Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

ProcessGuard - Utilitaire de protection de Windows

ProcessGuard - utilitaire de contrôle d'intégrité de Windows, par DiamondCS. Protège les processus Windows contre les attaques par d'autres processus. Se comporte en utilitaire de contrôle d'intégrité.

ProcessGuard n'existe plus. Le site de DiamondCS n'existe plus. Le produit n'a pas été repris/racheté par quiconque.

ProcessGuard était un utilitaire de protection du système d'exploitation Microsoft Windows.

Un fichier d'aide (help), en anglais, est livré avec le produit.

La première fois, sur une machine réputée saine, utiliser le produit en mode « Apprentissage » et lancer une fois chacune des applications et chaque fonction de chaque application. Ensuite retirer le mode « Apprentissage ». Désormais, chaque modification qui serait apportée aux codes des applications sera signalée.

ProcessGuard (Process Guard) est à classer dans les utilitaires de contrôle d'intégrité.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS

Deux tâches essentielles lui sont dévolues :

  1. Agir en "pare-feu applicatif" (il ne s'occupe pas des ports comme les pare-feu habituels). Son travail sera de répertorier les applications et d'appliquer les règles qu'on lui donne : telle application a le droit de faire ceci, telle autre n'a pas le droit de faire cela. Par exemple, les Leak Tests qui prennent en défaut les pare-feu traditionnels peuvent être bloqués par Process Guard.

  2. Agir en prévention d'injection. L'une des grandes techniques utilisées par les parasites consiste à s'injecter dans les processus légitimes afin de profiter des droits de ceux-ci. Process Guard empêche ceci. Il empêche un processus d'en attaquer un autre.

Au 30 juin 2007, le site http://www.diamondcs.com.au/ affiche qu'il est temporairement hors service pour maintenance. Près d'un an plus tard (11 mai 2008), il réapparaît et ProcessGuard passe en version 3.2. Le 29.08.2008, ProcessGuard passe en version 3.5. C'est la dernière fois que l'on verra diamondcs.com.au.

Aussi fabuleux que soit ProcessGuard, il pose tout de même le problème intrinsèque à tous les contrôleurs d'intégrité qui ne peuvent, de manière satisfaisante, qu'être mis entre les mains d'utilisateurs experts. Comme tous les contrôleurs d'intégrité, il ne protège pas, il prévient d'une modification dont il ne sait rien et laisse le soin à l'utilisateur de se perdre en recherches et conjectures pour finir, après force aspirines et heures passées, par avancer une conclusion probable, sans aucune certitude :

  • Modification du code d'un processus normale

  • Modification du code d'un processus malveillante

On est un peu au petit bonheur la chance. Seul PrevX tentait de collecter, sans cesse, auprès des éditeurs, les hashcodes (condensats) des codes modifiés légalement, mais lui non plus n'a pas résisté.

ProcessGuard - Qu’est-ce que ProcessGuard ?

DiamondCS ProcessGuard est un système novateur de sécurité, présenté pour la première fois fin 2003. Il protège les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.

ProcessGuard - Qu’est-ce que ProcessGuard ?

Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple :

  • Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Web, vous laissant sur une fausse sensation de sécurité.

  • Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

  • Les « RootKits » sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à sa racine et donnent à n'importe quel attaquant sans aucun privilège tous les droits les plus élevés, comme s'il avait des droits du noyau du systme (des droits « Root », raison pour laquelle on les appelle « RootKits »). Les attaques deviennent totalement furtives et les outils de sécurité (antivirus...) ne voient plus rien. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces « RootKits ».

  • Les « Hookers » sont des outils détectant automatiquement toute tentative de voir ou tracer certains processus. Ils bloquant ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites. Par exemple, si un antivirus détecte une malveillance et demande au système de gestion de fichier d'accéder à un fichier pour le mettre en quarantaine ou le détruire, le « Hooker » crochette la réponse et la remplace par un truc du genre « Ce fichier n'existe pas ».

  • Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.

ProcessGuard était donc l'un des outils de contrôle d'intégrité et surveillance système qui permettait d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard était plus aisé à manipuler que les autres grands outils de sa classe et était le seul à la portée d'un utilisateur « normal » conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.

ProcessGuard - Pourquoi ai-je besoin de ProcessGuard

Chaque dispositif de ProcessGuard est une fonction puissante en elle-même. Par exemple, le dispositif de blocage d'implantation des RootKits est un puissant processus en lui-même. ProcessGuard est un ensemble de processus de cette nature coopérant entre eux avec un seul objectif : empêcher le système d'être pollué / modifié. Voici une brève liste des principaux usages de ProcessGuard.

  • Sécurisation des processus contre leurs attaques (terminaison, suspension, modification)

  • Contrôle des autorisations / interdictions d'exécution des programmes

  • Blocage de l'installation des RootKits et autres pilotes parasites

  • Protection des données en mémoire physique contre toute tentative de modification parasite

  • Blocage des interceptions de code et des injections de code

  • Déterminer quels programmes vont être exécutés sur votre système

  • Déterminer quels programmes en attaquent d'autres sur votre système

  • Analyser le comportement inter-processus des programmes

  • Tenir un journal de toutes les activités (important pour une analyse post infection)

ProcessGuard - Principaux usages de ProcessGuard

ProcessGuard protège contre une immense variété de types d'attaques et il est difficile d'en faire l'inventaire. Par exemple, lorsque l'on dit que ProcessGuard protège contre les attaques de type "Terminaison de processus", c'est contre une douzaine de modes opératoires différents, de ce type, que ProcessGuard vous protège. Voici quelques classes d'attaques contre lesquelles ProcessGuard vous protège de manière préventive :

  • Exécution non sollicitée d'un processus ou exécution d'un processus inconnu

  • Terminaison d'un processus ou d'un service

  • Suspension d'un processus ou d'un service

  • Modification d'un processus ou d'un code

  • Fin anormale (crash) d'un processus ou d'un service

  • Installation d'un RootKit

  • Contournement des pare-feu par des méthodes de type Leak Tests.

