sur-multiplication des logiciels de protection

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

sur-multiplication des logiciels de protection

par michte »

Salut,

Voilà je viens ici pour avis et précisions, concernant la sur-multiplication des logiciels de protection.

Je dispose de plusieurs logiciels de sécurités, et ce, parce que j'estime qu'il ne faut pas mettre "tout ses oeufs dans le même panier" mais bien sur, il ne faut pas que cela grève les performances du PC (donc pas de services inutiles, et de programmes "non compatible" entre-eux).

En ce qui concerne les Anti-spywares, je peux dire que le seul service qui se lance au démarrage de mon PC est:
AVG (pour avoir la possibilité de scanner un fichier via le menu contextuel)
Pour As-Squared free 3.1 le service peut être désactivé car il n'empêche pas les MAJ, ni les scans (donc -1).
Pour Spybot Search and Destroy, si le Tea timer n'est pas activé, il n'y a pas non plus de service qui se lance au démarrage (-2).

Certaines personnes estiment que les scans via le menu contextuel ne servent à rien, vu que de toute façon les logiciels en temps réels font leurs "travail avant" et vérifient ainsi ce qui rentre sur le PC en les scannant systématiquement. Je dois avouer qu'en y réfléchissant je suis d'accord sur le principe, mais je ne vois pas le problème, vu que ces vérifications supplémentaires ne gène pas le fonctionnement de mon PC.

Paranoîa? Ce terme je l'ai entendu à plusieurs reprises, et ce, sur plusieurs forums.
Donc je suis perçu comme un paranoïaque par les forumeurs sur les sites de sécurités informatiques et également par les personnes à qui je parle de sécurité info dans la vie courante.

Je ne cherche pas à inonder mon PC de logiciels de sécurités qui pourraient ralentir celui-ci sous prétexte de me protéger.

Ma démarche a été plutôt la suivante:

Surveillance en temps réel via un HIPS DSA(détection des processus et sécurité des applications), couplé avec un protecteur de registre (regprot,qui complète avantageusement l'HIPS) j'ai rajouté des protections NIPS (sytème de prévention d'intrusions réseau)qui font partie de mon fire-wall (Sunbelt Personnal fire-wall) la dessus la surveillance d'Avira antivirus (sans son module anti-spyware...)

Restictions des droits utilisateur avec drop my right, fire fox sécurisé et Spyblocker (que je pense quand même supprimer au profit d'un gestionnaire efficace du fichier Hosts, à voir...)

Pour le reste de mes configurations de sécurités je mets mes configs http://assiste.forum.free.fr/viewtopic.php?t=14600 , si vous avez des commentaires et des remarques (constructives, hein? Parano etc.. J'ai donné..)

Je suis très prudent lors de mes surfs sur le net, et je n'hésite pas à scanner les adresses de sites ainsi que les liens quand je ne connais pas.
J'ai une gestion assez sécurisée de mes mails: Je connais pas? j'ouvre pas et poubelle; liste noire; pas de rapatriement automatique des mails sur mon PC;utilisation d'Outclock sous DMR ; puis si tout va bien, consultation des messages en texte brut.

Mon PC est un peu lent à démarrer OK (presque 2 minutes avec code) mais bon, il se ferme rapidement (15 secondes environ) il ne rame pas pendant son utilisation.

J'attends vos avis, et je suis prêt à en débattre normalement.

A+
"La terre nous est prêtée par nos enfants"
chef

Re: sur-multiplication des logiciels de protection

par chef »

bonjour,
pour ma part je pense que de toute façon, c'est pas parce que tu met une sur-multiplication des logiciels de protection que tu seras mieux protéger.
le truc est surtout d'utiliser les bon logiciels, car si tu met plusieurs logiciel, est que ceux si ne valent rien, sa ne serre pas a grand chose.
maintenant mettre plusieurs logiciel, qui sont performant ne serre pas a grand chose non plus, car c'est logiciel vont faire le même travail.
d'où l'inutilité de les utilisé en même temps, sans compté le risque d'incompatibilité.
donc a moins que un hackers, décide de prendre réellement ton pc pour cible, est dans se cas la, tu pourras rien faire, sauf peut être le ralentir et encore.
dire que tu es Parano, je dirais un peu.
car a moins que tu es un ordinateur de l'armée, avec des documents secret défense, je vois pas l'intérêt.
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Salut chef,
pour ma part je pense que de toute façon, c'est pas parce que tu met une sur-multiplication des logiciels de protection que tu seras mieux protéger.
Entièrement d'accord avec toi là-dessus d'ailleurs j'avais bien précisé:
Je ne cherche pas à inonder mon PC de logiciels de sécurités qui pourraient ralentir celui-ci sous prétexte de me protéger.
le truc est surtout d'utiliser les bon logiciels, car si tu met plusieurs logiciel, est que ceux si ne valent rien, sa ne serre pas a grand chose.maintenant mettre plusieurs logiciel, qui sont performant ne serre pas a grand chose non plus, car c'est logiciel vont faire le même travail. d'où l'inutilité de les utilisé en même temps, sans compté le risque d'incompatibilité.
Oui tout à fait, d'ailleurs à ce sujet:
Dynamic Security Agent et RegistryProt (extrait de posts avec nicM sur ZEB): De même, lorsque certains "kernel-hooks unhookers" ont eu l'occasion de sévir (cf tests supra), la protection registre de DSA a été complètement "désactivée", réduite à néant : Lorsque ces kernel-hooks sont restorés dans leur état d'origine, la protection du registre par "polling" (scan cyclique), elle, n'est pas affectée icon_grin6.gif ... Cela étant, il est possible que RegProt puisse compléter DSA, dans certains tests effectués lors de la review mentionnée plus haut, il a été démontré que parfois, la protection registre de DSA est deffectueuse : Elle ne détecte pas certains changements qui sont pourtant compris dans des clés contrôlées. Un petit problème de fiabilité, qui devrait être corrigé dans les prochanes versions, dixit l'équipe de Privacyware. Donc voilà, dans l'absolu, rien n'empêche d'utiliser les 2, étant donné qu'il ne produisent pas de conflits, fonctionnant de manière différente.
Pour les Anti-spyware mon post précédent explique qu'ils ne sont pas résident, donc pas de conflits...

Par contre, je suis d'accord avec toi sur:
SpyBlocker (anti cookies, ads, Web bugs...)+ FireFox (sécurisé)= peut-être en effet inutile.

Pour SpywareBlaster (Spyware, adware, hijackers, dialers, ...) + SpyBot Search & Destroy =
SpywareBlaster est un outil gratuit qui ne fait que l'équivalent de la fonction "Vaccination" de SpyBot-S&D mais qui le fait de manière beaucoup plus complète.
SpyBot Search & Destroy ses cibles sont tous les parasites non viraux, Vous devez compléter le travail de SpyBot Search & Destroy par une analyse de vos fichiers avec un scanner anti-trojans traditionnel comme AVG Anti-Spyware et un scanner antivirus traditionnel, Il dispose d'un module "temps réel"; le résident "TeaTimer"
TeaTimer n'est pas activé car j'ai déjà registryprot, et ils font la même chose..

Rootkit Unhooker et Avira AntiRootkit Tool : Pas de problème, le premier est très complet et le deuxième me sert de vérif rapide avant le premier.

Donc en résumé, je vais me séparer de SpyBlocker, et décocher la fonction "Vaccination" de SpyBot-S&D.
donc a moins que un hackers, décide de prendre réellement ton pc pour cible, est dans se cas la, tu pourras rien faire, sauf peut être le ralentir et encore.
OK, mais là, je m'en déjà doutais un peu..
dire que tu es Parano, je dirais un peu. car a moins que tu es un ordinateur de l'armée, avec des documents secret
défense, je vois pas l'intérêt.
Donc je suis parano.. Peut-être un peu en effet, mais pour l'armée j'ai déjà donné et ce, depuis longtemps, et sache qu'elle utilise Fire-Fox comme nous. Sinon je n'ai rien à cacher, surtout pas à mon FAI PDT_003 .

A+
"La terre nous est prêtée par nos enfants"
Malekal_morte
Messages : 110333
Inscription : 10 sept. 2005 13:57

Re: sur-multiplication des logiciels de protection

par Malekal_morte »

Salut,

Vaste sujet.
En informatique, tous les chemins mènent à Rome... certains sont parfois plus longs.

On peut arriver à un résultat convenable de diverses façons.
Ce qui est sur le site c'est surtout :
* pour changer de ce que l'on voit sur les autres sites qui sont en général à 90% le même discours et selon moi (donc avis personnel), pas vraiment ce qu'on peut faire de plus performent. Il suffit de voir que les personnes infectées que l'on désinfecte applique justement ces conseils.
Faire découvrir d'autres programmes/ressources.
* et surtout de la prévention, savoir comment les menaces se propage. Bref, améliorer les connaissances utilisauteurs puisque (je pense que tout le monde sera d'accord), la connaissance vaut n'importe quel antimachin.

En partant du principe qu'en informatique : plus j'en mets, plus j'augmente les chances d'avoir des emmerdes/problèmes/interrogations, donc à l'arrivée pour la majorité des utilisateurs : il faut faire au plus simple.
Je suis plus partisan du :
- 1 antivirus
- 1 antispyware en résident ou scan.
- Le reste on peut en discuter (fichiers HOSTS, IDS blah blah blah), selon les goûts, les connaissances utilisateurs (parce que bon un IDS chez quelqu'un qui a jamais touché un PC, ça fait plus de mal que de bien).


Une machine c'est black & white donc soit infectée soit pas infectée.
- Dans le cas infecté, bha l'antispyware à l'heure actuelle, il va pas t'aider à désinfecter dans la plus grande majorité des cas.
- Si pas infecté... il va te servir à nettoyer tes cookies.
Si Tu commences à multiplier les solutions de scans, c'est certains que l'un va te trouver un truc (souvent une clef dans le registre, sont forts pour ça....).
Pour 90% des peoples qui ont du mal à intépréter un rapport de scan (ce qui est normal), ça va être traduit par "ho pitain, je suis infecté, en plus, méga infection, antimachin et antimachin trouvent rien, par contre antibidule oui. Antibidule c'est le meilleur car il m'a trouvé un truc"
Si j'étais médisant, je dirai que certains ont un petit effet rogue pour vendre leur soft.


Les seuls commentaires personnel que je ferai :
- c'est que trois antispywares mouais mouais...
- Je connais pas SpyBlocker mais à mon avis Firefox Sécurisé, c'est bien mieux.
- Si tu as un IDS, je vois pas bien l'interêt de regprot.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Salut Malekal_morte,

J'avoue que j'attendais un peu ton intervention...

En ce qui concerne Regprot, c'est surtout ça qui me fait le garder (et également le fait qu'il est très léger):
il est possible que RegProt puisse compléter DSA, dans certains tests effectués lors de la review mentionnée plus haut, il a été démontré que parfois, la protection registre de DSA est deffectueuse : Elle ne détecte pas certains changements qui sont pourtant compris dans des clés contrôlées. Un petit problème de fiabilité, qui devrait être corrigé dans les prochaines versions, dixit l'équipe de Privacyware
Si j'étais médisant, je dirai que certains ont un petit effet rogue pour vendre leur soft.
D'où ma première idée de ne pas confier la surveillance de mon PC à un seul log (pour avoir plusieurs sources de vérif possible) mais, comme tu le laisse entendre "le mieux est l'ennemi du bien".

Pour les anti-spywares lequel me conseille-tu de laisser?

@ chef: Sites militaires Us piratés http://www.zataz.com/news/2867/Sites-mi ... 3%A9s.html ou
http://www.radinrue.com/spip.php?breve3518
Chez nous, la gendarmerie française laisse tomber Windows et passe à l’Open Source
http://www.theinquirer.fr/2008/01/30/la ... ource.html

A+
"La terre nous est prêtée par nos enfants"
chef

Re: sur-multiplication des logiciels de protection

par chef »

michte a écrit : @ chef: Sites militaires Us piratés http://www.zataz.com/news/2867/Sites-mi ... 3%A9s.html ou
http://www.radinrue.com/spip.php?breve3518
Chez nous, la gendarmerie française laisse tomber Windows et passe à l’Open Source
http://www.theinquirer.fr/2008/01/30/la ... ource.html
A+
cela montre bien que même avec des super protection on est pas a l'abri.
le faites qu'il passe sous une open source linux , ne veut pas dire qu'il seront mieux protégé.
car on voit beaucoup de virus windows, car y a beaucoup plus de personne avec windows que linux.
mais le jour ou il y auras plus de version linux est bien se seras l'inverse.
mephisto

