http://forum.bitdefender.com/index.php?showtopic=41033
Le forum de Bitdefender discute des leaktests, pour ceux que les résultats aux tests de Matousec intéressent encore,
http://www.matousec.com/projects/proact ... esults.php
Test Firewall et leaks :La fête à Matousec
- Messages : 114084
- Inscription : 10 sept. 2005 13:57
Re: La fête à Matousec
Salut,
Je n'ai pas vraiment d'avis sur ce site.
C'est assez difficile de savoir quels sont exactement les tests effectués même si y a quelques informations qui sont donnés.
Par contre, je suis pas d'accord avec le premier commentaire donné sur le forum de BitDefender.
nrgbot injecte explorer.exe
Andromeda / Smokebot lancé une instance de svchost.exe (et beaucoup d'autres le fonts, notamment un spambot mais je n'ai pas le nom en tête).
Le dropper de ZeroAccess fait des injections aussi.
J'en vois vraiment beaucoup, c'est devenu un standard.
et quand je me souviens que le pare-feu Avast! et F-Secure ne détectait pas les injections sur explorer.exe - me dis qu'ils ne se valent pas tous.
=> https://www.malekal.com/2011/10/24/avas ... -rapide/3/
=> https://www.malekal.com/2011/10/27/f-se ... -rapide/4/
Dommage que les tests ne semblent que tester (sauf erreur de ma part) les injections de DLL et non la manipulation de processus et leurs injections :
Je n'ai pas vraiment d'avis sur ce site.
C'est assez difficile de savoir quels sont exactement les tests effectués même si y a quelques informations qui sont donnés.
Par contre, je suis pas d'accord avec le premier commentaire donné sur le forum de BitDefender.
Beaucoups de Bots : Ngrbot / Andromeda / SmokeBot, d'autres bots sans noms utilisent des leaks.Tu parles de proactivité, dans le cas de Matousec ça se résume aux problèmes de leaks (fuites), combien d'infections ont recours à des leaks sur le total de celles ci?
nrgbot injecte explorer.exe
Andromeda / Smokebot lancé une instance de svchost.exe (et beaucoup d'autres le fonts, notamment un spambot mais je n'ai pas le nom en tête).
Le dropper de ZeroAccess fait des injections aussi.
J'en vois vraiment beaucoup, c'est devenu un standard.
et quand je me souviens que le pare-feu Avast! et F-Secure ne détectait pas les injections sur explorer.exe - me dis qu'ils ne se valent pas tous.
=> https://www.malekal.com/2011/10/24/avas ... -rapide/3/
=> https://www.malekal.com/2011/10/27/f-se ... -rapide/4/
Dommage que les tests ne semblent que tester (sauf erreur de ma part) les injections de DLL et non la manipulation de processus et leurs injections :
Inject2
Test type: Leak-test
Techniques: file/directory manipulation, binary planting, DLL injection
Scoring: Test was prevented to send data to Internet server – PASSED; test was able to send data to Internet server – FAILED.
Description: Inject2 attempts to inject a DLL into Internet Explorer by creating the DLL in its installation directory with a name of one of the system DLLs it depends on.
Inject1
Test type: Leak-test
Techniques: system object manipulation, DLL injection
Scoring: Test was prevented to send data to Internet server – PASSED; test was able to send data to Internet server – FAILED.
Description: Inject1 attempts to inject a DLL into Internet Explorer by creating a special section for one of the DLLs it depends on.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Test Firewall et leaks :La fête à Matousec
Comment tu fais pour savoir qu'il y a leak? tu vois par exemple qu'explorer est utilisé lors de l'infection, mais pour voir que, par exemple, le malware se fait passer pour IE pour utiliser explorer ça me semble difficile, jamais vu sur tes tests quelque chose de décelable, sur process explorer notamment.
Pour moi on est sûr qu'il y a leak quand on fait un leaktest, et encore, de toute façon ça n'a pas d'intérêt de le savoir, l'important c'est que la proactivité de l'antivirus arrête le malware.
Pour moi on est sûr qu'il y a leak quand on fait un leaktest, et encore, de toute façon ça n'a pas d'intérêt de le savoir, l'important c'est que la proactivité de l'antivirus arrête le malware.
