[b][i]Bonjour , dans ce topic je vais vous aider a comprendre les alertes de COMODO.[/i][/b]
ANTIVIRUS :
http://img571.imageshack.us/img571/7056/antivirus.png
Cette alerte est l’alerte de l’antivirus face à une menace.
Une petite précision : La Fonction clean ne fonctionne que sur les fichiers windows infectés tel que " Paint, Cmd, Regedit, explorer.exe, svchost".
Defense+ :
Pour cette alerte, COMODO indique que vous avez lancé cette application, rien de grave, vous pouvez accepter.
http://img714.imageshack.us/img714/4792/executeexplorer.png
Si vous avez la “SandBox” Activée , vous n’aurez pas cette alerte , mais celle-ci :
http://img687.imageshack.us/img687/6800/sandboxr.png
A ne pas confondre avec une alerte proche de celle-ci , qui elle lance explorer.exe
http://img404.imageshack.us/img404/1138/clttoexplorer.png
Pour cette alerte assez typique , Elle est presque inutile de dire non, si vous n’avez pas interdit avant les autres alertes.
Petite précision : Cette alerte indique que cette application tente de se connecter sur internet avec le svchost.exe, mais rien de dangereux.
http://img32.imageshack.us/img32/7743/dnsrpcclient.jpg
Après cette alerte , vous aurez une alerte du pare-feu , comme celle en dessous, encore une fois si vous avez autorisé le dns/rpc client , autorisez.
http://img294.imageshack.us/img294/2051/firewalltcp.png
Pour cette suite d’alerte, Voici une alerte des plus dur a détérminer , Oui , parce que même si l’application n’a pas besoin du clavier, il donne cette alerte toute de même, ca reste du kif-kif, c’est à vous de voir…
Petite précision : Je la trouve inutile cette alerte.
http://img222.imageshack.us/img222/4143/keyboardx.png
Cette alerte est une des plus compliquée a comprendre, Le HOOK GLOBAL!
Cette methode est utilisée pour pouvoir ecrire sur le clavier depuis un programme de type “BOT/CHAT”, Mais elle peut être aussi utilisée en tant que keylogger
http://img682.imageshack.us/img682/9745/globalhook.jpg
Defense+ : Com/Runtime
Mais c’est quoi ça ? Bah Voila, Windows contient des runtimes,libraries,pilotes, dans certains cas ! Mais, Celle ci n’est qu’une réplique de ce que l’uac fait pour vous , j’indiquerais si cette alerte est bloquée par l’uac.
http://img294.imageshack.us/img294/6959/shellexplorer2.png
[b]ADMIN : ‘NON’
Cette alerte est une des plus simple, Parce que, vous pouvez autoriser sans souci, elle permet juste a l’application de lancer son interface graphique
http://img222.imageshack.us/img222/741/backup.png
ADMIN : ‘OUI’
[i]Cette alerte est dans un cas dangereuse, mais légitime, elle veut juste pouvoir se faire une restauration, ou y accéder.
http://img6.imageshack.us/img6/3858/debugi.png
ADMIN : ‘OUI’
Cette alerte, si vous utilisez un programme pour tricher, vous pouvez autoriser, Sinon refuser.
[b]Suite a cette alerte, L’application voudra injecter du shellcode, voir une .Dll dans un processus, et ceci donnera naissance a cette alerte
http://img16.imageshack.us/img16/2460/gameanticheat.png
Defense+ : Rootkit
http://img18.imageshack.us/img18/5194/rootkitinwindows.png
Cette alerte indique que cette application tente de mettre un ‘DRIVERS’ dit “PILOTE” dans le dossier pour les drivers, Géneralement, vous devrez pas avoir cette alerte, COMODO posséde une grande base de données sur les ‘drivers’ couramment utilisée.
[b]Petite information : Si vous n’installez pas un périphérique ou un client de jeu, refuser.
http://img294.imageshack.us/img294/9381/registrydriver.png
Voici une alerte intéressante, étudions là , On pourrait croire que cette alerte veut avoir un accés au registre, mais non, il veut juste prendre possésion de son ‘drivers’, En fait le probléme de cette alerte, c’est que comodo ne reconnait pas l’application, mais connait le 'drivers.
Débordement de tampon :
J’ai copier/coller un tutoriel exellent sur cette debordement, j’aurais pas fait mieux, respect au auteur : C'est quoi un buffer over flow ? - The vigilente
La traduction littérale suffit à expliquer le terme : c'est un dépassement du buffer, aussi appellé dépassement de mémoire tampon en français. Cela peut arriver très fréquemment. En effet, les langages de haut-niveau laissent au programmeur le soin de vérifier la non-corruption des données, entre autres de vérifier que les longueurs limites des tableaux ne peuvent en aucun cas être dépassées dans le programme. Concrètement, si le dépassement est petit, il va juste corrompre les variables qui suivent le buffer. S'il est un peu plus grand, il peut changer la valeur des deux pointeurs SFP et return address, causant bien souvent le crash du programme, puisque ces pointeurs sont par la suite dénués de sens (par exemple, si le pointeur EIP contient une adresse où il n'y a pas d'instruction valide, le programme s'interrompt avec le message d'erreur Segmentation Fault ou Illegal Instruction).
http://img30.imageshack.us/img30/8949/stackover.png
Y’a différent overflow 32b et 64b.
-1er : Un shellcode fera que COMODO Donnera une alerte comme au dessus, mais si vous autorisez, defense+ pourra plus rien faire,
2eme : Un overflow qui fait planter l’application en faisant beaucoups d’action , l’application plantera, et comodo ne donnera aucune explication sur l’attaque, ni d’alertes.
3eme : Un overflow qui n’a rien d’une attaque, mais juste un probleme de programmation, dans les printf,scanf, en C.
4eme : Attention COMODO ne peut pas vous proteger contre les overflow qui sont des attaques depuis un serveurs.
Mais le hic dans tous ça c’est qu’il peut avoir des faux-positives de comodo.
Sandbox :
http://img687.imageshack.us/img687/6800/sandboxr.png
Cette alerte veut dire que l’application a bien été sandboxée.
http://img249.imageshack.us/img249/8021/launcheru.png
Cette alerte donne une info sur le programme, et COMODO ne peut pas la lancer sandboxée.