  • Interception de code et injection de code

  • Modifications en mémoire vive (durant l'exécution)

  • Attaques contre le système de protection de fichiers de Windows

  • Attaques en imitation d'utilisateur

ProcessGuard - Principales attaques que ProcessGuard bloque

Sans un moyen de protection au niveau cœur de Windows votre sécurité est menacée et votre système de sécurité minimal (antivirus et pare-feu) est totalement vulnérable. ProcessGuard se sécurise lui-même (c'est la moindre des choses), sécurise votre système d'exploitation (tous les composants de Windows) et sécurise vos autres outils de sécurité, leur permettant de faire leur travail sans risque d'être tués ou attaqués. Son action est résolument préventive tandis que celles des pare-feu concerne les intrusions / extrusions et celle des antivirus est partiellement préventive (modules "sur accès" ("on-access")) et partiellement curative (modules "à la demande" ("on-demand")). Attention - il faut tout de même avoir une notion, même vague, de ce qu'est un processus, un service, une dll etc. ... J'ai, également, essayé d'employer ici des termes simples et en français pour présenter ProcessGuard qui est en anglais et "parle" un peu "technique".

Produit commercial. Il existe une version gratuite très allégée qui peut être utilisée sans limitation. La version complète n'est pas disponible à l'essai.

Comparaison entre la version gratuite et la version complète :

Version gratuite

Version complète

Caractéristiques

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Contrôle d'exécution des applications

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Protection des applications contre les terminaisons

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Protection des applications contre les injections

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Protection des applications contre leur révélation

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Bloque les programmes nouveaux ou modifiés

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Protection de la mémoire physique

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Bloque les interceptions

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Bloque les installations non sollicitées de RootKit, Pilotes et Services

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Bloque les injections de DLL au niveau Base de registre (attaques genre CoolWebSearch)

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Gestionnaire de messages de sécurité

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Verrouillage d'interface

 ProcessGuard (Process Guard) de DiamondCS ProcessGuard (Process Guard) de DiamondCS

Support technique gratuit

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 1 : Page d'accueil de ProcessGuard en mode apprentissage
Réglage à ne conserver que le temps de lancer toutes ses applications
habituelles pour que PG apprenne "ce qui est bon"
puis il faut décocher la case "Learnng mode".

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 2 : Page d'accueil de ProcessGuard en mode "protection"
Réglage normal de ProcessGuard, case "Learnng mode" décochée.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 3 : Page d'alertes de ProcessGuard. En temps normal on y trouve
uniquement le journal des évènements surveillés par ProcessGuard.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 4 : Page d'alertes de ProcessGuard. Ici, une alerte signalant qu'un
processus a tenté d'en terminer (tuer) un autre.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 5 : Paramétrage des protections "permanentes", processus par processus.
On peut ici dire à PG comment se comporter automatiquement, sans nous alerter,
face aux situations courantes qui sont donc, ici, légitimées.
Par exemple, on peut, ici, autoriser le gestionnaire de tâches (taskmgr.exe)
à tuer d'autres processus - par defaut ceci lui est interdit.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 6 : Liste de tous les programmes qui ont été démarrés depuis que PG
est installé avec la dernière action manuelle effectuée et sa date.
Après la phase d'apprentissage durant laquelle les actions choisies sont mémorisées
automatiquement dans l'onglet "protection", il est bon de vider cette liste
pour ne plus y voir apparaître que les exceptions (nouveau processus;
nouvelle action non autorisée normalement pour un processus...) et, de temps en temps,
gérer cette liste pour basculer dans "Protection" les processus nouveaux et leurs
réglages afin de ne plus être interrompu pour ces actions avec ces processus.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 7 : Une alerte de ProcessGuard en version gratuite. Un processus inconnu de ProcessGuard tente de se lancer. "Permit" (Autorisation) ou "Deny" (refus). Si l'option choisie (autorisation/refus) doit rester la même lors de chaque lancement de ce processus, cocher la case "Always perform this action" (Toujours exécuter cette action) de manière à ne plus être interrompu pour cette action avec ce processus. Il est bien entendu qu'il faut savoir à quoi correspond le processus et ne pas autoriser une hostilité à s'exécuter. En cas de doute, chercher le nom du processus dans Google ou interroger un expert sur nos forums.
ProcessGuard - Conclusions à propos de ProcessGuard
ProduitPrix*Téléchargement
Utilisation
immédiate
Sur CdAcheter
ProcessGuard Home / Personnal
Licence pour un nombre illimité de PC dans un même foyer
39,95 €
?
N'existe plus
ProcessGuard Home / Personnal
Licence pour un unique PC
24,45 €? N'existe plus
ProcessGuard Business Licence
Licence pour un unique PC
39,95 €? N'existe plus
ProcessGuard Business Licence
Licence pour 2 PC
49,95 €? N'existe plus
ProcessGuard Business Licence
Licence pour 3 PC
59,95 €? N'existe plus
ProcessGuard Business Licence
Licence pour 4 PC
69,95 €? N'existe plus
ProcessGuard Business Licence
Licence pour 5 PC
79,95 €? N'existe plus
ProcessGuard Business Licence
Licence pour 25 PC
149,95 €? N'existe plus
ProcessGuard - Ce que coûtait ProcessGuard

Outils d'investigations pour chercheurs