1.L'avertissement « Windows a protégé votre PC »
Quand vous téléchargez Ambih depuis ce site et que vous double-cliquez sur l'installateur, Windows peut afficher une boîte de dialogue bleue intitulée « Windows a protégé votre PC ». C'est SmartScreen, pas une détection de virus. Cela apparaît pour tout installateur qui n'a pas encore accumulé assez de téléchargements pour se construire une réputation auprès de Microsoft.
- Cliquez sur « Informations complémentaires ».
- Cliquez sur « Exécuter quand même ».
2.API Windows utilisées par Ambih (et pourquoi)
Les moteurs antivirus heuristiques (Norton, McAfee, Kaspersky, Bitdefender, et d'autres) signalent parfois des combinaisons d'API légitimes comme suspectes. Ci-dessous, chaque API que Ambih utilise qu'un moteur pourrait repérer, avec la raison de son usage. Aucun élément de cette liste n'installe de persistance, n'exfiltre des données, ne modifie d'autres processus, ni n'exécute de code téléchargé non signé.
| API / comportement | Ce que Ambih en fait | Pourquoi ça peut déclencher un antivirus |
|---|---|---|
JOB_OBJECT_LIMIT_KILL_ON_JOB_CLOSE(throttling Job Object) |
Applique les limites CPU et mémoire que vous configurez pour un projet lancé. Quand Ambih se ferme, les processus lancés se ferment avec lui — pas d'enfants orphelins. | Ressemble aux schémas de « confinement de processus » utilisés par les malwares pour contraindre les processus victimes. |
netsh advfirewall add rule(manipulation du pare-feu Windows) |
Blocage sortant optionnel par session, demandé par vous. Invoqué uniquement quand vous êtes connecté en formule Pro ; les utilisateurs Free obtiennent un blocage logiciel applicatif sans écriture dans le pare-feu. | Les modifications du pare-feu sont un vecteur de persistance / d'évasion quand un malware les utilise. |
GetExtendedTcpTable(énumération des connexions TCP) |
Alimente la table des connexions TCP par processus visible dans le panneau réseau. Lecture seule — Ambih n'ouvre, ne modifie ni n'inspecte jamais le trafic d'un autre processus. | Les API de reconnaissance sont lues par les malwares pour le déplacement latéral ; Ambih les lit pour l'interface du moniteur. |
ProtectedData.Protect / Unprotect(DPAPI) |
Stocke vos jetons OAuth Pro dans %LOCALAPPDATA%\Ambih\auth.bin, chiffrés pour votre utilisateur Windows. DPAPI est la méthode recommandée par Microsoft pour stocker des secrets sous Windows. |
Les heuristiques paranoïaques signalent les appels DPAPI comme une « préparation au vol de credentials », bien que DPAPI soit précisément le bon modèle. |
Écriture de HKCU\Environment PATH(installateur CLI) |
Si vous choisissez d'installer la CLI ambih, cela ajoute le dossier d'installation à votre PATH au niveau utilisateur. Pas de changement système, pas d'admin requis. |
La modification du PATH est un vecteur de persistance classique quand elle est faite par un malware. Ambih ne le fait que sur demande explicite depuis l'écran d'installation CLI. |
CreatePseudoConsole(ConPTY) |
Héberge la vue terminal intégrée qui affiche la sortie standard / erreur de votre projet lancé. | La création de pseudo-console est parfois signalée comme « lancement de terminal suspect » par des antivirus agressifs. |
Process.GetProcesses() + parcours PID parent(arbre de processus) |
Construit l'arbre de processus par session visible dans l'interface du moniteur. | Lu par les malwares pour trouver les processus cibles ; Ambih le lit pour vous afficher l'arbre. La plupart des antivirus modernes l'autorisent car tous les outils de monitoring le font. |
POST HTTPS /api/heartbeat(licence) |
Envoyé toutes les 5 minutes quand vous êtes connecté en formule Pro, pour confirmer que votre abonnement est toujours valide. Toujours en HTTPS. Les utilisateurs Free n'envoient rien. | Les POST sortants périodiques peuvent ressembler à du balisage de command-and-control pour les heuristiques sommaires. Les requêtes de Ambih sont visibles dans le journal applicatif et ciblent un seul endpoint documenté. |
3.Ce que Ambih ne fait jamais
Pour être complet, voici ce que Ambih ne contient pas — les véritables schémas de malware qu'un analyste sécurité recherche :
- Aucune injection de processus — pas de
CreateRemoteThread,WriteProcessMemory,SetWindowsHookEx,NtMapViewOfSectionou similaire. - Aucun téléchargement-puis-exécution de code distant au moment de l'exécution.
- Aucun loader natif non signé, pas de packer, pas d'obfuscation.
- Aucune clé Run du registre, aucune tâche planifiée, aucune installation de service — Ambih ne démarre que quand vous le lancez.
- Aucune lecture de la mémoire d'autres applications, des fichiers hors de ses dossiers d'installation / données, ou des stockages de credentials du navigateur.
- Aucun balisage de télémétrie ou d'analytics. Le seul trafic HTTPS sortant est le heartbeat de la formule Pro décrit ci-dessus.
4.Vérifier l'authenticité de votre téléchargement
Trois manières de confirmer que le binaire Ambih que vous avez est bien celui que nous avons publié, par ordre d'effort :
- Installer via le Microsoft Store ou
winget install --source msstore Ambih— Microsoft signe le binaire sur ses serveurs ; SmartScreen n'affichera jamais d'avertissement. - Vérifier le hash SHA-256 par rapport à la valeur publiée sur la page de téléchargement. Depuis PowerShell :
Get-FileHash .\AmbihSetup-latest.msi -Algorithm SHA256. - Inspecter le binaire avec VirusTotal sur virustotal.com. Ambih y est téléversé à chaque version ; vous devriez voir un petit nombre de signalements heuristiques de moteurs agressifs et zéro détection de Microsoft Defender.
5.Si votre antivirus bloque Ambih
Si votre antivirus met en quarantaine l'installateur ou empêche l'application de se lancer, vous avez deux options :
Ajouter une exclusion
Ajoutez le dossier d'installation de Ambih (par défaut : %LOCALAPPDATA%\Programs\Ambih) et le binaire AmbihMonitor.exe à la liste d'exclusions de votre antivirus. Le menu exact varie selon le produit — cherchez « ajouter une exclusion » ou « liste blanche » dans l'aide de votre antivirus.
Soumettre un signalement de faux positif
Ça aide tout le monde — une fois que votre éditeur d'antivirus confirme que le fichier est propre, la détection est retirée pour tous ses clients en quelques jours. Pages de soumission directes :
- Microsoft Defender — microsoft.com/en-us/wdsi/filesubmission
- Norton / Symantec — submit.symantec.com/false_positive
- McAfee — mcafee.com/enterprise/en-us/threat-center/false-positive-submission.html
- Bitdefender — bitdefender.com/consumer/support/answer/29358
- Kaspersky — opentip.kaspersky.com
6.Pourquoi la formule Free ne touche pas au pare-feu Windows
Le signalement heuristique antivirus n°1 sur tout outil de développement, c'est « lance netsh.exe sur une installation neuve ». Même si l'usage de netsh advfirewall par Ambih est légitime (un blocage sortant par session optionnel que vous avez configuré vous-même), le schéma installation → lancement de netsh au premier démarrage déclenche les moteurs heuristiques pendant la période de construction de réputation SmartScreen.
Pour rendre l'expérience de premier lancement aussi propre que possible, la règle de pare-feu OS n'est installée que lorsque vous êtes connecté en formule Pro. Les utilisateurs Free qui activent « bloquer le sortant » obtiennent un blocage logiciel applicatif : Ambih enregistre l'intention et l'affiche dans l'interface, mais aucune commande netsh n'est exécutée. C'est honnête — l'interface montre un bouclier jaune, pas une coche verte — et ça garde l'empreinte d'installation Free identique à celle d'une application de pure surveillance.
Si vous avez besoin d'une vraie application au niveau OS du blocage sortant (mettre en bac à sable un projet non fiable, par exemple), passez à Pro et la règle s'installera automatiquement. Dans tous les cas, le choix vous appartient et le comportement est documenté.