J'utilise XP Pro avec un compte limité et j'aimerais
savoir dans quels cas un virus (ou plutôt n'importe quel
exécutable) peut modifier la base de registre pour
implanter un virus, un trojan au autre.
Tout comme avec les sytèmes Unix, un exécutable bénéficie
des droits de celui qui le lance. Pourtant, Klez avait
bien arrêté Tiny firewall et Norton Antivirus !
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
You44
Fred wrote:
J'utilise XP Pro avec un compte limité et j'aimerais savoir dans quels cas un virus (ou plutôt n'importe quel exécutable) peut modifier la base de registre pour implanter un virus, un trojan au autre.
Tout comme avec les sytèmes Unix, un exécutable bénéficie des droits de celui qui le lance. Pourtant, Klez avait bien arrêté Tiny firewall et Norton Antivirus !
Salut Fred,
Bon, comme il n'y a pas de réponse, je vais donc essayer d'en poster un début. Le liens suivant avait été posté ici, il y a une ou deux semaines, à propos des iptables:
"(...) Et bien oui, sous Windows® c'est beaucoup plus simple d'installer un firewall de type ZoneAlarm®, Tiny Firewall®, ou autre... Un double clique sur le "setup.exe", et hop cela marche du premier coup. Cela marche, oui, mais est-ce que c'est fiable ? Parce qu'à la porte de votre PC, il y a un bon nombre de virus-vers qui n'attendent qu'une erreur de votre part pour désactiver vos firewall, anti-virus et autres programmes de ce protection.
En fait, on ne peut pas comparer le mode de fonctionnement des firewalls sous Windows® et sous Linux tellement ils sont différents.
* Sous Windows®, c'est l'OS qui met à disposition les paquets IP qu'il désire [1] dans l'espace utilisateur ("user space"), où un programme externe ("ZoneAlarm®", "Tiny Firewall®", etc...) décide si oui ou non ce paquet doit être accepter pas le système. Tout cela est bien joli, mais que se passe t'il si un autre programme de la machine, un virus par exemple, attaque le firewall et le force à s'éteindre ? La machine perd tout simplement sa protection... Ne souriez pas, ce type d'attaque est très en vogue à l'heure où j'écris ces lignes. En effet c'est parfaitement faisable, car la plus grande partie des utilisateurs de Windows® utilisent leur machine avec les droits administrateurs (même si ils ne sont pas connectés spécifiquement sous ce nom). Ou pire encore, ils utilisent les versions 95, 98, ou Millenium, qui n'ont aucune notion de restriction de droits. Enfin, si c'est le même utilisateur qui utilise la machine et qui a démarré le firewall, alors tout programme lancé, par inadvertance ou non, par cet utilisateur pourra arrêter le firewall...
Quand au fonctionnement du firewall intégré dans la version XP de Windows®, même si il *semble* intégré dans l'OS, il est similaire aux logiciels de Firewall dont nous venons de parler. Donc c'est un produit insuffisant et à éviter...
* Sous Linux par contre, tout reste au niveau de l'espace kernel ("kernel space"), c'est à dire qu'à l'exception d'"iptables", aucun programme ne peut interférer avec Netfilter. Comme il faut impérativement avoir les droits de root pour lancer "iptables", et que bien entendu vous n'utilisez que rarement les droits root, vous pouvez être tranquilles.
[1] C'est juste une petite remarque auquel j'invite l'utilisateur de Windows® à réfléchir quelques secondes. Qu'est-ce qui vous prouve que toutes les trames IP qui rentrent ou qui sortent de votre Windows® passent bien par la validation du firewall que vous avez installé ? Le code source de Windows® ? Vous l'avez vu ? La belle affaire : Même si c'est le cas, je vous rappelle que vous avez un accord de non divulgation qui vous interdit de parler de ce que vous avez pu y trouver...
Ca devrait déjà te donner quelques pistes pour relancer la rechercher
Chris.
Fred wrote:
J'utilise XP Pro avec un compte limité et j'aimerais savoir dans
quels cas un virus (ou plutôt n'importe quel exécutable) peut
modifier la base de registre pour implanter un virus, un trojan au
autre.
Tout comme avec les sytèmes Unix, un exécutable bénéficie des
droits de celui qui le lance. Pourtant, Klez avait bien arrêté
Tiny firewall et Norton Antivirus !
Salut Fred,
Bon, comme il n'y a pas de réponse, je vais donc essayer d'en
poster un début. Le liens suivant avait été posté ici, il y a une ou
deux semaines, à propos des iptables:
"(...) Et bien oui, sous Windows® c'est beaucoup plus simple
d'installer un firewall de type ZoneAlarm®, Tiny Firewall®, ou
autre... Un double clique sur le "setup.exe", et hop cela marche du
premier coup. Cela marche, oui, mais est-ce que c'est fiable ?
Parce qu'à la porte de votre PC, il y a un bon nombre de virus-vers
qui n'attendent qu'une erreur de votre part pour désactiver vos
firewall, anti-virus et autres programmes de ce protection.
En fait, on ne peut pas comparer le mode de fonctionnement des
firewalls sous Windows® et sous Linux tellement ils sont
différents.
* Sous Windows®, c'est l'OS qui met à disposition les paquets IP
qu'il désire [1] dans l'espace utilisateur ("user space"), où un
programme externe ("ZoneAlarm®", "Tiny Firewall®", etc...) décide
si oui ou non ce paquet doit être accepter pas le système. Tout
cela est bien joli, mais que se passe t'il si un autre programme de
la machine, un virus par exemple, attaque le firewall et le force à
s'éteindre ? La machine perd tout simplement sa protection... Ne
souriez pas, ce type d'attaque est très en vogue à l'heure où
j'écris ces lignes. En effet c'est parfaitement faisable, car la
plus grande partie des utilisateurs de Windows® utilisent leur
machine avec les droits administrateurs (même si ils ne sont pas
connectés spécifiquement sous ce nom). Ou pire encore, ils
utilisent les versions 95, 98, ou Millenium, qui n'ont aucune
notion de restriction de droits. Enfin, si c'est le même
utilisateur qui utilise la machine et qui a démarré le firewall,
alors tout programme lancé, par inadvertance ou non, par cet
utilisateur pourra arrêter le firewall...
Quand au fonctionnement du firewall intégré dans la version XP de
Windows®, même si il *semble* intégré dans l'OS, il est similaire
aux logiciels de Firewall dont nous venons de parler. Donc c'est un
produit insuffisant et à éviter...
* Sous Linux par contre, tout reste au niveau de l'espace kernel
("kernel space"), c'est à dire qu'à l'exception d'"iptables", aucun
programme ne peut interférer avec Netfilter. Comme il faut
impérativement avoir les droits de root pour lancer "iptables", et
que bien entendu vous n'utilisez que rarement les droits root, vous
pouvez être tranquilles.
[1] C'est juste une petite remarque auquel j'invite l'utilisateur
de Windows® à réfléchir quelques secondes. Qu'est-ce qui vous
prouve que toutes les trames IP qui rentrent ou qui sortent de
votre Windows® passent bien par la validation du firewall que vous
avez installé ? Le code source de Windows® ? Vous l'avez vu ? La
belle affaire : Même si c'est le cas, je vous rappelle que vous
avez un accord de non divulgation qui vous interdit de parler de ce
que vous avez pu y trouver...
Ca devrait déjà te donner quelques pistes pour relancer la rechercher
J'utilise XP Pro avec un compte limité et j'aimerais savoir dans quels cas un virus (ou plutôt n'importe quel exécutable) peut modifier la base de registre pour implanter un virus, un trojan au autre.
Tout comme avec les sytèmes Unix, un exécutable bénéficie des droits de celui qui le lance. Pourtant, Klez avait bien arrêté Tiny firewall et Norton Antivirus !
Salut Fred,
Bon, comme il n'y a pas de réponse, je vais donc essayer d'en poster un début. Le liens suivant avait été posté ici, il y a une ou deux semaines, à propos des iptables:
"(...) Et bien oui, sous Windows® c'est beaucoup plus simple d'installer un firewall de type ZoneAlarm®, Tiny Firewall®, ou autre... Un double clique sur le "setup.exe", et hop cela marche du premier coup. Cela marche, oui, mais est-ce que c'est fiable ? Parce qu'à la porte de votre PC, il y a un bon nombre de virus-vers qui n'attendent qu'une erreur de votre part pour désactiver vos firewall, anti-virus et autres programmes de ce protection.
En fait, on ne peut pas comparer le mode de fonctionnement des firewalls sous Windows® et sous Linux tellement ils sont différents.
* Sous Windows®, c'est l'OS qui met à disposition les paquets IP qu'il désire [1] dans l'espace utilisateur ("user space"), où un programme externe ("ZoneAlarm®", "Tiny Firewall®", etc...) décide si oui ou non ce paquet doit être accepter pas le système. Tout cela est bien joli, mais que se passe t'il si un autre programme de la machine, un virus par exemple, attaque le firewall et le force à s'éteindre ? La machine perd tout simplement sa protection... Ne souriez pas, ce type d'attaque est très en vogue à l'heure où j'écris ces lignes. En effet c'est parfaitement faisable, car la plus grande partie des utilisateurs de Windows® utilisent leur machine avec les droits administrateurs (même si ils ne sont pas connectés spécifiquement sous ce nom). Ou pire encore, ils utilisent les versions 95, 98, ou Millenium, qui n'ont aucune notion de restriction de droits. Enfin, si c'est le même utilisateur qui utilise la machine et qui a démarré le firewall, alors tout programme lancé, par inadvertance ou non, par cet utilisateur pourra arrêter le firewall...
Quand au fonctionnement du firewall intégré dans la version XP de Windows®, même si il *semble* intégré dans l'OS, il est similaire aux logiciels de Firewall dont nous venons de parler. Donc c'est un produit insuffisant et à éviter...
* Sous Linux par contre, tout reste au niveau de l'espace kernel ("kernel space"), c'est à dire qu'à l'exception d'"iptables", aucun programme ne peut interférer avec Netfilter. Comme il faut impérativement avoir les droits de root pour lancer "iptables", et que bien entendu vous n'utilisez que rarement les droits root, vous pouvez être tranquilles.
[1] C'est juste une petite remarque auquel j'invite l'utilisateur de Windows® à réfléchir quelques secondes. Qu'est-ce qui vous prouve que toutes les trames IP qui rentrent ou qui sortent de votre Windows® passent bien par la validation du firewall que vous avez installé ? Le code source de Windows® ? Vous l'avez vu ? La belle affaire : Même si c'est le cas, je vous rappelle que vous avez un accord de non divulgation qui vous interdit de parler de ce que vous avez pu y trouver...
Ca devrait déjà te donner quelques pistes pour relancer la rechercher
