Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Nouveau tutos à corriger

Vous avez des problèmes sur l'utilisation du forum ?
Des commentaires à faire ?
C'est ici !
Malekal_morte
Site Admin
Site Admin
Messages : 102881
Inscription : 10 sept. 2005 13:57
Contact :

Nouveau tutos à corriger

Message par Malekal_morte »

Celui-ci est en attente de vérification pour publication : https://www.malekal.com/tutorial_COMODO_Firewall.php
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Citoyen
Geek à longue barbe
Geek à longue barbe
Messages : 734
Inscription : 13 janv. 2008 09:51
Contact :

Re: Nouveau tutos à corriger

Message par Citoyen »

Je me le fais illico ! PDT_001

Malekal_morte
Site Admin
Site Admin
Messages : 102881
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouveau tutos à corriger

Message par Malekal_morte »

J'ai corrigé des choses si tu n'as pas encore regardé.
Sinon continue sur ta version, je ferai la fusion!
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Citoyen
Geek à longue barbe
Geek à longue barbe
Messages : 734
Inscription : 13 janv. 2008 09:51
Contact :

Re: Nouveau tutos à corriger

Message par Citoyen »

Tutorial Comodo Firewall Pro 3.0

Comodo Firewall Pro 3.0 est un pare-feu qui permet de filtrer le trafic réseaux entrant et sortant.
Le pare-feu est un dispositif important en matière de sécurité sur votre ordinateur (se reporter à l'article : Le fonctionnement et l'importance d'un pare-feu

Comodo Firewall Pro 3.0 est gratuit et disponible en langue anglaise.
(Seul la version 2.4 est disponible en multi-langue).
Installation

* Vous pouvez télécharger Comodo Firewall Pro depuis ce lien : Télécharger Comodo Firewall Pro 3.0
* L'assitant d'installation se lance
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall

* Vous devez accepter le contrat d'utilisation.
* Cliquez sur le bouton I ACCEPT.

Tutorial Comodo Firewall

* Vous devez choisir le chemin de destination de l'installation du pare-feu.
* Par défaut, on vous propose C:\Program Files\COMODO\Firewall, vous pouvez modifier le chemin à partir du bouton Browse
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall

* L'extraction des fichiers cessaires à l'installation s'effectue..

Tutorial Comodo Firewall

Tutorial Comodo Firewall
Vous devez ensuite choisir le mode de fonctionnement du pare-feu :

* Advanced Firewall with Defense+ : active le pare-feu et Defense+, le pare-feu se rapproche avec d'un IDS (revoir formulation) (Améliorer la sécurité de votre PC avec les IDS / HIPS), ce mode augmente le nombre de popups d'alerte de Comodo (ce qui peut devenir pénible) et demande une (sup. une) certaines connaissances du fonctionnement de Windows.
* Basic Firewall : pare-feu par défaut qui filtre les connexions.

Si vous ne savez pas, je vous conseille de choisir Basic Firewall

* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall

* Comodo vous demande ensuite s'il peut scanner votre ordinateur à la recherche des applications installées afin de rajouter des règles sur le pare-feu, ce qui vous évitera d'être harcelé par des popups d'alertes dès l'activation du pare-feu.
* Le scan est à effectuer si vous êtes certain que votre ordinateur n'est pas infecté.
* Choisissez alors Yes, do whenever possible
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall
Dans le cas où vous avez activé le mode Defense+, la fenêtre ci-dessous appararaît (sinon ce n'est pas le cas), vous devez choisir le paramétrage.

* Choisissez Default Settings
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall
Comodo vous demande ensuite si vous utilisez des programmes de P2P (Emule, Bittorent etc..).

* Si c'est le cas, répondez Yes, I Do
* Si ce n'est PAS le cas, répondez No, i don't (Or i amt not sure)
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall

* Vous devez ensuite communiquer votre adresse email afin de pouvoir enregistrer la version "gratuite" de COMODO
* Saisissez votre adresse email, dans le cas où vous souhaitez avoir des news, vous pouvez cocher la case Sign me pour vous y abonner.
* Cliquez sur le bouton Next pour passer à l'étape suivante

Tutorial Comodo Firewall

* L'installation est terminée, vous devez redémarrer l'ordinateur.
* Laissez l'option Restart The Computer cochée.
* Cliquez sur le bouton Terminer pour terminer l'installation.

Tutorial Comodo Firewall
Premier démarrage de Comodo Firewall
Au premier démarrage, vous pouvez obtenir la fenêtre ci-dessous.
Comodo Firewall détecte les interfaces réseaux présentes sur votre ordinateur.

Dans le cas de votre carte réseau, vous devez, dans le step 2, spécifier si d'autres ordinateurs doivent avoir accès au PC sur cette interface.
Dans le cas où le PC est en réseau et que les dossiers partagés doivent être accessibles :

* cochez la case i would like to be fully accessible to the other PCs in this network
* sinon cliquez sur OK.

Tutorial Comodo Firewall
Une icône bouclier blanc a été ajoutée en bas à droite à côté de l'horloge.
En double-cliquant sur cette icône, l'interface du pare-feu s'ouvre.
Tutorial Comodo Firewall
L'interface se présente avec quatre icônes en haut à droite.

* Summary (Sommaire) affiche les informations générales sur le status ou statutdu pare-feu
* Firewall permet de configurer le pare-feu
* Defense+ permet de configurer la partie Defense+ du pare-feu
* Miscellaneous permet de configurer les options générales du pare-feu.

La partie Summary vous informe si le pare-feu est bien actif.
Vous pouvez aussi visualiser le nombre de connexions entrantes et sortantes dans la partie Network Defense
A droite, la partie Traffic vous informe des applications qui consomme la bande passante.

Enfin la partie en bas Proactive Defense vous affiche le nombre d'application en cours d'exécution sur le PC.
Tutorial Comodo Firewall


Comprendre les popups d'alerte
Comodo Firewall utilise par défaut le Train with Safe Mode. Le pare-feu créera une règle automatique pour les applications sûres, pour les applications non sûres une popup d'alerte vous demande si telle ou telle application doit accéder au réseau (voir à la fin du tutorial pour les différents mode de fonctionnement du parefeu).

En général, lorsqu'une nouvelle application tente de se connecter à internet, une alerte s'ouvre vous demandant si l'on doit ou non laisser cette application se connecter.

* Dans le cas d'une application connue que vous avez installée et utilisée, vous pouvez lui donner accès à internet.
* Dans le cas d'une application inconnue ou suite à une infection, il convient de bloquer l'accès à internet sur le pare-feu.

Pour plus d'informations sur le fonctionnement des pare-feux, voir Article sur le fonctionnement des firewall sous Windows
Voici un exemple de popup que vous pouvez obtenir.
En haut vous obtenez des informations sur le nom de l'application, la connexion distante (adresse IP et protocole)

Vous avez en (sut en) alors en bas de la popup, trois choix :

* Allow this request permet de laisser la connexion s'effectuer
* Block this requet permet de bloquer la connexion
* Treat this application as permet de rattacher l'application à une catégorie d'application. Il est alors possible de classer les applications selon leur type (Navigateur WEB, Cleient FTP etc.). Des règles prédéfinies seront appliqués à chacune de ces applications selon leur type. Si vous modifiez la règle selon la catégorie, toutes les applications de cette catégorie seront touchées.

Le bouton Remember my answer va créer une règle permantente sur le pare-feu, plus aucune popup n'apparaitra pour cette application.
Si vous ne cochez pas l'option, l'action ne sera effectuée que pour cette instance d'exécution et non pour chaque exécution de l'application, la popup d'alerte reviendra.

Bien entendu, il faut faire très attention et appliquer la règle suivante : ne jamais donner accès à internet sur le pare-feu à une application dont on ne connaît pas la provenance sinon on obtiendra le résultat ci-dessus, un fichier infectieux qui aura accès à internet sur le pare-feu.
Tutorial Comodo Firewall
Les options du pare-feu

Le menu de configuration du pare-feu est accessible depuis le bouton Firewall en haut à droite.
Les différents menus seront détaillés ci-dessous.

Common Tasks
Tutorial Comodo Firewall
View Firewall Events
permet de visualiser le journal du pare-feu.
Vous pouvez visualiser les connexions bloquées et les applications qui ont tenté de les initialiser.
Tutorial Comodo Firewall
Le bouton More, permet de visualiser les logs du jour, semaine ou mois.

Il est possible de filtrer la liste depuis le menu Filter ou exporter au format HTML les logs depuis le menu File / to Export HTML
Tutorial Comodo Firewall

Define a New trusted application / Define a New Blocked Application
Permet de classer une application comme sûre (trusted)
ou comme non sûre pour la bloquer (blocked).

Les deux options ouvrent une popup vous pouvez, via le bouton Select un processus en cours d'exécution ou une application sur votre disque. (revoir cette phrase pas très claire sans oublier la ponctuation !!!!!)
Tutorial Comodo Firewall
Stealth Ports Wizard
Permet de définir la politique du pare-feu pour les ports invisibles via un assistant.

* Define a new trusted network : Permet de définir un réseau sûr, les ordinateurs des autres réseaux auront comme retour des ports invisibles. Cela peut être utile pour définir votre réseau local comme sûr.
* Alert me to incoming connections : ouvre une alerte à chaque connexion entrante.
* Block All incoming connections : Bloque toutes les connexions.

Cette partie est destinée à un public averti, néanmoins la première option reste la meilleure si vous avez un réseau local.
Tutorial Comodo Firewall
View Active Connections
Permet de visualiser les connexions établies par application avec la source (adresse/port) et la destination ainsi que le nombre d'octet envoyés et reçus.
Tutorial Comodo Firewall
My Ports Sets
Permet de définir des groupes de ports qui seront utilisés Network Security Policy (voir plus bas).
Par exemple, dans la capture ci-dessous, nous avons ajouté Emule avec le port 4667
Tutorial Comodo Firewall
My Network Zones
Permet de définir une interface réseau, une machine du réseau, un groupe de machines.
Une fois définie cette zone pour être bloquée (voir plus bas), utilisée dans la définition d'accès par application etc.. (revoir cette phrase)

En général, y seront définis la boucle local (127.0.0.1) et votre réseau local si vous en possédez un.
Tutorial Comodo Firewall
Le bouton Edit permet de définir les adresses des machines de la zone.
Tutorial Comodo Firewall
My Blocked Network Zones
Permet de bloquer une interface réseau ou une machine/groupe de machines.
A partir du bouton Add puis Network Zones, on retrouve les zones définies précédemment.
Tutorial Comodo Firewall
Advanced
Network Security Policy

Permet de gérer les règles du pare-feu.

L'onglet Application Rules permet de définir l'accès par application.

* Les applications avec l'icône Tutorial Comodo Firewall sont autorisées à transférer des données.
* Les applications avec l'icône Tutorial Comodo Firewall sont bloquées
* La colonne Treat as vous informe si l'application a été rattachée à un type d'application (browser, client FTP etc..).

Tutorial Comodo Firewall
En double-cliquant sur le chemin de l'application dans la liste, par exemple C:\Program Files\Internet Explorer\IEXPORE.exe
vous pouvez redéfinir les accès de cette application via la fenêtre ci-dessous.

Vous pouvez alors utiliser des règles prédéfinies via l'option Use a Predefinied Policy pour bloquer l'application ou la catégoriser dans un type d'application (Navigateur WEB, client FTP etc..). Internet Explorer étant un navigateur WEB, on pourrait très bien le rattacher au type d'application Browser/Navigateur WEB.

Vous pouvez aussi créer vos propres règles Custom Policy, en utilisant le bouton Add vous pouvez ajouter de nouvelles règles, ou éditer des existantes via le bouton Edit.

Notez que vous pouvez ranger les règles dans l'ordre de priorités via les boutons Move Up et Move Down.
Tutorial Comodo Firewall
La création des règles se présente via la fenêtre ci-dessous.

* Vous définissez l'action :
o Bloquer : Block
o Allouer : Allow
o Ask : Ouvre une popup d'alertes.
* Protocol : définit le protocole réseau de la règle (TCP, UDP, ICMP etc..).
* Direction de la connexion. Out pour une connexion sortante, IN pour une connexion entrante, IN/OUT pour définir une règle dans les deux sens.
* Description : permet d'ajouter une description.
* Source Adresse : Vous devez définir la source de la connexion : n'importe quelle source, une adresse IP, une classe d'adresse, une zone définie My Network Zones etc..
* Destination Address : De même pour la destination (onglet.
* Source/Destination Port : définit les ports sources et de destination de la connexion.

Tutorial Comodo Firewall
L'onglet Global Rules permet de définir les règles globales (pas par application) sur le pare-feu.

Vous retrouvez les mêmes boutons à droite pour créer/éditer de nouvelles règles.
Tutorial Comodo Firewall
Predefined Firewall Polices

Permet de gérer les règles prédéfinies sur le pare-feu.
Vous pouvez en ajouter de nouvelles à partir du bouton Add ou éditer des règles existantes depuis le bouton Edit..
Tutorial Comodo Firewall
On retrouve alors la fenêtre d'édition de règles vu au-dessus.

* Le bouton Add permet d'ajouter de nouvelles règles.
* Le bouton Edit permet d'éditer des règles existantes.
* Le bouton Remove permet de supprimer une règle.
* Les boutons Move Up/Move Down permettent de déplacer les règles vers le haut ou bas.

Tutorial Comodo Firewall
Attack Detection

Permet de régler la sensibilité du pare-feu contre les attaques floods, port scan etc..
En outre, l'onglet Miscellaneous permet d'activer certaines autres fonctionnalités.

Cette partie est destinée à un public averti, il est déconseillé de rendre le pare-feu plus sensible.
Tutorial Comodo Firewall

Firewall Behavior Settings

Permet de définir le niveau général du pare-feu

* Block All Mode: le pare-feu bloque tout le traffic ou trafic??????????????? entrant et sortant. Le pare-feu bloque les connexions depuis n'importe quel réseau.
* Custom Policy Mode : Le pare-feu n'applique QUE les règles définies par l'utilisateur. Aucune règle automatique ne sera créée pour n'importe quelle application. Vous recevrez une alerte à chaque tentative de connexion d'une application sauf si celle-ci est dans les applications sûres (Trusted Applications). Ce mode est pour les utilisateurs avertis.
* Train with Safe Mode : Le pare-feu va créer des règles automatiques pour les applications certifiées. Pour les applications non certifiées, vous recevrez une alerte afin de définir si l'application doit avoir ou non accès au réseau.
* Training Mode : Le pare-feu va créer automatiquement les règles, aucune alerte ne va apparaître. Vous devez activer ce mode seulement si vous êtes sûr que votre ordinateur n'est pas infecté et si vous souhaitez que toutes les applications aient accès au réseau.
* Disabled: Le pare-feu est désactivé.

Tutorial Comodo Firewall
A noter qu'un clic droit sur l'icône de Comodo en bas à droite à côté de l'horloge vous permet de changer de mode à tout moment à partir du menu Firewall Security Level
Tutorial Comodo Firewall
L'onglet Alert Settings permet de définir le niveau et fréquence des alertes.

* Very High: Le pare-feu montre séparement les connexions entrantes et sortantes pour les protocoles TCP et UDP sur certains ports, adresse IP. Cela augmente le nombre d'alertes, vous pouvez avoir une alerte pour chaque page visitée.
* High: Le pare-feu montre séparement les connexions entrantes et sortantes pour les protocoles TCP et UDP sur certains ports.
* Medium: Le pare-feu montre les connexions entrantes et sortantes des protocoles TCP et UDP effectués par les applications.
* Low: Le pare-feu montre les alertes pour les connexions entrantes et sortantes demandées par les applications.
* Very Low: Le pare-feu montre seulement les alertes par applications.

Tutorial Comodo Firewall





- le meilleur, la meilleure

Je viens de m'apercevoir que le copier-coller supprime les italiques,(curieux non ?)
d'où la confusion "trafic" , "traffic".
Pour "status" : je vois que tu gardes l'anglais donc ne tiens pas compte de la correction

PDT_011

Malekal_morte
Site Admin
Site Admin
Messages : 102881
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouveau tutos à corriger

Message par Malekal_morte »

Corrigé & publié, merci!
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 102881
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouveau tutos à corriger

Message par Malekal_morte »

Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Nouveau tutos à corriger

Message par Topxm »

Salut,
J'ai un peu de temps devant moi ce matin PDT_006
Alors je m'occupe du contrôle du tuto.
PDT_019
Image

Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Nouveau tutos à corriger

Message par Topxm »

Contrôle ==> https://www.malekal.com/tutorial_Online_Armor.php

Online Armor est un pare-feu qui permet de filtrer le trafic réseaux entrant et sortant.
Le pare-feu est un dispositif important en matière de sécurité sur votre ordinateur (se reporter à l'article : Le fonctionnement et l'importance d'un pare-feu)
...
* Vous devez choisir le dossier du menu Démarrer dans lequel les icônes seront ajoutées... (un seul point ou 3)
* Par défaut, on vous propose Online Armor
* Cliquez sur le bouton Next pour passer à l'étape suivante
...
* Si vous désirez obtenir des informations de mises à jour sur le produit etc.
* Indiquez votre adresse email dans le champs (sinon laissez vide).
* Cliquez sur le bouton Next pour passer à l'étape suivante
...
* Les informations récapitulatives de l'installation s'affichent...(un seul point ou 3)
* Cliquez sur le bouton Next pour passer à l'étape suivante
...
* Une fois la copie effectuée, l'installation est terminée.
* Laissez l'option Start Online Armor cochée afin de lancer le programme
* Cliquez sur le bouton Finish pour fermer le programme d'installation.
...
* La légende étant la suivante :
o Tutorial Online Armor sont les applications autorisées à être exécutées
o Tutorial Online Armor sont les applications qui seront bloquées par Online Armor
o Tutorial Online Armor sont les applications qui vont générer une alerte (voir plus bas) lors de leur exécution.
* Pour les applications inconnues, vous pouvez tenter des les désinstaller pour faire du ménage depuis ajout/suppression de programmes du panneau de configuration. Sinon, je vous conseille de les bloquer pour le moment, il sera possible de les débloquer par la suite.
* Cliquez sur le bouton Next pour passer à l'étape suivante

Note : le bouton en bas à gauche Hide Trusted masque les applications marquées comme sures et reconnues par Online Armor.
...
* De même, Online Armor vous donne la liste des programmes inconnus qui se lancent automatiquement au démarrage de l'ordinateur.
* Vous pouvez appliquer les conseils donnés précédemment en ne donnant accès qu'aux programmes que vous connaissez. Vous pouvez vous aider de la colonne Name qui peut vous donner des infos sur le programme.
* N'hésitez pas à faire une recherche Google sur le nom du fichier afin d'obtenir des informations sur l'application (néfaste ou légitime).
* Cliquez sur le bouton Next pour passer à l'étape suivante
...
* L'assistant ouvre ensuite les options de configuration d'Online Armor. A noter, que dans la version gratuite, beaucoup d'options ne sont malheureusement pas disponibles.
o L'onglet Général permet de configurer les mises à jour automatiques (non dispo dans la version gratuite).
o Possibilité de configurer l'envoi automatique et anonyme des informations sur les programmes installés sur votre ordinateur, ceci afin d'améliorer leurs futures (?) détections automatiques.
o Possibilité de générer ou non des alertes lors de l'exécution de programmes inconnus : Prompt when running unknown programs
o Enfin de masquer le boot splash au démarrage d'Online Armor : Hide Boot Spash Window
...
L'onglet Firewall permet de configurer les options du pare-feu, notamment :

* Enable logging : L'enregistrement des évènements dans le journal
* Rules logging : L'enregistrement des règles dans le journal.
* Le niveau d'enregistrement des règles (Default Logging Level), par défaut, seul les évènements bloqués sont enregistrés.
* Le contrôle des applications soit sur le Hash, (MD5, SHA1), soit Hash+Chemin de l'application afin de vérifier si elles ont été modifiées (soit patch, soit infection par un virus).
* Show firewall activity in tray : voir l'activité du pare-feu sur le systray
* Notify me when programes are autotrusted : avoir une notification quand un programme est classé comme sûr automatiquement.
* Cliquez sur le bouton Next pour passer à l'étape suivante
...
* Dernière étape de l'assistant de configuration a terminé (???)
* L'ordinateur a besoin de redémarrer, laissez l'option Restart computer cochée puis cliquez sur le bouton Finish
...
Après le redémarrage, une icône avec un bouclier blanc et bleu est ajoutée dans la zone systray (en bas à droite à côté de l'horloge).
...
Standard Mode & Advanced mode : permet de basculer du mode Standard au mode avancé (non disponible dans la version free). En mode Advanced, vous pouvez affiner la configuration du pare-feu et autres éléments de protection.

Sont listées ensuite les protections (Mail Shield, Web Shield, Program Guard, Firewall). Les protections actives sont cochées. Dans la version Free le Mail et Web Shield ne sont pas disponibles.

Start filesystem scan
Stop filesystem scan

Show Scan Program : affiche une barre de progression du scan (qui peut aussi être masquée via un bouton hide)

Learning Mode : active le mode apprentissage d'Online Armor

Deactivate HIPS features : Désactive la partie HIPS d'Online Armor.

Close and Shutdown Online Armor : Ferme et arrête la protection Online Armor
Close Gui Interface : Ferme la fenêtre Online Armor
...
Menu Programs
L'onglet Programs liste les programmes qui ont accès ou non en exécution sur Online Armor. C'est la partie IDS du programme (se reporter à l'article Améliorer la sécurité de votre PC avec les IDS / HIPS).
Ceci permet de bloquer l'exécution de programmes non voulus ou après l'exploitation d'une vulnérabilité sur les sites WEB piégés par exemple.

On retrouve alors les icônes de l'assistant de configuration, à savoir :

* Tutorial Online Armor sont les applications autorisées à être exécutées
* Tutorial Online Armor sont les applications qui seront bloquées par Online Armor
* Tutorial Online Armor sont les applications qui vont générer une alerte (voir plus bas) lors de leur exécution.

Les boutons en bas :

* Allow : permet de laisser l'application s'exécuter
* Block : Online Armor va bloquer l'exécution de l'application
* Ask : une popup d'alerte pour vous demander si l'application a le droit ou non de s'exécuter s'ouvrira lors de l'exécution du programme.
* Delete : supprimer le programme de la liste.

Note : le bouton en bas à gauche Hide Trusted masque les applications marquées comme sûr et reconnues par Online Armor.
...
Un clic droit sur le programme permet :

* Show file information : obtenir des informations sur le fichier (en général, ce que l'on obtient via un clic droit puis propriétés sur le fichier d'exécution).
* Run : permet d'exécuter le fichier.
* Advanced options : ouvre les options avancées (voir ci-dessous).
* Trust : permet de classer le programme comme sûr.
* Delete : supprime le programme de la liste.
* Add to list : ajoute un programme à la liste.
...
Les options avancées ouvrent la popup ci-dessous.
Il est alors possible de régler les permissions sur l'application en cliquant sur les icônes devant chaque option, l'icône bascule alors en Allow/Block ou Ask.

* Run Safer : permet d'exécuter l'application sans les droits administrateur. Cette option peut être très intéressante pour les navigateurs WEB pour protéger le système contre les infections voir : l'exploitation de vulnérabilités depuis des sites WEB piégés.
* Dans le cas du passage du navigateur WEB en Run Safer, on revient alors à l'utilisation de DropMyRights, voir : Tutorial DropMyRights et PrivBar : Comment surfer sans les droits administrateurs
* Se reporter aussi à l'article : Pourquoi ne pas surfer avec les droits administrateur?

Voici les options de sécurité disponibles depuis les options avancées :

* start applications : bloque l'exécution d'une autre application tiers.
* global hooks : empêche l'application d'installer des hooks globaux
* physical memory access : empêche l'accès en mémoire physique
* remote code : empêche l'exécution de code distant
* remote data modification : empêche la modification de données en mémoire des autres processus.
* suspend process/thread : empêche la suspension d'exécution de processus ou thread
* system shutdown : empêche l'extinction du système.

En outre dans la partie basse de la fenêtre, il est possible de protéger l'application :

* Restart if terminarted : relance l'application automatiquement si celle-ci est terminée
* Protect from termination : protège l'application contre la "termination" (par exemple lorsque vous tentez d'arrêter le processus depuis le gestionnaire de tâches).
* Protect from suspend : protège le processus contre la suspension d'exécution
* Protect from remote code control : protège contre l'exécution de code à distance
* Protect from remote data modification : protège les données en mémoire de modifications par une application tiers.
...
Popups & alertes de programmes
Lorsqu'un nouveau programme qui n'est pas connu d'Online Armor est exécuté, Online Armor va ouvrir une popup d'alerte afin de vous demander si ce programme a bien le droit d'effectuer l'opération souhaitée.

Voici un exemple de popups, ci-dessous gmer.exe wants to start another process.
Le programme gmer tente de démarrer un autre programme (gmer.sys). Online Armor vous demande alors si ce dernier a bien le droit d'effectuer cette opération.

Vous avez le choix entre Allow (permettre) ou bloquer (Block).
L'option Remember my decision cochée en bas permet de créer une règle (qui sera visualisable dans l'onglet Programs) afin qu'Online Armor ne vous repose plus la question à la prochaine exécution de gmer
...
De même, lors de l'installation de la Google Toolbar, une alerte s'ouvre vous demandant si Internet Explorer doit bien installer la BHO (barre d'outils) pour Internet Explorer, cette dernière se trouve sur C:\Program Files\Google\GoogleToolbarNotifier

Online Armor vous demande si vous êtes en train d'installer un composant supplémentaire pour Internet Explorer : Are you installing an Internet Explorer enchancement?

C'est bien le cas, nous pouvons donc autoriser l'action via le bouton Allow.
...
Bien entendu, il faut faire très attention et appliquer la règle suivante : ne jamais donner accès à une application dont on ne connaît pas la provenance.
Startup Items
Startup Items liste les programmes au démarrage de Windows (voir aussi L'utilitaire Windows MsConfig)
De même, il est possible d'autoriser ou bloquer l'exécution de programmes au démarrage de Windows.

Les boutons suivants, en bas de la fenêtre :

* Allow : permet l'exécution du programme sélectionné dans la liste au démarrage de Windows
* Allow all : permet l'exécution de tous les programmes listés
* Block : permet de bloquer l'exécution du programme sélectionné dans la liste au démarrage de WindowsDelete : supprime le programme de la liste
* Delete : supprime le programme sélectionné de la liste.
...
Un clic droit sur le programme puis Show file information ouvre des information sur l'application.
Le bouton More ouvre des informations sur le programme sur le site d'Online Armor.
...
IE Addon-ons

Liste les BHO, toolbars et addons du navigateur WEB : Internet Explorer.
De même, il est possible de bloquer l'exécution de ces extensions.
...
HOSTS

Permet de gérer le fichier HOSTS de Windows.
Pour rappel, ce fichier permet de modifier les résolutions de noms, ce qui peut être utilisé pour vous rediriger vers des sites non souhaités ou empêcher les mises à jour de votre antivirus.
Pour plus d'informations, se reporter à la page : Le fichier HOSTS dans la résolution DNS sous Windows et GNU/Linux

Online Armor permet de supprimer une entrée via le bouton Delete ou interdire son interprétation par le système (Deny).
...
Pare-feu / Firewall
Le pare-feu permet de filtrer le trafic réseau.
Le pare-feu permet d'augmenter de manière sensible la sécurité d'un ordinateur car il peut bloquer le trafic réseau d'une application, ce qui dans le cas, par exemple d'un trojan-downloader peut empêcher de télécharger le reste de l'infection.

Pour plus d'informations, sur le fonctionnement des pare-feux sous Windows, se reporter à l'article : Le fonctionnement et l'importance d'un pare-feu)

En mode Standard (pour rappel le mode Advanced n'est pas disponible dans la version Free), on retrouve dans l'onglet Program access les programmes qui ont accès ou non au réseau.
Les icônes :

* Tutorial Online Armor sont les applications autorisées à accéder au réseau.
* Tutorial Online Armor sont les applications qui n'ont pas le droit accéder au réseau.
* Tutorial Online Armor sont les applications qui vont générer une alerte (voir plus bas) lors de leur exécution.
...
Les icônes Allow/Block permettent de donner accès ou non à l'application sélectionnée dans la liste.

Un clic droit sur une application ouvre un menu déroulant qui permet via le bouton :

* Allow d'autoriser l'accès au réseau pour l'application sélectionnée
* Block de bloquer l'accès au réseau pour l'application sélectionnée
* Delete Selection supprime l'application de la liste
* Delete All supprime tous les applications de la liste
* Goto Rules ouvrent les règles du pare-feu pour cette application dans l'onglet Rules
* Export/Import permet d'importer/exporter les règles
...
L'onglet Rules affichent les règles du pare-feu pour chaque application.
Sont affichés, le nom du programme, les protocoles, les ports de connexions.

Il est possible de créer ou supprimer une règle via les boutons en bas New Rule/Delete Rule.
...
Voici un exemple de règle en mode Standard,
Vous pouvez alors interdire ou autoriser la connexion selon le protocole, la direction et les ports.
Vous pouvez aussi enregistrer ou non les connexions/interdictions sur le journal via le menu déroulant logging.
...
Lorsqu'une nouvelle application inconnue d'Online Armor tente de se connecter sur le réseau, vous obtenez une alerte similaire à celle ci-dessous.

Online Armor vous informe alors que l'application tente d'accéder à internet, il est alors possible :
* d'autoriser la connexion via le bouton Allow
* bloquer la connexion via le bouton Block

En outre, les options en bas à gauche de la popup :
* Create rule permet de créer une règle sur le pare-feu afin d'éviter toute nouvelle alerte lors de la prochaine exécution de l'application
* Current session only permet de donner accès à internet à cette application seulement pour la session en cours.
...
Bien entendu, il faut faire très attention et appliquer la règle suivante : ne jamais donner accès à internet sur le pare-feu à une application dont on ne connaît pas la provenance sinon on obtiendra le résultat ci-dessus, un fichier infectieux qui aura accès à internet sur le pare-feu.
History (Journal)

Permet de visualiser les évènements comme l'interdiction de connexion pour une application sur le pare-feu, l'autorisation d'exécution d'une nouvelle application etc...

Il est possible d'exporter le journal au format CSV à partir du bouton Export en bas de la fenêtre.
...
Démonstrations d'Online Armor

Voici deux démonstrations pour vous donner une idée des applications.

Lors de l'installation du programme piégé MessengerSkinner qui installe l'adware Magic.Control/egdaccess/navipromo
Online Armor détecte bien la création du nouveau processus avec la suite de lettres aléatoires (dans notre capture dvmeuldarj.exe).

L'utilisateur a la possibilité de bloquer l'exécution de l'adware en cliquant sur Block.
Bien entendu cela nécessite de bien lire les popups d'alerte (?) qui s'ouvrent et rester à l'affût puisque lors de l'installation d'un programme, beaucoup de popups d'alerte (?) peuvent apparaîtrent dûes (?) aux modifications du système.
...
L'autre test consiste à se rendre sur un site à risque, comme par exemple un site de cracks qui exploite une vulnérabilité sur le navigateur WEB non à jour pour infecter l'ordinateur

Online Armor détecte bien la tentative d'exécution du fichier msn_0801_upd152112.exe. L'utilisateur a la possibilité de bloquer l'exécution du programme malicieux en cliquant sur Block.
...

