Bonjour les expertes et les experts,
Je me permets déjà de vous souhaiter une bonne année 2005, et une
bonne santé.
Plus important que tout.
Venons en au fait:
ma question est simple: un produit certifié WestCoast Level 1 est-il
un produit qui protège suffisamment ?
Je pense à celui-ci:
http://www.westcoast.com/checkmark/ph_tegam.html
ça aurait pu être un autre bien sur... O:-)
Ce pour demander si un produit qui n'obtient pas la certification de
niveau 2 est-il correct. Je pratique le safe hex, ce qui sous entend
que je suis pas un puriste qui pinaille pour 1% de détection en plus
ou en moins.
Merci de prendre le temps de répondre à cette petite question.
En vous souhaitant une très bonne journée.
Cheers,
Nick Jr III.
On Wed, 19 Jan 2005 19:32:03 +0100, NickJrIII wrote:
Je viens de tester, on se trouve avec "accès refusé".
Même question de précédemment : quels sont les privilèges des processus cible et attaquant ?
Nicob
Frederic Bonroy
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une opération peut conforme (création d'une clé par exemple).
La première opération peu conforme qu'il réalisera c'est d'essayer de terminer le bloqueur.
Oui, alors en utilisant la méthode 6, le processus pourrait terminer ViGUARD.
Ben voilà.
Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans Windows, et peut , s'il le veut, terminer le processus de l'AV. Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus après sera bloquée par ViGUARD même si on lance l'executable. Mais nous savons à l'inverse que si le virus termine le processus d'abord, ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par la méthode 6. D'où un problème de vulnérabilité.
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une
opération peut conforme (création d'une clé par exemple).
La première opération peu conforme qu'il réalisera c'est d'essayer de
terminer le bloqueur.
Oui, alors en utilisant la méthode 6, le processus pourrait terminer
ViGUARD.
Ben voilà.
Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé
Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans
Windows, et peut , s'il le veut, terminer le processus de l'AV.
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé
Run et terminer un processus après sera bloquée par ViGUARD même si on lance
l'executable.
Mais nous savons à l'inverse que si le virus termine le processus d'abord,
ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par
la méthode 6.
D'où un problème de vulnérabilité.
Logiquement le processus sera terminé avant. Ne confondez pas non plus
virus et ver: un vrai virus n'est pas obligé de créer une valeur dans
Run; même s'il le fait il est probable qu'il infecte d'abord un fichier
(dont il inscrira le nom dans Run) et là tout le mal sera fait.
D'après ce que je peux constater, il bloque le fichier dès qu'il réalise une opération peut conforme (création d'une clé par exemple).
La première opération peu conforme qu'il réalisera c'est d'essayer de terminer le bloqueur.
Oui, alors en utilisant la méthode 6, le processus pourrait terminer ViGUARD.
Ben voilà.
Mais je voudrais proposer une solution:
je vois que ViGUARD bloque un virus dès l'essai de la création d'une clé Run, ce qui veut dire que le virus crée d'abord la clé, puis se copie dans Windows, et peut , s'il le veut, terminer le processus de l'AV. Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus après sera bloquée par ViGUARD même si on lance l'executable. Mais nous savons à l'inverse que si le virus termine le processus d'abord, ViGUARD ne pourrait pas avoir d'alerte avant, et pourrait être terminé par la méthode 6. D'où un problème de vulnérabilité.
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
NickJrIII
"Roland Garcia" a écrit dans le message de news:
Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
Latence qui est valable pour tous les anti-virus, quel que soit leur principe.
D'où la nécessité MATHEMATIQUE de mettre à jour le plus souvent possible.
Vous saisissez ?
Bien sur. Est-ce selon vous même valable pour ViGUARD ? (je parle des MAJ du moteur bien sur).
Je m'excuse si vous pensez que je suis borné, mais est-ce le fait que j'ai pris aux propos de Tegam, mais je pense que la MAJ peut être trop tardive. Enfin vous connaissez mon histoire avec l'excellent McAfee ! :-)
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de news:
41EEADFE.4000404@wanadoo.fr...
Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
Latence qui est valable pour tous les anti-virus, quel que soit leur
principe.
D'où la nécessité MATHEMATIQUE de mettre à jour le plus souvent
possible.
Vous saisissez ?
Bien sur.
Est-ce selon vous même valable pour ViGUARD ? (je parle des MAJ du moteur
bien sur).
Je m'excuse si vous pensez que je suis borné, mais est-ce le fait que j'ai
pris aux propos de Tegam, mais je pense que la MAJ peut être trop tardive.
Enfin vous connaissez mon histoire avec l'excellent McAfee ! :-)
Cela n'enlève rien au problème de la MAJ et de la latence dangereuse.
Latence qui est valable pour tous les anti-virus, quel que soit leur principe.
D'où la nécessité MATHEMATIQUE de mettre à jour le plus souvent possible.
Vous saisissez ?
Bien sur. Est-ce selon vous même valable pour ViGUARD ? (je parle des MAJ du moteur bien sur).
Je m'excuse si vous pensez que je suis borné, mais est-ce le fait que j'ai pris aux propos de Tegam, mais je pense que la MAJ peut être trop tardive. Enfin vous connaissez mon histoire avec l'excellent McAfee ! :-)
NickJrIII
"Roland Garcia" a écrit dans le message de news:
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une clé Run ? ce n'est pas en détectant ce genre de choses que vous allez arrêter la grande majorité des vrais virus.
