Bonjour les expertes et les experts,
Je me permets déjà de vous souhaiter une bonne année 2005, et une
bonne santé.
Plus important que tout.
Venons en au fait:
ma question est simple: un produit certifié WestCoast Level 1 est-il
un produit qui protège suffisamment ?
Je pense à celui-ci:
http://www.westcoast.com/checkmark/ph_tegam.html
ça aurait pu être un autre bien sur... O:-)
Ce pour demander si un produit qui n'obtient pas la certification de
niveau 2 est-il correct. Je pratique le safe hex, ce qui sous entend
que je suis pas un puriste qui pinaille pour 1% de détection en plus
ou en moins.
Merci de prendre le temps de répondre à cette petite question.
En vous souhaitant une très bonne journée.
Cheers,
Nick Jr III.
C'est bien ça la question. Si vous bloquez sur la base d'une liste blanche alors c'est bon (sauf exceptions), si vous bloquez en fonction du comportement alors c'est perdu parce que l'exécutable aura amplement le temps de tenter de terminer le processus du bloqueur. Chose qui n'est pas impossible comme vous l'avez vous-même constaté.
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une opération peut conforme (création d'une clé par exemple). Oui, alors en utilisant la méthode 6, le processus pourrait terminer ViGUARD. Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans Windows, et peut , s'il le veut, terminer le processus de l'AV. Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus après sera bloquée par ViGUARD même si on lance l'executable. Mais nous savons à l'inverse que si le virus termine le processus d'abord, ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par la méthode 6. D'où un problème de vulnérabilité.
Ce n'est que supposition, peut-être qu'il bloquera, peut-être pas. Il FAUT tester pour le voir. Je préfère ne pas m'avancer, même si je reconnais une éventuelle faiblesse. Je poserai la question à Tegam.
Quand est-ce qu'ils utilisent ces techniques d'infection? Avant ou après avoir terminé le bloqueur? Question rhétorique. :-)
Si cela faillit, virus révolutionnaire par exemple, et bien une nouvelle version sort pour corriger une faille d'analyse comportale.
Si cela faillit surtout la protection 100% s'avèrera être un argument marketing bidon.
Vous savez, le marketing et la technique...;-) Quand on sait que le marketing prime sur le R&D....
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de news:
357nabF4g8172U1@individual.net...
Si le bloqueur est bien conçu, il bloque l'exécutable.
C'est bien ça la question. Si vous bloquez sur la base d'une liste blanche
alors c'est bon (sauf exceptions), si vous bloquez en fonction du
comportement alors c'est perdu parce que l'exécutable aura amplement le
temps de tenter de terminer le processus du bloqueur. Chose qui n'est pas
impossible comme vous l'avez vous-même constaté.
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une
opération peut conforme (création d'une clé par exemple).
Oui, alors en utilisant la méthode 6, le processus pourrait terminer
ViGUARD.
Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé
Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans
Windows, et peut , s'il le veut, terminer le processus de l'AV.
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé
Run et terminer un processus après sera bloquée par ViGUARD même si on lance
l'executable.
Mais nous savons à l'inverse que si le virus termine le processus d'abord,
ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par
la méthode 6.
D'où un problème de vulnérabilité.
Ce n'est que supposition, peut-être qu'il bloquera, peut-être pas. Il FAUT
tester pour le voir.
Je préfère ne pas m'avancer, même si je reconnais une éventuelle faiblesse.
Je poserai la question à Tegam.
Quand est-ce qu'ils utilisent ces techniques d'infection? Avant ou après
avoir terminé le bloqueur? Question rhétorique. :-)
Si cela faillit, virus révolutionnaire par exemple, et bien une nouvelle
version sort pour corriger une faille d'analyse comportale.
Si cela faillit surtout la protection 100% s'avèrera être un argument
marketing bidon.
Vous savez, le marketing et la technique...;-)
Quand on sait que le marketing prime sur le R&D....
