Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

ProcessGuard (Process Guard)

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
22.03.2016 - 00h00 - Paris - (Assiste - Pierre Pinard) - Archivage et passage en version 5.2 du site

ProcessGuard (Process Guard) de DiamondCS (N'existe plus - Archive d'assiste)

ProcessGuardProcessGuard (Process Guard) de DiamondCSProcessGuard

ProcessGuard n'existe plus. Le site de DiamondCS n'existe plus. Le produit n'a pas été repris / racheté par quiconque.

Utilitaire de protection du système d'exploitation Microsoft Windows.

Un fichier d'aide (help), en anglais, est livré avec le produit.
La première fois, sur une machine réputée saine, utiliser le produit en mode "Apprentissage" et lancer une fois chacune des applications et chaque fonction de chaque application. Ensuite retirer le mode apprentissage. Désormais, chaque modification sera signalée.

Process Guard ( ProcessGuard )

Process Guard est à classer dans les utilitaires de contrôle d'intégrité.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS

2 tâches essentielles lui sont dévolues :

  1. Agir en "pare-feu applicatif" (il ne s'occupe pas des ports comme les pare-feu habituels). Son travail sera de répertorier les applications et d'appliquer les règles qu'on lui donne : telle application a le droit de faire ceci, telle autre n'a pas le droit de faire cela. Par exemple, les Leak Tests qui prennent en défaut les pare-feu traditionnels peuvent être bloqués par Process Guard.

  2. Agir en prévention d'injection. L'une des grandes techniques utilisées par les parasites consiste à s'injecter dans les processus légitimes afin de profiter des droits de ceux-ci. Process Guard empêche ceci. Il empêche un processus d'en attaquer un autre.

Qu’est-ce que ProcessGuard ?

DiamondCS ProcessGuard est un système novateur de sécurité, présenté pour la première fois fin 2003. Il protège les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.

Pourquoi en ai-je besoin ?

Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple:

  • Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.

  • Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

  • Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.

  • Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.

  • Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.

ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.

Principaux usages de ProcessGuard

Chaque dispositif de ProcessGuard est une fonction puissante en elle-même. Par exemple, le dispositif de blocage d'implantation des RootKits est un puissant processus en lui-même. ProcessGuard est un ensemble de processus de cette nature coopérant entre eux avec un seul objectif : empêcher le système d'être pollué / modifié. Voici une brève liste des principaux usages de ProcessGuard.

  • Sécurisation des processus contre leurs attaques (terminaison, suspension, modification)
  • Contrôle des autorisations / interdictions d'exécution des programmes
  • Blocage de l'installation des RootKits et autres pilotes parasites
  • Protection des données en mémoire physique contre toute tentative de modification parasite
  • Blocage des interceptions de code et des injections de code
  • Déterminer quels programmes vont être exécutés sur votre système
  • Déterminer quels programmes en attaquent d'autres sur votre système
  • Analyser le comportement inter-processus des programmes
  • Tenir un journal de toutes les activités (important pour une analyse post infection)

Principales attaques que ProcessGuard bloque

ProcessGuard protège contre une immense variété de types d'attaques et il est difficile d'en faire l'inventaire. Par exemple, lorsque l'on dit que ProcessGuard protège contre les attaques de type "Terminaison de processus", c'est contre une douzaine de modes opératoires différents, de ce type, que ProcessGuard vous protège. Voici quelques classes d'attaques contre lesquelles ProcessGuard vous protège de manière préventive :

  • Exécution non sollicitée d'un processus ou exécution d'un processus inconnu
  • Terminaison d'un processus ou d'un service
  • Suspension d'un processus ou d'un service
  • Modification d'un processus ou d'un code
  • Fin anormale (crash) d'un processus ou d'un service
  • Installation d'un RootKit
  • Contournement des pare-feu par des méthodes de type Leak Tests.
  • Interception de code et injection de code
  • Modifications en mémoire vive (durant l'exécution)
  • Attaques contre le système de protection de fichiers de Windows
  • Attaques en imitation d'utilisateur

Conclusions

Sans un moyen de protection au niveau cœur de Windows votre sécurité est menacée et votre système de sécurité minimal (antivirus et pare-feu) est totalement vulnérable. ProcessGuard se sécurise lui-même (c'est la moindre des choses), sécurise votre système d'exploitation (tous les composants de Windows) et sécurise vos autres outils de sécurité, leur permettant de faire leur travail sans risque d'être tués ou attaqués. Son action est résolument préventive tandis que celles des pare-feu concerne les intrusions / extrusions et celle des antivirus est partiellement préventive (modules "sur accès" ("on-access")) et partiellement curative (modules "à la demande" ("on-demand")). Attention - il faut tout de même avoir une notion, même vague, de ce qu'est un processus, un service, une dll etc. ... J'ai, également, essayé d'employer ici des termes simples et en français pour présenter ProcessGuard qui est en anglais et "parle" un peu "technique".

