OSArmor est un nouveau programme de sécurité de NoVirusThanks pour les périphériques Microsoft Windows qui surveille le système pour bloquer les processus ou actions suspectes sur le système.
Le programme de sécurité intègre une protection anti-exploitation de base, mais il n’est pas comparable à Microsoft EMET ni à Malwarebytes Anti-Exploit, car son objectif est d’empêcher certains processus de s’exécuter à la première place ou d’exécuter certaines activités.
Un exemple de base est le blocage des processus ayant une double extension de fichier, sample.txt.exe, pour cacher leur type réel aux utilisateurs non avertis.
Revue d'OSArmor
OSArmor est compatible avec toutes les versions récentes du système d'exploitation Microsoft Windows. L'application doit être installée avant de pouvoir être utilisée. Le programme d'installation lui-même est propre et le programme est lancé immédiatement après l'installation.
L'interface est basique pour le moment. Il affiche des informations sur la session concernant le nombre de processus bloqués, le dernier processus bloqué, ainsi que la date et l'heure de l'événement.
Vous ne pouvez rien faire d'autre que d'ouvrir le dossier des journaux ou la configuration. Les utilisateurs débutants peuvent souhaiter ouvrir la configuration en premier car elle répertorie toutes les fonctionnalités de sécurité prises en charge par OSArmor.
La plupart des options de protection sont activées par défaut. La liste est assez longue, en voici une courte liste:
- Bloquer l'exécution des extensions de fichier pif, com et double.
- Bloquer les logiciels malveillants propageant l'USB.
- Empêchez les modifications "importantes" du système via bcedit.exe.
- Bloquer l’exécution directe de scripts et de fichiers exe à partir d’archives.
- Empêchez regsrv32 d’exécuter des scripts distants et le paramètre / i:.
- Bloquer les processus exécutés à partir de wscript.exe, cscript.exe, mshta.exe et wmic.exe.
- Bloquer le contournement de la politique d'exécution et le style de fenêtre masqué dans PowerShell.
- Bloquer les téléchargements d'URL distants à partir de la ligne de commande.
- Bloquer l'exécution directe de JavaScript et de code VBScript.
- Limitez les fichiers Windows Screensaver au dossier Windows.
- Bloquer l'exécution de schtasks.exe.
Les seules options non activées bloquent l'exécution de processus non signés à partir d'applications locales AppData, Roaming AppData, CommonAppdata et Control Panel.
Le programme est livré sans fichier d'aide, ce qui en fait un outil pour les utilisateurs avancés. La plupart du temps, il fonctionne silencieusement en arrière-plan et écrit tous les processus bloqués dans les fichiers journaux quotidiens.
Les fichiers journaux constituent un historique des processus bloqués et constituent la seule option permettant de résoudre les problèmes. Les journaux répertorient la date, l'heure et les processus, ainsi que les règles qui ont bloqué l'exécution du processus.
Un des principaux défauts d’OSArmor est qu’il n’a pas de liste blanche. Vous ne pouvez désactiver une fonction de protection que si vous remarquez que des processus légitimes sont bloqués par l'application.
Le programme a besoin d'une liste blanche directement et d'une interface qui répertorie directement tous les processus bloqués afin que vous puissiez facilement ajouter certains processus bloqués à la liste blanche.
Mots de clôture
OSArmor 1.0 est un programme de sécurité prometteur pour Windows qui bloque les activités souvent maltraitées par des logiciels malveillants et d'autres logiciels indésirables. Le manque de contrôle sur ce qui est bloqué est la principale faiblesse du programme à ce stade.
Une option permettant d'afficher une invite (autoriser ou refuser l'exécution, la recherche en ligne) serait utile, et une liste blanche doit également être mise en place afin que les faux positifs puissent être résolus sans qu'il soit nécessaire de désactiver complètement une fonctionnalité.
