Bsr, :D

Etant vraiment débutant en ce qui concerne LNS, je m'interesse au options avancées :)

Donc à quoi servent TCP statefull packet inspection ???

Controler appel DNS ???

Controler injection de threads ???

Pour la dernière je crois que c'est pour controler les exécutables qui se connectent sous couvert d'un autre programme ???

Si c'est ça, en cochant cette option il faut s'assurer que les exécutables qui demandent à se connecter soit bien de frais exécutable du système ou tous programmes connus ne soit pas des vers ou troyens qui ont réussis à passer à travers le firewall par je ne sais quel méthode ???

Quelle serait la manoeuvre pour s'assurer que se sont bien de bon exécutable et non une attaque en interne ???

Y aurait il pas un logiciel complémentaire qui pourrait rouler avec LNS???

D'avance merci de votre aide :D

GG

Bjr,

Est normal si l'exécutable LSASS.EXE (export shell version) veut se connecter sur le net quand on est en réseau ou des fois internet ???

Bonjour,

il y a un fichier d'aide quand tu cliques sur le bouton "Aide" qui répond à ces questions :
{QUOTE->
'Mode avancé': bascule dans un mode où plus d'options et de paramétrages sont proposés sur les différents onglets. Voir les fonctions supplémentaires du mode avancé.


'Fichiers journal au format brut': en plus des fichiers journal en mode texte, cette option crée des fichiers journal avec plus d'informations mais difficilement lisibles en mode texte. Ce type de fichier est importable dans d'autres applications 'décodeurs de log', un séparateur est utilisé pour séparer les champ. Ces fichiers se trouvent également dans le répertoire log et son préfixés par le mot 'raw'.


'TCP Stateful Packet Inspection': Si cette case est cochée Look 'n' Stop surveille les connexions TCP et vérifie que tout packet TCP reçu ou envoyé appartient bien à une connexion existante. Si ce n'est pas le cas, une alerte est générée dans le journal. Quand cette case est cochée, un bouton supplémentaire pour connaître les connexions TCP actives est disponible dans l'onglet journal.


'Laisser actif le filtrage logiciel quand on quitte l'application': cette option n'existe que sous Windows 2000 et XP, elle permet de laisser le filtrage Internet actif même si vous quittez Look 'n' Stop.


'Protocoles': permet de configurer les protocoles autorisés ou non à se connecter à Internet. Voir le paramétrage de la configuration des protocoles.


'Plugins': ouvre la boite de sélection et de configuration des plugins qui ajoutent des extensions à Look 'n' Stop. Voir le paramétrage de la configuration des plugins.


'DLLs': pour Windows 2000 et XP seulement: ouvre la boite dialogue d'autorisation des DLLs à se connecter à Internet Voir le paramétrage de la configuration des DLLs.


'Exclure adresses IP': ce champ est utile si vous avez sélectionné l'option 'Auto-Détection' dans les options. Il vous permet de donner une liste d'adresse IP locales pour lesquelles Look 'n' Stop ne doit pas détecter une connexion Internet externe. Dans cette case, il faut donc spécifier des adresses du style 192.168.0.1, 169.254.100.1,... qui ne sont pas utilisées pour des vraies connections Internet mais pour des réseaux locaux. Pour spécifier une plage d'adresse, il suffit d'omettre certains chiffres, par exemple 10 signifie toutes les adresses du style 10.x.y.z et 169.254 signifie toutes les adresses du style 169.254.x.y. Les adresses sont séparées par un point virgule.


'Afficher une alerte quand on quitte l'application': quand cette options est sélectionnée, une boite de confirmation apparaît quand on clique sur le bouton Quitter.


'Contrôler les appels DNS': pour Windows 2000/XP seulement, permet de détecter les applications qui se connectent à internet pour effectuer des résolutions d'adresse (alors que ce service est normalement centralisé sous Windows 2000/XP et que ces appels peuvent passer inaperçus).


'Contrôler l'injection de thread': pour Windows 2000/XP seulement, permet de détecter les applications qui se connectent par un thread qui a été injecté via une autre application (en injectant un thread dans une application déjà autorisé un troyan peut réussir à se connecter).


'Chargement du fichier de règles au démarrage': Si vous souhaitez que Look 'n' Stop ne charge pas le jeu de règles au lancement, décochez cette option.


'Appliquer les règles dès qu'une liste de règles est chargée': décochez cette option si vous ne voulez pas qu'un fichier de règle soit automatiquement chargé quand vous choisissez un nouveau fichier (par exemple pour juste les regarder).
<-QUOTE}

A propos de LSASS, c'est pas bon signe, je te conseil de faire un scan avec un antivirus à jour, voir et un scan anti cheval de troie.

gkweb.

Bsr,

ok pour les explications ;D

En ce qui concerne LSASS.exe, oui ça me faisait penser au virus sasser ???

J'ai fait scanné par norton antivirus à jour, ainsi que mcafee par le net, et norton encore par le net sur le site www.sarc.com

Et ça ne me trouve rien???

J'ai meme regardé un peut partout sous windows si il y avait les signe que sasser ou un autre similaire s'était planqué???

Et rien aucun EXE suspicieux, ni ligne de commande anormal???

Donc la je ne sais pas???

ET à quoi sert normalement cet exécutable???

D'avance merci :D

Bjr, :o

Alors en ce qui concerne lsass.exe, ça se déclenche je crois uniquement quand je suis en réseau et non en connection internet???

J'ai scanné par je ne sais combien d'antivirus on-line et norton sur mon pc, et je ne trouve rien???

Je ferais un scan avec un anti-troyen, et je ne pense pas trouver quoi que se soit non plus :(

Donc je ne sais pas d'ou ça vient???

Et si quelqu'un pouvait me dire, quel fonction occupe LSASS.EXE???

D'avance merci car je n'ai pas envie de me faire bouffer le c... par quoique se soit entre virus, troyen, worm...

Lsass.exe

Il s'agit du serveur local d'authentification de sécurité, il génère le processus responsable de l'authentification des utilisateurs par le service Winlogon. Ce processus est permis par l'utilisation de
packages d'authentifications comme msgina.dll. Si l'authentification est réussie, Lsass génère le jeton d'accès de l'utilisateur qui est utilisé pour lancer le shell initial. D'autres processus que l'utilisateur peut lancer vont hériter de ce jeton.

Vous ne pouvez par arrêter ce process à partir du gestionnaire des tâches

Bsr, :D

Alors donc cet exécutable et normal???

Est ce qu'il l'est quand il s'active quand je suis en réseau???

C'est à se moment la que LNS me demande LSASS.EXE veut se connecter vouler vous l'autoriser???

Comme je ne sais pas si c'était dangeureux en rapport avec le virus Sasser, je l'ai bloqué?

ET quand je suis sur internet look ne me demande rien?

Mais il s'emblerais qu'il soit quand même en mémoire, car j'ai mis The cleaner et les modules de controle en mémoire Tc active et il est présent avec d'autre exécutable nécessaire je pense au bon fonctionnement du pc.

Donc au final, je ne dois pas le bloquer avec LNS non?

D'avance merci d'éclairer ma lanterne, je ne suis qu'un modeste utilisateur d'internet :-\

GG

pour :
Donc au final, je ne dois pas le bloquer avec LNS non?
Et bien non, ne pas le bloquer.
Bonne journée