Produit commercial. Il existe une version gratuite très allégée qui peut être utilisée sans limitation. La version complète n'est pas disponible à l'essai.

Comparaison entre la version gratuite et la version complète :

Version gratuite Version complète Caractéristiques
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Contrôle d'exécution des applications
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Protection des applications contre les terminaisons
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Protection des applications contre les injections
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Protection des applications contre leur révélation
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Bloque les programmes nouveaux ou modifiés
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Protection de la mémoire physique
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Bloque les interceptions
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Bloque les installations non sollicitées de RootKit, Pilotes et Services
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Bloque les injections de DLL au niveau Base de registre (attaques genre CoolWebSearch)
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Gestionnaire de messages de sécurité
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Verrouillage d'interface
 ProcessGuard (Process Guard) de DiamondCS  ProcessGuard (Process Guard) de DiamondCS Support technique gratuit

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 1 : Page d'accueil de ProcessGuard en mode apprentissage
Réglage à ne conserver que le temps de lancer toutes ses applications
habituelles pour que PG apprenne "ce qui est bon"
puis il faut décocher la case "Learnng mode".

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 2 : Page d'accueil de ProcessGuard en mode "protection"
Réglage normal de ProcessGuard, case "Learnng mode" décochée.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 3 : Page d'alertes de ProcessGuard. En temps normal on y trouve
uniquement le journal des évènements surveillés par ProcessGuard.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 4 : Page d'alertes de ProcessGuard. Ici, une alerte signalant qu'un
processus a tenté d'en terminer (tuer) un autre.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 5 : Paramétrage des protections "permanentes", processus par processus.
On peut ici dire à PG comment se comporter automatiquement, sans nous alerter,
face aux situations courantes qui sont donc, ici, légitimées.
Par exemple, on peut, ici, autoriser le gestionnaire de tâches (taskmgr.exe)
à tuer d'autres processus - par defaut ceci lui est interdit.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 6 : Liste de tous les programmes qui ont été démarrés depuis que PG
est installé avec la dernière action manuelle effectuée et sa date.
Après la phase d'apprentissage durant laquelle les actions choisies sont mémorisées
automatiquement dans l'onglet "protection", il est bon de vider cette liste
pour ne plus y voir apparaître que les exceptions (nouveau processus;
nouvelle action non autorisée normalement pour un processus...) et, de temps en temps,
gérer cette liste pour basculer dans "Protection" les processus nouveaux et leurs
réglages afin de ne plus être interrompu pour ces actions avec ces processus.

ProcessGuard (Process Guard) de DiamondCS
ProcessGuard (Process Guard) de DiamondCS
Figure 7 : Une alerte de ProcessGuard en version gratuite. Un processus inconnu de ProcessGuard tente de se lancer. "Permit" (Autorisation) ou "Deny" (refus). Si l'option choisie (autorisation/refus) doit rester la même lors de chaque lancement de ce processus, cocher la case "Always perform this action" (Toujours exécuter cette action) de manière à ne plus être interrompu pour cette action avec ce processus. Il est bien entendu qu'il faut savoir à quoi correspond le processus et ne pas autoriser une hostilité à s'exécuter. En cas de doute, chercher le nom du processus dans Google ou interroger un expert sur nos forums.

ProcessGuard coûtait :

Produit Prix* Téléchargement
Utilisation
immédiate
Sur Cd Acheter
ProcessGuard Home / Personnal
Licence pour un nombre illimité de PC dans un même foyer
39,95 €
 
ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Home / Personnal
Licence pour un unique PC
24,45 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour un unique PC
39,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour 2 PC
49,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour 3 PC
59,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour 4 PC
69,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour 5 PC
79,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus
ProcessGuard Business Licence
Licence pour 25 PC
149,95 €   ProcessGuard (Process Guard) de DiamondCSAcheter

N'existe plus