|
|
|
PrevX
Résumé
 |
Logiciel de sécurité préventive agissant en temps réel comme un anti-virus et un anti-spyware simultanément sans avoir besoin de mettre à jour une base de signatures. On le classe aussi, abusivement, parmi les pare-feux pour certaines de ses fonctions de protection temps réel de la base de registre. C'est un HIPS (Host-based Intrusion Prevention System) ou Contrôleur d'intégrité temps réel.
|
|
Classe
Famille
Autres
|
Contrôleur d'intégrité - HIPS
Logiciels de la même famille
Logiciels du même éditeur
|
Site officiel
|
http://www.prevx.com/
|
Auteur
|
Nick Ray, Directeur Général de PrevX
|
Editeur
|
http://www.prevx.com/
|
Lancement
|
Date
|
Plateformes
|
Windows 2000 SP4, XP 32bits SP2, XP 64bits SP1, 2003 32bits SP1, 2003 64bits SP1, Vista 32bits (et 64bits à partir de juillet 2007)
|
Technologie
|
Propriétaire
|
Version
|
Version 2.0 v1.0.2 Build 53 ABC
|
Langue
|
Français, anglais...
|
Tutoriel
|
HowTo
|
Forum
|
 http://assiste.forum.free.fr
PrevX Blog - le blog officiel de PrevX, en anglais
PrevX - Sous-forum sur PrevX en anglais (sur le forum Castlecops)
|
|
|
Cibles
|
Virus, trojans et toutes tentatives de modification du système
|
|
Télécharger
|
http://www.prevx.com/
Taille : Taille
MD5 : Md5
SHA1 : Sha1
Virus : Analyse antivirale et anti-spyware de votre téléchargement
Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens donnés par Assiste.com.
- Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan).
- Si taille inférieure à celle annoncée, il y a risque d'installation d'un downloader.
- Toujours vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.
|
|
Acheter
|
| Produit |
Prix |
Acheter |
| |
|
 |
Les prix et le cours des monnaies (euros contre dollars) peuvent avoir changé depuis la dernière mise à jour de cette fiche. Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.
|
|
|
Résumé
| Nom |
 PrevX existe en plusieurs versions dont la principale est la version Entreprise. Il s'agit d'un HIPS - Host-based Intrusion Prevention System ou Contrôleur d'intégrité temps réel. La version "grand public", dite "Home", est une version dérivée de la version Entreprise, particulièrement aisée à utiliser pour un usage familial, mais sa technologie reste celle de la version Entreprise, sans régression.
PrevX s'inscrit donc dans la même famille que d'autres contrôleurs d'intégrité comme Tripwire, Viguard, SSM, ProcessGuard, Invircible, Abtrusion Protector, Finjan, InDefense...
PrevX ne cherche pas la signature d'un parasite (ce qui signifierait qu'il est déjà trop tard, que le parasite a été identifié parce qu'il a déjà compromis des machines - éternel problème des logiciels de sécurité traditionnels qui connaissent toujours un gap de temps entre l'identification d'une menace, son analyse en laboratoire et la mise à jour des logiciels chez les utilisateurs - quelques heures sont nécessaires alors qu'un parasite peut se répendre dans des millions d'ordinateurs en quelques secondes.
PrevX s'intéresse au comportement de tous les flux et bloque toute tentative de comportement suspicieux. Par exemple :
- PrevX détecte un programme provoquant un dépassement de mémoire tampon (buffer overflow). Ce problème ne se présente que dans deux cas de figure : programme mal écrit compromettant la mémoire de l'ordinateur ou programme hostile conduisant une attaque. Ces programmes sont bloqués avant de pouvoir conduire leur tentative.
- PrevX détecte les tentatives d'installation de programmes exécutables dans les zones sensibles du système et les bloque.
- PrevX détecte les tentatives d'inscriptions dans la liste de démarrage de Windows et les bloque.
- Etc. ...
PrevX bloquera donc, sans en avoir la moindre signature, des attaques comme celles des vers Sasser, Bagle, Blaster, Slammer, Code Red, Nimda ou Netsky...
PrevX fonctionne en parfaite harmonie avec un antivirus et un anti-trojans déjà installés ainsi qu'en présence d'un pare-feu et de tout autre outil de sécurité. PrevX ne vient pas en remplacement des antivirus, d'un anti-trojans et d'un pare-feu - pas du tout ! Nous vous recommendons d'utiliser PrevX pour durcir vos outils actuels (PrevX interviendra là où vos outils actuels, même les meilleurs, auront atteind leur seuil d'incompétence même si PrevX est parfaitement capable de fonctionner seul).
On peut considérer PrevX comme l'ultime défense si un parasite a réussi à traverser le pare-feu, l'antivirus et l'anti-trojans.
Contrairement à une idée qui s'est établie avec la version 1 de PrevX (qui était réellement gratuite), la version actuelle est un produit commercial.
Contrairement à une autre idée reçue, PrevX n'est pas totalement dépourvu d'une base de signatures. En réalité il y en a même deux :
- l'une locale, dans votre ordinateur, est construite par PrevX la première fois qu'il s'exécute. Elle signe tous les programmes actuellement présents dans votre ordinateur - ces signatures sont confrontées à la base de signatures globale de PrevX et tout ce qui est accepté constitue votre base saine de travail. L'idéal est d'installer PrevX sur une machine réputée saine (neuve ou sévèrement testée, même en ligne, avec au moins, Kaspersky KAV et Trend). PrevX va prendre une photo de cette machine saine et va s'efforcer de maintenir cette machine dans l'état dans lequel il l'a trouvée. PrevX travaille donc à l'envers des antivirus et des anti-trojans : au lieu d'avoir localement les signatures des parasites (et ce qui n'est pas signé est considéré comme sain avec risques de faux négatifs) PrevX dispose localement des signatures de ce qui est sain (et ce qui n'est pas signé localement n'appartiend pas à votre base de travail et est suspect à priori).
- l'autre, dont l'usage est seulement accessoire et optionnel (n'est utilisé que si une connexion Internet est ouverte), ne se trouve pas sur votre ordinateur mais sur un serveur de PrevX qui ira la consulter si votre connexion Internet est ouverte. PrevX calcule le hash-code de chaque nouveau fichier qui prétend s'exécuter et va jeter un oeil sur sa base de données centralisée (une base de données "communautaire") pour voir s'il le connait déjà.
Chaque fois qu'un nouveau fichier est ouvert en vue d'une exécution (en vue de se comporter comme un programme exécutable), PrevX calcul son hashcode et en cherche la trace dans la base de données locale (est-ce un "truc" connu localement ?) et, si une connexion Internet est ouvert, dans la base de données centrale. Il y a alors une séquence d'opérations :
- Le programme est connu localement pour faire partie de la base saine de travail : son démarrage est autorisé
- Le programme est inconnu localement
- Si une connexion Internet est ouverte, la base de donnée centrale est consultée :
- Le programme est connu pour être malsain : son démarrage est bloqué
- Le programme est connu pour être sain : son démarrage est autorisé
- Le programme est inconnu :
- les analyses comportementales commencent puis une boîte de dialogue s'affiche et demande à l'utilisateur s'il connaît le programme qui tente de démarrer, les conditions dans lesquelles il tnte de démarrer et ce qu'il faut faire.
- Si une connexion Internet n'est pas possible, les analyses comportementales commencent puis une boîte de dialogue s'affiche et demande à l'utilisateur s'il connaît le programme qui tente de démarrer, les conditions dans lesquelles il tnte de démarrer et ce qu'il faut faire.
Vous l'aurez donc compris : si la connexion Internet est ouverte PrevX a accès à sa "grande" base de signatures et affichera donc beaucoup moins souvent sa boîte de dialogue (il vous interrompra moins souvent car il aura beaucoup plus de "connaissances").
Revers de la médaille : aucune modification de la base de registre ne peut se faire sans votre autorisation ce qui signifie que, devant certaines demandes d'autorisations, vous resterez probablement perplexe mais, dans la pratique, PrevX embarque des listes blanches pour un grand nombre d'applications connues et fonctionne en arrière plan ou utilisant un minimum de ressources et en interférant le moins possible avec l'utilisateur.
FAQ PrevX :
 PrevX Installation
L'installation est à faire en mode administrateur, toutes autres sessions et toutes applications étant fermées, une connexion Internet étant ouverte pour l'enregistrement de la licence.
Suivre les commentaires lors de l'installation qui se fait dans un français parfaitement fluide. Simplicité parfaite d'installation. Redémarrage en fin d'installation.
Voir la séquence des captures d'écrans de l'installation.
- PrevX ne démarre pas avec le message "This application has failed to start because the application configuration is incorrect"
Si vous voyez ce message d'erreur au démarrage de PrevX c'est que vous avez un problème avec la librairie Visual C++ : il s'agit d'un ensemble d'outils nécessaires à la bonne exécution des applications écrites dans le langage C++. Ces librairies sont normalement incluses dans le "Microsoft Visual C++ 2005 Redistributable Package" que l'on trouve normalement dans les versions de Windows mais qui semble, parfois, manquer. Pour l'installer, gratuitement, aller sur le site de Microsoft :
Les commentaires de Microsoft sont sur
Microsoft Visual C++ 2005 SP1 Redistributable Package (x86)
Le téléchargement en lui-même est à
Télécharger Microsoft Visual C++ 2005 SP1 Redistributable Package (x86)
- PrevX me ralenti après son installation !
PrevX, après son installation, commence 2 choses :
- L'analyse de tout le système, en consultant sa base de données centrale sur le site de PrevX, pour construire la base de données locale qui va servir de liste blanche pour ce qui est installé. Contrairement aux autres outils de contrôle d'intégrité qui sous-entendent que l'image qu'ils font du système lors de leur installation se fait sur une machine réputée propre et saine, PrevX, grâce à son immense base de données, s'en assure personnellement.
- L'analyse des processus actuellement actifs (montés en mémoire).
Ceci prendra des ressources en bande passante et en charge CPU une seule fois.
- Base de données locale ?
PrevX consulte deux bases de données, l'une locale, l'autre déportée. La base de données locale est construite par PrevX lors de son installation (par la fonction balayage rapide) et constitue une liste blanche (rappel : PrevX - comme tous les logiciels de contrôle d'intégrité - est censé être installé sur une machine réputée saine).
- Base de données déportée ?
PrevX consulte deux bases de données, l'une locale, l'autre déportée. La base de données déportée, dite "communautaire", correspond très exactement à la base de signatures dont peut disposer localement un antivirus ou un anti-trojan classique. Elle présente 2 avantages :
les données qui y sont sont stockées peuvent être beaucoup plus importantes que sur une base de données locales (dont des données statistiques, des données de répartitions géographiques, les 7 chiffres clés (hashcodes) utilisés par PrevX). Par exemple :
PrevX peut donner un nom aux objets détectés contrairement aux autres outils de sa famille (contrôleurs d'intégrité) - se souvenir de feu Viguard.
Les comportements des programmes inconnus ou peu connus sont surveillés. Il y a exécution d'une émulation du programme, dans une machine virtuelle, durant laquelle sera calculé un chiffre clé particulier, appelé "Genome", portant sur certains éléments. Toutes les données au sujet de ce comportement seront alors envoyées à PrevX pour analyse (si la case à cocher "Télécharger automatiquement les malwares pour la recherche" est cochée) et ces données servent à alimenter la base de données "communautaire".
- Les chiffres clés - hashcodes
On voit apparaître sur certains documents de PrevX, l'allusion à un hashcode appelé PX5. Les "hashcodes" sont des signatures. PX5 est un hybride de MD5. SHA-1 est également utilisé. Une autre signature est appelée "EntryBytes" (on n'en saura pas plus). Une autre signature encore, appelé "Génome", est calculée sur certains éléments durant l'émulation d'un exécutable.
- PrevX Désinstallation
Vous devez, tout d'abord, arrêter PrevX. Arrêter PrevX ne consiste pas à fermer la console de PrevX. Sur le bouton PrevX dans le Systray (la zone à côté de l'horloge en bas à droite), faites un clic droit (clic avec le bouton droit de la souris) et s&lezctionner "Arrêter" (Shutdown). Ensuite...
Dans Ajouter / Supprimer des programmes, choisir PrevX
ou
Dans le menu PrevX (Démarrer > Tous les programmes > PrevX), choisir "Uninstall PrevX
Après désinstallation, redémarrage de la machine, c'est tout. La désinstallation est propre. Une connexion au site de PrevX vous demande de remplir un formulaire expliquant pourquoi vous le désinstallez - vous pouvez passer outre.
En cas de difficulté :
- PrevX et Problèmes connus
- En présence de Norton / Symantec : lors du redémarrage, vous obtenez ce message d'erreur :
Microsoft Visual C++ Runtime Library
Runtime Error!
Program: ...\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
Ceci est dû au fait que Symantec (Norton) manipule mal l'implémentation "Windows Management Instrumentation (WMI)" de PrevX dans le Centre de Sécurité de Windows. PrevX renseigne les champs nécessaires mais ne renseigne pas les autres champs. Norton se plante avec les champs non renseignés (les champs "nulls"). PrevX va modifier son inscription dans le WMI afin de renseigner tous les champs.
En attendant, il suffit de désenregistrer PrevX dans le Centre de Sécurité de Windows. Dans une fenêtre de commande Windows (Démarrer > Tous les programmes > Accessoires > Invite de commande), saisir
regsvr32 /u "C:\Documents and Settings\All Users\Application Data\Prevx\PrevxWMIProvider.dll
- En présence de produits McAfee
Il peut y avoir un conflit avec "Mcafee Redirector Service". Faire ceci :
- Exécutez services.msc depuis Démarrer > Exécuter
- Localiser "Mcafee Redirector Service"
- Doubleclic sur ce service et choisir le type de démarrage "Manuel"
- Clic sur "Appliquer" et redémarrer
- Si vous avez encore un problème, consultez le support PrevX.
- PrevX, les autorisations d'exécution ou l'interférence avec l'utilisateur
Lorsqu'un programme est exécuté - avant qu'il ne s'exécute, l'agent de PrevX (qui fonctionne en tant que "service" de Windows, l'intercepte et vérifie s'il connait ce programme dans la base de données en ligne. Si la base de données ne connait pas ce programme et si l'agent est placé sur "autorisé" pour des programmes inconnus (ce qui est la valeur par défaut et nous le regrettons), alors le programme aura l'autorisation de fonctionner et les comportements de ce programme seront surveillés (une émulation du programme, dans une machine virtuelle, durant laquelle sera calculé un chiffre clé particulier, appelé "Genome", portant sur certains éléments). Toutes les données au sujet de ce comportement seront alors envoyées à PrevX pour analyse (si la case à cocher "Télécharger automatiquement les malwares pour la recherche" est cochée) et ces données servent à alimenter la base de données "communautaire".
Il faut positionner ce paramètre "Comportement pour les programmes inconnus" sur "Requête" pour que l'utilisateur soit consulté (et soit informé d'une nouveauté tentant de se lancer et soit, par là-même, informé du fait que PrevX ne connait pas encore un logiciel ou une version particulière d'un logiciel).
Vous êtes alors interrompu de la manière suivante :
Ici, il s'agissait d'essayer de lancer un nouveau programme nommé "Clavier+" et développé par Guillaume Ryder. C'est un micro outil gratuit et Open Source quasi inconnu permettant de programmer / reprogrammer les touches de raccourcis clavier.
Ce programme est sain et je vais donc donner l'autorisation de l'exécuter (par aquis de conscience, veuillez toujours analyser vos téléchargements avec l'un de nos outils d'analyses gratuites multi antivirus en ligne)
D'autre part, je ne coche pas la case "Installation" car ce programme ne nécessite pas de phase d'installation : il s'exécute directement. Si c'est un installeur de programme que vous lancez (vous cocherez cette case lorsque vous installerez un nouveau programme car, dans ce cas, vous lancez l'exécution d'un installeur et c'est lui que vous autorisez, dans un premier temps, ce n'est pas le programme que vous êtes en train d'installer qui, lui, n'a pas encore commencé à s'exécuter).
Bien que j'ai autorisé ce programme à s'exécuter, PrevX ne le connaît pas et, par prudence, son état, qui était au vert, passe au jaune.
Je vais donc demander à en savoir plus (Bouton "More..." - pas encore traduit en français ?!?)
On peut voir, dans la liste des programmes (dont le lancement a été surveillé), le programme Claviers+
Un double clic me montre alors ce que PrevX sait de ce programme (et, dans la cas présent, pas grand chose : il n'a été vu que 5 fois dans le monde).
|
|
 |
|
