ProcessGuard - Process Guard
   
 

Nom ProcessGuard - Process Guard
Site officiel ProcessGuard (DiamondCS)
Lancement ?
Auteur ProcessGuard (DiamondCS)
Editeur ProcessGuard (DiamondCS)
Plateforme(s) Windows 2000, Windows XP, and Windows 2003 uniquement
Ne fonctionne pas sous 95/98/ME/NT
Cible(s) Protection du système
Technologie Propriétaire
Version testée  
Taille Taille : 1,88 Mo (1 977 386 octets) - version gratuite
MD5 : 2a74f87d52d14960a2fb6fc04f08559a - version gratuite
SHA1 : 88fac6ccdaff55b9e7887bec2b5855ded1ff548f - version gratuite
 


Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens d'Assiste.com.

  • Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan).
  • Si taille inférieure à celle annoncée, il y a risque de, il y a installation d'un downloader.
  • Vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.
 
   
Langue Anglais
Télécharger ProcessGuard (DiamondCS)
Forum
Mode d'emploi Un fichier d'aide (help), en anglais, est livré avec le produit.
La première fois, sur une machine réputée saine, utiliser le produit en mode "Apprentissage" et lancer une fois chacune des applications et chaque fonction de chaque application. Ensuite retirer le mode apprentissage. Désormais, chaque modification sera signalée.
Prix
Produit Prix* Téléchargement
Utilisation
immédiate
Sur Cd Acheter
ProcessGuard Home / Personnal
Licence pour un nombre illimité de PC dans un même foyer
39,95 €
 
Acheter
ProcessGuard Home / Personnal
Licence pour un unique PC
24,45 €   Acheter
ProcessGuard Business Licence
Licence pour un unique PC
39,95 €   Acheter
ProcessGuard Business Licence
Licence pour 2 PC
49,95 €   Acheter
ProcessGuard Business Licence
Licence pour 3 PC
59,95 €   Acheter
ProcessGuard Business Licence
Licence pour 4 PC
69,95 €   Acheter
ProcessGuard Business Licence
Licence pour 5 PC
79,95 €   Acheter
ProcessGuard Business Licence
Licence pour 25 PC
149,95 €   Acheter
 

Les prix peuvent avoir changé depuis la dernière mise à jour de cette fiche ainsi que le cours des monnaies (euros contre dollars). Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.

 
   

Résumé :
Process Guard ( ProcessGuard)

Process Guard ( ProcessGuard )
Process Guard est à classer dans les utilitaires de contrôle d'intégrité. 2 tâches essentielles lui sont dévolues :

  1. Agir en "pare-feu applicatif" (il ne s'occupe pas des ports comme les pare-feu habituels). Son travail sera de répertorier les applications et d'appliquer les règles qu'on lui donne : telle application a le droit de faire ceci, telle autre n'a pas le droit de faire cela. Par exemple, les Leak Tests qui prennent en défaut les pare-feu traditionnels peuvent être bloqués par Process Guard.

  2. Agir en prévention d'injection. L'une des grandes techniques utilisées par les parasites consiste à s'injecter dans les processus légitimes afin de profiter des droits de ceux-ci. Process Guard empêche ceci. Il empêche un processus d'en attaquer un autre.


Qu’est-ce que ProcessGuard ?
DiamondCS ProcessGuard est un système novateur de sécurité, présenté pour la première fois fin 2003. Il protège les processus Windows contre les attaques par d'autres processus, services, pilotes, et autres formes de codes exécutables sur votre système. ProcessGuard bloque également l’exécution, non autorisée par l’utilisateur, d’applications. ProcessGuard bloque donc les exécutions silencieuses de vers et de trojans malveillants ainsi que toute une palette d’autres attaques. ProcessGuard arrête même la plupart des keyloggers et des leaktests. Il est reconnu par beaucoup pour être la solution anti-rootkit la plus complète disponible.



Pourquoi en ai-je besoin ?
Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple:
  • Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.

  • Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

  • Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.

  • Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.

  • Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.


ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.



Principaux usages de ProcessGuard
Chaque dispositif de ProcessGuard est une fonction puissante en elle-même. Par exemple, le dispositif de blocage d'implantation des RootKits est un puissant processus en lui-même. ProcessGuard est un ensemble de processus de cette nature coopérant entre eux avec un seul objectif : empêcher le système d'être pollué / modifié. Voici une brève liste des principaux usages de ProcessGuard.

  • Sécurisation des processus contre leurs attaques (terminaison, suspension, modification)
  • Contrôle des autorisations / interdictions d'exécution des programmes
  • Blocage de l'installation des RootKits et autres pilotes parasites
  • Protection des données en mémoire physique contre toute tentative de modification parasite
  • Blocage des interceptions de code et des injections de code
  • Déterminer quels programmes vont être exécutés sur votre système
  • Déterminer quels programmes en attaquent d'autres sur votre système
  • Analyser le comportement inter-processus des programmes
  • Tenir un journal de toutes les activités (important pour une analyse post infection)


Principales attaques que ProcessGuard bloque
ProcessGuard protège contre une immense variété de types d'attaques et il est difficile d'en faire l'inventaire. Par exemple, lorsque l'on dit que ProcessGuard protège contre les attaques de type "Terminaison de processus", c'est contre une douzaine de modes opératoires différents, de ce type, que ProcessGuard vous protège. Voici quelques classes d'attaques contre lesquelles ProcessGuard vous protège de manière préventive :

  • Exécution non sollicitée d'un processus ou exécution d'un processus inconnu
  • Terminaison d'un processus ou d'un service
  • Suspension d'un processus ou d'un service
  • Modification d'un processus ou d'un code
  • Fin anormale (crash) d'un processus ou d'un service
  • Installation d'un RootKit
  • Contournement des pare-feu par des méthodes de type Leak Tests.
  • Interception de code et injection de code
  • Modifications en mémoire vive (durant l'exécution)
  • Attaques contre le système de protection de fichiers de Windows
  • Attaques en imitation d'utilisateur


Conclusions
Sans un moyen de protection au niveau cœur de Windows votre sécurité est menacée et votre système de sécurité minimal (antivirus et pare-feu) est totalement vulnérable. ProcessGuard se sécurise lui-même (c'est la moindre des choses), sécurise votre système d'exploitation (tous les composants de Windows) et sécurise vos autres outils de sécurité, leur permettant de faire leur travail sans risque d'être tués ou attaqués. Son action est résolument préventive tandis que celles des pare-feu concerne les intrusions / extrusions et celle des antivirus est partiellement préventive (modules "sur accès" ("on-access")) et partiellement curative (modules "à la demande" ("on-demand")). Attention - il faut tout de même avoir une notion, même vague, de ce qu'est un processus, un service, une dll etc. ... J'ai, également, essayé d'employer ici des termes simples et en français pour présenter ProcessGuard qui est en anglais et "parle" un peu "technique".



Produit commercial. Il existe une version gratuite très allégée qui peut être utilisée sans limitation. La version complète n'est pas disponible à l'essai.


Comparaison entre la version gratuite et la version complète :
Comparaison entre la version gratuite et la version complète

Version gratuite Version complète Caractéristiques
  Contrôle d'exécution des applications
  Protection des applications contre les terminaisons
  Protection des applications contre les injections
  Protection des applications contre leur révélation
  Bloque les programmes nouveaux ou modifiés
  Protection de la mémoire physique
  Bloque les interceptions
  Bloque les installations non sollicitées de RootKit, Pilotes et Services
  Bloque les injections de DLL au niveau Base de registre (attaques genre CoolWebSearch)
  Gestionnaire de messages de sécurité
  Verrouillage d'interface
  Support technique gratuit







Figure 1 : Page d'accueil de ProcessGuard en mode apprentissage
Réglage à ne conserver que le temps de lancer toutes ses applications
habituelles pour que PG apprenne "ce qui est bon"
puis il faut décocher la case "Learnng mode".




Figure 2 : Page d'accueil de ProcessGuard en mode "protection"
Réglage normal de ProcessGuard, case "Learnng mode" décochée.




Figure 3 : Page d'alertes de ProcessGuard. En temps normal on y trouve
uniquement le journal des évènements surveillés par ProcessGuard.




Figure 4 : Page d'alertes de ProcessGuard. Ici, une alerte signalant qu'un
processus a tenté d'en terminer (tuer) un autre.




Figure 5 : Paramétrage des protections "permanentes", processus par processus.
On peut ici dire à PG comment se comporter automatiquement, sans nous alerter,
face aux situations courantes qui sont donc, ici, légitimées.
Par exemple, on peut, ici, autoriser le gestionnaire de tâches (taskmgr.exe)
à tuer d'autres processus - par defaut ceci lui est interdit.




Figure 6 : Liste de tous les programmes qui ont été démarrés depuis que PG
est installé avec la dernière action manuelle effectuée et sa date.
Après la phase d'apprentissage durant laquelle les actions choisies sont mémorisées
automatiquement dans l'onglet "protection", il est bon de vider cette liste
pour ne plus y voir apparaître que les exceptions (nouveau processus;
nouvelle action non autorisée normalement pour un processus...) et, de temps en temps,
gérer cette liste pour basculer dans "Protection" les processus nouveaux et leurs
réglages afin de ne plus être interrompu pour ces actions avec ces processus.




Figure 7 : Une alerte de ProcessGuard en version gratuite. Un processus inconnu de ProcessGuard tente de se lancer. "Permit" (Autorisation) ou "Deny" (refus). Si l'option choisie (autorisation/refus) doit rester la même lors de chaque lancement de ce processus, cocher la case "Always perform this action" (Toujours exécuter cette action) de manière à ne plus être interrompu pour cette action avec ce processus. Il est bien entendu qu'il faut savoir à quoi correspond le processus et ne pas autoriser une hostilité à s'exécuter. En cas de doute, chercher le nom du processus dans Google ou interroger un expert sur nos forums.




17.12.04 - Document initial
10.01.05 - Révision (développement du mode d'emploi et nouvelles captures d'écran)



Rédigé en écoutant