Assiste.com
ProcessGuard - utilitaire de contrôle d'intégrité de Windows, par DiamondCS. Protège les processus Windows contre les attaques par d'autres processus. Se comporte en utilitaire de contrôle d'intégrité.
cr 17.12.2004 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Logiciels (logithèque) |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
ProcessGuard n'existe plus. Le site de DiamondCS n'existe plus. Le produit n'a pas été repris/racheté par quiconque.
ProcessGuard était un utilitaire de protection du système d'exploitation Microsoft Windows.
Un fichier d'aide (help), en anglais, est livré avec le produit.
La première fois, sur une machine réputée saine, utiliser le produit en mode « Apprentissage » et lancer une fois chacune des applications et chaque fonction de chaque application. Ensuite retirer le mode « Apprentissage ». Désormais, chaque modification qui serait apportée aux codes des applications sera signalée.
ProcessGuard (Process Guard) est à classer dans les utilitaires de contrôle d'intégrité.
ProcessGuard (Process Guard) de DiamondCS
Deux tâches essentielles lui sont dévolues :
Agir en "pare-feu applicatif" (il ne s'occupe pas des ports comme les pare-feu habituels). Son travail sera de répertorier les applications et d'appliquer les règles qu'on lui donne : telle application a le droit de faire ceci, telle autre n'a pas le droit de faire cela. Par exemple, les Leak Tests qui prennent en défaut les pare-feu traditionnels peuvent être bloqués par Process Guard.
Agir en prévention d'injection. L'une des grandes techniques utilisées par les parasites consiste à s'injecter dans les processus légitimes afin de profiter des droits de ceux-ci. Process Guard empêche ceci. Il empêche un processus d'en attaquer un autre.
Au 30 juin 2007, le site http://www.diamondcs.com.au/ affiche qu'il est temporairement hors service pour maintenance. Près d'un an plus tard (11 mai 2008), il réapparaît et ProcessGuard passe en version 3.2. Le 29.08.2008, ProcessGuard passe en version 3.5. C'est la dernière fois que l'on verra diamondcs.com.au.
Aussi fabuleux que soit ProcessGuard, il pose tout de même le problème intrinsèque à tous les contrôleurs d'intégrité qui ne peuvent, de manière satisfaisante, qu'être mis entre les mains d'utilisateurs experts. Comme tous les contrôleurs d'intégrité, il ne protège pas, il prévient d'une modification dont il ne sait rien et laisse le soin à l'utilisateur de se perdre en recherches et conjectures pour finir, après force aspirines et heures passées, par avancer une conclusion probable, sans aucune certitude :
Modification du code d'un processus normale
Modification du code d'un processus malveillante
On est un peu au petit bonheur la chance. Seul PrevX tentait de collecter, sans cesse, auprès des éditeurs, les hashcodes (condensats) des codes modifiés légalement, mais lui non plus n'a pas résisté.
|
DiamondCS ProcessGuard est un système novateur de sécurité, présenté pour la première fois fin 2003. Il protège les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.
|
Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple :
Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Web, vous laissant sur une fausse sensation de sécurité.
Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.
Les « RootKits » sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à sa racine et donnent à n'importe quel attaquant sans aucun privilège tous les droits les plus élevés, comme s'il avait des droits du noyau du systme (des droits « Root », raison pour laquelle on les appelle « RootKits »). Les attaques deviennent totalement furtives et les outils de sécurité (antivirus...) ne voient plus rien. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces « RootKits ».
Les « Hookers » sont des outils détectant automatiquement toute tentative de voir ou tracer certains processus. Ils bloquant ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites. Par exemple, si un antivirus détecte une malveillance et demande au système de gestion de fichier d'accéder à un fichier pour le mettre en quarantaine ou le détruire, le « Hooker » crochette la réponse et la remplace par un truc du genre « Ce fichier n'existe pas ».
Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.
ProcessGuard était donc l'un des outils de contrôle d'intégrité et surveillance système qui permettait d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard était plus aisé à manipuler que les autres grands outils de sa classe et était le seul à la portée d'un utilisateur « normal » conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.
|
Chaque dispositif de ProcessGuard est une fonction puissante en elle-même. Par exemple, le dispositif de blocage d'implantation des RootKits est un puissant processus en lui-même. ProcessGuard est un ensemble de processus de cette nature coopérant entre eux avec un seul objectif : empêcher le système d'être pollué / modifié. Voici une brève liste des principaux usages de ProcessGuard.
Sécurisation des processus contre leurs attaques (terminaison, suspension, modification)
Contrôle des autorisations / interdictions d'exécution des programmes
Blocage de l'installation des RootKits et autres pilotes parasites
Protection des données en mémoire physique contre toute tentative de modification parasite
Blocage des interceptions de code et des injections de code
Déterminer quels programmes vont être exécutés sur votre système
Déterminer quels programmes en attaquent d'autres sur votre système
Analyser le comportement inter-processus des programmes
Tenir un journal de toutes les activités (important pour une analyse post infection)
|
ProcessGuard protège contre une immense variété de types d'attaques et il est difficile d'en faire l'inventaire. Par exemple, lorsque l'on dit que ProcessGuard protège contre les attaques de type "Terminaison de processus", c'est contre une douzaine de modes opératoires différents, de ce type, que ProcessGuard vous protège. Voici quelques classes d'attaques contre lesquelles ProcessGuard vous protège de manière préventive :
Exécution non sollicitée d'un processus ou exécution d'un processus inconnu
Terminaison d'un processus ou d'un service
Suspension d'un processus ou d'un service
Modification d'un processus ou d'un code
Fin anormale (crash) d'un processus ou d'un service
Installation d'un RootKit
Contournement des pare-feu par des méthodes de type Leak Tests.
