question à propos de Defense+

ptitchat · March 18, 2010, 9:45am

Symbian & Shaoran bonjour,

J’aurais besoin d’une explication à propos de defense proactive :
defense+ à bloqué X tentatives suspect jusqu’à maintenant …

Personnellement, j’en ai 1 donc curieux je click dessus mais sur la nouvelle page(événement defense+) qui s’ouvre j’en ai toute une liste donc comment savoir laquelle à été bloquée ??

Oups en écrivant ce post, je viens de comprendre et donc je l’ai trouvé !! mais cela m’amene à une autre question ;D

En fait, ce programme suspicieux est le désinstallateur d’Avast (décidement Comodo n’aimes pas avast).
Donc defense+ m’indique qu’il à bloquer le programme mais pourtant j’ai pu sans aucun problème m’en servir pour désisntaller Avast donc finalement il a rien bloquer du tout ???
Peut etre ais-je pas bien compris ?? :-[

symbian · March 18, 2010, 12:51pm

C’est possible de faire une capture de l’action bloquer pour plus de précision ?

symbian · March 18, 2010, 12:52pm

vigen · March 18, 2010, 1:40pm

Ou il a tous simplement bloquer une partie de l’action qui n’as pas empecher la désinstallation d’avast.

Mais a ce moment la un bon nettoyage reste de mise, car il y’a de fortes chances que des “déchets” restent…

ptitchat · March 18, 2010, 2:12pm

Voilà la capture :

http://nsa15.casimages.com/img/2010/03/18/100318030337488177.gif

ce sont les fichiers aswclear (désinstallateur de Avast … qui, en passant, est une vraie saloperie à supprimer totalement !)

Par contre comment fait-on pour supprimer des lignes ou la totalité des pages evenements defense+ et/ou du parefeu ??

Mince image trop petite !!
devrait etre mieux là : http://nsa15.casimages.com/img/2010/03/18/100318030337488177.gif

symbian · March 18, 2010, 2:35pm

La sandbox a bloqué quelques actions durant la désinstallation.

Pour les journaux il est est impossible de les effacer mais par contre on peu limiter leurs tailles qui est 20 Mo par défaut.

ptitchat · March 18, 2010, 3:29pm

la sandbox ?? euh je l’ai pas installé celle là … juste mit le firewall et support livePC (pour l’instant) ;D

symbian · March 18, 2010, 3:51pm

oups désolé je voulais dire Defense+

Vous avez reçu une alerte lorsque vous avez exécute le désinstallateur ?

ptitchat · March 18, 2010, 3:55pm

oui de tt facon pour toute intervention de Avast il met une alerte ou pose la question si oui ou non on accepte ou pas !!

j’ai envoyé quelques fichiers à Comodo histoire de …

symbian · March 18, 2010, 4:00pm

C’est bon donc. D’après la capture vous avez reçu 9 alertes. Si vous avez répondu par autoriser, l’action est effectué. Pour les programmes d’installation/désinstallation il faut toujours leurs donner le privilège “programme d’installation”. Comme ça vous ne serez pas déranger par des alertes durant l’opération.

ptitchat · March 18, 2010, 4:07pm

oui c’est ce que je fais et je l’ai dit ds un autre post/forum !!

par contre à ce sujet, y a quelque chose qui me gene …
imaginons que vous vouliez installer un logiciel dont vous ne savez pas vraiment la fiabilité/sécurité, si comme pour Avast, defense+ ne le reconnait pas comme etant sûr, vous aurez donc une alerte “laisser passer” ou “bloquer”.
evidement vu que là on part ds l’objectif de l’installer, nous allons cocher, suite à la premiere alerte, la case “programme d’install”. pas de bol, le logiciel est infecté résultat ds ce cas à quoi sert defense+ ??

Je sais pas si je suis bien clair mais c’est juste une question qui me trottait ds la tete !!!

symbian · March 18, 2010, 4:17pm

D’accord je vais essayer d’expliquer :

Vous avez télécharger un programme d’installation setup.exe par exemple.
Vous l’avez mis sur programme d’installation, il installe des fichiers… parmi eux un malware sous le nom fix.exe par exemple.

Defense+ a autorisé setup.exe a faire des actions sur votre machine et non pas fix.exe. Donc une fois fix.exe tente une action vous serez avertis. Il faut bien lire l’alerte pour comprendre de quoi il s’agit.

ptitchat · March 18, 2010, 4:43pm

hum oui je comprends bien mais moi à la base je sais pas ce qu’il y a ds le fichier fix.exe donc si l’alerte arrive en plein milieu de l’installation … y a de grande chance que je laisse passer (au bout d’une dizaine d’alertes moi je lis plus … j’autorise !! lol
chose que j’ai faite pour Avast, X alertes emises à l’installation … on se dit je vais confiance à un antivirus mais peut y avoir une cochonnerie dedans quand mm …
ou carrement vu que j’aurais dit à defense+ de le prendre comme “programme d’installation” ds le cas où je connais a peu pres le logiciel … le virus il passe comme il veut.

enfin bon j’installe pas des logiciels toute la journée non plus … là c’est parce que je tout reinstallé donc me tape X installation à la suite !