J'avoue que je confonds avec les chevaux de Troie et les vers. Autant pour moi.
"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de news:
41EEAD25.60104@wanadoo.fr...
Or si tous les virus suivent ce cheminement, un virus qui veut créer une
clé Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une
clé Run ? ce n'est pas en détectant ce genre de choses que vous allez
arrêter la grande majorité des vrais virus.
J'avoue que je confonds avec les chevaux de Troie et les vers.
Autant pour moi.
Or si tous les virus suivent ce cheminement, un virus qui veut créer une clé Run et terminer un processus....
Un virus infecte d'autres fichiers, pourquoi voulez vous qu'il crée une clé Run ? ce n'est pas en détectant ce genre de choses que vous allez arrêter la grande majorité des vrais virus.
J'avoue que je confonds avec les chevaux de Troie et les vers. Autant pour moi.
Roland Garcia
Si vous avancez un propos, je vous croyais quand je pourrais le reproduire moi même. La reproductibilité de l'évènement est importante. Si vous le prouvez...
C'est à celui qui prétend de prouver, d'établir un argumentaire scientifique et cohérent, et au surplus quand on est éditeur de mettre à disposition de la communauté les moyens techniques de vérification.
-- Roland Garcia
Si vous avancez un propos, je vous croyais quand je pourrais le reproduire
moi même.
La reproductibilité de l'évènement est importante.
Si vous le prouvez...
C'est à celui qui prétend de prouver, d'établir un argumentaire
scientifique et cohérent, et au surplus quand on est éditeur de mettre à
disposition de la communauté les moyens techniques de vérification.
Si vous avancez un propos, je vous croyais quand je pourrais le reproduire moi même. La reproductibilité de l'évènement est importante. Si vous le prouvez...
C'est à celui qui prétend de prouver, d'établir un argumentaire scientifique et cohérent, et au surplus quand on est éditeur de mettre à disposition de la communauté les moyens techniques de vérification.
-- Roland Garcia
NickJrIII
"Frederic Bonroy" a écrit dans le message de news:
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
Merci. Je comprend mieux. Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est modifié ? ;-) Ca marcherait ?
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de news:
357p98F4ioltsU1@individual.net...
Logiquement le processus sera terminé avant. Ne confondez pas non plus
virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run;
même s'il le fait il est probable qu'il infecte d'abord un fichier (dont
il inscrira le nom dans Run) et là tout le mal sera fait.
Merci.
Je comprend mieux.
Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est
modifié ? ;-)
Ca marcherait ?
"Frederic Bonroy" a écrit dans le message de news:
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
Merci. Je comprend mieux. Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est modifié ? ;-) Ca marcherait ?
NickJrIII
"Frederic Bonroy" a écrit dans le message de news:
En utilisateur limité ?
Oui.
Même résultat. Méthode 6 efficace. :-(
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de news:
357os7F4khb19U1@individual.net...
D'où la nécessité MATHEMATIQUE de mettre à jour le plus souvent possible.
Vous saisissez ?
Bien sur. Est-ce selon vous .... ?
Vous savez ce qu'est une nécessité d'ordre MATHEMATIQUE ?
-- Roland Garcia
Roland Garcia
"Frederic Bonroy" a écrit dans le message de news:
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
Merci. Je comprend mieux. Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est modifié ? ;-) Ca marcherait ?
Ecrivez sur votre souris "tout appui sur le bouton de gauche est potentiellement dangereux" :-)
-- Roland Garcia
"Frederic Bonroy" <bidonavirus@yahoo.fr> a écrit dans le message de news:
357p98F4ioltsU1@individual.net...
Logiquement le processus sera terminé avant. Ne confondez pas non plus
virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run;
même s'il le fait il est probable qu'il infecte d'abord un fichier (dont
il inscrira le nom dans Run) et là tout le mal sera fait.
Merci.
Je comprend mieux.
Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est
modifié ? ;-)
Ca marcherait ?
Ecrivez sur votre souris "tout appui sur le bouton de gauche est
potentiellement dangereux" :-)
"Frederic Bonroy" a écrit dans le message de news:
Logiquement le processus sera terminé avant. Ne confondez pas non plus virus et ver: un vrai virus n'est pas obligé de créer une valeur dans Run; même s'il le fait il est probable qu'il infecte d'abord un fichier (dont il inscrira le nom dans Run) et là tout le mal sera fait.
Merci. Je comprend mieux. Et si je crée une règle pour alerter quand N'IMPORTE quel fichier du PC est modifié ? ;-) Ca marcherait ?
Ecrivez sur votre souris "tout appui sur le bouton de gauche est potentiellement dangereux" :-)
-- Roland Garcia
Nicob
On Wed, 19 Jan 2005 19:46:25 +0100, Frederic Bonroy wrote:
Ça me rappelle Sasser
Rappelle-toi, je parlais plus tôt dans ce fil de screenshots ... ;-)
Nicob
On Wed, 19 Jan 2005 19:46:25 +0100, Frederic Bonroy wrote:
Ça me rappelle Sasser
Rappelle-toi, je parlais plus tôt dans ce fil de screenshots ...
;-)