Interception de code et injection de code
Modifications en mémoire vive (durant l'exécution)
Attaques contre le système de protection de fichiers de Windows
Attaques en imitation d'utilisateur
|
Sans un moyen de protection au niveau cœur de Windows votre sécurité est menacée et votre système de sécurité minimal (antivirus et pare-feu) est totalement vulnérable. ProcessGuard se sécurise lui-même (c'est la moindre des choses), sécurise votre système d'exploitation (tous les composants de Windows) et sécurise vos autres outils de sécurité, leur permettant de faire leur travail sans risque d'être tués ou attaqués. Son action est résolument préventive tandis que celles des pare-feu concerne les intrusions / extrusions et celle des antivirus est partiellement préventive (modules "sur accès" ("on-access")) et partiellement curative (modules "à la demande" ("on-demand")). Attention - il faut tout de même avoir une notion, même vague, de ce qu'est un processus, un service, une dll etc. ... J'ai, également, essayé d'employer ici des termes simples et en français pour présenter ProcessGuard qui est en anglais et "parle" un peu "technique".
Produit commercial. Il existe une version gratuite très allégée qui peut être utilisée sans limitation. La version complète n'est pas disponible à l'essai.
Comparaison entre la version gratuite et la version complète :
Version gratuite | Version complète | Caractéristiques |
|---|---|---|
 | | Contrôle d'exécution des applications |
| | Protection des applications contre les terminaisons |
| | Protection des applications contre les injections |
| | Protection des applications contre leur révélation |
 | | Bloque les programmes nouveaux ou modifiés |
| | Protection de la mémoire physique |
| | Bloque les interceptions |
| | Bloque les installations non sollicitées de RootKit, Pilotes et Services |
| | Bloque les injections de DLL au niveau Base de registre (attaques genre CoolWebSearch) |
| | Gestionnaire de messages de sécurité |
| | Verrouillage d'interface |
| | Support technique gratuit |
ProcessGuard (Process Guard) de DiamondCS
Figure 1 : Page d'accueil de ProcessGuard en mode apprentissage
Réglage à ne conserver que le temps de lancer toutes ses applications
habituelles pour que PG apprenne "ce qui est bon"
puis il faut décocher la case "Learnng mode".
ProcessGuard (Process Guard) de DiamondCS
Figure 2 : Page d'accueil de ProcessGuard en mode "protection"
Réglage normal de ProcessGuard, case "Learnng mode" décochée.
ProcessGuard (Process Guard) de DiamondCS
Figure 3 : Page d'alertes de ProcessGuard. En temps normal on y trouve
uniquement le journal des évènements surveillés par ProcessGuard.
ProcessGuard (Process Guard) de DiamondCS
Figure 4 : Page d'alertes de ProcessGuard. Ici, une alerte signalant qu'un
processus a tenté d'en terminer (tuer) un autre.
ProcessGuard (Process Guard) de DiamondCS
Figure 5 : Paramétrage des protections "permanentes", processus par processus.
On peut ici dire à PG comment se comporter automatiquement, sans nous alerter,
face aux situations courantes qui sont donc, ici, légitimées.
Par exemple, on peut, ici, autoriser le gestionnaire de tâches (taskmgr.exe)
à tuer d'autres processus - par defaut ceci lui est interdit.
ProcessGuard (Process Guard) de DiamondCS
Figure 6 : Liste de tous les programmes qui ont été démarrés depuis que PG
est installé avec la dernière action manuelle effectuée et sa date.
Après la phase d'apprentissage durant laquelle les actions choisies sont mémorisées
automatiquement dans l'onglet "protection", il est bon de vider cette liste
pour ne plus y voir apparaître que les exceptions (nouveau processus;
nouvelle action non autorisée normalement pour un processus...) et, de temps en temps,
gérer cette liste pour basculer dans "Protection" les processus nouveaux et leurs
réglages afin de ne plus être interrompu pour ces actions avec ces processus.
ProcessGuard (Process Guard) de DiamondCS
Figure 7 : Une alerte de ProcessGuard en version gratuite. Un processus inconnu de ProcessGuard tente de se lancer. "Permit" (Autorisation) ou "Deny" (refus). Si l'option choisie (autorisation/refus) doit rester la même lors de chaque lancement de ce processus, cocher la case "Always perform this action" (Toujours exécuter cette action) de manière à ne plus être interrompu pour cette action avec ce processus. Il est bien entendu qu'il faut savoir à quoi correspond le processus et ne pas autoriser une hostilité à s'exécuter. En cas de doute, chercher le nom du processus dans Google ou interroger un expert sur nos forums.
|
| Produit | Prix* | Téléchargement Utilisation immédiate | Sur Cd | Acheter |
|---|---|---|---|---|
| ProcessGuard Home / Personnal Licence pour un nombre illimité de PC dans un même foyer | 39,95 € | ? | N'existe plus | |
| ProcessGuard Home / Personnal Licence pour un unique PC | 24,45 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour un unique PC | 39,95 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour 2 PC | 49,95 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour 3 PC | 59,95 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour 4 PC | 69,95 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour 5 PC | 79,95 € | ? | N'existe plus | |
| ProcessGuard Business Licence Licence pour 25 PC | 149,95 € | ? | N'existe plus |
|
Collection de dossiers : Les logithèques |
|---|
«