qu’un clic droit sur l’icône ouvre certaines options du logiciel.
Vous pouvez basculer rapidement vers le mode apprentissage ou Installation très facilement via ce menu.
Tutorial ProSecurity
Onglet Privilèges

Cet onglet permet de configurer les protections générales.

Toutes les protections ne seront pas détaillées ici, vous y trouverez entre autre :

  • les protections concernants les processus : lecture et écriture en mémoire, terminer ou créer un processus, l’injection de threads.
  • les protections générales du système comme le registre Windows, librairies, disques, services & pilotes, la création de hooks globaux et enfin les opérations sur les fichiers.

Sauf si vous savez ce que vous faites, il est conseillé de ne désactiver aucune de ces protections puisques les malwares de manières générales touchent à toutes ces parties du système. Il convient donc de laisser ProSecurity protéger ces parties.

Onglet Applications

ProSecurity fonctionne un peu comme un pare-feu, il liste les applications installées et leurs donnent ou non le droit d’effectuer certaines actions.
L’onglet Applications permet de gérer ces applications et les actions qui leurs seront ou non autorisées.

  • Dans la partie haute, vous pouvez à partir du bouton Ajouter une application ajoutée une nouvelle application dans la liste. Il est aussi possible d’ajouter un checksum (ProSecurite n’accepte que les empruntes SHA-1), un checksum identifiant un fichier unique.
  • Le menu déroulant permet de filtrer la liste. Vous pouvez filtrer via :
    • Lister toutes les règles
    • Lister toutes les applications de confiance
    • Lister les applications suspectes
    • Lister les applications personnalisées
  • Enfin le bouton de droite permet de supprimer une application de la liste.
Tutorial ProSecurity
La liste des applications est accessible en dessous. Elle est malheureusement assez petite, ce qui rend la rend parfois assez illisible et difficilement navigable.
Vous avez la possibilité de taper le nom du ficheir pour le retrouver plus facilement dans la liste.
Vous pouvez aussi trier les applications par nom en cliquant sur la colonne Application tout en haut, de même pour les Dossiers/Execution ou Privilèges.

Tutorial ProSecurity

Enfin la partie basse de la fenêtre permet de choisir les actions autorisées ou non pour l’application sélectionnée dans la liste.
L’onglet Survol

L’onglet Survol permet d’obtenir des informations et une capture de l’application.

Le bouton en haut à droite Vérifier Checksum enregistre l’emprunte de l’application, lorsque l’application est modifiée (soit via un malware soit via une mise à jour), ProSecurity le sera et pourra vous en informer. Il est donc conseillé de garder cette option activée.

Tutorial ProSecurity

L’onglet Général

L’onglet Général donne les autorisations générales sur l’application.
Les autorisations sont représentées par des cases à cocher.
Tutorial ProSecurity
L’action est permise.

Tutorial ProSecurity
L’ation interdite.

Tutorial ProSecurity
Une popup demandera à l’utilisateur l’action à mener.

  • Comme les autorisations d’exécution
    • Permettre d’executé donne l’autorisation à l’application d’être executé
    • Permettre le chargement d’Application : donne l’autorisation à l’application d’executer des applications tierces.
  • Les permissions et protection de données à l’application ou la protection de l’application :
    • Lire permet de lire de la mémoire virtuelle ou protéger la lecture en mémoire
    • Ecrire permet d’écrire dans la mémoire virtuelle ou l’écriture dans la zone mémoire de l’application
    • Terminer/Instaurer : permet de terminer ou créer de nouveau processus ou protège contre la terminaison du processus de l’application.
Tutorial ProSecurity
L’onglet Privilèges Globaux

Les privilèges Globaux donne accès ou non à certaines parties sensibles du systèmes.
Lecture et Ecrire de la mémoire physique, installer un Hook global (utilisé par les keylogger), Accéder au réseau, installer un driver/Service (utilisé par les rootkits kernel-mode) etc..

De manière général, il est conseillé de laisser la majorité des options sur la demande utilisateur, pour que vous jugiez vous même lorsque une application tente d’effectuer certaines opérations si celle-ci a le droit ou non.

