Testez la résistance aux keyloggers

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Gilles Gropaquet
Geek
Geek
Messages : 421
Inscription : 24 août 2008 22:52
Localisation : Nantes

Re: Testez la résistance aux keyloggers

Message par Gilles Gropaquet » 03 sept. 2009 13:44

Bonjour,

En fait, j'ai recommencé la procédure de tests depuis le départ.

1. Dans le menu principal d'Online Armor Free, onglet "Programmes", je vire AKLT de la liste affichée. A cet instant, OA ne reconnait donc plus le programme.

2. Toujours dans le menu principal d'OA, dans la rubrique "keyloggers", j'active la détection des keyloggers (si ce n'est déjà fait)

3. J'ouvre le programme AKLT.exe, OA réagit tout de suite, j'autorise son lancement en "mode sans danger", sans "mémoriser ma décision" et sans "approuver" le programme.

4. Je lance le premier test puis j'ouvre le bloc-notes et OA réagit immédiatement sans que j'écrive quoi que ce soit, une fenêtre orange apparaît avec le message "keylogger détecté", je clique sur "bloquer". J'écris quand même quelque chose dans le bloc-notes et rien n'apparaît dans "capture keys" d'AKLT. Le message reste le même "nothing intercepted", Online Armor a bien fait son travail.

5. Je fais la même opération pour les tests 2, 3 et 4, même résultat, OA me demande de bloquer à chaque fois et ça fonctionne.

6. Test 5: "Global Lowlevel Keyboard" : cette fois, j'ai un message d'AKLT me disant : "Global Lowlevel Keyboard failed : opération réussie". Là encore, mais silencieusement cette fois, OA a bloqué le test.

7. Test 6: même opération que pour les tests 1 à 4, et OA me demande de bloquer de nouveau, ça fonctionne également.

8. Test 7: message d'erreur : error registering RegisterRawInput Devices: OA a silencieusement bloqué le test également.

9. Tests des screenshots : OA me demande de bloquer et donc AKLT n'arrive pas à lancer la capture via paint.exe. Paint ne se lance pas. Opération réussie.

Moralité : OA version gratuite vous protège intégralement de ces tests. Pour cela, il ne faut pas oublier préalablement d'activer la détection des keyloggers dans l'option keylogger du menu principal.

PS : J'édite mon message précédent, puisqu'il est obsolète.

EDIT : je pense qu'il ne faut pas "approuver" un programme que vous pensez légitime quand vous l'installez pour la première fois. La règle "approuver" doit peut-être faire en sorte d'automatiser certaines autorisations et donc, elle pourrait s'avérer trop permissive.
Vérifiez que vos programmes soient bien légitimes et "approuvez" les ensuite.
Je pense que c'est pour cela que mon premier test avec AKLT n'était pas complètement concluant.. je me souviens que j'avais à ce moment-là "approuvé" AKLT à son installation sur mon système.

@+
Dernière édition par Gilles Gropaquet le 03 sept. 2009 14:53, édité 2 fois.




Malekal_morte
Site Admin
Site Admin
Messages : 95523
Inscription : 10 sept. 2005 13:57
Contact :

Re: Testez la résistance aux keyloggers

Message par Malekal_morte » 03 sept. 2009 14:00

C'est marrant votre truc.
SSM bloque tout (c'est celui que j'utilise sur ma VM)

Une remarque : ce n'est pas parce qu'il n'y a pas d'alertes de votre HIPS les fois suivantes que vous n'êtes pas protégé.
Peut-être que certains HIPS crééent des règles automatique et vous notifient pas à chaque blocage.
Il faut surtout voir si le prg arrive à capture ce que vous tapez et/ou si vous avez un message d'erreur (failed) lors de la tentative de hook sur les API et donc que votre HIPS bloque bien.

Ensuite, je voudrais aussi pointer du doigt qq chose.
Dans ce test, c'est un processus à part entière qui utilise les API pour logguer les frappes claviers.
Mais un keylogguer peut-être un driver ou une DLL (qui se charge par exemple dans tous les processus).
Si on passe le côté "je laisse entrer le loup dans la bergerie", ce n'est pas parce que ce test réussi que vous serez forcément protégé de tous les keylogguers notamment ceux en drivers qui ont des fonctionnalités de rootkits ou si c'est une DLL qui se charge dans explorer ou winlogon par exemple et que la configuration de votre HIPS est trop permissive pour ces processus, il y a des chances que le keylogger marche.