Nb1 : A la fin on a l'impression qu'il manque un bout de la screen. Peut-être rajouter quelques lignes.
Nb2 : Bon pour relecture !
PDT_016
Image

Malekal_morte
Site Admin
Site Admin
Messages : 102881
Inscription : 10 sept. 2005 13:57
Contact :

Re: Nouveau tutos à corriger

Message par Malekal_morte »

OK il y a aussi lui à corriger : viewtopic.php?f=45&t=7959&p=57538#p57538

Merci, je corrigerai dans la soirée.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Nouveau tutos à corriger

Message par Topxm »

Ok il est pas trop long celui-ci et comme je viens de le lire je m'en occupe dans l'aprèm. Sauf si Citoyen traine dans le coin ! PDT_006
Image

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: Nouveau tutos à corriger

Message par Florian671 »

Voilà c'est fait PDT_008 , j'espère avoir oublier le moins de faute possible :

Voici un article sur les BHO afin de vous faire découvrir cet élément du système et les dangers qui peuvent en découler.
Le but étant que vous soyez capables ( pas trop sûr sur ce coup ) après lecture de cette page :

de connaître les BHO présentes sur votre ordinateur.
savoir si ces BHO sont néfastes ou non.

Qu'est ce que sont les BHO ?

BHO est à l'anacronyme de Browser Helper Object, BHO est un bibliothèque de module (DLL) qui s'installe sur le navigateur Internet Explorer sous forme de plugins afin d'élargir les fonctionnalités du navigateur WEB.
Il existe énormement de BHO, Adobe par exemple installe une BHO sur Internet Explorer afin de pouvoir lire les PDF directement sur le navigateur WEB.
La majorité des barres d'outils (Google Toolbar, Yahoo! Toolbar etc...) installent aussi des BHO, qui sont plus visibles pour l'utilisateur puisqu'elles modifient l'aspect visuel du navigateur.

Le navigateur WEB étant un élément crucial de sécurité, il existe bien entendu des BHO néfastes, que nous allons détailler.

Les BHO et la sécurité

Les malwares tentent en général de s'installer dans toutes les parties importantes du système afin de pouvoir effectuer les opérations pourles quelles ils ont été créés.

Les BHO sont une partie du système très prisé car ils permettent la manipulation du navigateur WEB Internet Explorer. Voici quelques exemples de l'utilisation des BHO par les malwares :

Dans le cas de spywares, ajout de barres d'outils de recherche qui enregistrera les habitudes de recherches pour les transmettre à un serveur tiers.
Dans le cas d'adwares, modification de la page de démarrage, modification de la page de recherche, modifications lors des recherches sur le moteur de recherche, ouvertures de popups de publicité etc...
Pour les keyloggers, enregistrement des frappes claviers sur le navigateur WEB pour récupérer les mots de passes, identifiants de connexions ou informations bancaires.
etc...

Par exemple, la majorité des infections faux codecs installent des BHO afin d'effectuer des redirections vers des sites provoquant des alertes.
Souvent sous forme de lignes suivantes sur HiJackThis :

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll
O2 - BHO: SXG Advisor - {B21F613B-A670-4788-AB37-F08331D7C63D} - C:\WINDOWS\dpvtpornmw.dll
O2 - BHO: SXG Advisor - {9C22FF6B-11B2-43B0-9F1A-8B0C209C1FAB} - C:\WINDOWS\dpvtportwf.dll

Ceci permet d'effectuer des redirections vers des sites affichants des fausses alertes de sécurité afin de vous faire acheter des rogues.


D'autres infections modifient le résultat des recherches etc...



Une simple exécution d'un fichier malicieux avec les droits administrateur les BHO sont installés, l'infection n'a plus qu'à faire ce pour quoi elle a été prévue..
D'où encore une fois le fait que surfer avec les droits administrateur vous rend plus que vulnérable (voir l'article Pourquoi ne pas surfer avec les droits administrateur ? ).

Les BHO restent une partie importantes du système à surveiller de part leurs impacts. Nous allons donc désormais voir comment les identifier.


Identifier les BHO installées sur votre ordinateur :

HijackThis

Beaucoup d'utilitaires permettent de visualiser et identifier les BHO installées sur votre ordinateur.
Le plus utilisé et le plus connu est HijackThis. Les BHO sont identifiées par les lignes O2 (plus d'infos voir HijackThis & localisation des malwares sur le système)

Les BHO apparaissent en haut du rapport HijackThis :




Voici un exemple de ligne HijackThis issu de la Yahoo! Toolbar :
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
  • En rouge : nous avons le nom de la BHO. Il ne faut pas se fier au nom, une BHO malicieuse peut faire apparaître n'importe quelle information et se faire passer pour une barre d'outils Yahoo! en affichant le mot Yahoo!
  • En bleu : C'est le CLSID. Le CLSID permet d'identifier la BHO, il est de la forme {xxxxxxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx} où x sont des chiffres ou des lettres. Néanmoins, deux BHO différentes peuvent avoir le même CLSID.
  • en noir : c'est le fichier qui est chargé par le navigateur WEB et qui effectue les opérations pour lesquelles il a été programmé.

    En utilisant HijackThis, vous devriez vous apercevoir que vous avez un bon nombre de BHO. En effet, les internautes ont tendance à multiplier les barres d'outils sans s'en rendre compte (voir le sujet Les toolbars c'est pas obligatoire!).

    CastleCops & Google

    CastleCops contient une base de données de CLSID et vous informe si la BHO est néfaste ou non.
    Rendez-vous sur le site : http://www.castlecops.com/CLSID.html et copiez/collez le CSLID récupéré depuis HijackThis.

    Le sujet suivant liste quelques autres sites de bases de données de fichiers [en] Startup/BHO/CLsid, liste qui peuvent vous permettre de déterminer si la BHO est néfaste ou non.

    Bien entendu, vous pouvez aussi utiliser Google (voir le sujet Mieux utilier les moteurs de recherches), soit en copie/collant le CSLID, soit en donnant le nom du fichier DLL. Néanmoins, la seconde solution d'utiliser le fichier DLL est moins précis car encore une fois, les malwares jouent sur les noms en utilisant des noms légitimes ou s'en approchant.

