CheckPoint l'éditeur du célèbre parefeu ZoneAlarm vient de sortir en béta ZoneAlarm ForceField.
ZoneAlarm ForceField permet d'executer votre navigateur WEB (Internet Explorer ou Firefox) dans un bac à sable.
Le navigateur executé dans un environnement sécurisé est alors dissocier complètement reste du système, dans le cas d'une infection, le système est alors protégé.
--> http://download.zonealarm.com/bin/free/ ... index.html
NOTE : dans le même style vous avez SandBoxie (payant).. qui offre les même fonctionnalités, voir Tutorial SandBoxie
ZoneAlarm ForceField
- Messages : 113173
- Inscription : 10 sept. 2005 13:57
ZoneAlarm ForceField
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 113173
- Inscription : 10 sept. 2005 13:57
Re: ZoneAlarm ForceField
Non.
Ca se présente grosso modo comme SandBoxie je pense.
Ca se présente grosso modo comme SandBoxie je pense.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: ZoneAlarm ForceField
NOTE : dans le même style vous avez SandBoxie (payant)..
chouette, j'ai de la chance,il me dit que mes trente jours ont expiré, mais ces tout! j'ai garder toutes les fonctions
chouette, j'ai de la chance,il me dit que mes trente jours ont expiré, mais ces tout! j'ai garder toutes les fonctions
- Messages : 113173
- Inscription : 10 sept. 2005 13:57
Re: ZoneAlarm ForceField
Voici une présentation et test rapides.
ZoneAlarmeForceField offre une protection :
* contre les spywares, blocages des sites de spywares. En outre, il intègre un scanner antispyware.
* protection contre le phishing, détection et blocage des sites de phishing.
* une protection contre les keyloggeurs (enregistreur de frappes claviers).
* une virtualisation du navigateur WEB :
ZoneAlarm ForceField permet d'exécuter votre navigateur WEB (Internet Explorer ou Firefox) dans un bac à sable.
Le navigateur exécuté dans un environnement sécurisé est alors dissocié complètement du reste du système, dans le cas d'une infection, le système est alors protégé.
En outre, il est possible de démarrer le navigateur "en mode privé", aucune trace (historique de navigation etc... et informations) n'est sauvegardée.
Une fois installé, on se retrouve avec une barre d'outil ZoneAlarmForceField Protection
Lorsque Internet Explorer est démarré dans le bac à sable, une petite aura blanche entour le navigateur WEB.
Je vous cache pas que c'est la frime de surfer avec une aura ;)
Lorsqu'un site dangereux qui peut endommager votre ordinateur est visité, une popup rouge d'alerte s'ouvre pour vous informer.
Il est alors possible de revenir au site précédent ou continuer sur le site en question.
Lorsqu'un site qui peut potentiellement collecter des informations privées ou non de confiance est visité, une popup d'alerte jaune s'ouvre pour vous en informer.
ZoneAlarmForceField intègre son propre gestionnaire de téléchargements.
Tous les téléchargements sont soumis à une vérification, lorsque le téléchargement d'un fichier inconnu est effectué, une alerte s'ouvre pour vous en informer.
Deux bémols :
- les téléchargements sont ralentis, il peut arriver que la vérification dure plus de 10s, cela ralentit donc les téléchargements.
- la base de données semble faible, j'ai effectué un seul téléchargement légitime, Winamp, l'alerte disant que le fichier est inconnu est apparue tout de même.
L'alerte semble apparaître quasiment à chaque téléchargement pour des fichiers légitimes, ce qui enlève l'interêt de la vérification.
L'utilisateur risque de cocher l'option "do not show this message again" pour ne plus être embêté devant ces popups incessantes.
let's go... on va télécharger un petit faux codec afin de tester la virtualisation.
A noter que lors de la tentative de téléchargement d'un faux codec, le premier site a bien été bloqué par ZoneAlarmForceField, il m'a fallu aller sur un second site pour que ZoneAlarmForceField ne dise rien.
Notre faux codeccultra1363.exe est bien exécuté dans le bac à sable puisque c'est un processus enfant de ISWMGR.exe qui lui est un processus enfant de ForceField.exe
Le codec ne devrait donc pas pouvoir modifier le système.