Sinon j'ai essayé KeyScrambler comme je le vois installé assez souvent.
Ca semble bien fonctionné, tout ce qui est récupéré dans le test est crypté.

Y a une capture avec KeyScrambler et sans KeyScrambler.
Pièces jointes
KeyLoggerVSKeyScrambler.png
KeyLogger VS KeyScrambler
KeyLogger.png
KeyScrambler
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Testez la résistance aux keyloggers

Message par michte » 03 sept. 2009 14:30

Merci pour vos remarques et tests, cela m'a permis de voir que mes défenses n'étaient plus efficaces, notamment mon HIPS (je voulais déjà le changer pour raison de plantage au lancement de certains programmes)
Je vais cet après-midi installer OA free pour voir si il me convient.
J'avais pensé également à KeySrambler (le module complémentaire pour FF) pratiquement tout de suite, quand j'ai vu ce petit logiciel de test de capture de frappes.

Une chose dont je me doutais avant, c'est qu'il faut toujours s'adapter (et rapidement) aux nouvelles menaces ou trouvailles et il est maintenant temps pour moi, de changer mes habitudes avec mes anciens logiciels et d'en tester d'autres...

Bonne continuation à tous et toutes et longue vie à Malekal.com

Amicalement,
Michte.

Édité : Même constat que Gilles Gropaquet, après avoir installé Online Armor Free (impec au fait) sauf que je n'ai pas autorisé le lancement AKLT.exe en "mode sans danger" (donc son lancement a été fait en mode normal)
Donc tout pareil, sauf pour le dernier test de screenshot2 qui ne fonctionne pas chez moi...
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
Le Sanglier
newbie
newbie
Messages : 19
Inscription : 31 août 2008 16:48

Re: Testez la résistance aux keyloggers

Message par Le Sanglier » 03 sept. 2009 16:24

même chose pour moi.... PDT_041

à part que changer un soft sur un seul test est un peu réducteur, par contre c'est déjà un bon point de départ pour se poser ou se reposer les bonnes questions.

savez-vous où trouver des tests complémentaires à jour et pertinents ?

@micalement.

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Testez la résistance aux keyloggers

Message par michte » 03 sept. 2009 16:56

Salut Le Sanglier,

Suite à cette découverte qui me faisait clairement voir que mon HIPS était léger et de toute façon dépassé (merci Sacles) et que j'avais déjà des problèmes avec lui (DSA) j'ai décidé aujourd'hui de franchir le pas et de tester d'autre logiciels.

Sinon pour les tests d'HIPS tu peux voir SSTS chez Matoussec
http://www.matousec.com/projects/securi ... ing-suite/

Salut PDT_019
"La terre nous est prêtée par nos enfants"


Avatar de l’utilisateur
Sacles
Geek à longue barbe
Geek à longue barbe
Messages : 2343
Inscription : 26 mai 2007 09:42
Localisation : Aux environs de Liège (Belgique francophone)

Re: Testez la résistance aux keyloggers

Message par Sacles » 03 sept. 2009 17:33

Bonsoir,

L'aide (en anglais) de mon HIPS distingue deux types de keyloggers: les traditionnels et le avancés.

Extrait de l'aide (DefenseWall):

Traditional Key Loggers
Traditional key loggers comprise about 80% of all key loggers identified. DefenseWall blocks this key logger activity so it can no longer read keystrokes.

Advanced Key Loggers
Advanced key loggers use key logging schemes that cannot be simply blocked by DefenseWall because some necessary, but untrusted applications would not work correctly. Therefore, there may be a need for DefenseWall to prompt for user interaction.

Pour les traditionnels, le blocage est effectivement automatique et pour les avancés, j'ai un message d'avertissement (un des rares, DefenseWall ne sollicite pas beaucoup l'utilisateur, au contraire d'autres HIPS).

Pour ceux qui ont des difficultés de traduction: http://translate.google.com/translate_t?hl=fr#

Salut.