Tutorial ProSecurity
Les zones

L’onglet en haut à droite permet de basculer l’application dans :

  • la zone de confiance, l’application obtiendra un maxmimum d’autorisations. Vous devez donc être certains que l’application est sûre. Si vous classez un malware dans la zone de confiance, celui-ci aura toutes les autorisations pour accomplir les fonctions pour lequel il a été conçu.
  • la zone de méfiante, l’application obtiendra le minimum d’autorisation. Vous devez donc classer les applications dangereuses ou dont vous ne connaissez pas la provenance et dont vous n’êtes pas sûr dans cette zone.
  • la zone personnaliser : l’application obtiendra les autorisations que vous aurez choisis en cochant les options.

Les options Avancées de protections

Cette partie aborde certaines options avancées de protection dans la partie applications.
D’ordre général, vous n’aurez pas besoin de faire appel à ces options.. d’autres parts, elles sont réservées à des personnes averties puisqu’elles demandent certaines connaissances du système.

Les options avancées sont accessibles depuis le bouton Configuration avancée dans la partie basse de la fenêtre des applications.

La partie ligne de commande permet de sélectionner l’application selon la ligne de commande, l’application peut être présente mais avec des lignes de commandes différentes.
Dans la configuration avancée vous obtenez de nouveaux onglet :

  • Fichiers/Dossiers permet de donner accès ou non à certains dossiers fichiers 
  • Registre donne l’accès ou non à certaines clefs du registre Windows
  • Hook : donne le droit ou non d’effectuer des hook, vous avez alors la possibilité d’ajouter la DLL qui aura le droit d’effectuer le hook globaux.
  • Librairies : liste les DLL que le processus a le droit de charger ou non.
  • Réseau : donne le droit à l’application d’utiliser des protocoles réseaux (TCP entrant/sortant, UDP et RAWIP)
  • Rapport : enregistre dans les rapports lors de l’accès à un élément (fichiers/dossiers, registre, hook, réseau etc..).
Tutorial ProSecurity

Les fichiers

Cette partie permet de protéger l’accès à certains dossiers ou fichiers.
Il peut être par exemple interressant de protéger vos dossiers contenant des données sensibles comme vos documents, vos comptabilité fait par excel etc…

Ces documents étant en général la cible des ransomwares.

Dans la partie de gauche, sous forme de liste, vous obtenez les groupes de fichiers.
Un groupe de fichiers, contient un ou plusieurs fichiers/dossiers.

Pour ajouter un groupe de fichiers il suffit de cliquer sur le bouton Ajouter un groupe en haut à gauche.
Ajoute une règle permet d’ajouter un fichier/dossier.

Tutorial ProSecurity
Dans la partie basse, vous pouvez configurer les protection de Dossier et fichiers.
La protection se fait sur la création de fichiers/dossiers, la lecture et écriture et enfin la supresison.
Vous pouvez donc empécher la création de nouveau fichiers ou la suppresion.

En bas de chaque règle vous pouvez régler ou non la récursivité, c’est à dire si la protection affecte tous les sous-dossiers et leurs fichiers du dossier.

Registre Windows

ProSecurity protège aussi votre registre Windows
Cette partie fonctionne de la même manière que la protection des fichiers.

Dans la partie gauche, vous configurez les groupes de clefs que vous obtenez sous forme de liste à droite.

Tutorial ProSecurity

La protection des groupes de clefs se fait aussi sur la création/modification de clefs, suppression et création de valeurs.
Vous pouvez aussi activer la récursivité via les options Matcher toutes les sous-clefs.

Les Hook

ProSecurity protège contre les hook.
Les hook permettent d’effectuer certaines opérations lors d’un évènement.

Ceci est utilisé par les keyloggers, par exemple lors que vous pressez des touches, le keyloggers va enregistrer les touches pressées dans un fichier log afin de récupérer vos mots de passe ou numéro de CB.
Les Hook sont aussi utilisés par les programmes sains.

Les Hook se font à partir de fichier DLL.
Vous pouvez ajouter de nouvelle DLL à partir du bouton Ajouter un Item, celle-ci sont listées sous forme de liste.
Un clic droit permet d’autoriser le hook, demander à l’utilisateur ou bloquer.

Tutorial ProSecurity

Les librairies

Cette partie permet de lister les DLL attachées au processus qui auront ou non le droit de s’executer.
Pour ajouter une nouvelle DLL cliquez sur le bouton Ajouter un Item.
Pour permettre ou non l’exécution de la DLL, faites un clic droit puis Permettre / Bloqué ou demander à l’utilisateur

Tutorial ProSecurity

Rapports

Le rapport permet de lister les actions qui ont été effectuées depuis ProSecurity.
Ces derniers apparaîssent sous forme de liste avec le jour.

Le bouton Tout Enlever en haut à droite vide le contenu des rapports.

Tutorial ProSecurity

Les alertes

Voici quelques avertissement via des popups que vous pouvez recevoir lors de l’exécution de nouvelle application (ou tentative d’infection).

  • A gauche, ProSecurity effectue une alerte au lancement de gmer. Ce dernier tente de se copier dans le dossier Windows. Les actions possibles sont :
    • Toujours performer cette action, une règle permanente sera créée et gmer aura toujours le droit de se copier. Plus aucune alerte ne sera générée. 
    • Vous devez ensuite choisir dans quel dossier, gmer aura le droit de se copier (Tous, le dossier dans l’alerte etc..).
  • A droite : l’application WinSCP.exe tente de se connecte à une adresse distance via le protocole TCP.
Tutorial ProSecurity

Tutorial ProSecurity

ProSecurity en pratique

Quelques tests de ProSecurity sur des infections

Infection via exploit de site WEB

Nous allons voir ici le comportement de l’HIPS lorsque nous visitons une page WEB contenant un exploit conduisant à l’infection de l’ordinateur.

Nous voyons bien qu’Internet Explorer (iexplore.exe) tente de démarre un dont le nom semble suspect 0xf9.exe, sa location aussi l’est puisqu’il se trouve à la racine du disque C.
La capture de ProcessExplorer à droite, nous confirmes bien qu’0xf9.exe est bien un processus enfant d’IEXPLORE.EXE.

Il est alors possible de stopper l’infection en bloquant l’exécution de ce fichier en cliquant sur Bloqué.

Tutorial ProSecurity
Magic.Control & MailSkinner

Lors de l’installation du programme piégé MailSkinner, ProSecurity détecte bien la tentative de lancement du fichier c:WindowsSystem32\bqantipezh.exe responsable des popups de publicités.
L’utilisateur a alors la possibilité d’interdire le lancement de cette application.

Il reste pas moins que la détection du chargement de cet adware reste pour l’utilisateur assez difficile à détecté puisque noyé dans des lignes plutôt incompréhensible pour la majorité des internautes.
Nous atteignons ici les limites des HIPS puisque c’est bien à l’internaute d’interpréter si ces lignes sont dangereuses ou non.

Tutorial ProSecurity

Tutorial ProSecurity

Troj/Agent-GCA : Deflib.sys & winlogon.exe

Nous allons maintenant regarder comment ProSecurity réagit fasse à Troj/Agent-GCA
Je vous conseille d’ouvrir la description de sophos donné en lien et de comparer par rapport à ce que ProSecurity nous donne.

Le fichier 603-a.exe tente de créer le fichier winlogon.exe dans %TEMP%
Nous pouvons stopper l’infection ici mais nous allons lui permettre pour voir la suite.

Tutorial ProSecurity
603-a.exe tente de démarrer %TEMP%/winlogon.exe après l’avoir créé, ce qui paraît logique.
Continuons..
Tutorial ProSecurity

Une fois lancé winlogon créé la valeur Firewall auto setup dans la clef HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Ceci va permettre en fait à %TEMP%winlogon.exe de se lancer à chaque démarrage de la session utilisateur afin d’être actif à chaque que vous allumez l’ordinateur.

Tutorial ProSecurity
%TEMP%Winlogon.exe tente ensuite de créer le service SysLibrary qui charge le driver Deflib.Sys
On retrouve bien la description de l’infection donné par sophos.
Tutorial ProSecurity

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 8 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *