Quote:
Originariamente inviato da commi
ProSecurity però supera il rootkit2 solo dopo aver aggiunto la regola relativa ai file *.sys_old....
|
di default 
PS è impostato in modo tale da coprire i .sys in %system32% contro tentativi di scrittura(
=alterazione)/creazione/cancellazione...
Per prevenire allora *QUALSIASI* manipolazione all'interno di questa cartella (
prescindendo anche dal tipo di estensione del file stesso), è sufficiente tradurre in regola l'assunto di cui sopra creando una banale regoletta che dica che INDIPENDENTEMENTE dal tipo di file che dovrà essere creato, modificato [...] all'interno di %system32% quell'azione dovrà (ALMENO) produrre un pop-up di avviso...
+ difficile a dirsi che non a farsi (
grado di difficoltà in una scala da 0->10: 1...)
Anche perchè uno non è che possa star li' a prevedere le n possibili fattispecie di file creabili, ecc...
Anzi, invece che coprire la SOLA cartella %system32%, consiglierei di andare a ritroso e coprire direttamente TUTTA la cartella di windows visto che non è la sola system32 ad essere "cartella critica"...
Per chi chiedeva di EQS che non passa il test di Comodo, ho l'impressione che anche qui ci sia un problema analogo e che (di default...) sia coperta solo la creazione di file .sys (in system32) tralasciando tanto la modifica dei .sys stessi quanto eventuali altre estensioni....
A proposito di PS, cmq, aggiungo che, proprio per rispondere maggiormente ai bisogni dei meno tecnici (come me, ad es..), avrò segnalato almeno 100 volte la necessità di estendere le aree protette di default...ma sotto questo profilo non sono mai stato preso seriamente in considerazione..