VoodooShield : Bloquer l’exécution de programmes

VoodooShield est un programme qui existe en version gratuit mais en langue anglaise.
VoodooShield permet de bloquer l’exécution de programmes non sûr ou de votre choix. VoodooShield intègre aussi une analyse antivirus.
Le fichier peut aussi au préalable lancé sur la sandbox Cuckoo.
VoodooShield est aussi capable de placer un fichier en quarantaine.

VoodooShield peut fonctionner en mode automatique ou en mode manuelle ou vous pouvez choisir à travers des popup d’alertes d’autoriser ou refuser l’exécution d’un programme.

voodooshield_logo

VoodooShield permet aussi l’exécution de programmes dans un bac à sables, c’est à dire dissocier du système.
Cette fonctionnalité est intéressante pour exécuter des programmes non sûr.
La version payante est capable d’effectuer des snapshot

La page de téléchargement de VoodooShield : Télécharger VoodoShield

Voici le comparatif entre la version gratuite et payante VoodooShield :

voodooshield_comparatif_versions

Après installation VoodooShield ouvre un assistant avec les écrans suivants.
Vous pouvez passer aux écrans suivants en cliquant sur Next en haut à droite.

voodooshield_installation

VoodooShield fonctionne avec plusieurs modes, nous y reviendrons plus loin dans ce tutoriel

voodooshield_installation_2

et les popups d’alertes.

voodooshield_installation_3

Principe de fonctionnement de VoodooShield

En bas à droite, se trouve un bouclier bleu avec le mode de fonctionnement et une icône dans le systray, en effectuant un clic droit, vous pouvez ouvrir la configuration de VoodooShield (VoodooShield Settings) et changer le mode de fonctionnement.

On trouve comme mode :

  • Autopolit mode : aucune popup d’alerte et de choix VoodooShield gère automatiquement l’exécution de programmes et va bloquer ceux non sûr et malicieux. Le bouclier est à Auto à droite.
  • Training : Voodoo va autoriser toutes les applications et créer une règle pour celle-ci. Ce mode est à utiliser seulement lorsque vous venez de l’installer et que vous êtes certains que l’ordinateur est sain de tout virus/malwares ou lorsque vous installez une nouvelle application. Le bouclier à droite est à OFF.
  • Smart :  VoodooShield va tenter de minimiser aux maximums les demandes d’exécution de programmes. Les applications inconnues sont soumis à des analyses antivirus. Le bouclier est à ON à droite.
  • Always on : Vous aurez une popup à chaque exécution de programmes

voodooshield_systray

En mode Smart, lors de l’exécution de RogueKiller, on obtient une popup qui bloque le fichier.
Vous avez un décompte en haut à droite avant le blocage complet.
Si vous cliquez sur la popup, vous pourrez autoriser ou non l’exécution.

Notez en haut le résultat de l’analyse sur la popup, une détection sur 56.
VoodooShield indique aussi si le fichier est signé numériquement.
Dans les options, vous avez :

  • Block : bloquer l’exécution du programme
  • SandBox : exécute le programme dans un bac à sables
  • Install : laisse le programme s’installer.

voodooshield_bloquer_programmes

voodooshield_bloquer_programmes_2

et avec un programme malicieux à 13 / 57, on obtient des alertes en rouge.
Le fichier n’est pas signé « This file is not digitaly signed! »
De nouvelles options sont alors offertes dont :

  • Quarantine : place l’élément dans quarantaine.
  • Allow False Positive : laisse exécuter le programme et indique que le fichier est un faux positif.
    voodooshield_bloquer_programmes_3

voodooshield_bloquer_programmes_4

Les scripts malicieux sont bloqués, ici un fichier .hta

voodooshield_bloquer_script_malicieux_sandbox

Au lieu de prendre Quarantaine, je prends Sandbox pour vous montrer.
On obtient une autre popup, on peut cliquez sur Cuckoo pour envoyer le fichier dans la sandbox de Cuckoo.
Ce dernier va exécuter le fichier et donner un rapport des modifications opérées sur le système par ce dernier.
Il existe d’autres sandbox de ce type, comme DeepViz & JoeSecurity ou TotalHash & HybridAnalysis

 

voodooshield_bloquer_script_malicieux

On obtient ce rapport avec les analyses des fichiers/les clés du registre Windows,  créées/modifiées/supprimé, les connexions réseaux établies.
Le rapport peut être indigeste pour un néophyte… Par contre, sur les captures d’écran, on voit clairement qu’au final, on obtient la page du ransomware Locky/Zepto.

voodooshield_bloquer_script_malicieux_sandbox_2 voodooshield_bloquer_script_malicieux_sandbox_3

 

Paramètres de VoodooShield

La configuration de VoodooShield est accessible par un clic droit puis VodooShield Settings.
En version gratuite, la majeure partie des paramètres sont grisées.

Notez que pour toutes les listes, un moteur de recherche est disponible en haut afin de trouver l’entrée souhaitée.

Dans whistelist, se trouve la liste des règles qui autorisent ou bloquent des applications.
Un clic droit puis Delete permet de supprimer la règle qui sera rejouée manuellement ou automatiquement selon le mode de VoodooShield.

Le bouton en bas Reset Whitelist remet toutes les règles à zéro.

voodooshield_configuration

L’onglet UserLog est un journal des actions effectuées par l’utilisateur ou VoodooShield si celui-ci est en automatique.voodooshield_configuration_2

La quarantaine de VoodooShield

Le bouton Clear quarantaine : vide la quarantaine, tous les fichiers seront supprimés.

voodooshield_bloquer_programmes_quarantaine

Les limites de VoodooShield

VoodooShield peut s’avérer assez efficaces de manière générales mais possèdent quelques limites.
Notamment, il arrive qu’il autorise des fichiers malicieux.

VoodooShield ne détectera pas les injections de DLL.

Comprenez donc bien que VoodooShield doit être installé sur un PC sain et peut être un bon support à votre antivirus.

Dans la vidéo suivante, je l’ai installé sur un ordinateur infecté, vous allez voir qu’il bloque pas mal de fichiers malicieux mais en autorisent d’autres.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 451 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *