2 risposte "al volo":

1) DefenseWall è compatibile solo con i sistemi 32bit.
2) la v2.56 (quella in promozione, per intenderci..), pur compatibile con 7, è preferibile installarla in realtà solo su XP/Vista.

Mentre su questi ultimi 2 OS risulta essere infatti ormai perfettamente STABILE, su 7 lamenta BUG, il più grave dei quali è osservabile se di Dwall (2.56) se ne fa un uso avanzato (in certi casi, infatti, l'impiego della funzione di Rollback produce il freeze dell'interfaccia del programma con conseguente chiusura della stessa)..

La v3, invece, supera tutti i problemi della 2.56 rendendola di fatto la 1° versione NATIVA per 7...

2) Dwall (sia esso 2.56/3) non soffre di nessun tipo di compatibilità con l'UAC.

3) il programma, sulla carta, offre un grado di sicurezza SUPERIORE a quello reso possibile da uno Standard User (si pensi alla protezione dai Keylogger, ad es..) coniugando questa capacità ad un più semplice controllo sul sistema (> flessibilità)...

4) DWall è un policy based Sandbox e non un unistaller puro sebbene via Rollback sia possibile cancellare eventuali tracce prodotte da un'installazione untrusted...

5) (ed è il problema più grosso che personalmente ho riscontrato visto che mi toglie in parte la soddisfazione di fare test..), il monitoraggio nel senso insteso da Draven94 ("..monitorare l'installazione di un nuovo programma..") è cosa parzialmente svolta da Dwall dato che il log (strumento di cui uno dovrebbe realmente avvalersi in questi casi...) soffre della limitazione a 50 linee, il che talvolta rende impossibile avere un'idea globale di cosa faccia realmente un processo untrusted...


Sulla domanda "farei bene ad eliminare outpost firewall per far posto al firewall integrato in W7 + Dwall", la risposta sarebbe SI!, alla grande! se tu usassi la v3...
Perfetto, grazie delle delucidazioni...

2 risposte "al volo"

2 cosette :D

la funzione di Rollback sarebbe quella che ti permette di cancellare le tracce delle installazioni untrusted, giusto ?

dal sito del produttore è possibile scaricare anche la versione in ita. siccome nella promo era compresa la versione en insieme al codice licenza, mi domandavo se è possibile usare la ita e poi registrarsi con quel codice stesso.
immagino che la risposta sarà positiva, ma è meglio essere sicuri al 100% :fagiano:

la funzione di Rollback sarebbe quella che ti permette di cancellare le tracce delle installazioni untrusted, giusto?
SI

dal sito del produttore è possibile scaricare anche la versione in ita. siccome nella promo era compresa la versione en insieme al codice licenza, mi domandavo se è possibile usare la ita e poi registrarsi con quel codice stesso.
immagino che la risposta sarà positiva, ma è meglio essere sicuri al 100% :fagiano:
non ne ho idea, ma a logica SI!, visto che "il trucco" dovrebbe risiedere solo nella particolare licenza con cui veniva offerta quella promozione...

...Gli unici test esclusivi non passati nei rispettivi sw protettivi sono:

DW 2.56 = File Drop (passato con EQS 3.41)

EQS 3.41 = Active Desktop (passato con DW 2.56)
Scusami tanto, sampei:
ma se ti ho detto che per Sandboxie, GesWall, DW, ecc questo tipo di test non ha alcuna ragione di esistere, perchè continui a menalla :D con il discorso del file drop? :mbe:

Per DW, infatti, è proprio grazie alla possibilità di poter scrivere in certe locazioni su HD (che non siano ovviamente tra quelle contemplate come critiche, es system32\drivers..) che hai la possibilità di usare alcuni programmi anche se installati come untrusted...



Per sconfortarti ulteriormente, cmq, ecco cosa dice Ilya in un canale russo a proposito di questo discorso del test (visto che c'è gente che continua a menargliela in proposito :rolleyes: ),
"Да, тестировал. Comodo- 330/340 (и лучше не будет никогда)" = "Yes, tested. Comodo-330/340 (and better will never be)"

Chissà come mai non potrà mai essere che cosi' sul test Filedrop...:rolleyes:




EDIT:
sotto la spinta di jmonge (che detto tra noi è solo un coglione...), è stato aperto addirittura un sondaggio per sapere se le ragioni di marketing avrebbero dovuto prevalere sulla logica del programma, vedi http://www.wilderssecurity.com/showthread.php?p=1587843#post1587843

SI


non ne ho idea, ma a logica SI!, visto che "il trucco" dovrebbe risiedere solo nella particolare licenza con cui veniva offerta quella promozione...
bene...dopo averti spaccato i m@@rùn credo di avere le idee chiare :asd:

thx

EDIT:
sotto la spinta di jmonge (che detto tra noi è solo un coglione...), è stato aperto addirittura un sondaggio per sapere se le ragioni di marketing avrebbero dovuto prevalere sulla logica del programma, vedi http://www.wilderssecurity.com/showthread.php?p=1587843#post1587843

Kees non ne poteva più e si è appellato alla democrazia:D
anche se sinceramente mi sarei aspettato altre percentuali su Wilders circa questa questione... non li facevo dei tipi che fanno molto caso ai risultati dei test e si fanno influenzare dal 330/340, pur sapendo molto bene in cosa consiste il test e perchè DW non lo passa:stordita:

Vabbè,
Ciao a tutti:p

SI


non ne ho idea, ma a logica SI!, visto che "il trucco" dovrebbe risiedere solo nella particolare licenza con cui veniva offerta quella promozione...

io ho provato ad immettere il codice della promozione in defensewall in italiano ma pare che non funzioni: me lo accetta solo la versione della promozione:ncomment:

Scusami tanto, sampei:
ma se ti ho detto che per Sandboxie, GesWall, DW, ecc questo tipo di test non ha alcuna ragione di esistere, perchè continui a menalla :D con il discorso del file drop? :mbe:

Per DW, infatti, è proprio grazie alla possibilità di poter scrivere in certe locazioni su HD (che non siano ovviamente tra quelle contemplate come critiche, es system32\drivers..) che hai la possibilità di usare alcuni programmi anche se installati come untrusted...



Per sconfortarti ulteriormente, cmq, ecco cosa dice Ilya in un canale russo a proposito di questo discorso del test (visto che c'è gente che continua a menargliela in proposito :rolleyes: ),
"Да, тестировал. Comodo- 330/340 (и лучше не будет никогда)" = "Yes, tested. Comodo-330/340 (and better will never be)"

Chissà come mai non potrà mai essere che cosi' sul test Filedrop...:rolleyes:




EDIT:
sotto la spinta di jmonge (che detto tra noi è solo un coglione...), è stato aperto addirittura un sondaggio per sapere se le ragioni di marketing avrebbero dovuto prevalere sulla logica del programma, vedi http://www.wilderssecurity.com/showthread.php?p=1587843#post1587843

Si l'ho letto quel 3D !!! :D :D

Vedi Enne io uso il forum per fissare i miei pensieri sulla "carta virtuale".
Così posso confrontare meglio a distanza ciò che mi passa per la mente.

*******************************************************

Gli utenti che vorranno usare profiquamente il sw si chiedano da subito, ad esempio, come aggiornare un sw catalogato come "untrusted",oppure come fare per lanciare un sw installato, da "trusted" ,un sw magari catalogato come "untrusted" se la funzione "run as" non sortisce nessun effetto.;)
Non ho provato le altre 2 opzioni che potete vedere nelle immagini messe alla vostra attenzione da Enne,magari quello era il metodo.
Saluti.

p.s. Sicuramente non si sarà capito nulla di ciò che volevo mettere,cari utenti, alla vostra,non di Enne che lo saprà fare certamente,attenzione........:D :D

Domanda: avendo installato defensewall, è praticamente inutile usare il run safe con Online Armor, dato che le applicazioni sono già untrusted da DW?

@ caturen:
è evidente che è inutile forzare 2 applicazioni a fare sostanzialmente la stessa cosa..

@ sampei:
sul "Vedi Enne io uso il forum per fissare i miei pensieri sulla "carta virtuale"", no problem:
ora, per lo meno, ho chiaro come mai certe cose sono ripetute..:)

sul "Gli utenti che vorranno usare profiquamente il sw si chiedano [...]", penso che tu ti riferisca ai 2 seguenti casi:

1) ho (ad es..) come browser Firefox (classificato di default come Untrusted threat gateway application e rientrante di conseguenza nella scheda Untrusted Applications..) e lo devo aggiornare alla v.successiva, come faccio?

2) ho scaricato un file da un Untrusted threat gateway application (es, firefox..) che, di conseguenza, eredita lo status untrusted, come faccio a farlo partire come trusted se la funzione run as trused del context menù (per qualche motivo) non dovesse funzionare? (vedi link (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675))


A parte il fatto che i manuali (http://www.softsphere.com/online-help/defensewall/) sono fatti apposta per essere anche consultati :stordita:, nel 1° caso ci sono fondamentalmente 2 possibilità d'azione:

- download manuale del pacchetto di aggiornamento direttamente dal sito del produttore via browser fatto partire (temporaneamente!) come trusted (click col pulsante destro del mouse sull'icona del browser->Run as Trusted...)

- download del solito set up di cui sopra via browser untrusted e trasformazione dello status del set up stesso da untrusted->trusted attraverso l'apposita funzione presente nel context menù (ipotesi 1)/mantenerne lo status facendo xò partire il setup come trusted attraverso la funzione run as trusted del context menù (ipotesi 2)...





Nel 2° caso, invece (ma non vedo perchè non dovrebbe funzionare l'opzione più intuitiva, vedi link (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675)), le alternative sono:

- rimuovere il set up dalla scheda Untrusted Applications per poi eseguire il set up normalmente come trusted...

- cliccare sul pulsante run as trusted presente nello stesso quadro di prima (scheda untrusted applications)...

Dal manuale, infatti,

http://img262.imageshack.us/img262/219/snap1b.th.jpg (http://img262.imageshack.us/i/snap1b.jpg/)

http://img39.imageshack.us/img39/7642/snap2rj.th.jpg (http://img39.imageshack.us/i/snap2rj.jpg/)


Per finire, è possibile dare un occhiata anche a questi 2 post per una maggiore comprensione della funzione Rollback/Delete (Allow):
1 (http://www.wilderssecurity.com/showpost.php?p=1478033&postcount=23), 2 (http://www.wilderssecurity.com/showpost.php?p=1478039&postcount=25) e le immagini di quest'altro thread (http://www.wilderssecurity.com/showthread.php?t=246303&highlight=file+registry+tracks) :)

@ caturen:
è evidente che è inutile forzare 2 applicazioni a fare sostanzialmente la stessa cosa..

@ sampei:
sul "Vedi Enne io uso il forum per fissare i miei pensieri sulla "carta virtuale"", no problem:
ora, per lo meno, ho chiaro come mai certe cose sono ripetute..:)

sul "Gli utenti che vorranno usare profiquamente il sw si chiedano [...]", penso che tu ti riferisca ai 2 seguenti casi:

1) ho (ad es..) come browser Firefox (classificato di default come Untrusted threat gateway application e rientrante di conseguenza nella scheda Untrusted Applications..) e lo devo aggiornare alla v.successiva, come faccio?

2) ho scaricato un file da un Untrusted threat gateway application (es, firefox..) che, di conseguenza, eredita lo status untrusted, come faccio a farlo partire come trusted se la funzione run as trused del context menù (per qualche motivo) non dovesse funzionare? (vedi link (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675))


A parte il fatto che i manuali (http://www.softsphere.com/online-help/defensewall/) sono fatti apposta per essere anche consultati :stordita:, nel 1° caso ci sono fondamentalmente 2 possibilità d'azione:

- download manuale del pacchetto di aggiornamento direttamente dal sito del produttore via browser fatto partire (temporaneamente!) come trusted (click col pulsante destro del mouse sull'icona del browser->Run as Trusted...)

- download del solito set up di cui sopra via browser untrusted e trasformazione dello status del set up stesso da untrusted->trusted attraverso l'apposita funzione presente nel context menù (ipotesi 1)/mantenerne lo status facendo xò partire il setup come trusted attraverso la funzione run as trusted del context menù (ipotesi 2)...


Ok, per ora direi che è suff. cosi'...
La risposta alla 2° domanda poi, eh!

Giusto.;)
Per la prima domanda c'è anche la "terza" possibilità che in fondo è un pò una forzatura.
E cioè quella di disabilitare temporaneamente la protezione, installare l'aggiornamento e poi riabilitare la protezione di DW che ovviamente ci notificherà immediatamente con un pop-up (quindi un pop-up almeno lo mostra :D ) che c'è un processo che gira pericolosamente come trusted......... lo possiamo terminare (preso dal più famoso detto lo possiamo torturare :D ).

E quì non ci piove.;)

E' la seconda domanda che non ho avuto modo di appurare perchè ho disinstallato (purtroppo) DW prima di aver finito i tests.
Ma una cosa è sicura il 3° metodo funziona,ovviamente, e la funzione "run as trusted" manco per niente.
Almeno con il sw che ho provato io che è un semplice sw gestionale.

qualcosa mi sfugge col discorso del programma gestionale (anzi, se lo ricordi, sarei curioso di sapere come ti sei comportato, passo passo..), cmq ne approfitto per dire che ho terminato il post sopra..


Ciao, buona serata a tutti :)

qualcosa mi sfugge col discorso del programma gestionale (anzi, se lo ricordi, sarei curioso di sapere come ti sei comportato, passo passo..), cmq ne approfitto per dire che ho terminato il post sopra..


Ciao, buona serata a tutti :)

Purtroppo non ho avuto modo di appurare bene perchè io solitamente risolvo i problemi in più giorni.

Comunque mi sono meravigliato che il sw,un semplice scadenzario,veniva lanciato "untrusted" nonostante l'exe non figurasse nella lista.
Anzi per così dire non sospettavo magari per mia ignoranza,esistesse questa possibilità quindi l'ho messa nel carniere.....da buon pescatore !! :)
Run As trusted da start-lista programmi,niente.
Avrei cercato successivamente di comparare la lista untrusted ai files presenti nella cartella del sw in questione.

Ma ho dovuto come ben sai disinstallare DW prima.

Buona serata.:)

mica vero che defencewall non da popup:fiufiu:
io ne ho avuti diversi:wtf:
forse perchè ho messo l'expert mode:sborone:
adesso metto in modalità normale per vedere come si comporta:friend:

The solution is near. I know how to make FF to be updated with no problems right from the untrusted mode, but will implement this trick only with the 3.xx version of DefenseWall as I have to release .00 version ASAP.

una perla dall'India che mostra chiaramente come l'ignoranza porti spesso e volentieri a sentenziare senza che si abbia la minima idea di quello di cui si stà parlando, link! (http://www.wilderssecurity.com/showthread.php?t=260926)...

L'amico in questione, infatti, usa un trojan downloader per verificare se DWall sarebbe riuscito o meno a contenerne l'azione e, dopo aver gridato al fallimento, si scopre che il file in questione era in realtà eseguito fuori dal recinto del Sandbox..:sbonk:

Il file, infatti, non era stato scaricato a mezzo threat gateways (es, il browser..) ma già presente sul Pc e, di conseguenza, trattato da DWall come Trusted..


Semplicemente disarmante...:boh:





Chi, infatti, avesse voluto saggiare con raziocinio le capacità del programma nelle stesse condizioni di test, avrebbe dovuto trasformare gli attributi della cartella contenente i malwares da trusted @ untrusted, come peraltro giustamente fatto osservare da un utente nella medesima discussione...

Allo stesso modo, se i virus fossero stati presenti su un CD/USB, avremmo dovuto marcare questi canali come untrusted nelle apposite opzioni avanzate del programma...

Muà...:rolleyes:

Allo stesso modo, se i virus fossero stati presenti su un CD/USB, avremmo dovuto marcare questi canali come untrusted nelle apposite opzioni avanzate del programma...

Infatti secondo me bisogna mettere maggiormente l'accento sul fatto che bisogna mettere la spunta sul trattare come untrusted sia il lettore dvd che le varie chiavette usb. Mi sbaglio?:mano:

no, no, hai ragione:

il problema cmq non è tanto il non aver detto che è necessario flaggare una voce quanto l'arroganza di certa gente che pretende di utilizzare una cosa senza aver preso coscienza nè di cosa abbia installato nè di come funzioni..

una perla dall'India che mostra chiaramente come l'ignoranza porti spesso e volentieri a sentenziare senza che si abbia la minima idea di quello di cui si stà parlando, link! (http://www.wilderssecurity.com/showthread.php?t=260926)...

L'amico in questione, infatti, usa un trojan downloader per verificare se DWall sarebbe riuscito o meno a contenerne l'azione e, dopo aver gridato al fallimento, si scopre che il file in questione era in realtà eseguito fuori dal recinto del Sandbox..:sbonk:

Il file, infatti, non era stato scaricato a mezzo threat gateways (es, il browser..) ma già presente sul Pc e, di conseguenza, trattato da DWall come Trusted..


Semplicemente disarmante...:boh:





Chi, infatti, avesse voluto saggiare con raziocinio le capacità del programma nelle stesse condizioni di test, avrebbe dovuto trasformare gli attributi della cartella contenente i malwares da trusted @ untrusted, come peraltro giustamente fatto osservare da un utente nella medesima discussione...

Allo stesso modo, se i virus fossero stati presenti su un CD/USB, avremmo dovuto marcare questi canali come untrusted nelle apposite opzioni avanzate del programma...

Muà...:rolleyes:

:asd: :asd:

Ed io che pensavo che DW fosse a prova di utonto :D

qui infatti non si parla di utontaggine (il Sandbox avrebbe coperto il malcapitato se quest'ultimo avesse ad es. utilizzato il browser per scaricare in locale il malware) ma di ignoranza allo stato puro che si materializza nel non prendere neppure visione superficiale del mauale..

Il mettere le mani avanti dicendo "sono nuovo nell'uso del programma" come ha fatto il tizio, infatti, non attenua la sua "arroganza" che si è manifestata con l'esecuzione senza criterio del malware...


Soggetto rubato alla XBOX...:D

Ciao nV, vedo con piacere che sei tornato a rendere pubblici i tuoi test e le tue considerazioni :) che come ho detto altre volte leggo con interesse e ammirazione... in fondo sono stati proprio i tuoi post a farmi appassionare e a darmi lo stimolo per fare qualcosa di utile (o almeno lo spero) per tutti.

Bye :p

Ciao Sirio, Roby, ecc...:)

Si, sono tornato a rendere pubbliche le mie considerazioni dopo un discreto periodo di sabba..:p

Non sono cmq un soggetto strano come eraser [:D] ma un normalissimo utente che, semmai, è più curioso di altri e che detesta sicuramente la superficialità...:)

Pensavo anch'io di prendermi un periodo di meditazione, credo che ogni tanto faccia bene :stordita: però non riesco... forse perché il confronto con gli altri mi stimola ed in questo periodo ne ho bisogno.

Scusate l'OT.



Vorrei parlare delle novità di CIS v4 (anche se non sono un tecnico e non riuscirei a spiegarmi bene penso siano molto interessanti) ma per il momento non posso, spero di poterlo fare al più presto.

Pensavo anch'io di prendermi un periodo di meditazione, credo che ogni tanto faccia bene :stordita: però non riesco... forse perché il confronto con gli altri mi stimola ed in questo periodo ne ho bisogno.

Scusate l'OT.



Vorrei parlare delle novità di CIS v4 (anche se non sono un tecnico e non riuscirei a spiegarmi bene penso siano molto interessanti) ma per il momento non posso, spero di poterlo fare al più presto.

Sirio...se ci lasci ti schioppetto :D
abbiamo bisogno di te per il Cis4, ma soprattutto per la tua compagnia che ci fa da faro nella notte. così come quella di nv25, di cuzzotto, di romagnolo, di sampei, di arnyreni, di juninho e di tutti quei preparatissimi forumisti che naturalmente sto dimenticando ma che sono ugualmente citati :read:

buon natale a tutti ragazzi :)

Sirio...se ci lasci ti schioppetto :D
abbiamo bisogno di te per il Cis4, ma soprattutto per la tua compagnia che ci fa da faro nella notte. così come quella di nv25, di cuzzotto, di romagnolo, di sampei, di arnyreni, di juninho e di tutti quei preparatissimi forumisti che naturalmente sto dimenticando ma che sono ugualmente citati :read:

buon natale a tutti ragazzi :)

Grazie per le belle parole :) auguro anch'io un buon Natale a tutti voi.

Pensavo anch'io di prendermi un periodo di meditazione...
e ci redo*:
su 11325 post del thread COMODO Internet Security (http://www.hwupgrade.it/forum/showthread.php?t=1598794), 10000 circa sono relativi a problematiche del firewall...:asd:

Evidentemente il funzionamento del D+ non è risultato poi cosi' indigesto ai più sebbene tuttora sia portato a pensare il contrario a dispetto dell'assenza di domande a riguardo nel thread ufficiale...:D


Vorrei parlare delle novità di CIS v4...
Seguo le cose sul forum ufficiale ma sarebbe altrettanto bello se tu postassi qualcosa a riguardo anche qui (per lo meno, la parte legata al modulo D+ che è quello di interesse per il thread in oggetto)..:)





*ci credo

Visto che questo sarebbe il thread dedicato agli strumenti di difesa "atipici", vi torno a postare per segnalare tanto l'uscita della 1° beta pubblica di DefenseWall Personal firewall (link! (http://www.hwupgrade.it/forum/showpost.php?p=29972546&postcount=11)), quanto la promozione sulla v2.56 offerta dal famoso sito Gizmo's Freeware (Link (http://www.techsupportalert.com/defensewall-hips-for-free.htm)).

Sulla promozione gratuita che coinvolge la 2.56, due brevi battute a questi collegamenti: 1 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).
Non so se succede anche a voi, ma a me defensewall fa aumentare di molto il tempo di apertura di firefox. Una volta mi pare di aver letto qualcosa a tale riguardo ma non ricordo più dove. Qualcuno sa come ovviare a questo fatto? :help:

dipende da quanto è questo tempo di apertura:

se 2/3 secondi, è normale, in caso contrario ovviamente no...

PS: che programmi di sicurezza hai in real time? E su che OS?

dipende da quanto è questo tempo di apertura:

se 2/3 secondi, è normale, in caso contrario ovviamente no...

PS: che programmi di sicurezza hai in real time? E su che OS?
Purtroppo non sono 2/3 secondi ma di più: come programmi in realtime ho avira free e A2 pro che voglio però togliere e Online Armor premium. Come SO vista

il problema è sicuramente legato ad una difficile convivenza tra OA & DWall...


Se non l'hai già tentata, potresti provare a disabilitare l'opzione run safer in OA anche se credo che la cosa più saggia sia quella di pensare a rinunciare ad uno dei 2 (nel tuo caso, direi DWall visto che la tua versione di OA è a pagamento)..

il problema è sicuramente legato ad una difficile convivenza tra OA & DWall...


Se non l'hai già tentata, potresti provare a disabilitare l'opzione run safer in OA anche se credo che la cosa più saggia sia quella di pensare a rinunciare ad uno dei 2 (nel tuo caso, direi DWall visto che la tua versione di OA è a pagamento)..
Ho tolto il run safer ai vari programmi in OA, ma la cosa pare rimanere.

e ci redo*:
su 11325 post del thread COMODO Internet Security (http://www.hwupgrade.it/forum/showthread.php?t=1598794), 10000 circa sono relativi a problematiche del firewall...:asd:

Evidentemente il funzionamento del D+ non è risultato poi cosi' indigesto ai più sebbene tuttora sia portato a pensare il contrario a dispetto dell'assenza di domande a riguardo nel thread ufficiale...:D

:D ..penso la stesa cosa. Credo lo reputino un argomento "tabù"...da evitare come la peste :asd:

Seguo le cose sul forum ufficiale ma sarebbe altrettanto bello se tu postassi qualcosa a riguardo anche qui (per lo meno, la parte legata al modulo D+ che è quello di interesse per il thread in oggetto)..:)





*ci credo


Ok, man mano posterò le mie impressioni.

L'interfaccia grafica non è cambiata molto la sostanza invece lo è.
Ho fatto qualche prova...da quello che ho potuto notare le richieste (pop-up) sono diminuite drasticamente sia per quanto riguarda D+ ma anche per il firewall.
Quando si avviano applicazioni conosciute (trusted) il D+ tace e permette di procedere senza alcuna domanda, mentre per quelle sconosciute (untrusted) verranno presentati un paio di popup, il primo ci avvisa che l'appicazione non è riconosciuta e ci da 3 possibilità: http://img20.imageshack.us/img20/8968/70147575.th.png (http://img20.imageshack.us/i/70147575.png/)

1- Accettare sempre l'avvio dell'applicazione perché la reputiamo sicura.
2- Inviare il file a Comodo per un'analisi.
3- Creare un'istantanea con Comodo Time Machine (se questo è installato oppure creare un punto di ripristino Windows se CTM non è installato).

il secondo popup è quello che conosciamo (l'avvio da parte di explorer.exe) con qualche opzione in più (e qualcuna in meno, è sparita infatti la possibilità di trattare l'applicazione come Installer or Updater): http://img694.imageshack.us/img694/7429/72259759.th.png (http://img694.imageshack.us/i/72259759.png/)

da qui in poi non avremo altre richieste.
In pratica l'applicazione (untrusted) viene avviata virtualizzata e con privilegi ridotti in modo da non poter far danni.
Poi in più, da quello che ho visto, se si è connessi durante l'avvio del file untrusted CIS contatta i suoi server per un controllo (ancora non ho ben capito) e se l'applicazione è riconosciuta come malevola viene bloccata, cioè D+ ne impedisce l'avvio.

Questo per dare un'idea, cercherò di approfondire e spiegarmi meglio nei prossimi giorni.

N.B. Di fatto è sparito anche rundll32.exe dalle Policy di D+... sto ancora cercando di capire.

il problema è sicuramente legato ad una difficile convivenza tra OA & DWall...


Se non l'hai già tentata, potresti provare a disabilitare l'opzione run safer in OA anche se credo che la cosa più saggia sia quella di pensare a rinunciare ad uno dei 2 (nel tuo caso, direi DWall visto che la tua versione di OA è a pagamento)..
Da qualche giorno ho installato Opera 10.50. L'apertura di questo browser con OA e DW è quasi instantanea, al contrario di FF che ci mette una vita. Ora proverò con chrome plus.

Da qualche giorno ho installato Opera 10.50. L'apertura di questo browser con OA e DW è quasi instantanea, al contrario di FF che ci mette una vita. Ora proverò con chrome plus.
Anche CP si apre subito: allora è proprio firefox che non va molto d'accordo con Dw (almeno nel mio pc):cry:

Io, invece, ho speso diverse ore del mio tempo a cercare di studiare un pò meglio la logica di funzionamento di DW concentrandomi in particolare su quelle che sono le differenze sostanziali dagli altri prodotti collocabili + o - nella stessa categoria (in particolare, Sandboxie/GesWall) e mi sentirei anche pronto per affrontare la "sfida" di una nuova discussione ad hoc avente per oggetto proprio DefenseWall...


Il problema è che, alla luce di quella che potrebbe essere l'utenza interessata e la fatica che mi costerebbe tirare giù tutto, non credo ne valga realmente la pena...

Voi che dite?
Potrebbe essere un'idea interessante o è meglio lasciar perdere ed eventualmente continuare in modo un pò confuso su questo thread?

Grazie


* EDIT *

Riconosco da solo che l'idea è malsana e vi chiedo pertanto di considerare il passaggio sopra come un incidente di percorso dettato esclusivamente da un pò di entusiasmo...

Se qualcuno ha delle domande, "le laveremo" su questo thread e festa finita... :Perfido:

Anche CP si apre subito: allora è proprio firefox che non va molto d'accordo con Dw (almeno nel mio pc):cry:
Ho risolto quasi del tutto la cosa. Il ritardo in firefox era dovuto alla lista Malware domain che avevo aggiunto in Adblock. Dopo che l'ho tolta ora FF si apre moooolto prima.

Ps
devo fare i miei complimenti a Ilya :winner:
Avevo mandato per pura curiosità una mail riguardante il mio caso senza troppe speranze di una risposta. Invece nel giro di pochi minuti mi ha risposto:sbavvv:

Io, invece, ho speso diverse ore del mio tempo a cercare di studiare un pò meglio la logica di funzionamento di DW concentrandomi in particolare su quelle che sono le differenze sostanziali dagli altri prodotti collocabili + o - nella stessa categoria (in particolare, Sandboxie/GesWall) e mi sentirei anche pronto per affrontare la "sfida" di una nuova discussione ad hoc avente per oggetto proprio DefenseWall...


