Hardware Upgrade Forum - View Single Post - Prevenire è meglio che curare :) Software HIPS

nV 25 · 29-12-2005, 14:28

Uso quotidiano di DW...con uno sguardo al "dietro le quinte"...

Ipotizziamo di scaricare via browser un file in locale, nel nostro caso uno strumento di test prodotto da Comodo: Link alla pagina di Download.

Il file (al contrario di Sandboxie) lo vedremo regolarmente nella sua locazione naturale, solitamente il Desktop o la cartella Download...

Peraltro, a partire dalla v3.10, CLT.exe dovrebbe risultare "marcato" dai mattoncini che mostrano visivamente come il file in questione sia ISOLATO.

E i suoi effetti, nel caso venisse lanciato??

L I M I T A T I grazie alle restrizioni imposte dal programma ( e osservabili nella scheda di log, vedi anche questo post...) ad eccezione delle operazioni sui file, cartelle & chiavi di registro che vengono regolarmente portate a termine.

E' compito infatti della "scheda di Rollback" tenere traccia di tutte le operazioni che si producono a seguito di un'installazione untrusted e che coinvolgono sia il File system che il registro di sistema.

Tutto quindi è registrato sia in termini di quale processo ha creato che cosa sia in termini temporali, e anche se si ha materialmente la scrittura di alcuni elementi su HD, questi sono ormai P R I V A T I dei loro effetti nocivi ed assimilabili di conseguenza a semplice S P A Z Z A T U R A.

Dalla schermata principale, linguetta "STOP ATTACK", bottone "File & Registry Tracks".

L'esecuzione di CLT.exe ha "popolato" la scheda in questione,

La parte che a suo tempo avevo infatti contrassegnato da un rettangolo BLU sono le alterazioni al FS/Registro che si sono prodotte a seguito dell'esecuzione di un oggetto (in questo caso, CLT.exe) untrusted.
Sono tracciate, dunque, e D I S A R M A T E:
se infatti si va a navigare proprio nelle locazioni in cui sono presenti i file, si vedranno i "mattoncini" che accompagnano i file e le cartelle!

ORA:

se IN QUESTA FASE si esegue una scansione con un AV, questo per forza di cose rileverà quelle tracce dato che quei percorsi esistono realmente sul PC!

Gli "effetti" di quelle alterazioni sono stati comunque neutralizzati dalle restrizioni del Sandbox (osservabile dalla scheda di log) ma, più che altro, questo l'Antivirus NON PUO' SAPERLO!!!!! e giustamente SEGNALA LA PRESENZA di questi nuovi elementi.

A questo punto si aprono 2 strade egualmente percorribili:
1) o soluzione più indolore:
SI LASCIA CHE SIA L'AV A RIMUOVERNE LE TRACCE
(Se peraltro si controllano i percorsi identificati dall'AV, si vedrà che sono IDENTICI a quelli indicati nella scheda di Rollback!)

2) si usano gli strumenti interni di DefenseWall per avere ragione di quelle alterazioni.
In sostanza, si usa la funzionalità "ROLLBACK" (riavvolgi il nastro?, torna indietro nel tempo?)

L'oggetto CLT.exe, con l'esecuzione, ha generato delle alterazioni popolando la scheda di Rollback.
Come dicevo, queste modifiche si identificano nell'esempio con le voci contrassegnate dal rettangolo BLU.

Per averne ragione, è sufficiente cliccare sulla 1° voce dal basso (1 nella foto e che sostanzialmente indica l'operazione di scrittura su HD dell'oggetto "padre", CLT.exe), Rollback to (2) e, infine, OK (3).

A questo punto SI! che ha senso fare una scansione con un AV per vedere se fosse realmente scappato qualcosa dal controllo di Defensewall...

MA SCOMMETTETE CHE NON TROVERANNO NULLA?

*********************************

Per tante ragioni che si capiscono cmq solo con l'esperienza o perchè si conosce ormai a fondo il programma, ho chiaro anch'io il motivo per cui lo stesso sviluppatore consiglia di NON usare questa funzionalità se si è utenti comuni...

Ma poichè mi sento realmente un Santo, vi voglio spiegare almeno uno dei motivi che stanno sotto ad un ragionamento di questo tipo:
DefenseWall, infatti, è disegnato per isolare le alterazioni generate da un processo untrusted senza limiti di tempo.

Ora:
ipotizziamo che l'utente comune decida di eseguire un file benigno ma ignoto che permette di scattare foto.
Apparentemente, il tizio non si rende neppure conto che l'esecuzione del programmino è sotto il controllo di DW, vedi qui!.

Passa il tempo (2 giorni, ad es..) e il tizio si imbatte in un malware qualsiasi.
Non si infetta, ma il malware genera cmq delle alterazioni al sistema per quanto queste siano tracciate e dunque isolate, ecc..

Ora:
ipotizziamo che il tizio mette mano alla scheda di rollback.

Se fa la procedura che indicavo io, SPAZZA VIA TUTTO!, sia il programmino per le foto che il malware.

Vi immaginate le bestemmie del tizio?

In realtà, un utente meno n00b sarebbe agevolmente in grado di togliere solo le tracce "maliziose", ma il tizio di prima?

29-12-2005, 14:28	#142
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Uso quotidiano di DW...con uno sguardo al "dietro le quinte"... Ipotizziamo di scaricare via browser un file in locale, nel nostro caso uno strumento di test prodotto da Comodo: Link alla pagina di Download. Il file (al contrario di Sandboxie) lo vedremo regolarmente nella sua locazione naturale, solitamente il Desktop o la cartella Download... Peraltro, a partire dalla v3.10, CLT.exe dovrebbe risultare "marcato" dai mattoncini che mostrano visivamente come il file in questione sia ISOLATO. E i suoi effetti, nel caso venisse lanciato?? L I M I T A T I grazie alle restrizioni imposte dal programma ( e osservabili nella scheda di log, vedi anche questo post...) ad eccezione delle operazioni sui file, cartelle & chiavi di registro che vengono regolarmente portate a termine. E' compito infatti della "scheda di Rollback" tenere traccia di tutte le operazioni che si producono a seguito di un'installazione untrusted e che coinvolgono sia il File system che il registro di sistema. Tutto quindi è registrato sia in termini di quale processo ha creato che cosa sia in termini temporali, e anche se si ha materialmente la scrittura di alcuni elementi su HD, questi sono ormai P R I V A T I dei loro effetti nocivi ed assimilabili di conseguenza a semplice S P A Z Z A T U R A. Dalla schermata principale, linguetta "STOP ATTACK", bottone "File & Registry Tracks". L'esecuzione di CLT.exe ha "popolato" la scheda in questione, La parte che a suo tempo avevo infatti contrassegnato da un rettangolo BLU sono le alterazioni al FS/Registro che si sono prodotte a seguito dell'esecuzione di un oggetto (in questo caso, CLT.exe) untrusted. Sono tracciate, dunque, e D I S A R M A T E: se infatti si va a navigare proprio nelle locazioni in cui sono presenti i file, si vedranno i "mattoncini" che accompagnano i file e le cartelle! ORA: se IN QUESTA FASE si esegue una scansione con un AV, questo per forza di cose rileverà quelle tracce dato che quei percorsi esistono realmente sul PC! Gli "effetti" di quelle alterazioni sono stati comunque neutralizzati dalle restrizioni del Sandbox (osservabile dalla scheda di log) ma, più che altro, questo l'Antivirus NON PUO' SAPERLO!!!!! e giustamente SEGNALA LA PRESENZA di questi nuovi elementi. A questo punto si aprono 2 strade egualmente percorribili: 1) o soluzione più indolore: SI LASCIA CHE SIA L'AV A RIMUOVERNE LE TRACCE (Se peraltro si controllano i percorsi identificati dall'AV, si vedrà che sono IDENTICI a quelli indicati nella scheda di Rollback!) 2) si usano gli strumenti interni di DefenseWall per avere ragione di quelle alterazioni. In sostanza, si usa la funzionalità "ROLLBACK" (riavvolgi il nastro?, torna indietro nel tempo?) L'oggetto CLT.exe, con l'esecuzione, ha generato delle alterazioni popolando la scheda di Rollback. Come dicevo, queste modifiche si identificano nell'esempio con le voci contrassegnate dal rettangolo BLU. Per averne ragione, è sufficiente cliccare sulla 1° voce dal basso (1 nella foto e che sostanzialmente indica l'operazione di scrittura su HD dell'oggetto "padre", CLT.exe), Rollback to (2) e, infine, OK (3). A questo punto SI! che ha senso fare una scansione con un AV per vedere se fosse realmente scappato qualcosa dal controllo di Defensewall... MA SCOMMETTETE CHE NON TROVERANNO NULLA? ******************************* Per tante ragioni che si capiscono cmq solo con l'esperienza o perchè si conosce ormai a fondo il programma, ho chiaro anch'io il motivo per cui lo stesso sviluppatore consiglia di NON usare questa funzionalità se si è utenti comuni... Ma poichè mi sento realmente un Santo, vi voglio spiegare almeno uno dei motivi che stanno sotto ad un ragionamento di questo tipo: DefenseWall, infatti, è disegnato per isolare le alterazioni generate da un processo untrusted senza limiti di tempo. Ora: ipotizziamo che l'utente comune decida di eseguire un file benigno ma ignoto** che permette di scattare foto. Apparentemente, il tizio non si rende neppure conto che l'esecuzione del programmino è sotto il controllo di DW, vedi qui!. Passa il tempo (2 giorni, ad es..) e il tizio si imbatte in un malware qualsiasi. Non si infetta, ma il malware genera cmq delle alterazioni al sistema per quanto queste siano tracciate e dunque isolate, ecc.. Ora: ipotizziamo che il tizio mette mano alla scheda di rollback. Se fa la procedura che indicavo io, SPAZZA VIA TUTTO!, sia il programmino per le foto che il malware. Vi immaginate le bestemmie del tizio? In realtà, un utente meno n00b sarebbe agevolmente in grado di togliere solo le tracce "maliziose", ma il tizio di prima? Ultima modifica di nV 25 : 15-01-2012 alle 12:18.