Je suis paranoïaque ou c'est Comodo qui bug ?

Bonjour à tous,

Je rencontre des problèmes lorsque je lance certains programmes avec des règles personnalisées.
Mon but est de définir des programmes fiables avec un règle personnalisé qui lui permettrait de lancer n’importe quel logiciel. Pour éviter des alertes comme “firefox.exe essaye d’exécuter plugincontainer.exe”

Donc comme dit ci-dessus j’ai crée la règle suivante qui reprend la même configuration que application autorisée, sauf que j’ai modifié une règle concernant “Lancer un exécutable” → Voir la configuration exacte dans les fichiers joints: “Capture.gif” et “Capture2.gif”. On appellera cette règle “Programme fiable”

Exemple:
On définit le logiciel “cmd.exe” en “Programme fiable”, et donc toutes les applications qu’il lance, si elles sont inconnue nous sont automatiquement alertées, mais on a quand même réussit à éviter le message “cmd.exe essaye d’exécuter lib.exe”.
Mais parfois (cela n’arrive pas systématiquement mais souvent quand même), et c’est là mon plus gros problème, les programmes que “cmd.exe” va lancés vont se bloquer, sans que l’on aille aucune alerte de la part du CIS:

  1. → On constate alors la présence dans le gestionnaire des tâches du programme “lib.exe”, mais celui-ci semble bloqué; le pourcentage de l’utilisation du cpu reste toujours (et pour n’importe quel programme bloqué) entre 12 et 13%. Il n’y a aucune variation dans les autres colonnes du gestionnaire de tâche (handle, thead).
    Ce blocage dure environ 5 minutes (je ne suis pas sûr du temps exact).
  2. → Si je regarde dans les “Fichiers inconnues”, je constate bien que le programme “lib.exe” s’y trouve bien.

Questionnement logique:

  • Dois-je oublier ce que je veux faire avec Comodo ?
  • Ou ni moi et ma machine n’est en réalité responsable; Dois-je réinstaller Comodo, et la règle personnalisée “Programme fiable” marchera bien ?

Informations requises:

  • Version de Windows: Windows 7 SP1 - (professionnel) - (x64)
  • Version de Comodo: Comodo Internet Security Premium v7.0.317799.4142

Utilisateur de type administrateur.

Options activés dans HIPS:

  • Mode Paranoïa.

  • Définir les alertes pop-up en mode verbeux

  • Créer des règles pour les applications saines

  • […] alerte écran à 30s.

  • Mode de protection avancée

  • Bloqueur Comportemental:

    • Mettre en Sandbox les applications inconnues comme “Entièrement virtualisé”
    • Détecter les programmes qui nécessite une élévation […]
    • Afficher les alertes d’élévation […]
    • Activer Viruscope
    • Exécuter l’analyse heuristique […]
    • Détecter les injections de code shell

Merci pour votre aide.

[attachment deleted by admin]

Bonjour,
En ce qui concerne Comodo il faut vérifier si l’installation est Ok pour cela:
Panel de Comodo en haut à droite clic sir point ? => support => clic sur Diagnostics le rapport est affiché.
Ensuite pour mémoire le mode parano (traduction):
Mode paranoïa: Il s’agit du réglage du niveau de sécurité le plus élevé et signifie que la défense + surveille et contrôle tous les fichiers exécutables en dehors de ceux que vous avez jugé sécuritaire. Comodo Internet Security ne cherche pas à apprendre le comportement de toutes les applications - même les applications sur la liste en toute sécurité Comodo et utilise uniquement les paramètres de configuration pour filtrer l’activité du système critique. De même, la société Comodo Internet Security ne créer automatiquement “Autoriser” règles pour tous les exécutables - mais vous avez toujours la possibilité de traiter une demande de «confiance» dans les HIPS alerte. Choisir cette option génère le plus grand nombre d’alertes HIPS et est recommandé pour les utilisateurs avancés qui nécessitent la pleine conscience de l’activité sur leur système.

Dans le cas présent le fichier lib.exe (http://msdn.microsoft.com/fr-fr/library/7ykb2k5f.aspx )fait parti de la liste inconnu donc le comportement et le le réglage de HIPS en mode paranoïa vérifie cet “inconnu” donc une latence d’exécution (ici 5 minutes).
Vu les réglages de Comodo sur le sujet en cours il est difficile en ce qui me concerne de répondre pour cause que:

  • HIPS (Host-based Intrusion Prevention System) qui sont des IPS permettant de surveiller le poste de travail à travers différentes techniques, ils surveillent les processus, les drivers, les .dll etc. En cas de détection de processus suspect le HIPS peut le tuer pour mettre fin à ses agissements. Les HIPS peuvent donc protéger des attaques de buffer overflow.
  • Lib.exe génère et modifies des bibliothèques Visual studio (scripts).
    Le fait d’autoriser en mode paranoïa un exe (cmd) associé à d’autres ne garantie pas une protection absolue, en effet plusieurs PID (PID, Process IDentifier en anglais) peuvent être lié si on autorise la position transversale.
    Citation:
    [i]Questionnement logique:
    • Dois-je oublier ce que je veux faire avec Comodo ?
    • Ou ni moi et ma machine n’est en réalité responsable; Dois-je réinstaller Comodo, et la règle personnalisée “Programme fiable” marchera bien ?
      [/i]
      Réponse 1: Pas forcément, seulement suivant les réglages “perso” c’est + ou - lourd à gérer.
      Réponse 2: Si l’installation est Ok, pas besoin. “Programme fiable” si le fichier n’est pas dans la liste inconnu à vérifier au reboot.

Re,

Ca c’est ok: “Le diagnostique n’a trouvé aucune erreur.”

Je suis bien d’accord, c’est pourquoi je devrais avoir une notification, dès qu’une “Application autorisée” lance un programme inconnu, un pop-up s’affiche immédiatement afin que je puisse autorisé les actions du programme tiers.
Mais avec la règle personnalisée que j’ai crée, je n’ai aucun avertissement. Ce qui se passe c’est que le processus tiers est bloqué (12 à 13%), on ne peut même pas tuer le processus dans ce cas là, y attacher un débogueur. Si ce programme tiers est programmé avec un singleton, ou autre technologie de la sorte, dans ce cas là vu que logiciel ne pourra pas communiqué avec le processus bloqué, il va se lancé quand même; Ce qui n’est pas forcement un mauvaise chose, mais tout cela démontre bien que le programme lancé est devenu obsolète.
Ce que je remarque aussi, c’est que Comodo aussi ne semble pas interagir avec le programme, il ne semble y’ avoir aucune activé de sa part.

C’est bien vrai que c’est lourd à gérer mais on prends vite l’habitude, surtout quand on supprime les listes blanches et les éditeurs approuvés, je le fait qu’après une réinstallation complète du système. Je filtre aussi de la même façon la connexion internet avec des règles personnalisées qui marche très bien d’ailleurs.
Au début c’est ingérable tellement il y a des demande, mais bon plus on avance dans le temps, moins on a besoin d’installer des choses et tout va bien.

Pour éviter que le programme bloque à nouveau, j’ai trouvé comme solution d’envoyer le programme inconnue dans la liste des applications autorisées. Mais au final, cela me fais faire beaucoup plus de clics que si je n’utilisait pas ma règle personnalisée.
Merci pour vos informations, mais je crois que je vais en rester là pour l’instant, avec cette option en tout cas >:-D.
Je voulais juste économiser quelques clics de souris !