Re: sur-multiplication des logiciels de protection

par mephisto »

chef a écrit : le faites qu'il passe sous une open source linux , ne veut pas dire qu'il seront mieux protégé.
car on voit beaucoup de virus windows, car y a beaucoup plus de personne avec windows que linux.
mais le jour ou il y auras plus de version linux est bien se seras l'inverse.
Bonjour,
Je suis pas tout a fait d'accord... Windows est payant, installé partout et a un certain monopole, autrement dit, ils profitent.
Linux est gratuit, fait par des gens faisant partie du commun des mortels (ou presque). Je pense donc que les "pirates" ne seront moins agressif envers linux... Mais ce n'est peut-etre qu'un espoir PDT_005
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Salut,

Après avoir un peu réfléchi, je pense donc me séparer de:
-Spyblocker pour le remplacer par HostsXpert
Mais pour cela, je dois supprimer la liste hosts de SpyBot Search & Destroy (que je garde comme outil.. sans protections)
-As-Squared free 3.1

Pour Rogueremover, je le garde au cas où (boeuf-carotte)
Pour SpywareBlaster, je le garde pour internet explorer (au cas où...) je vais le désactiver pour FireFox.
DSA et Regprot restent également, car je me suis fait à DSA et je ne fais pas n'importe quoi avec.

Une petite parenthèse pour tout ce qui est nettoyeur/optimiseur de la BDR, en partant du principe que je garde JkDefrag pour la défragmentation, lequel ou lesquels de ces trois logiciels garderiez vous?
-PageDefrag*
-AusLogics Registry Defrag*
-Ntregopt*

Salut à tous.
"La terre nous est prêtée par nos enfants"
Sacles

Re: sur-multiplication des logiciels de protection

par Sacles »

Bonsoir,

1.
Surveillance en temps réel via un HIPS DSA(détection des processus et sécurité des applications), couplé avec un protecteur de registre (regprot,qui complète avantageusement l'HIPS)
Vérifie si le HIPS n'a pas une protection pour le registre.

2. SpywareBlaster est parfaitement inutile (mais pas gênant puisqu'il ne prend pas de ressources proprement dites) pour ceux qui utilise Firefox avec une extension comme Cookie Safe Lite par exemple.

3. SpyBlocker n'est pas l'équivalent de HostsXpert. Ce dernier est simplement un gestionnaire de hosts.

4. Spyblocker avec Firefox sécurisé n'est pas très utile.

Salut.
Avatar de l’utilisateur
Topxm
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: sur-multiplication des logiciels de protection

par Topxm »

Salut à tous,

@michte, pour info : Securiser Firefox
Image
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Salut à tous,

Tout d'abord je tiens à tous vous remercier, en effet ça me réconforte un peu, vu que je me sent quand même un peu bizarre..

Je débute carrément en info, je n'ai pas encore acquis toutes les données (vous me comprenez?) ceci étant dit, je ne joue pas au apprenti sorcier, et quand j'interviens sur un post c'est que j'ai quelque chose à dire, je pèse bien tout mes mots et mon but est pour l'instant de donner des pistes, à mon niveau il serai vraiment présomptueux de voir plus loint, et surtout je ne voudrai pas que par ma faute il arrive des "bricoles" aux personnes qui sont dans le questionnement.

1.
En ce qui concerne la BDR, j'ai quelques interrogations, je m'explique:

Normalement DSA doit surveiller la BDR (ainsi que regprot) mais en y regardant de plus près (avec Rku) je m'aperçois que la BDR est surveillée par trois logiciels (et ce troisième, je n'arrive pas à l'identifier)

En partant du principe que "fwdrv.sys" est un module de mon pare-feu, et que pwipf2.sys apppartient à DSA mon HIPS, j'ai dans le rapport de Rku:

Actual Address 0xEE5DE910
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtCreateThread
Actual Address 0xF70FEDD4
Hooked by: Unknown module filename

NtDeleteFile
Actual Address 0xEE5E0034
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtDeleteKey
Actual Address 0xEE5DBD54
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtDeleteValueKey
Actual Address 0xEE5DBE70
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtOpenFile
Actual Address 0xEE4E6B20
Hooked by: C:\WINDOWS\system32\drivers\pwipf2.sys

NtOpenKey
Actual Address 0xEE4E6B90
Hooked by: C:\WINDOWS\system32\drivers\pwipf2.sys

