Tutorial System Safety Monitor

System Safety Monitor est un HIPS (voir papier sur les IDS/HIDS).
System Safety Monitor comme son nom l'indique scrute votre système afin de détecter tout changement ou activité suspecte.
Lorsqu'un élément douteux est détecté, vous avez la possibilité de stopper l'activité, ce qui permet dans le cas d'une tentative d'infection de stopper l'infection avant son installation.

System Safety Monitor un peu comme un firewall, lorsqu'une activité suspecte est détectée ou une l'activié d'une nouvelle application, vous pouvez autoriser ou non l'activité de l'application, vous pouvez ajouter des règles au fur et à mesure afin d'éduquer System Safety Monitor et qu'il ne vous repose plus de questions concernant telle ou telles application.

Enfin System Safety Monitor existe en version Free c'est à dire gratuite et en langue française !

Sommaire

Tutorial System Safety Monitor

Installation de Systel Safety Monitor

Voici un lien à partir duquel vous pouvez télécharger System Safety Monitor : Télécharger System Safety Monitor
Prenez bien la version Free intitulé System Safety Monitor 2.0 Free Edition

Double-cliquez alors sur le fichier téléchargé.
Choisissez la langue (English) puis cliquez sur OK

La fenêtre d'installation s'ouvre alors...
Cliquez sur le bouton Next pour passer à l'étape suivante

Vous devez ensuite accepter les conditions d'utilisation du logiciel, pour cela, cliquez sur le bouton I accept the terms in the Licence Agreement
Cliquez sur le bouton Next pour passer à l'étape suivante

Choisissez dans quel dossier l'application sera instalél, on vous propose par défaut C:\Program Files\System Safety Monitor WE
Si vous désirez modifier le chemin, cliquez sur le bouton Browse pour naviguer dans vos dossiers et en créer un nouveau
Cliquez sur le bouton Next pour passer à l'étape suivante

On vous demande ensuite si vous désirez créer un dossier dans le menu Démarrer (première option cochée par défaut)
Un raccourci sur le bureau
Cochez les options que vous désirez puis cliquez sur le bouton Next pour passer à l'étape suivante

La copie des fichiers s'effectue..

Lorsque la copie est terminée..
Cliquez sur le bouton Next pour passer à l'étape suivante

Il est necessaire de redémarrer l'ordinateur, laissez l'option Reboot Now cochée
Cliquez sur le bouton Finish pour redémarrer l'ordinateur

Premier démarrage de System Safety Monitor

Vous pouvez démarrer System Safety Monitor à partir du menu Démarrer / Programmes / System Safety Monitor / System Safety Monitor
Une icône rond verte est alors ajoutée en bas à droite à côté de l'horloge.
Lorsque celle-ci est verte.. System Safety Monitor protège votre ordinateur.

Lorsque l'icône est rouge.. System Safety Monitor ne protège plus votre ordinateur.
Ce dernier vous le notifie avec une message sur fond jaune.
Tutorial System Safety Monitor

En effectuant un clic droit sur l'icône, vous avez accès aux divers options du logiciel. Ces dernières sont détaillées plus bas.
(Notez la petit erreur de traduction dans "Voir le le complet")

OK et si on passez en français !

Faites un clic droit sur l'icône puis Préférences
Cliquez sur l'onglet Options
Choisissez French comme langue

Dans l'onglet Mise à jour, vous pouvez cocher l'option Vérifier les mises à jour au démarrage
Ceci permet de vérifier que System Safety Monitor est à jour.

Le programme de mise à jour se connecte sur un serveur et télécharge la mise à jour si existente.

Eduquer System Monitor System

Au début de l'utilisation de System Monitor System, vous allez recevoir beaucoup d'alertes, tout comme vous en receviez avec votre pare-feu.
Cela peut être pénible, mais il faut garder à l'esprit que vous devez éduquer System Monitor System pour qu'il reconnaisse par la suite vos applications.

Au fur et à mesure du temps, les alertes se feront plus rares.
Soyez donc patient.

Les alertes d'activités que vous allez recevoir sont de ce type.
Vous avez plusieurs options au niveau de l'autorisation :

Autoriser l'action une fois
Autoriser l'exécution de cette application (System Safety Monitor crééra alors une règle autoriser).
Autoriser l'exécution de l'appication et de l'application parent (celle qui a lancé l'application).

A l'inverse vous pouvez bloquer :

l'exécution de l'application pour cettefois
l'exécution de l'application définitivement (System Safety Monitor crééra alors une règle refuser).
l'exécution de l'appication et de l'application parent (celle qui a lancé l'application).

Quelques remarques :
l'utilisation de la règle " l'exécution de cette application" où System Safety Monitor créera une règle définitive n'est à utiliser que pour les applications installée sur l'ordinateur. Dans le cas de l'installation d'une nouvelle application, vous n'avez pas besoin de créer une règle définitive setup/install puisque vous ne l'executerai peut-être qu'une ou deus fois.
Enfin appliquez toujours la règle suivante : Si vous avez un doute quelconque sur l'application REFUSER l'exécution !!

Présentation de System Safety Monitor

La configuration de System Safety Monitor est accessible depuis le menu Préférecences du menu déroulant.

Monitorer le processus

L'onglet Monitorer le processus est l'équivalent du gestionnaître de tâches de Windows (pour plus d'informations sur les processus : Dossier sur les processus et les services Windows).
Les processus en cours d'exécution apparaissent sous forme d'arborescence.
Vous pouvez visualiser l'utilisation mémoire ainsi que l'utilisation processus. Notez qu'un petit graphique illustre l'utilisation CPU de chacun des processus, en passant la souris sur le graphique, vous pouvez l'aggrandir pour une meilleur lisibilité.

En effectutant un clic droit sur un processus, vous pouvez :

editer la règle à savoir modifier le comportant de System Safety Monitor en autorisant ou non l'exécution du processus.
Arreter l'exécution du processus (Terminer Processus).
Recalculer le MD5 (emprunte du fichier pour le reconnaître).
Démarrer un nouveau processus
Ouvrir les propriétés du fichier afin d'obtenir des informations
Liste les modules du processus - Ce sont en général les DLL utilisées par le processus

Le bouton Mode apprentissage permet d'activer le Learning Mode, System Safety Monitor va prendre alors les décisions à votre place lorsqu'il sera confronté à une nouvelle application.
Je vous conseille fortemment de ne pas activer cette option.. car il laisse passer certaines infections!!!

Règles Application

L'onglet Règles Application permet de modifier les règles utilisées par System Safety Monitor pour savoir quelles sont les actions à effectuer lorsqu'une application est executée et aussi ce que l'application a ou non le droit de faire.

Les règles possibles à appliquer sont :

Autoriser : l'application a le droit de d'executer (en vert).
Refuser : l'applicatio nn'a pas le droit de s'executer (en rouge).
Autorisations Avancées (en jaune) [Voir plus bas dans aller plus loin dans les règles]

Pour modifier une règle, faites un clic droit sur le fichier puis Règles -> Autoriser ou Refuser.
Pour supprimer une règle, sélectionnez la règle dans la liste puis appuyer sur le bouton Suppr du clavier ou clic droit / Supprimer

Notez que les fichiers sont reconnus par leurs empreintes MD5 (d'où la colonne MD5) et non par leurs noms.. ce qui signifie que si le fichier est modifié (cela peut arriver suite à une mise à jour du logicielle/Windows ou suite à une infection).. System Safety Monitor le détectera et le fichier sera considéré comme "nouveau".

Vous pouvez aussi logguer l'activité d'une application, c'est à dire que toutes les opérations effectuées par l'application pourront être consignés dans un rapport.

Pour cela, il suffit de sélectionner le fichier, en bas dans l'onglet Loggin, cochez les évènements que vous souhaitez logguer.

Le bouton en bas à gauche Afficher les logs permet de visualiser le rapport, vous pouvez aussi voir les rapports à partir du menu déroulant de l'icône System Safety Monitor puis Afficher les logs Applications

Pour aller plus loin dans les règles d'applications

System Safety Monitor permet d'affinité de façon très précision les autorisations accordées à chaque processus.
Cette partie demande des connaissances systèmes.. je vous recommande de n'utiliser que les règles autoriser/refuser.

Cela se fait en effectuant un clic droit sur le fichier puis Permissions spéciales, celles-ci sont aussi accessibles en bas de la fenêtre des règles applications.

Les autorisations sont regroupées par thèmes :

Contrôle Système où l'application pourra arrêter d'autres processus, fermer le système, installer un pilote, avoir accès à la mémoire du système.
Code/Dll injection l'application pourra effectuer des hook globaux, effectuer des contrôle à distance etc..
Contrôle de création de processus : permet ou non de garder le processus en mémoire, l'application pourra executer d'autres programmes non connu de System Safety Monitor, Ne pas vérifier l'emprunte MD5 et enfin n'autoriser que l'exécution de l'application par l'administrateur.

Enfin en effectuant un clic droit puis Propriétés avancées sur une application, vous pouvez définir

Si l'application peut démarrer certaines processus ou non (processus enfant) ou être démarré par tels ou tels processus (processus parant).
Injecter des DLL
Charger un pilotes.

Ces options sont très interressantes pour vérrouiller le système et améliorer grandement la sécurité de votre ordinateur.
En effet, prenons le cas des infections qui se propagent par mail. Ces dernières envoient des mails contenant des pièces jointes piégées.. si vous executez la pièce jointe, c'est l'infection.
Vous pouvez alors régler votre client de messagerie (par exemple Outlook Express) pour n'avoir le droit que de démarrer Internet Explorer (processus enfant) et aucune autre application.. ainsi l'exécution de nouvelle application à partir d'Oulook Express (et donc les pièces jointes piégées) sera impossible.

De même pour Internet Explorer, afin de ne pas se faire infecter via des failles de sécurités, vous pouvez autoriser internet explorer à ne démarrer que des logiciels comme Flash, Java, Google Toolbar et interdir le reste, ainsi aucune infection ne sera possible.

Onglet Module

L'onglet Module permet d'activer/désactiver et confirmer les modules supplémentaires de System Safety Monitor.
Les modules permettent de surveiller les modifications de certaines parties sensibles du système comme :

Certaines clefs sensibles du registre Windows, comme les clefs permettant de démarrer des programmes et qui sont utilisées par les malwares pour se charger au démarrage de l'ordinateur
Les fichiers INI Windows (Fichiers de configurations Windows) qui permettent aussi de charger des programmes (et donc des malwares) au démarrage de Windows
Le Menu Démarrer, certains spywares/adwares ajoutent des icônes
Les Services Windows utilisées par les malwares/rootkits
Internet Explorer le navigateur WEB inclus dans Windows, cela permet de le protéger contre les modifications (Hijack) comme la modification de la page de démarrage, de recherche, l'ajout de sites dans les zones de confiances etc..
La protection des fenêtres contre les fermetures, l'activation/désactivation et surtout la possibilité de cacher des fenêtres. Certaines applications ont pour but de cacher des fenêtres.. des infections se servent de ces programmes pour cacher des applications sur le système et permettant de les faire fonctionner à l'insu de l'utilisateur, c'est par exemple, le cas des clients IRC (notamment mIRC).. le client IRC tourne en fond, le pirate peut alors contrôler le système à partir de commandes spéciales transformant le PC en PC zombie.

Chacun des modules est paramétrable par exemple pour les clefs du registre, vous pouvez choisir les clefs à surveiller, en ajouter ou en supprimer.
De même pour Internet Explorer.
Vous pouvez activer/désactiver tous les modules en effectuant un clic droit sur les le menu de gauche puis désactiver/activer tous les modules.
Ceci est possible aussi à partir du menu déroulant System Safety Monitor puis Modules / Activer/Désactiver tous les modules.
Vous pouvez aussi cocher certains modules ou non pour en activer que quelques uns.
Dans la partie module le bouton, l'option en haut à droite Activer ce Module permet ou non de l'activer.

Concernant l'activation des modules, cela dépend de l'utilisation que vous faites de l'ordinateur.
Je vous conseille, par contre, très vivant d'activer le module Services car les malwares ajoutent beaucoup de services.

Enfin noter que le bouton en bas à gauche Montrer les alertes des modules permet de visualiser le journal des alertes.

Générer un rapport d'évènements

System Safety Monitor permet de générer un rapport d'évènements au format HTML.
Le rapport est accessible en effectuant un clic droit sur l'icone System Safety Monitor puis Voir le rapport complet (actuellement Voir le le complet)

System Safety Monitor : En pratique...

Voici quelques tests de la réaction de System Safety Monitor devant des tentatives d'installation d'infections
Ces tests ont été fait avec la version 2.0.8.584 donc les résultats peuvent changer dans les versions futures, notamment avec les versions commerciales qui elles ne sont pas bridées.
Rien n'est donc figé !

Infection Magic.Control

Lors de l'installation de MailSkionner, un des programmes responsables, des infections Magic.Control utilisant une technique de rootkits, System Safetyr Monitor a bien détecté l'installation du fichier aléatoire djfctyvmrh.exe.
L'utilisateur est donc averti de l'installation d'un fichier suspect (de par son nom), il est donc alors possible d'interdire son exécution.

Drop d'une infection via une faille de sécurité sur le navigateur WEB

Nous testons ensuite la consultation d'un site WEB qui installe une infection BraveSenty via une faille de sécurité sur le navigateur WEB.
Vous avez un exemple de ce que cela peut donner sur la page Le danger des cracks !

System Safety Monitor détecte bien lors de la consultation du site la tentative d'exécution du fichier C:\xx123225.exe par le navigateur WEB (en haut IEXPLORE.EXE).
En utilisant la consigne "je sais pas ce que c'est que ce fichier, donc je l'execute pas". Il convient donc de bloquer l'exécution du fichier si nous voulons pas infecter l'ordinateur.

S'ensuit un message d'erreur disant que le fichier C:\xx123225.exe est introuvable.
System Safety Monitor a bien bloqué le fichier.

Rootkit Rustock

Rustock est l'un des rootkits les plus aboutis. Rustock est un rootkit kernel-mode qui installe un driver au sein du système.
Lors de l'installation de Rustock sur le système.. System Safety Monitor détecte bien

SSM bloque le driver du rootkit.. ce qui fait que ce dernier n'est pas actif, on le voit car la clef est visible depuis regedit ce qui signifie que le rootkit n'est pas actif pour la marquer.
Néanmoins, petit bémol car la clef existe bien ainsi que l'ADS (le driver montré par catchme).
Ce qui signifie que si SSM ne bloque pas le driver tout est bien en place pour que le rootkit rentre en fonction.

Au redémarrage on s'apperçoit qu'il existe en fait un service pe386 qui lui n'est pas bloqué par System Safety Monitor.
Gmer détecte le service.. on voit que la clef dans regedit n'est pas visible 'en bas), alors que dans IceSword (en haut).. elle l'est.

Il semblerait que System Safety Monitor ne soit pas capable d'empécher l'installation de Rustock.

Conclusion

La verision Free de System Safety Monitor n'offre peut-être pas toutes les protections que ProcessGuard néanmoins étant gratuite, elle permet d'améliorer grandemment la sécurité de votre ordinateur.
Je vous conseillerai dans la mesure du possible de remplacer votre AntiSpyware par ce programme (ou ProcessGuard).

Afin une configuration complètement gratuite du type : Antivir + System Safety Monitor + DropMyRights et un pare-feu de votre choix
Vous ne devriez plus avoir de problème, cela ne dispense pas d'avoir bien sûr une attitude vigilente sur internet et d'éviter les sites douteux!

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil