L'interface de ProSecurity se
présente avec des onglets dans la partie gauche.
Vous
trouverez ensuite sur la fenêtre principale, des onglets horizontaux
pour chaque catégorie d'option.
En
haut à droite, les icônes suivantes permettent :
permet
d'acheter ProSecurity
permet de protéger la configuration et
l'accès de la configuration via un mot de passe
permet de vérifier et télécharger des
mises à jour de ProSecurity
Ouvre l'aide du logiciel, celle-ci
n'est disponible qu'en anglais.
Ouvre l'accès au forum d'aide de
ProSecurity. Le forum est en langue anglaise.
Configuration
de ProSecurity
Onglet
Configuration
- Dans la partie Configuration
de Protection, vous pouvez activer quatre
types de protections que vous pouvez ensuite configurer de manière plus
appronfie via les onglets à gauche. Il est conseillé de laisser les
options par défaut, c'est à dire tous les éléments activés pour une
protection optimale.
- Dans la partie basse, vous
trouverez des onglets permettant de
configurer certains éléments de ProSecurity. Toutes ces options ne
seront pas énumérées ici.
- La partie Mode
de Protection permet de choisir le mode de
fonctionnement de la protection.
- Le mode
apprentissage permet la création de règles après l'installation de
ProSecurity, ce qui a été fait via le Wizard.
- Le
mode d'installation permet la création de nouvelles règles, lorsque
vous installez une nouvelle application. Ceci évite l'ouverture de
popups lors de l'installation d'un logiciel. Il est déconseillé
d'activer
cette option car certains programmes d'installation peuvent installer
des malwares. Utilisez cette option seulement si vous êtes sûr de la
provenance du programme.
Une
fois l'application installée, vous devez désactiver le mode
apprentissage sinon
vous
ne serez pas protégé puisque ProSecurity va ajouter des
règles pour toutes nouvelles applications (et malwares) qui sera
executée.
Vous devez donc décocher l'option
mode apprentissage.
L'icône
de ProSecurity en bas à droite de l'horloge permet de savoir si le mode
apprentissage est désactivé.
Lorsque le cadenas est ouvert, le
mode apprentissage est activé et ProSecurity ne protège pas le système.
Lorsque
le cadenas est fermé, le mode apprentissage est désative
ProSecurity protège le système.
Il est à noter qu'un clic droit
sur l'icône ouvre certaines options du logiciel.
Vous pouvez
basculer rapidement vers le mode apprentissage ou Installation très
facilement via ce menu.
Onglet
Privilèges
Cet onglet permet de configurer les
protections générales.
Toutes
les protections ne seront pas détaillées ici, vous y trouverez entre
autre :
- les protections
concernants les processus : lecture et écriture en mémoire, terminer ou
créer un processus, l'injection de threads.
- les
protections générales du système comme le registre Windows, librairies,
disques, services & pilotes, la création de hooks globaux et
enfin les opérations sur les fichiers.
Sauf si
vous savez ce que vous faites, il est conseillé de ne désactiver aucune
de ces protections puisques les malwares de manières générales touchent
à toutes ces parties du système. Il convient donc de laisser
ProSecurity protéger ces parties.
Onglet Applications
ProSecurity
fonctionne un peu comme un pare-feu, il liste les applications installées
et leurs donnent ou non le droit d'effectuer certaines actions.
L'onglet
Applications permet de gérer ces applications et les actions qui leurs
seront ou non autorisées.
- Dans
la partie haute, vous pouvez à partir du bouton Ajouter une application
ajoutée une nouvelle application dans la liste. Il est aussi possible
d'ajouter un checksum (ProSecurite n'accepte que les empruntes SHA-1),
un checksum identifiant un fichier unique.
- Le menu
déroulant permet de filtrer la liste. Vous pouvez filtrer via :
- Lister
toutes les règles
- Lister toutes les applications de
confiance
- Lister les applications suspectes
- Lister
les applications personnalisées
- Enfin le
bouton de droite permet de supprimer une application de la liste.
La liste des applications est
accessible en dessous. Elle est malheureusement assez petite, ce qui
rend la rend parfois assez illisible et difficilement navigable.
Vous
avez la possibilité de taper le nom du ficheir pour le retrouver plus
facilement dans la liste.
Vous pouvez aussi trier les
applications par nom en cliquant sur la colonne Application
tout en haut, de même pour les Dossiers/Execution
ou Privilèges.
Enfin la partie basse de la
fenêtre permet de choisir les actions autorisées ou non pour
l'application sélectionnée dans la liste.
L'onglet
Survol
L'onglet
Survol permet d'obtenir des informations et
une capture de l'application.
Le bouton en haut à
droite Vérifier Checksum enregistre l'emprunte de l'application,
lorsque l'application est modifiée (soit via un malware soit via une
mise à jour), ProSecurity le sera et pourra vous en informer. Il est
donc conseillé de garder cette option activée.