Après exécution du faux codec, verifions si le système a été modifié.
Un rapport HijackThis nous montre que les adresses DNS ont été modifiées de 192.168.1.1 (légitime, c'est ma box) en 85.255.
Les adresses DNS ont donc bien été hijackées par le codec. Les paramètres réseau de Windows confirment le rapport HijackThis.
Un scan catchme nous montre la présence du rootkit kdxxxx.exe.
Le Trojan DNS est bien installé sur le système.
Les redirections lors des recherches Google confirment bien la présence et modification du système par le codec.
J'ai effectué un deuxième essai en tentant d'infecter la machine avec du Storm/Zhelatin.
A noter que ZoneAlarmForceField semble détecter les sites sources hackés mais en exécutant une url "plus basse" dans le processus d'infection, il est tout de même possible de passer outre la protection ZoneAlarmForceField.
Cette fois-ci, les fichiers de l'infection sont directement exécutés hors du bac à sable et directement dans le système.
Le fichier ieupdater.exe à l'origine de l'infection est bien exécuté dans le bac à sable, un fichier _svchost.exe se créé mais cette fois-ci en dehors du bac à sable.
La capture ci-dessous montre très bien que le fichier _svchost.exe qui n'est pas légitime et ses processus enfants ne sont plus démarrés par ISWMGR.EXE
On laisse l'infection se dérouler, s'ensuivent des plantages etc...
En vérifiant les drivers chargés via Gmer, on voit la présence de deux drivers de rootkits bien connus.
* runtime.sys que l'on présente plus..
* et une nouvelle variante de windev-xxxx-xxxx.sys qui courait au mois de juin, avec kallenyxxxx-xxxx.sys.
Je vous fais grâce du rapport HijackThis.
Vider le cache de la virtualisation ou redémarrer Windows ne change rien.
Les modifications ou infections sont bien présentes sur le système.
Conclusion :
Le programme est en cours en version bêta, les corrections ou améliorations ne sont pas exclues
Néanmoins on peut être déçu par la partie virtualisation qui ne semble pas remplir son rôle de protection surtout comparé à Sandboxie.
ZoneAlarmForceField peut être intéressant quant à la vérification des sites WEB visités contre les exploits sur les sites WEB/phishing, même si dans ce créneau il existe d'autres solutions (SiteHound, MacAfee SiteAdvisor]).
Même si selon moi, ces protections sont souvent "en retard" puisqu'elles fonctionnent via des base de données de blacklistage, je préfère un Firefox Sécurisé + maintenir son système et logiciels à jour pour combler les vulnérablités (voir paragraphe Sécuriser : Maintenance système.
Enfin, Le scan des fichiers téléchargés peut s'avérer énervant à la longue pour l'utilisateur.
Wait & see.
ZoneAlarmeForceField offre une protection :
* contre les spywares, blocages des sites de spywares. En outre, il intègre un scanner antispyware.
* protection contre le phishing, détection et blocage des sites de phishing.
* une protection contre les keyloggeurs (enregistreur de frappes claviers).
* une virtualisation du navigateur WEB :
ZoneAlarm ForceField permet d'exécuter votre navigateur WEB (Internet Explorer ou Firefox) dans un bac à sable.
Le navigateur exécuté dans un environnement sécurisé est alors dissocié complètement du reste du système, dans le cas d'une infection, le système est alors protégé.
En outre, il est possible de démarrer le navigateur "en mode privé", aucune trace (historique de navigation etc... et informations) n'est sauvegardée.
Une fois installé, on se retrouve avec une barre d'outil ZoneAlarmForceField Protection
Lorsque Internet Explorer est démarré dans le bac à sable, une petite aura blanche entour le navigateur WEB.
Je vous cache pas que c'est la frime de surfer avec une aura ;)
Lorsqu'un site dangereux qui peut endommager votre ordinateur est visité, une popup rouge d'alerte s'ouvre pour vous informer.
Il est alors possible de revenir au site précédent ou continuer sur le site en question.
Lorsqu'un site qui peut potentiellement collecter des informations privées ou non de confiance est visité, une popup d'alerte jaune s'ouvre pour vous en informer.
ZoneAlarmForceField intègre son propre gestionnaire de téléchargements.
Tous les téléchargements sont soumis à une vérification, lorsque le téléchargement d'un fichier inconnu est effectué, une alerte s'ouvre pour vous en informer.
Deux bémols :
- les téléchargements sont ralentis, il peut arriver que la vérification dure plus de 10s, cela ralentit donc les téléchargements.
- la base de données semble faible, j'ai effectué un seul téléchargement légitime, Winamp, l'alerte disant que le fichier est inconnu est apparue tout de même.
L'alerte semble apparaître quasiment à chaque téléchargement pour des fichiers légitimes, ce qui enlève l'interêt de la vérification.
L'utilisateur risque de cocher l'option "do not show this message again" pour ne plus être embêté devant ces popups incessantes.
let's go... on va télécharger un petit faux codec afin de tester la virtualisation.
A noter que lors de la tentative de téléchargement d'un faux codec, le premier site a bien été bloqué par ZoneAlarmForceField, il m'a fallu aller sur un second site pour que ZoneAlarmForceField ne dise rien.
Notre faux codeccultra1363.exe est bien exécuté dans le bac à sable puisque c'est un processus enfant de ISWMGR.exe qui lui est un processus enfant de ForceField.exe
Le codec ne devrait donc pas pouvoir modifier le système.
Après exécution du faux codec, verifions si le système a été modifié.
Un rapport HijackThis nous montre que les adresses DNS ont été modifiées de 192.168.1.1 (légitime, c'est ma box) en 85.255.
Les adresses DNS ont donc bien été hijackées par le codec. Les paramètres réseau de Windows confirment le rapport HijackThis.
Un scan catchme nous montre la présence du rootkit kdxxxx.exe.
Le Trojan DNS est bien installé sur le système.
Les redirections lors des recherches Google confirment bien la présence et modification du système par le codec.
J'ai effectué un deuxième essai en tentant d'infecter la machine avec du Storm/Zhelatin.
A noter que ZoneAlarmForceField semble détecter les sites sources hackés mais en exécutant une url "plus basse" dans le processus d'infection, il est tout de même possible de passer outre la protection ZoneAlarmForceField.
Cette fois-ci, les fichiers de l'infection sont directement exécutés hors du bac à sable et directement dans le système.
Le fichier ieupdater.exe à l'origine de l'infection est bien exécuté dans le bac à sable, un fichier _svchost.exe se créé mais cette fois-ci en dehors du bac à sable.
La capture ci-dessous montre très bien que le fichier _svchost.exe qui n'est pas légitime et ses processus enfants ne sont plus démarrés par ISWMGR.EXE
On laisse l'infection se dérouler, s'ensuivent des plantages etc...
En vérifiant les drivers chargés via Gmer, on voit la présence de deux drivers de rootkits bien connus.
* runtime.sys que l'on présente plus..
* et une nouvelle variante de windev-xxxx-xxxx.sys qui courait au mois de juin, avec kallenyxxxx-xxxx.sys.
Je vous fais grâce du rapport HijackThis.
Vider le cache de la virtualisation ou redémarrer Windows ne change rien.
Les modifications ou infections sont bien présentes sur le système.
Conclusion :
Le programme est en cours en version bêta, les corrections ou améliorations ne sont pas exclues
Néanmoins on peut être déçu par la partie virtualisation qui ne semble pas remplir son rôle de protection surtout comparé à Sandboxie.
ZoneAlarmForceField peut être intéressant quant à la vérification des sites WEB visités contre les exploits sur les sites WEB/phishing, même si dans ce créneau il existe d'autres solutions (SiteHound, MacAfee SiteAdvisor]).
Même si selon moi, ces protections sont souvent "en retard" puisqu'elles fonctionnent via des base de données de blacklistage, je préfère un Firefox Sécurisé + maintenir son système et logiciels à jour pour combler les vulnérablités (voir paragraphe Sécuriser : Maintenance système.
Enfin, Le scan des fichiers téléchargés peut s'avérer énervant à la longue pour l'utilisateur.
Wait & see.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.