    VirusTotal

    En cas de doute, vous pouvez aussi scanner le fichier DLL identifié depuis HijackThis sur VirusTotal.
    Le fichier sera soumis à plusieurs antivirus ce qui peut permettre de confirmer ou informer dans la majorité des cas, si le fichier est malicieux ou non.

    BHO Daemon

    BHODemon est un programme qui vous permet de manière automatique d'identifier les BHO installés sur votre ordinateur

    BHODemon détecte aussi tout changement (BHO ajoutée) et vous prévient lorsqu'un BHO tente de s'installer, ceci afin de protéger votre système de toute installation non autorisée.

    Site Officiel : http://www.definitivesolutions.com/bhodemon.htm



    Vérifier la légitimité des programmes

    Pour aller plus loin, vous pouvez aller lire la page Vérifier la légitimité des programmes qui vous explique comment vérifier si les programmes installés sont légitimes ou non.


    Les BHO et le registre

    Cette partie est destinée aux utilisateurs avancés.

    La clef du registre où sont stockés les BHO est : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    Vous y trouverez un dossier avec le CLSID de chaque BHO installées.

    Dans notre cas, si on reprend la BHO de la Yahoo! Toolbar, on trouve la clef : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}


    Chaque CLSID est listé dans la clef : HKEY_CLASSES_ROOT\CLSID

    On retrouve alors le CLSID de la BHO de la barre d'outils Yahoo! : HKEY_CLASSES_ROOT\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}
    Cette clef contient cette fois-ci les divers d'informations relatives à cette BHO et notamment la clef HKEY_CLASSES_ROOT\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\InprocServer32 contenant la valeur {Default} avec comme donnée le nom de la DLL à charger (yt.DLL).



    Le simple fait de supprimer l'entrée HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670} supprimera le chargement de la BHO Yahoo! Toolbar sur Internet Explorer (ce que HijackThis se contente de faire lorsque vous fixez une ligne O2).

    Néanmoins afin de ne pas laisser des clefs orphelines dans le registre, il est aussi conseillé de nettoyer le CLSID de HKEY_CLASSES_ROOT\CLSID\
    ce qui font en général les programmes de nettoyage du registre comme CCleaner ou RegCleaner
Dernière modification par Florian671 le 24 janv. 2008 17:16, modifié 1 fois.

Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Nouveau tutos à corriger

Message par Topxm »

Florian tu plaisantes préviens quand tu corriges, regardes :
viewtopic.php?f=45&t=7959&p=57538#p57538

Voici un article sur les BHO afin de vous faire découvrir cet élément du système et les dangers qui peuvent en découler.
Le but étant que vous soyez capable après lecture de cette page :

* de connaître les BHO présents sur votre ordinateur.
* de savoir si ces BHO sont néfastes ou non.

Qu'est ce que sont les BHO

BHO est un ancronyme (? t'as pas plus simple STP Blue_PDT_01_09 ) de Browser Helper Object, BHO est une bibliothèque de module (DLL) qui s'installe sur le navigateur Internet Explorer sous forme de plugin afin d'élargir les fonctionnalités du navigateur WEB.
Il existe énormément de BHO, Adobe par exemple installe un BHO sur Internet Explorer afin de pouvoir lire les PDF directement sur le navigateur WEB.
La majorité des barres d'outils (Google Toolbar, Yahoo! Toolbar etc..) installent aussi des BHO, qui sont plus visibles pour l'utilisateur puisqu'elles modifient l'aspect visuel du navigateur.

Le navigateur WEB étant un élément crucial de sécurité, il existe bien entendu des BHO néfastes, que nous allons détailler.

Les BHO et la sécurité

Les malwares tentent en général de s'installer dans toutes les parties importantes du système afin de pouvoir effectuer les opérations pour lesquelles ils ont été créés.

Les BHO sont une partie du système très prisée car ils permettent la manipulation du navigateur WEB Internet Explorer, voici quelques exemples de l'utilisation des BHO par les malwares :

* Dans le cas de spywares, ajout de barres d'outils de recherche qui enregistreront (?) les habitudes de recherche (?) pour les transmettre à un serveur tiers.
* Dans le cas d'adwares, modification de la page de démarrage, modification de la page de recherche, modification lors des recherches sur le moteur de recherches, ouverture de popups de publicités etc..
* Pour les keyloggers, enregistrement des frappes claviers sur le navigateur WEB pour récupérer les mots de passes, identifiants de connexion ou informations bancaires.
* etc...


Par exemple, la majorité des infections faux codecs installent des BHO afin d'effectuer des redirections vers des sites provoquant des alertes.
Souvent sous forme de lignes suivantes sur HiJackThis :

* O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll
* O2 - BHO: SXG Advisor - {B21F613B-A670-4788-AB37-F08331D7C63D} - C:\WINDOWS\dpvtpornmw.dll
* O2 - BHO: SXG Advisor - {9C22FF6B-11B2-43B0-9F1A-8B0C209C1FAB} - C:\WINDOWS\dpvtportwf.dll

Ceci permet d'effectuer des redirections vers des sites affichant de fausses alertes de sécurité afin de vous faire acheter des rogues
...
D'autres infections modifient le résultat des recherches etc...
Une simple exécution d'un fichier malicieux avec les droits administrateur et les BHO sont installés, l'infection n'a plus qu'à faire ce pourquoi elle a été prévue. pour (à supprimer).
Donc encore une fois, le fait que (à supprimer) surfer avec les droits administrateur vous rend plus que vulnérable (?) (voir l'article Pourquoi ne pas surfer avec les droits administrateur ? ).

Les BHO restent une partie du système importante à surveiller de par leur impact, nous allons voir comment les identifier.