Re: Test Firewall et leaks :La fête à Matousec
http://www.wilderssecurity.com/showthread.php?t=333772
Le test à Comodo (le "meilleur" aux leaks), qu'est ce qu'on peut en déduire après avoir consulté ce lien? ce n'est pas le pare feu et sa capacité de filtrage en sortie qui est déterminante, c'est la proactivté de l'antivirus et celle de Windows.
Le test à Comodo (le "meilleur" aux leaks), qu'est ce qu'on peut en déduire après avoir consulté ce lien? ce n'est pas le pare feu et sa capacité de filtrage en sortie qui est déterminante, c'est la proactivté de l'antivirus et celle de Windows.
- Messages : 114084
- Inscription : 10 sept. 2005 13:57
Re: Test Firewall et leaks :La fête à Matousec
Dans la liste des produits testés, il y a aussi des suite de sécurité.
Donc manifestement Antivirus + Firewall ne font pas leurs boulots.
Après que ce soit la partie Antivirus ou Firewall qui doit ou doit pas... je vous laisse ce débat.
Que l'antivirus ou le firewall doit bloquer/détecter l'injection de processus ou que le firewall doit notifier l'utilisateur quand explorer.exe se connecte en HTTP quelque part ou que le firewall laisse passer quand svchost.exe se connecte aux updates MS mais que l'utilisateur soit notifié, quand une instance de svchost.exe soit lancé en userland et se connecte HTTP quelque part...
Tout ça parce qu'il est écrit quelque part que les FW ça doit faire ça et pas ça et patati patata.
Reste que pour les injections, certains suites de sécurité ne sont pas foutues de les bloquer alors que c'est commun.
D'autre part, c'est peut-être vrai que certaines suites testées notamment avec l'antivirus sont capables de bloquer des droppers qui font ceci ou cela dont des injections, dans un certains ordre car ce sont des droppers de familles connues alors qu'un test un par un des leaks, il ne bronchera pas.
Bref qu'un dropper d'un malware soit bloqué alors que le test montre que tous les leaks ne sont pas détectés.
(reste que dans ce cas, un gars qui code un truc spécifique, y a des chances que la suite ne bronche pas)
Toute façon, ça reste un test, faut pas tout suivre à la lettre.
Certains éditeurs font en sorte que les tests leurs soient favorables... alors que la protection contre les malwares traditionnels est moyenne.
Donc manifestement Antivirus + Firewall ne font pas leurs boulots.
Un malware ne se fait pas passer pour IE, il peux lancer le processus pour l'utiliser pour se connecter quelque part, comme le font les trojans clicker ou certains Rats.Comment tu fais pour savoir qu'il y a leak? tu vois par exemple qu'explorer est utilisé lors de l'infection, mais pour voir que, par exemple, le malware se fait passer pour IE pour utiliser explorer ça me semble difficile, jamais vu sur tes tests quelque chose de décelable, sur process explorer notamment.
Après que ce soit la partie Antivirus ou Firewall qui doit ou doit pas... je vous laisse ce débat.
Que l'antivirus ou le firewall doit bloquer/détecter l'injection de processus ou que le firewall doit notifier l'utilisateur quand explorer.exe se connecte en HTTP quelque part ou que le firewall laisse passer quand svchost.exe se connecte aux updates MS mais que l'utilisateur soit notifié, quand une instance de svchost.exe soit lancé en userland et se connecte HTTP quelque part...
Tout ça parce qu'il est écrit quelque part que les FW ça doit faire ça et pas ça et patati patata.
Reste que pour les injections, certains suites de sécurité ne sont pas foutues de les bloquer alors que c'est commun.
D'autre part, c'est peut-être vrai que certaines suites testées notamment avec l'antivirus sont capables de bloquer des droppers qui font ceci ou cela dont des injections, dans un certains ordre car ce sont des droppers de familles connues alors qu'un test un par un des leaks, il ne bronchera pas.
Bref qu'un dropper d'un malware soit bloqué alors que le test montre que tous les leaks ne sont pas détectés.
(reste que dans ce cas, un gars qui code un truc spécifique, y a des chances que la suite ne bronche pas)
Toute façon, ça reste un test, faut pas tout suivre à la lettre.
Certains éditeurs font en sorte que les tests leurs soient favorables... alors que la protection contre les malwares traditionnels est moyenne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 8 Réponses
- 187 Vues
-
Dernier message par Malekal_morte
-
- 3 Réponses
- 131 Vues
-
Dernier message par Parisien_entraide
-
- 3 Réponses
- 31 Vues
-
Dernier message par Malekal_morte