Shaoran · March 18, 2010, 7:36pm

Des alertes lors de l’installation, normalement, il ne devrait pas y en avoir des masses sauf cas particulier demandant des accès particuliers probablement.
Mais jusqu’à présent, je dois voir 1 à 2 alertes par setup pour les programme inconnues seulement soit très peu en règle générale (avec la configuration de base sans Sandbox)
Sous CIS 3 par contre, c’est une autre histoire.

Mais sinon, prenons un cas, on installe sans le savoir un rogue, chose courante. Je vais prendre Antivirus PC 2009.

Le setup demande à créer un fichier exe inconnu dans c:\program files, j’autorise.
Le setup demande l’exécution de cmd (l’invite de commande de Windows), j’autorise
Cmd.exe demande à exécuter le rogue, j’autorise
Le rogue est installé
Il demande un accès DNS, j’autorise.

Ici, Defense+ n’a servi à rien. En fait, Defense+ est là pour bloquer, si l’utilisateur demande un blocage.
Ce qui va surtout l’aiguiller, c’est Threatcast (pour le coup, il ne m’a rien dit, j’espère qu’il n’est pas encore en panne …). Si beaucoup d’utilisateurs l’ont bloqué, forcement, on sera tenter de le bloquer, sinon, on autorisera, et s’il n’y a rien, c’est sur, on autorisera comme dans mon cas.

Dans le meilleur des mondes, il y a une autre protection qui s’activera, c’est la Sandbox, qui isolera le rogue automatiquement. Toutefois pour l’instant, cela ne marche pas comme il faut, donc on va l’ignorer.

Ce qu’il faut bien comprendre, c’est que Defense+ ne fera rien lui même, il ne fait que notifier un comportement possiblement malveillant, c’est ensuite à l’utilisateur de trancher.
Dans l’état actuel, c’est une application plutôt réservée à des personnes ayant quelques connaissances en informatique (l’exécution de cmd.exe par exemple est plus que suspecte et on tiltera dessus). C’est aussi un puissant outil de désinfection quand on sait s’en servir.

Il faudra toutefois voir si à l’avenir Sandbox + Threatcast suffissent à donner une meilleur protection pour un utilisateur lambda. Pour l’instant, c’est plus une fonctionnalité à désactiver chez les utilisateurs novices.

brucine · March 18, 2010, 7:45pm

Le setup demande à créer un fichier exe inconnu dans c:\program files, j'autorise. Le setup demande l'exécution de cmd (l'invite de commande de Windows), j'autorise Cmd.exe demande à exécuter le rogue, j'autorise Le rogue est installé Il demande un accès DNS, j'autorise.
Ici, Defense+ n’a servi à rien

???

Dans ce cas (extrême et sympathique, parce que bien des rogues outrepasseront les défenses sans rien demander), ce n’est pas le firewall que l’on est censé avoir entre les oreilles qui a un bug?

Shaoran · March 18, 2010, 7:51pm

Normalement si, mais la configuration par défaut est tout le sortant est autorisé. C’est pourquoi je recommande changer cette configuration qui ne me plait pas du tout.

vigen · March 18, 2010, 8:03pm

J’avais vu juste

ptitchat · March 19, 2010, 9:37am

ba voilà la difference est là moi je suis un Mr Lambda donc .machin .truc risque fortement passer !! :-\

par contre (je sais pas si faisable mais bon), ce qui aurait été très bien pour les débutant/novices par exemple, c’est que quand on veux installer un logiciel non sûr ou autres, c’est de pouvoir l’installer ds une zone protégée (genre zone de quarantaine).
Et, ensuite, vu que defense+ nous propose d’envoyer les fichiers à Comodo, avoir une sorte d’interaction PC/Comodo Comodo/PC rapide nous disant si oui ou non le programme comporte un risque important !!

Peut etre est ce le but d’une sandbox fonctionnelle d’ailleurs du moins pour la zone de protection ??

Shaoran · March 19, 2010, 9:58am

C’est le principe pour les deux. La sandbox va réduire l’interaction entre l’application et l’ordinateur. De fait, l’application ne pourra pas faire de dégâts au système.
Les fichiers sont ensuite envoyés automatiquement à Comodo (option par défaut) et (dans le meilleurs des mondes encore une fois car pour l’instant, c’est difficile à tester) quand ils sont considérés comme sûrs, ils sont sortis de la sandbox automatiquement, sinon, ils sont supprimés. Tout du moins, c’est ce que laisse envisager la vidéo de présentation de CIS 4.

C’est pour ça que j’espère que cela marchera comme sur le papier, cela sera une protection supplémentaire non négligeable pour un utilisateur lambda.

ptitchat · March 19, 2010, 10:41am

ok effectivement pour Mr tout le monde cela peut etre un plus … en mm temps +++++ et au final on controle plus rien du tout !! ;D

citation : “Normalement si, mais la configuration par défaut est tout le sortant est autorisé. C’est pourquoi je recommande de changer cette configuration qui ne me plait pas du tout.”

explication demandée pour "je recommande de changer cette configuration … " ???

Shaoran, désolé de t’ennuyer avec tous mes posts, mais preferes savoir un peu que ne rien savoir du tout !!