NtOpenProcess
Actual Address 0xF70FEDC0
Hooked by: Unknown module filename

NtOpenSection
Actual Address 0xEE4E6B50
Hooked by: C:\WINDOWS\system32\drivers\pwipf2.sys

NtOpenThread
Actual Address 0xF70FEDC5
Hooked by: Unknown module filename

NtResumeThread
Actual Address 0xEE5DF0DC
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtSetInformationFile
Actual Address 0xEE5DFCE0
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtSetValueKey
Actual Address 0xEE4E63B0
Hooked by: C:\WINDOWS\system32\drivers\pwipf2.sys

NtTerminateProcess
Actual Address 0xF70FEDCF
Hooked by: Unknown module filename

NtWriteFile
Actual Address 0xEE5DFBB2
Hooked by: C:\WINDOWS\system32\drivers\fwdrv.sys

NtWriteVirtualMemory
Actual Address 0xF70FEDCA
Hooked by: Unknown module filename

Ca, ce doit être la protection de Kerio pour le réseau NIPS (j'ai un portable, et je serai appelé à utiliser la connexion WiFi...):

tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xEE554028 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xEE554054 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xEE554060 hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address 0xF699FB4C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at address 0xF699FB1C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address 0xF699FB3C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at address 0xF699FB28 hook handler located in [fwdrv.sys]

Sinon,

hook handler located in [pfproc.dll] (crocheté par DSA)

SVCHOST.EXE
CSRSS.EXE
WINLOGON.EXE
firefox.exe
SERVICES.EXE
LSASS.EXE
qmc.exe (calendrier)
AVGNT.EXE
EXPLORER.EXE
SPOOLSV.EXE
kpf4gui.exe (kERIO)
SynTPLpr.exe (touchpad par rapport à la souris)
Monitor.exe (ACER recovery)
regprot.exe
guard.exe (Avira antivir)
EPM-DM.EXE (monitoring PC d'ACER)
locator.exe
KPF4SS.EXE (Kerio)

2. Sacles, pense-tu que je peux réactiver les défenses de Spywareblaster pour Firefox?

3. Pour l'équivalence, en gratuit il me faudrai Proxomitron+HostsXpert, je pense..?

4. Spyblocker ne fait maintenant plus partis de mon équipe.

@ Topxm: Je vais réviser mes bases, avec le temps tout s'en va.. Normalement c'est OK mais merci à toi.

A+
"La terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Salut,

@ Topxm: pour l'instant il m'est impossible d'intégrer l'extension PhishTank SiteChecker ainsi que KeyScrambler, mais je vais voir ça demain (ce soir apéro un peu arrosé, donc je verrai ça demain, merçi je ne connaissais pas ces extentions pour FF).

A+
"La terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
Topxm
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: sur-multiplication des logiciels de protection

par Topxm »

Re,
4. Spyblocker ne fait maintenant plus partis de mon équipe.
Si tu avais la ToolBar SpyBlocker (j'espere que non) Tu as du t'amuser pour la désinstaller ça non ?
De mémoire il doit rester après la désinstalle une bonne 10ène de ligne dans la BDR + un dossier dans Program File +
Z4PLUNGIN.DLL galère à supprimer + l'option SpyBlocker dans le menu d'affichage du navigateur.
C'est bien ça non ?
Image
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Re,

En effet il me restait un fichier dans programme file, je viens de l'effacer (merci) pour le reste rien, mais vu que je suis fatigué je verrai ça demain, pour plus de sûreté.

A+

PS: pour mon petit rapport de Rku je pense que guard.exe appartient à AVG..
"La terre nous est prêtée par nos enfants"
Avatar de l’utilisateur
michte
Messages : 392
Inscription : 10 juil. 2007 20:32

Re: sur-multiplication des logiciels de protection

par michte »

Re,

Oui il me restait des 4 clés de registre dont: HKEY_CURRENT_USER\Software\VB And VBA Program Settings\SpyBlocker\TOptions
Pour les autres, j'ai zappé la copie (faut vraiment que je dormes...)

Je pense quand même que RevoUninstaller, JV16 et CCleaner ont fait leurs boulots, demain à moi de vérifier..

Merçi encore et A+
"La terre nous est prêtée par nos enfants"
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »