Jump to content

laurent.amsel@gmail.com

Members
  • Content Count

    58
  • Joined

  • Last visited

1 Follower

About laurent.amsel@gmail.com

  • Rank
    Candidate

Recent Profile Visitors

152 profile views
  1. Bonsoir Merci pour votre réponse qui m'indique comment exclure pagefile.sys. Pensez-vous que ce soit une bonne idée de le faire ? Gagnerai-je en performance ? Celà peut-ile impacter la sécurité de mon système ? Laurent
  2. Bonjour Je me suis rendu compte aujourd'hui quand le Moniteur de Ressources de Windows 7 que mon KIS2011 lit des données dans C:\pagefile.sys. Je me demande du coup si exclure ce fichier des objets à analyser n'augmenterait pas les performances de ma machine sans dégrader la sécurité. Qu'en pensez-vous ? Laurent
  3. Je ne suis pas d'accord avec l'idée qu'en acceptant l'élévation de privilège, il est normal que l'application sorte de la zone verte. Quand vais-je utiliser cette zone verte ? Quand j'aurais chargé un soft dont je ne suis pas certain et que je veux tester sans mettre mon système en danger. Partant de là, il est normal que je le laisse s'installer, donc que j'accepte l'élévation. Je ne peux pas savoir à priori si le soft est dangereux. Si cette installation lui permet effectivement d'aller polluer mon vrai système, alors la zone verte ne m'a pas protégé. A titre de comparaison, j'utilise aussi l'excellent Acronis True Image. Ce logiciel de sauvegarde propose aussi une fonction Try&Decide. Quand le mode Try&Decide est déclenché, Acronis intercepte absolument toute modification du système, que ce soit création, suppression ou modification de fichier ou modification de la base de registre. On peut ensuite choisir d'ignorer toutes les modifications (avec reboot du système) ou au contraire de les descendre sur disque. Cette fonction est efficace avec et sans élévation de privilège, et je vous assure que c'est bluffant. Techniquement, Acronis intercepte dans l'OS les primitives d'écriture sur disque et les redirige vers une zone sécurisée sur le disque, l'équivalent du répertoire sandbox de KIS. La fonction Try&Decide d'Acronis est légèrement différente de l'Excécution en environnement protégé dans le sens qu'elle concerne l'ensemble du PC, pas seulement une application. Mais elle relève du même esprit : je teste en me protégeant de modification du disque. Et je persiste dans mon analyse : si une élévation de privilège suffit à autoriser un logiciel à écrire sur le disque, alors la zone verte ne protège pas. Pour les autres remarques : oui, effectivement la zone verte ne protège pas du vol de donnée, et le bureau virtuel ne fonctionne pas en 64 bits. Le bureau virtuel serait d'ailleurs peut-être une bonne réponse, puisqu'il se rapproche à mon avis de Try&Decide en virtualisant toutes les actions. Laurent
  4. Nouveau test ce soir qui confirme clairement le problème. J'ai téléchargé un soft à installer (ccleaner). J'ai lancé l'installeur en Environnement Protégé (click bouton droit sur le ccleaner.exe / Exécuter en Environnement Protégé). Windows me demande une élévation de provilège que j'accepte. Le soft s'installe sur le disque dur et non dans le bac à sable (C:\ProgramData\Kaspersky Lab\Sandbox). Donc si un programme malveillant demande aussi une élévation de privilège, il contaminera le PC. Sauf si j'ai mal compris l'utilisation de cette fonction de KIS, elle est pour moi inutile. Laurent
  5. Bonjour, En testant la zone verte (Exécuter dans un environnement protégé), j'ai constaté que certaines applications semblent réussir à se lancer en dehors de la zone. Plus précisément, celà survient après que l'application ait demandé une élévation de privilège (Voulez-vous autoriser cette application à apporter des modifications à votre ordinateur ?). Si on clique oui, l'application continue sans le cadre vert. Il me semble donc qu'elle n'est plus contingentée dans le bac à sable. Avez-vous rencontré des cas similaires ? Cordialement Laurent
  6. Bonjour, Je n'ai pas plus de réaction après une soumission via l'interface Web. J'ai eu les mêmes messages "File is in process", puis plus rien. Dommage que la filière d'analyse des fichiers suspects soit défaillante, car ce serait un excellent moyen d'améliorer la base de signature de l'outil. Laurent
  7. Bonsoir, Je vais suivre votre conseil. Je viens de soumettre un fichier qui était toujours en attente, mais qui atteint le très honorable score de 84% de positif sur virustotal.com. Détecté infecté par tous les grands du marché sauf par Kaspersky, sinon je n'aurais pas eu besoin de le soumettre au lab. Je vous tiens au courant si j'ai une réponse par ce canal. Cordialement Laurent
  8. Bonjour Lorsque je soumet un fichier au lab par la fonction envoyer de la zone de quarantaine, j'ai systématiquement une réponse si le fichier est sain, sous la forme d'un mail en retour qui indique "No malicious code was found in this file." En revanche, lorsque le fichier est suspect, j'ai un premier retour par mail qui indique "This file is in process." puis assez rarement j'ai la réponse finale, que le fichier soit sain ou effectivement infecté par une nouvelle menace. La plupart du temps, je n'ai plus jamais de réponse. Avez-vous observé le même phénomène ? Cordialement Laurent
  9. Bonjour Utilisateur de Thunderbird et Kaspersky Antivirus 2011 11.0.1.400, j'ai remarqué la présence d'un plugin Kaspersky Anti-spam Extension dans Mozilla Thunderbird 3.2. Je peux le désactiver mais pas le supprimer. Bien entendu, la fonction semble être inactive vu qu'elle ne fait pas partie de KAV 2011 (elle apparait à partir de KIS). Je n'arrive pas à supprimer ce plugin, quelqu'un rencontre-t-il le même problème ? Cordialement Laurent
  10. Bonsoir Thierry A la base, un fichier en quarantaine n'est justement plus supposé à son emplacement d'origine, non ? Ce soir, ça me l'a refait avec un autre fichier plus normal; i.e pas dans le répertoire d'emule : Merci pour ton aide. Laurent
  11. Update du soir : j'ai reproduit le Problème 3. Ci joint une capture d'écran qui parle mieux qu'un long discours. Si quelqu'un pouvait faire un test, ce serait bien Laurent
  12. Bonjour, J'ai identifié quelques bugs dans KAV2011 relatifs à la quarantaine. Sur l'envoi des menaces au LAB : Problème 1 : si plusieurs objets sont en quarantaine, que je sélectionne tous ces objets et que je clique sur bouton droit, "Envoyer" alors KAV va bien créer autant de mail que d'objet, mais tous les mails contiendront le même fichier , i.e. seulement un fichier parmis tout la quarantaine sera soumis plusieurs fois. Pour le vérifier, il suffit d'ouvrir le fichier avp.zip joint à chaque envoi. Un fichier texte contient le nom local du fichier soumis, je constate que le nom est toujours le même. Problème 2 : à chaque création de mail d'envoi, KAV m'affiche une fenêtre d'erreur "Impossible de finir l'opération. Erreur indéterminée". Le message d'erreur semble erroné, car l'opération se déroule correctement si on excepte le problème n°1 ci-dessus. Précision sur ma config, qui peut avoir un lien : j'utilise Thunderbird 3. Sur la gestion de la quarantaine : Problème 3 : au bout d'un certain délai, qui me semble être de l'ordre de 24h, KAV m'annonce que certains fichiers sont sains (ok, c'est probablement le cas), mais il associe une menace à ces fichiers sains. A l'écran, dans la fenêtre de quarantaine, j'ai sur la même ligne le mot "Sain" et le nom d'une menace détectée. Et le bouton Restaurer est grisé, comme pour un fichier malicieux. Toutes les lignes concernées sont regroupées dans une rubrique "Sain". Est-ce que les membres de ce forum auraient la gentillesse de faire un test en mettant plusieurs fichiers en quarantaine, en les soumettant pour vérifier l'occurence ou pas des problèmes 1 et 2 ; puis au bout du délai du problème 3 ? Pour le test du problème 3, préciser si votre fichier contient une vraie menace car je ne sais pas si le problème est que KAV classe en sain des fichiers infectés ou marque infecté des fichiers sains. Merci ! Laurent
  13. Merci Thierry ! Sur la machine qui a servi à faire le test, vois-tu C:\System Volume Information\iswift3.dat bouger un peu (genre mise à jour de la date de dernière modification suite à une analyse complète par exemple) ? Ou bien par un mécanisme bas niveau, KAV arrive-t-il à updater cette base de donnée sans toucher aux attributs du fichier ? Laurent
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.