Identifier les BHO installés sur votre ordinateur

HijackThis

Beaucoup d'utilitaires permettent de visualiser et identifier les BHO installés sur votre ordinateur.
Le plus utilisé et le plus connu est HijackThis. Les BHO sont identifiés par les lignes O2 (pour plus d'infos voir HijackThis & localisation des malwares sur le système

Les BHO apparaissent en haut du rapport HijackThis :
...
Voici un exemple de ligne HijackThis issues de la Yahoo! Toolbar :
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
  • En rouge, nous avons le nom du BHO. Il ne faut pas se fier au nom, un BHO malicieux peut faire apparaître n'importe quelle information et se faire passer pour une barre d'outils Yahoo! en affichant le mot Yahoo!
  • En blue : C'est le CLSID. Le CLSID permet d'identifier le BHO, il est de la forme {xxxxxxxx-xxxx-xxxx-xxxxx-xxxxxxxxxxxx} où x est un chiffre ou une lettre. Néanmoins, deux BHO différents peuvent avoir le même CLSID.
  • en noir, c'est le fichier qui est chargé par le navigateur WEB et qui effectue les opérations pour lesquelles il a été programmé.

    En utilisant HijackThis, vous devriez vous apercevoir que vous avez un bon nombre de BHO. En effet, les internautes ont tendance à multiplier les barres d'outils sans s'en rendre compte, voir le sujet Les toolbars c'est pas obligatoire!

    CastleCops & Google

    CastleCops contient une base de données de CLSID et vous informe si le BHO est néfaste ou non.
    Rendez-vous sur le site : http://www.castlecops.com/CLSID.html et copiez/collez le CSLID récupéré depuis HijackThis.

    Le sujet suivant liste quelques autres sites de bases de données de fichiers [en] Startup/BHO/CLsid liste qui peuvent vous permettre de déterminer si le BHO est néfaste ou non.

    Bien entendu, vous pouvez aussi utiliser Google (voir le sujet Mieux utiliser les moteurs de recherche, soit en copiant/collant le CSLID, soit en donnant le nom du fichier DLL. Néanmoins, la seconde solution d'utiliser le fichier DLL est moins précise car encore une fois, les malwares jouent sur les noms en utilisant des noms légitimes ou s'en approchant.

    VirusTotal

    En cas de doute, vous pouvez aussi scanner le fichier DLL identifié depuis HijackThis sur VirusTotal.
    Le fichier sera soumis à plusieurs antivirus ce qui peut permettre de confirmer ou informer dans la majorité des cas, si le fichier est malicieux ou non.

    BHO Daemon

    BHODemon est un programme qui vous permet de manière automatique d'identifier les BHO installés sur votre ordinateur

    BHODemon détecte aussi tout changement (BHO ajouté) et vous prévient lorsqu'un BHO tente de s'installer, ceci afin de protéger votre système de toute installation non autorisée.

    Site Officiel : http://www.definitivesolutions.com/bhodemon.htm
    ...
    Vérifier la légitimité des programmes

    Pour aller plus loin, vous pouvez aller lire la page Vérifier la légitimité des programmes qui vous explique comment vérifier si les programmes installés sont légitimes ou non.

    Les BHO et le registre

    Cette partie est destinée aux utilisateurs avancés.

    La clef du registre où sont stockés les BHO est : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    Vous y trouverez un dossier avec le CLSID de chaque BHO installé.

    Dans notre cas, si on reprend le BHO de la Yahoo! Toolbar, on trouve la clef : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}
Image

Florian671
newbie expert
newbie expert
Messages : 90
Inscription : 28 nov. 2007 17:03

Re: Nouveau tutos à corriger

Message par Florian671 »

Enfaite Topxm tu as corigés plusieurs choses que je n'avais pas corrigé car je pensais bien que BHO était féminin.

Avatar de l’utilisateur
Topxm
Geek à longue barbe
Geek à longue barbe
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Nouveau tutos à corriger

Message par Topxm »

Florian671 a écrit :Enfaite Topxm tu as corigés plusieurs choses que je n'avais pas corrigé car je pensais bien que BHO était féminin.
Moi aussi ! PDT_008
Image

Avatar de l’utilisateur
Citoyen
Geek à longue barbe
Geek à longue barbe
Messages : 734
Inscription : 13 janv. 2008 09:51
Contact :

Re: Nouveau tutos à corriger

Message par Citoyen »

Merci les gars!

Je chipote !


viewtopic.php?f=45&t=7959&p=57538#p57538



Les BHO sont une partie du système très prisée car ils permettent la manipulation du navigateur WEB Internet Explorer, voici quelques exemples de l'utilisation des BHO par les malwares :

* Dans le cas de spywares, ajout de barres d'outils de recherche qui enregistreront (?) les habitudes de recherche (?) pour les transmettre à un serveur tiers.
* Dans le cas d'adwares, modification de la page de démarrage, modification de la page de recherche, modification lors des recherches sur le moteur de recherche, ouverture de popups de publicité etc..
* Pour les keyloggers, enregistrement des frappes claviers sur le navigateur WEB pour récupérer les mots de passe, identifiants de connexion ou informations bancaires.
* etc...


Par exemple, la majorité des infections faux codecs installent des BHO afin d'effectuer des redirections vers des sites provoquant des alertes.
Souvent sous forme de lignes suivantes sur HiJackThis :

* O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll
* O2 - BHO: SXG Advisor - {B21F613B-A670-4788-AB37-F08331D7C63D} - C:\WINDOWS\dpvtpornmw.dll
* O2 - BHO: SXG Advisor - {9C22FF6B-11B2-43B0-9F1A-8B0C209C1FAB} - C:\WINDOWS\dpvtportwf.dll

Ceci permet d'effectuer des redirections vers des sites affichant de fausses alertes de sécurité afin de vous faire acheter des rogues
...
D'autres infections modifient le résultat des recherches etc...
Une simple exécution d'un fichier malicieux avec les droits administrateur et les BHO sont installés, l'infection n'a plus qu'à faire ce pourquoi elle a été prévue. pour (à supprimer).
Donc encore une fois, le fait que (à supprimer) surfer avec les droits administrateur vous rend plus que vulnérable (?) (voir l'article Pourquoi ne pas surfer avec les droits administrateur ? ).

Les BHO restent une partie du système importante à surveiller de par leur impact, nous allons voir comment les identifier.

Identifier les BHO installés sur votre ordinateur

HijackThis

Beaucoup d'utilitaires permettent de visualiser et identifier les BHO installés sur votre ordinateur.
Le plus utilisé et le plus connu est HijackThis. Les BHO sont identifiés par les lignes O2 (pour plus d'infos voir HijackThis & localisation des malwares sur le système

Les BHO apparaissent en haut du rapport HijackThis :
...
Voici un exemple de ligne HijackThis issu de la Yahoo! Toolbar :
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

Répondre

Revenir à « Questions/Commentaires sur le forum »