C'est bien ça la question. Si vous bloquez sur la base d'une liste blanche alors c'est bon (sauf exceptions), si vous bloquez en fonction du comportement alors c'est perdu parce que l'exécutable aura amplement le temps de tenter de terminer le processus du bloqueur. Chose qui n'est pas impossible comme vous l'avez vous-même constaté.
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une opération peut conforme (création d'une clé par exemple). Oui, alors en utilisant la méthode 6, le processus pourrait terminer ViGUARD. Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans Windows, et peut , s'il le veut, terminer le processus de l'AV. Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus après sera bloquée par ViGUARD même si on lance l'executable. Mais nous savons à l'inverse que si le virus termine le processus d'abord, ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par la méthode 6. D'où un problème de vulnérabilité.
Ce n'est que supposition, peut-être qu'il bloquera, peut-être pas. Il FAUT tester pour le voir. Je préfère ne pas m'avancer, même si je reconnais une éventuelle faiblesse. Je poserai la question à Tegam.
Quand est-ce qu'ils utilisent ces techniques d'infection? Avant ou après avoir terminé le bloqueur? Question rhétorique. :-)
Si cela faillit, virus révolutionnaire par exemple, et bien une nouvelle version sort pour corriger une faille d'analyse comportale.
Si cela faillit surtout la protection 100% s'avèrera être un argument marketing bidon.
Vous savez, le marketing et la technique...;-) Quand on sait que le marketing prime sur le R&D....
NickJrIII
"Roland Garcia" a écrit dans le message de news:
"Roland Garcia" a écrit dans le message de news:
Pourtant vous reconnaissez que la protection à 100% n'existe pas. N'est-ce pas ?
Et vous ?
Je pense.
Dans ce cas concluez vous même, un anti-virus doit être mis à jour le plus souvent possible.
Oui c'est vrai. Ce que je fais avec NOD32. Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de news:
41EEA921.4070102@wanadoo.fr...
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de
news: 41EEA3C6.3000301@wanadoo.fr...
Pourtant vous reconnaissez que la protection à 100% n'existe pas.
N'est-ce pas ?
Et vous ?
Je pense.
Dans ce cas concluez vous même, un anti-virus doit être mis à jour le
plus souvent possible.
Oui c'est vrai. Ce que je fais avec NOD32.
Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
Pourtant vous reconnaissez que la protection à 100% n'existe pas. N'est-ce pas ?
Et vous ?
Je pense.
Dans ce cas concluez vous même, un anti-virus doit être mis à jour le plus souvent possible.
Oui c'est vrai. Ce que je fais avec NOD32. Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
Nicob
On Wed, 19 Jan 2005 19:31:16 +0100, Frederic Bonroy wrote:
Si vous bloquez sur la base d'une liste blanche alors c'est bon (sauf exceptions)
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de modifier le flot d'exécution d'un process déjà existant et, dans l'idéal, tournant avec les droits SYSTEM.
Nicob
On Wed, 19 Jan 2005 19:31:16 +0100, Frederic Bonroy wrote:
Si vous bloquez sur la base d'une liste
blanche alors c'est bon (sauf exceptions)
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de
modifier le flot d'exécution d'un process déjà existant et, dans
l'idéal, tournant avec les droits SYSTEM.
On Wed, 19 Jan 2005 19:31:16 +0100, Frederic Bonroy wrote:
Si vous bloquez sur la base d'une liste blanche alors c'est bon (sauf exceptions)
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de modifier le flot d'exécution d'un process déjà existant et, dans l'idéal, tournant avec les droits SYSTEM.
Nicob
NickJrIII
"Roland Garcia" a écrit dans le message de news:
Le problème d'un bloquer qui réagit après le commencement de l'exécution, c'est qu'il réagit après le commencement de l'exécution.
Le problème ? Quel problème ? Si le bloqueur est bien conçu, il bloque l'exécutable.
En cours d'exécution, avant c'est soit de l'heuristique qui est de l'anti-virus, soit de la simple gestion de droits qui n'est pas d l'anti-virus.
Le problème de l'exécution d'un virus est la possible modification de fichiers sains même s'il y a interruption en cours de route par le bloqueur, d'où l'utilisation de contrôleurs d'intégrité pour essayer de réparer tout ça, mais c'est loin de marcher à tous les coups.
je m'incline, vous en connaissez plus que moi. Je vais relire ce post, j'avoue être aux limites de mes connaissances. Je vais approfondir.
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de news:
41EEA840.5030203@wanadoo.fr...
Le problème d'un bloquer qui réagit après le commencement de l'exécution,
c'est qu'il réagit après le commencement de l'exécution.
Le problème ? Quel problème ?
Si le bloqueur est bien conçu, il bloque l'exécutable.
En cours d'exécution, avant c'est soit de l'heuristique qui est de
l'anti-virus, soit de la simple gestion de droits qui n'est pas d
l'anti-virus.
Le problème de l'exécution d'un virus est la possible modification de
fichiers sains même s'il y a interruption en cours de route par le
bloqueur, d'où l'utilisation de contrôleurs d'intégrité pour essayer de
réparer tout ça, mais c'est loin de marcher à tous les coups.
je m'incline, vous en connaissez plus que moi.
Je vais relire ce post, j'avoue être aux limites de mes connaissances.
Je vais approfondir.
Le problème d'un bloquer qui réagit après le commencement de l'exécution, c'est qu'il réagit après le commencement de l'exécution.
Le problème ? Quel problème ? Si le bloqueur est bien conçu, il bloque l'exécutable.
En cours d'exécution, avant c'est soit de l'heuristique qui est de l'anti-virus, soit de la simple gestion de droits qui n'est pas d l'anti-virus.
Le problème de l'exécution d'un virus est la possible modification de fichiers sains même s'il y a interruption en cours de route par le bloqueur, d'où l'utilisation de contrôleurs d'intégrité pour essayer de réparer tout ça, mais c'est loin de marcher à tous les coups.
je m'incline, vous en connaissez plus que moi. Je vais relire ce post, j'avoue être aux limites de mes connaissances. Je vais approfondir.
Frederic Bonroy
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de modifier le flot d'exécution d'un process déjà existant et, dans l'idéal, tournant avec les droits SYSTEM.
Ça me rappelle Sasser, tiens... ou les failles en général.
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de
modifier le flot d'exécution d'un process déjà existant et, dans
l'idéal, tournant avec les droits SYSTEM.
Ça me rappelle Sasser, tiens... ou les failles en général.
Sauf si au lieu de lancer un nouvel exécutable, on se "contente" de modifier le flot d'exécution d'un process déjà existant et, dans l'idéal, tournant avec les droits SYSTEM.
Ça me rappelle Sasser, tiens... ou les failles en général.
NickJrIII
"Frederic Bonroy" a écrit dans le message de news:
test réalisé sur Windows XP, privilège administrateur pour les deux processus.
Vous pouvez réessayer avec des privilèges "normaux"?
C'est à dire ? En utilisateur limité ?
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de news:
357ndrF4g8172U2@individual.net...
test réalisé sur Windows XP, privilège administrateur pour les deux
processus.
Vous pouvez réessayer avec des privilèges "normaux"?
"Frederic Bonroy" a écrit dans le message de news:
test réalisé sur Windows XP, privilège administrateur pour les deux processus.
Vous pouvez réessayer avec des privilèges "normaux"?
C'est à dire ? En utilisateur limité ?
Roland Garcia
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une clé Run ? ce n'est pas en détectant ce genre de choses que vous allez arrêter la grande majorité des vrais virus.
-- Roland Garcia
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé
Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une
clé Run ? ce n'est pas en détectant ce genre de choses que vous allez
arrêter la grande majorité des vrais virus.
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une clé Run ? ce n'est pas en détectant ce genre de choses que vous allez arrêter la grande majorité des vrais virus.
