- "L'objectif n'est pas de former des developpeurs de virus mais des
experts maîtrisant leurs fonctionnements principalement pour assurer
la sécurité des leur clients."
Il n'est donc pas question d'écrire des antivirus. Et on a déjà dit
qu'il n'y a pas besoin de savoir écrire des virus pour s'en protéger.
Connerie.
- "[...] puisqu'il démontre bien que les anti virus actuels(1995 -->
2003: pas d'évolution) ne valent rien."
Je ne sais pas si c'est un prof ou un étudiant qui a écrit ça, mais ça
n'en est pas moins une double connerie.
Ça dit: "[...] resulting in the creation of the next generation of
anti-virus and computer security products."
Nulle part ça ne dit "faut avoir écrit des virus".
Je suis sûr que Sophos serait heureux d'apprendre que ses produits
"ne valent rien" et qu'ils vendent toujours la même camelote
qu'en 95. :-)
On attend aussi qu'Olivier nous donne son opinion sur la description
du cours de l'université de Calgary ainsi que la réponse de Frisk;
je redonne les liens ici:
http://www.cpsc.ucalgary.ca/News/virus_course.html
http://www.f-prot.com/news/gen_news/open_letter.html
Le Mon, 21 Jul 2003 19:17:22 +0200, JacK a écrit :
Pas exactement un FW logiciel mais un programme free SSM (System Safety Monitor) qui monitore les accès au registre, les applications et les relations child/parent, etc..., les dll et code injections, particulièrement sur les systèmes NT et permet de les accepter ou refuser au coup par coup ou définitivement.
Ah oui je vois ce que tu veux dire. En effet si le processus n'est pas le programme lui meme ce type de problème sera détecté. Si par contre c'est le soft lui meme qui est infecté (par ex ie) dans le binaire, il ne pourra pas. Exemple type : site de maj bidon qui recopie le look microsoft (genre
Ca marche pour mal de personnes :/.
résultat après la maj : une version d'ie qui comporte la backdoor en question (c'est un ex hein ;)) c'est dans ce cas que c'est très dur à monitorer. Dans le cas d'un soft "externe" essayant de faire de l'injection hostile à la volée, il sera détecté (sauf si bien sur le procédé de détection est lui meme corrompu, le vecteur du virus, ou désactivé...)
Le Mon, 21 Jul 2003 19:17:22 +0200, JacK a écrit :
Pas exactement un FW logiciel mais un programme free SSM (System Safety
Monitor) qui monitore les accès au registre, les applications et les
relations child/parent, etc..., les dll et code injections, particulièrement
sur les systèmes NT et permet de les accepter ou refuser au coup par coup ou
définitivement.
Ah oui je vois ce que tu veux dire. En effet si le processus n'est pas le
programme lui meme ce type de problème sera détecté. Si par contre c'est
le soft lui meme qui est infecté (par ex ie) dans le binaire, il ne pourra
pas. Exemple type : site de maj bidon qui recopie le look microsoft (genre
microsoft.com@11356246....
Ca marche pour mal de personnes :/.
résultat après la maj : une version d'ie qui comporte la backdoor en
question (c'est un ex hein ;)) c'est dans ce cas que c'est très dur à
monitorer. Dans le cas d'un soft "externe" essayant de faire de
l'injection hostile à la volée, il sera détecté (sauf si bien sur le
procédé de détection est lui meme corrompu, le vecteur du virus, ou
désactivé...)
Le Mon, 21 Jul 2003 19:17:22 +0200, JacK a écrit :
Pas exactement un FW logiciel mais un programme free SSM (System Safety Monitor) qui monitore les accès au registre, les applications et les relations child/parent, etc..., les dll et code injections, particulièrement sur les systèmes NT et permet de les accepter ou refuser au coup par coup ou définitivement.
Ah oui je vois ce que tu veux dire. En effet si le processus n'est pas le programme lui meme ce type de problème sera détecté. Si par contre c'est le soft lui meme qui est infecté (par ex ie) dans le binaire, il ne pourra pas. Exemple type : site de maj bidon qui recopie le look microsoft (genre
Ca marche pour mal de personnes :/.
résultat après la maj : une version d'ie qui comporte la backdoor en question (c'est un ex hein ;)) c'est dans ce cas que c'est très dur à monitorer. Dans le cas d'un soft "externe" essayant de faire de l'injection hostile à la volée, il sera détecté (sauf si bien sur le procédé de détection est lui meme corrompu, le vecteur du virus, ou désactivé...)
Le Mon, 21 Jul 2003 20:45:13 +0200, JacK a écrit :
En effet, c'est une couche de protection supplémentaire et non la solution ultime mais il est assez facile de détecter de différentes manières si un exe a été modifié et dans ce cas qu'il soit bloqué par le FW car il a été modifié justement. La plupart des nouveaux FW logiciels en sont capables. OutPost Pro v2 par exemple.
ok, je n'ai encore jamais eu le temps ni l'occasion de tester ce produit. Ma spécialité étant plus les systèmes unix et la sécurité des réseaux. J'ai meme souvent du mal à baptiser un zonealarm ou autre "firewall" ;)
Le Mon, 21 Jul 2003 20:45:13 +0200, JacK a écrit :
En effet, c'est une couche de protection supplémentaire et non la solution
ultime mais il est assez facile de détecter de différentes manières si un
exe a été modifié et dans ce cas qu'il soit bloqué par le FW car il a été
modifié justement. La plupart des nouveaux FW logiciels en sont capables.
OutPost Pro v2 par exemple.
ok, je n'ai encore jamais eu le temps ni l'occasion de tester ce produit.
Ma spécialité étant plus les systèmes unix et la sécurité des réseaux.
J'ai meme souvent du mal à baptiser un zonealarm ou autre "firewall" ;)
Le Mon, 21 Jul 2003 20:45:13 +0200, JacK a écrit :
En effet, c'est une couche de protection supplémentaire et non la solution ultime mais il est assez facile de détecter de différentes manières si un exe a été modifié et dans ce cas qu'il soit bloqué par le FW car il a été modifié justement. La plupart des nouveaux FW logiciels en sont capables. OutPost Pro v2 par exemple.
ok, je n'ai encore jamais eu le temps ni l'occasion de tester ce produit. Ma spécialité étant plus les systèmes unix et la sécurité des réseaux. J'ai meme souvent du mal à baptiser un zonealarm ou autre "firewall" ;)