L'onglet Général
L'onglet
Général donne les autorisations générales sur l'application.
Les
autorisations sont représentées par des cases à cocher.
L'action est permise.
L'ation interdite.
Une popup demandera à l'utilisateur
l'action à mener.
- Comme les autorisations
d'exécution
- Permettre
d'executé donne l'autorisation à l'application d'être executé
- Permettre
le chargement d'Application : donne l'autorisation à l'application
d'executer des applications tierces.
- Les
permissions
et protection de données à l'application ou
la protection de l'application :
- Lire
permet de lire de la mémoire virtuelle ou protéger la lecture en mémoire
- Ecrire
permet d'écrire dans la mémoire virtuelle ou l'écriture dans la zone
mémoire de l'application
- Terminer/Instaurer
: permet de terminer ou créer de nouveau processus ou protège contre la
terminaison du processus de l'application.
L'onglet
Privilèges Globaux
Les privilèges Globaux donne accès ou non
à certaines parties sensibles du systèmes.
Lecture et Ecrire
de la mémoire physique, installer un Hook global (utilisé par les
keylogger), Accéder au réseau, installer un driver/Service (utilisé par
les rootkits kernel-mode) etc..
De manière général,
il est conseillé de laisser la majorité des options sur la demande
utilisateur, pour que vous jugiez vous même lorsque une application
tente d'effectuer certaines opérations si celle-ci a le droit ou non.
Les
zones
L'onglet en haut à droite permet de basculer
l'application dans :
- la zone de confiance,
l'application obtiendra un maxmimum d'autorisations. Vous devez donc
être certains que l'application est sûre. Si vous classez un malware
dans la zone de confiance, celui-ci aura toutes les autorisations pour
accomplir les fonctions pour lequel il a été conçu.
- la
zone de méfiante, l'application obtiendra le minimum d'autorisation.
Vous devez donc classer les applications dangereuses ou dont vous ne
connaissez pas la provenance et dont vous n'êtes pas sûr dans cette
zone.
- la zone personnaliser : l'application
obtiendra les autorisations que vous aurez choisis en cochant les
options.
Les
options Avancées de protections
Cette partie aborde certaines
options avancées de protection dans la partie applications.
D'ordre
général, vous n'aurez pas besoin de faire appel à ces options..
d'autres parts, elles sont réservées à des personnes averties
puisqu'elles demandent certaines connaissances du système.
Les
options avancées sont accessibles depuis le bouton
Configuration avancée
dans la partie basse de la fenêtre des applications.
La
partie ligne de commande permet de sélectionner l'application selon la
ligne de commande, l'application peut être présente mais avec des
lignes de commandes différentes.
Dans la configuration avancée
vous obtenez de nouveaux onglet :
- Fichiers/Dossiers
permet de donner accès ou non à certains dossiers fichiers
- Registre donne
l'accès ou non à certaines clefs du registre
Windows
- Hook :
donne le droit ou non d'effectuer des hook, vous avez alors la
possibilité d'ajouter la DLL qui aura le droit d'effectuer le hook
globaux.
- Librairies
: liste les DLL que le processus a le droit de charger ou non.
- Réseau
: donne le droit à l'application d'utiliser des protocoles réseaux (TCP
entrant/sortant, UDP et RAWIP)
- Rapport
: enregistre dans les rapports lors de l'accès à un élément
(fichiers/dossiers, registre, hook, réseau etc..).
Les fichiers
Cette
partie permet de protéger l'accès à certains dossiers ou fichiers.
Il
peut être par exemple interressant de protéger vos dossiers contenant
des données sensibles comme vos documents, vos comptabilité fait par excel
etc...Ces documents étant en général la cible
des
ransomwares.
Dans
la partie de gauche, sous forme de liste, vous obtenez les groupes de
fichiers.
Un groupe de fichiers, contient un ou plusieurs
fichiers/dossiers.
Pour ajouter un groupe de
fichiers il suffit de cliquer sur le bouton
Ajouter un groupe
en haut à gauche.
Ajoute une règle
permet d'ajouter un fichier/dossier.
Dans la partie basse, vous pouvez
configurer les
protection de Dossier et fichiers.
La
protection se fait sur la création de fichiers/dossiers, la lecture et
écriture et enfin la supresison.
Vous pouvez donc empécher la
création de nouveau fichiers ou la suppresion.
En
bas de chaque règle vous pouvez régler ou non la récursivité, c'est à
dire si la protection affecte tous les sous-dossiers et leurs fichiers du dossier.
Registre
Windows
ProSecurity protège aussi votre
registre
WindowsCette partie fonctionne de la même manière
que la protection des fichiers.
Dans la partie
gauche, vous configurez les groupes de clefs que vous obtenez sous
forme de liste à droite.
La protection des groupes de clefs
se fait aussi sur la création/modification de clefs, suppression et
création de valeurs.
Vous pouvez aussi activer la récursivité
via les options
Matcher toutes les sous-clefs.
Les
Hook
ProSecurity protège contre les hook.
Les hook
permettent d'effectuer certaines opérations lors d'un évènement.
Ceci
est utilisé par les keyloggers, par exemple lors que vous pressez des
touches, le keyloggers va enregistrer les touches pressées dans un
fichier log afin de récupérer vos mots de passe ou numéro de CB.
Les
Hook sont aussi utilisés par les programmes sains.
Les
Hook se font à partir de fichier DLL.
Vous pouvez ajouter de
nouvelle DLL à partir du bouton
Ajouter un Item,
celle-ci sont listées sous forme de liste.
Un clic droit
permet d'autoriser le hook, demander à l'utilisateur ou bloquer.
Les librairies
Cette
partie permet de lister les DLL attachées au processus qui auront ou
non le droit de s'executer.
Pour ajouter une nouvelle DLL
cliquez sur le bouton Ajouter un Item.
Pour permettre ou non
l'exécution de la DLL, faites un clic droit puis Permettre / Bloqué ou demander à
l'utilisateur
Rapports
Le
rapport permet de lister les actions qui ont été effectuées depuis
ProSecurity.
Ces derniers apparaîssent sous forme de liste
avec le jour.
Le bouton Tout Enlever
en haut à droite vide le contenu des rapports.
Les alertes
Voici
quelques avertissement via des popups que vous pouvez recevoir lors de
l'exécution de nouvelle application (ou tentative d'infection).
- A
gauche, ProSecurity effectue une alerte au lancement de gmer. Ce
dernier tente de se copier dans le dossier Windows. Les actions
possibles sont :
- Toujours performer cette
action, une règle permanente sera créée et gmer aura toujours
le droit de se copier. Plus aucune alerte ne sera générée.
- Vous devez
ensuite choisir dans quel dossier, gmer aura le droit de se copier
(Tous, le dossier dans l'alerte etc..).
- A
droite : l'application WinSCP.exe tente de se connecte à une adresse
distance via le protocole TCP.
ProSecurity en pratique
Quelques
tests de ProSecurity sur des infections
Infection
via exploit de site WEB
Nous allons voir ici le comportement
de l'HIPS lorsque nous visitons une
page
WEB contenant un exploit conduisant à l'infection de
l'ordinateur.
Nous voyons bien qu'Internet Explorer
(iexplore.exe) tente de démarre un dont le nom semble suspect 0xf9.exe,
sa location aussi l'est puisqu'il se trouve à la racine du disque C.
La
capture de ProcessExplorer à droite, nous confirmes bien qu'0xf9.exe
est bien un processus enfant d'IEXPLORE.EXE.
Il est
alors possible de stopper l'infection en bloquant l'exécution de ce
fichier en cliquant sur
Bloqué.
Magic.Control
& MailSkinner
Lors de l'installation du
programme piégé MailSkinner, ProSecurity détecte bien la tentative de
lancement du fichier c:\Windows\system32\bqantipezh.exe
responsable des popups de publicités.
L'utilisateur a alors la
possibilité d'interdire le lancement de cette application.
Il
reste pas moins que la détection du chargement de cet adware reste pour
l'utilisateur assez difficile à détecté puisque noyé dans des lignes
plutôt incompréhensible pour la majorité des internautes.
Nous
atteignons ici les limites des HIPS puisque c'est bien à l'internaute
d'interpréter si ces lignes sont dangereuses ou non.
Troj/Agent-GCA
: Deflib.sys & winlogon.exe
Nous allons
maintenant regarder comment ProSecurity réagit fasse à
Troj/Agent-GCAJe vous
conseille d'ouvrir la description de sophos donné en lien et de
comparer par rapport à ce que ProSecurity nous donne.
Le
fichier 603-a.exe tente de créer le fichier winlogon.exe dans %TEMP%
Nous
pouvons stopper l'infection ici mais nous allons lui permettre pour
voir la suite.
603-a.exe tente de démarrer
%TEMP%/winlogon.exe après l'avoir créé, ce qui paraît logique.
Continuons..
Une
fois lancé winlogon créé la valeur Firewall auto setup dans la clef
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Ceci va
permettre en fait à %TEMP%\winlogon.exe de se lancer à chaque démarrage
de la session utilisateur afin d'être actif à chaque que vous allumez
l'ordinateur.
%TEMP%\Winlogon.exe tente ensuite
de créer le service SysLibrary qui charge le driver Deflib.Sys
On
retrouve bien la description de l'infection donné par sophos.
Liens
Sécuriser
son ordinateur et connaître les menaces
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
Les
outils de suppressions de Spywares/Malwares spécifiques
Autres
tutorials anti-spywares
Vous avez gagné une nouvelle icône sur votre
bureau.