Malekal_morte
Site Admin
Site Admin
Messages : 95523
Inscription : 10 sept. 2005 13:57
Contact :

Re: Testez la résistance aux keyloggers

Message par Malekal_morte » 03 sept. 2009 20:32

Ton Hips va te nofitier la création d'un nouveaux processus/driver ou chargement dans un nouveau module si c'est sous forme de DLL avant que le keylogger soit en place... Les droppers si ton HIPS est bien configuré, c'est tout sauf discret...
Faut aussi qu'il envoie les logs... donc si t'as un fw, tu peux voir la connexion s'établir.
Tu as un antivirus.. il peux aussi le détecter.
Vu tes connaissances, t'es certains d'avoir des suspicions qu'un truc tourne pas rond à un moment donné...

et les keyloggers ça tombe pas du ciel.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Le Sanglier
newbie
newbie
Messages : 19
Inscription : 31 août 2008 16:48

Re: Testez la résistance aux keyloggers

Message par Le Sanglier » 04 sept. 2009 22:13

Bonjour,
Ton Hips va te nofitier la création d'un nouveaux processus/driver ou chargement dans un nouveau module si c'est sous forme de DLL avant que le keylogger soit en place... Les droppers si ton HIPS est bien configuré, c'est tout sauf discret...
Faut aussi qu'il envoie les logs... donc si t'as un fw, tu peux voir la connexion s'établir.
Tu as un antivirus.. il peux aussi le détecter.
Oui,oui on est d'accord mais c'est toujours embarrassant et à la fois intéressant lorsque sa config de sécu est pris en défaut parce que forcément on se remet en cause,on teste d'autres choses et donc on apprend.
Vu tes connaissances
ne nous fâchons pas restons modestes ( j'ai planté mon PC cette après-midi en bidouillant les DLL avec EQSecure V3.41 ) :oreilles:

Je viens d'installer EQSecure V4.2 Professionnelle Edition

cette version dispose d'un module Sandbox

en dehors du module Sandbox EQSecure V4.2 échoue toujours sur le dernier test

dans le module Sandbox EQSecure réussie ou il a échoué auparavant.

lorsque un programme tourne dans le module Sandbox on à droit un beau contour rouge :

Image

je ne ferais pas d'autres commentaires sur ce soft un seul test ne pouvant pas être représentatif.

l'avenir de la sécurité informatique passerait donc obligatoirement par la virtualisation et la sandboxisation ?

@+

Avatar de l’utilisateur
Sacles
Geek à longue barbe
Geek à longue barbe
Messages : 2343
Inscription : 26 mai 2007 09:42
Localisation : Aux environs de Liège (Belgique francophone)

Re: Testez la résistance aux keyloggers

Message par Sacles » 05 sept. 2009 08:00

Bonjour,
je ne ferais pas d'autres commentaires sur ce soft un seul test ne pouvant pas être représentatif.

l'avenir de la sécurité informatique passerait donc obligatoirement par la virtualisation et la sandboxisation ?
Si tu ne conserves pas EQSecure et si tu veux faire d'autres essais, tu pourrais le faire avec DefenseWall (payant mais 30 jours d'essais gratuits): http://www.softsphere.com/ Excellent d'après les tests chez AV-Comparatives http://www.av-comparatives.org/comparat ... ct-reviews

Je l'ai installé sur mon PC et, au contraire d'autres HIPS, je le trouve très simple d'utilisation. Je voudrais avoir d'autres avis.

Salut.

Avatar de l’utilisateur
Le Sanglier
newbie
newbie
Messages : 19
Inscription : 31 août 2008 16:48

Re: Testez la résistance aux keyloggers

Message par Le Sanglier » 05 sept. 2009 10:48

Salut Sacles,

je ne sais toujours pas vers quelle solution je vais me diriger.

pas vers Comodo ni vers Online Armor pour la simple raison que je veux garder Look'n'Stop comme pare-feu.

DefenseWall à l'air plus simple à mettre en œuvre que EQSesure V4.2 qui ressemble fort à une usine à gaz.

Je suis quand même fortement tenté par EQSecure V4.2 en faisant passer les applications par son bac à sable.

