OSArmor : sécuriser Windows

[Malekal_morte]

OSArmor est une application qui vise à bloquer certains comportements potentiellement malveillants.
Le programme est très simple avec un journal qui permet d'enregistrer les blocages avec l'horodatage.
Dans les options vous pouvez désactiver certaines protections ou en activer.

OSArmor : Bloquer l’exécution de processus et connexions malveillantes.

OSarmor-2.png

OSarmor.png

[Parisien_entraide]

J'ai été devancé :-)

J'ajouterai juste quelques points négatifs :

- Il n'y a pas de liste blanche
- Pas de fichier d'aide

Mais vu la demande, cela viendra surement.

Sinon petite liste non exhaustive des possibilités :

- Anti-exploit basique (pour cela il vaut mieux privilégier l'outil payant de MBAM )
- Bloquer l'exécution des extensions en double de type toto.jpg.exe par exemple
- Bloquer les .com, .pif, obsolètes
- Bloquer les logiciels malveillants d'une unité USB (autorun.inf par ex)
- Empêcher WINWORD.EXE ou EXCEL.EXE d'exécuter des processus malveillants.
- Bloquer les processus système (vssadmin.exe, etc.) pour éviter la suppression des clichés instantanés de fichiers.
- Empêchez les modifications "importantes" du système via bcedit.exe.
- Bloquer l'exécution directe des scripts et des fichiers exe à partir des archives.
- Empêcher regsrv32 d'exécuter des scripts distants et / i: paramètre.
- Bloquer les processus exécutés à partir de wscript.exe, cscript.exe, mshta.exe et wmic.exe si ils sont considérés comme malveillants
- Bloquer le contournement de Set-execution policy ( PowerShell)
- Bloquer les téléchargements d'URL distants à partir de la ligne de commande.
- Bloquer l'exécution directe du code JavaScript et VBscript.
- Bloquer Bitsadmin.exe : Empêche Bitsadmin.exe de télécharger des fichiers distants.
- Limiter les fichiers de l'économiseur d'écran Windows au dossier Windows.
- Bloquer les comportements suspects liés à Svchost.exe et Explorer.exe.
- Bloquer l'exécution de schtasks.exe (couramment utilisé par les logiciels malveillants)


A la lecture de ces quelques possibilités, on voit de suite que ce n'est pas un programme à tester "juste pour voir", et à oublier, car les possibilités de blocages sont importantes. Il faut bien s'assurer des conséquences de ce que l'on coche


Ne pas hésitez non plus à aller voir à la racine du site : http://www.novirusthanks.org/ il y a quelques outils intéressants
Et pour les intrépides http://www.novirusthanks.org/browse-by/ ... tal-tools/

__________________

Edit : Zut je n'avais pas vu le lien https://www.malekal.com/osarmor-bloquer ... eillantes/
qui décrit les possibilités.

Avant de me faire fouetter en place publique par le maître des lieux :-) voici les changement intervenus depuis le tuto mis en place par Malekal le 21/12/2017 :

OSArmor 1.3 changelog:

Block processes with known fake extensions (i.e .pdf.exe)
Prevent WMIC from using "process call create" via cmdline
Block command-lines that match *\Start Menu\Programs\Startup\*
Block command-lines that match shellcode-like patterns
Block execution of any process related to UltraVNC (unchecked by default)
Block execution of any process related to RealVNC (unchecked by default)
Block execution of any process related to Nir Sofer (unchecked by default)
Block execution of any process related to LogMeIn (unchecked by default)
Block known Bitcoin miners command-lines
Prevent wbadmin.exe from deleting backup catalog
Block unsigned processes located on root folder (i.e C:\) (unchecked by default)
Block SOAP WSDL requests via command-line
Block execution of syskey.exe
Block execution of cipher.exe
Number of pre-defined rules increased to 60
Do not delete the settings when the program is uninstalled
Improved showing of main window from tray icon
Fixed many false positives
Improved internal rules

Et un lien (anglais) pour suivre les discussions sur ce programme : https://www.wilderssecurity.com/threads ... se.398859/

Petites vidéos en action sur des documents Word :




La V1.4 devrait sortir sous peu

[Malekal_morte]

Toujours pas de 1.4
A voir aussi : SysHardener : sécuriser Windows facilement contre les virus

[Parisien_entraide]

Elle ne va pas tarder :-)

http://downloads.novirusthanks.org/file ... test37.exe

[Malekal_morte]

ok =)
Sur mon ordinateur portable qui est en Windows 10, OSArmor ne fonctionne pas car le pilote ne veut pas se charger, car soit disant pas signé.
(alors qu'il l'est).
J'espère que la version 1.4 va fonctionner.

[Parisien_entraide]

Donc possible pb de certificat...

Il y a un bug qui a été notifié au dev (du moins pour la beta) et qui affectait sous XP donc il est possible que ce soit la même chose(mise à jour de certificat qui ne se fait pas)
___________________________________________________
"Problems updating Root and revoked Certificates on Windows XP if the rule below is active:

"Block suspicious processes started from Rudll32" already notified to the Developer.

You must also enter an exception for the rule in the "Main Protection" section below:

"Block Execution of processes with .com extension"
_________________________________________________________

[Malekal_morte]

oui le certificat n'était pas pour Windows signé.
J'ai pas trouvé pourquoi \o

[devadip]

passage à la version 1.4 (https://www.novirusthanks.org/products/osarmor/)

[Shimik_Root]

Merci je prend la nouvelle version.

[devadip]

il semblerai que la v1.4 ne soit pas compatible avec W10 v1809
la v1.4.1 beta est compatible: https://downloads.novirusthanks.org/fi ... _test1.exe

[Parisien_entraide]

Qui va surement passer en version finale vu qu'il n'y a pas de soucis avec. En attendant la V1.5 qui est déjà sur les rails :-)

[pattos]

OSArmor devient payant :
https://www.osarmor.com/pricing/

Avec version d'essai de 30 jours.
Il s'agit de la v. 1.5.1

[Parisien_entraide]

L'auteur avait indiqué que la version pour XP serait gratuite (mais le site est en cours d'élaboration

Sinon il me semble que Syshardener devrait suivre la même voie (normalement)
https://www.novirusthanks.org/products/syshardener/