Après il y a l'aspect financier :
* DefenseWall est autours de 22euros pendant 1 an puis les mises à jour se font sous forme d'abandonnement d'un an autours de 8euros.
* EQSecure V4.2 est autours de 21euros et après ? (j'ai envoyé un mail à 3dprotect ,à suivre...)

J'aurais bien voulu jeter un coup d'œil à System Safety Monitor mais le site de l'éditeur est en reconstruction.

Bon WK.

yanix9
newbie expert
newbie expert
Messages : 87
Inscription : 20 mars 2009 13:21
Localisation : Suisse

Re: Testez la résistance aux keyloggers

Message par yanix9 » 05 sept. 2009 13:19

Le Sanglier a écrit : je ne sais toujours pas vers quelle solution je vais me diriger.
pas vers Comodo ni vers Online Armor pour la simple raison que je veux garder Look'n'Stop comme pare-feu.
Tu peux désactiver leurs Pare-Feu si tu veux.
Comodo 5 || Avast 5

Avatar de l’utilisateur
SkyTech
Geek à longue barbe
Geek à longue barbe
Messages : 35606
Inscription : 03 août 2008 14:52
Localisation : Picardie (80)

Re: Testez la résistance aux keyloggers

Message par SkyTech » 05 sept. 2009 14:00

Salut,
Yanix9 a écrit :
Le Sanglier a écrit : je ne sais toujours pas vers quelle solution je vais me diriger.
pas vers Comodo ni vers Online Armor pour la simple raison que je veux garder Look'n'Stop comme pare-feu.
Tu peux désactiver leurs Pare-Feu si tu veux.

Enfin bon ça fera quand même 2 pare-feu d'installé et ça va pas j'ai déjà fait le test.

yanix9
newbie expert
newbie expert
Messages : 87
Inscription : 20 mars 2009 13:21
Localisation : Suisse

Re: Testez la résistance aux keyloggers

Message par yanix9 » 05 sept. 2009 15:53

Après il y a aussi le firewall de Pctools qui est basé sur Look'n'stop, il a un mini-hips qui bloque l'accès du clavier au logiciel (les screenshots passent).
Je peux pas dire si il est efficace dans d'autres situations, mais je trouve que c'est leur seul bon logiciel.
Image
Comodo 5 || Avast 5

Golgoth13
newbie
newbie
Messages : 35
Inscription : 06 juil. 2007 04:35

Re: Testez la résistance aux keyloggers

Message par Golgoth13 » 05 sept. 2009 20:27

Salut tous le monde

@Sacles: Pour le test des images tu as fait quelque chose de particulier car je teste DW et pour le test image 1 paint s'ouvre et pour le test image 2 j'ai la création d'une photo toute noire

J'ai raté quelque chose

@+

Avatar de l’utilisateur
Sacles
Geek à longue barbe
Geek à longue barbe
Messages : 2343
Inscription : 26 mai 2007 09:42
Localisation : Aux environs de Liège (Belgique francophone)

Re: Testez la résistance aux keyloggers

Message par Sacles » 06 sept. 2009 08:08

Bonjour,
@Sacles: Pour le test des images tu as fait quelque chose de particulier car je teste DW et pour le test image 1 paint s'ouvre et pour le test image 2 j'ai la création d'une photo toute noire
Pour les deux tests, si aucune capture d'écran (=screenshot) ne peut se réaliser avec DefenseWall actif, les deux tests sont réussis. Peu importe que Paint s'ouvre ou pas.

Essaye de faire ces deux tests avec DefenseWall désactivé (clic droit sur l'icône de DW dans le systray > Désactiver protection) et tu verras la différence.

DW réussit tous les tests.

Pour 3 d'entre eux, l'utilisateur doit bloquer lui-même en stoppant le processus (Cliquer sur "Terminer" dans la fenêtre d'avertissement de DefenseWall):
1. GetKeyState
2. GetAsyncKeystate
3. Direct X
Pour les 6 autres, le blocage est automatique
1. GetKeyboardState
2. LowLevel
3. JournalRecordHook
4. GetRawInputData
5. Screenshot 1
6. Screenshot 2

Demande: Quelqu'un pourrait-il faire le test avec Vista ou Windows 7, sans autre protection que l'UAC et donner les résultats? Merci

Salut.


Répondre

Revenir vers « Securite informatique »