Il problema è che, alla luce di quella che potrebbe essere l'utenza interessata e la fatica che mi costerebbe tirare giù tutto, non credo ne valga realmente la pena...

Voi che dite?
Potrebbe essere un'idea interessante o è meglio lasciar perdere ed eventualmente continuare in modo un pò confuso su questo thread?

Grazie


* EDIT *

Riconosco da solo che l'idea è malsana e vi chiedo pertanto di considerare il passaggio sopra come un incidente di percorso dettato esclusivamente da un pò di entusiasmo...

Se qualcuno ha delle domande, "le laveremo" su questo thread e festa finita... :Perfido:

A me interessa, anche se ormai uso prevalentemente linux

Ho risolto quasi del tutto la cosa. Il ritardo in firefox era dovuto alla lista Malware domain che avevo aggiunto in Adblock. Dopo che l'ho tolta ora FF si apre moooolto prima.

Ps
devo fare i miei complimenti a Ilya :winner:
Avevo mandato per pura curiosità una mail riguardante il mio caso senza troppe speranze di una risposta. Invece nel giro di pochi minuti mi ha risposto:sbavvv:
Altra risposta di Ilya quasi in real time. Come pensavo ora è tutto ok.
Quasi quasi uso windows solo per sfruttare questo grandioso programma che è Defensewall:yeah:

in effetti, l'assistenza che offre è qualcosa di ineguagliabile a patto che uno lo becchi quand'è sveglio...:Prrr:


PS: se usi prevalentemente linux è un ulteriore motivo per non farne di nulla visto che muoversi per 10 (20?) utenti avrebbe realmente poco senso...:D

Io, invece, ho speso diverse ore del mio tempo a cercare di studiare un pò meglio la logica di funzionamento di DW concentrandomi in particolare su quelle che sono le differenze sostanziali dagli altri prodotti collocabili + o - nella stessa categoria (in particolare, Sandboxie/GesWall) e mi sentirei anche pronto per affrontare la "sfida" di una nuova discussione ad hoc avente per oggetto proprio DefenseWall...


Il problema è che, alla luce di quella che potrebbe essere l'utenza interessata e la fatica che mi costerebbe tirare giù tutto, non credo ne valga realmente la pena...

Voi che dite?
Potrebbe essere un'idea interessante o è meglio lasciar perdere ed eventualmente continuare in modo un pò confuso su questo thread?

Grazie


* EDIT *

Riconosco da solo che l'idea è malsana e vi chiedo pertanto di considerare il passaggio sopra come un incidente di percorso dettato esclusivamente da un pò di entusiasmo...

Se qualcuno ha delle domande, "le laveremo" su questo thread e festa finita... :Perfido:

Enne la mia opinione la sai già.;)

Ciò non toglie che una guida al sw sarebbe certamente utilissima.
Le peculiarità di DW sono certamente diverse da sw "simili" quindi un 3D ad hoc sarebbe "giusto".

p.s. Ho visto da poco il film "Sherlock Holmes".
Secondo me non ci saranno domande se non ci sarà un 3D ad hoc.
Mai stato bravo nelle deduzioni da piccoli particolari......ma questo non è piccolo.:)

Magari mi sbaglio io non sono Sherlock ma solo un semplice, umile....pescatore.

Ci tengo a dire la mia sull'argomento :)

Secondo me una guida ben fatta aumenterebbe di molto il numero degli utenti di DW.
Io non frequento il forum da tanto tempo quanto voi e tutto quello che so l'ho imparato qui, ma all'inizio, quando non avevo amici a cui chiedere un consiglio, era così che sceglievo i programmi: guardavo su internet se c'era una buona guida e se la trovavo, allora installavo il programma :asd:
E' così che sono arrivata in questo forum, perchè c'era una ottima guida su COMODO Firewall e persone gentili nella discussione che rispondevano alle domande e non mi sono neanche accorta di aver installato un HIPS insieme al firewall per quanto ero tonta :D

Quindi pensaci nV :D

1) Enne la mia opinione la sai già.;)
2) Ciò non toglie che una guida al sw sarebbe certamente utilissima.
3) Le peculiarità di DW sono certamente diverse da sw "simili" quindi un 3D ad hoc sarebbe "giusto".
4) Secondo me non ci saranno domande se non ci sarà un 3D ad hoc.

1) vero

2) vero:
il problema, xò, è a chi sarebbe utile...:D

3) vero:
Dw "paga" solo il fatto di non contare su un virtual container all'interno del quale confinare le modifiche, il che fa apparire "vulnerabile" il software agli occhi dei più..

Peccato xò che questa sia in realtà una precisa scelta progettuale che, alla fine della fiera, ha più benefici che costi...:D

4) secondo come la si guarda, il non esserci domande non è poi una cosa cosi' negativa visto che posso pensare di più ad altro...:ciapet:

Quindi pensaci nV :D

grazie, roby :)

Concordo con Roby:)
anche io è così che sono entrato in HWU...

Ad ogni modo so che purtroppo si sta parlando di un software di nicchia e, di fatto, gli interessati sono pochi...
Potrò sembrare pessimista, ma parlo per esperienza e son sincero... vedi 3d di Malware Defender in cui ho impiegato non poche fatiche a metter giù cose che potrebbero essere ovvie, spiegandole al meglio, per non vedere quasi risultati...E il tutto è nato da un mio momentaneo entusiasmo..

Credo che la cosa migliore sia continuare in questa discussione..poi, se ne avrai la voglia, sarò il primo ad incoraggiarti ed aiutarti (se servirà e/o vorrai) per una discussione dedicata:)

Un abbraccio sincero a tutti,
Christian

edit:
nV scusa, leggo solo ora il tuo post...

Concordo con Roby:)
anche io è così che sono entrato in HWU...

Ad ogni modo so che purtroppo si sta parlando di un software di nicchia e, di fatto, gli interessati sono pochi...
Potrò sembrare pessimista, ma parlo per esperienza e son sincero... vedi 3d di Malware Defender in cui ho impiegato non poche fatiche a metter giù cose che potrebbero essere ovvie, spiegandole al meglio, per non vedere quasi risultati...E il tutto è nato da un mio momentaneo entusiasmo..

Credo che la cosa migliore sia continuare in questa discussione..poi, se ne avrai la voglia, sarò il primo ad incoraggiarti ed aiutarti (se servirà e/o vorrai) per una discussione dedicata:)

Un abbraccio sincero a tutti,
Christian

edit:
nV scusa, leggo solo ora il tuo post...

il problema credo sia un altro...
ad esempio comodo e' diventato famoso non solo per il fatto che sia un ottimo prodotto ...ma per il fatto che sia un prodotto free .quindi ha dato la possibilita' a tutti di farsi conoscere...parecchi si stanno avvicinando a defence wall sfruttando una promo che dava l'opportunita di ottenere una licenza free... non metto in dubbio che malware defende sia un grande prodotto certamente piu' articolato del d+, ma poiche' d+ e' free e si riescono ad avere risultati simili come dimostrano i test di sirio,contro nuove minacce,lascia poco spazio ad altri hips ,magari ripeto piu' avanzati come malware defender ma a pagamento e in piu' solo per versioni a 32 bit...
saluti e buon anno;)

Per la cronaca, dopo Malware Defender (e CIS..), è ora Defensewall a cadere sotto i colpi di mj0011:
nell'ultima settimana, infatti, sono state ben 3 le "aggressioni" che ne hanno messo sotto pressione il Sandbox (e che pressione!!, visto che i primi 2 PoC riuscivano a toccare il kernel nonostante fossero "costretti" all'interno del Sandbox girando con lo status untrusted!!)...

Dell'ultima vulnerabilità resa nota ieri siamo tuttora in attesa di un fix...






Se me la passate, la lezione che se ne può ricavare recita in sostanza cosi':

per quanto questa sia robusta, esisterà sempre un modo per aggirare una determinata protezione se si hanno capacità fuori dal comune (e questo è proprio il caso di mj..) e/o interessi precisi in proposito (solitamente di natura economica...) specie perchè chi attacca ha la possibilità di giocare "d'anticipo":
scaricarsi il software e studiarne come questo risponde al loro codice cosi' da tararlo fin tanto che non si ottiene il risultato voluto (l'evasione), è infatti per questi soggetti (quasi) un gioco da ragazzi...


Cosi' è...

---------
pensieri
---------

mi ero ovviamente chiesto il motivo per il quale mj spendesse tempo per stroncare certi hips (che tipo di interesse potesse avere, cioè):

bè, la risposta che ne ho ricavato leggendo un pò alla meglio forum cinesi con la traduzione in inglese fornita da google translator è stata, oltre al fatto che evidentemente non aveva un °||° da fare (:D), quella di mitigare tanto gli entusiasmi delle software house quando sbandierano a dx e a manca la bontà delle loro soluzioni quanto il senso di sicurezza che percepiscono inconsciamente i rispettivi utenti di queste soluzioni...

E questo, come dicevo, è un dato di fatto per i motivi citati nel post precedente (l'esistenza cioè delle brecce)...


Ma ci potrebbe essere altro dietro le quinte?
Chi lo sa, visto che da un lato mj si è sempre distinto come quello che non vede in queste soluzioni una panacea ma dall'altro, xò, lavora proprio per un nuovo player cinese, 360 (http://www.360.cn/) che, all'interno del proprio portafoglio, offre soluzioni concorrenti...

Insomma, lo ringrazio per aver offerto uno spunto all'irrobustimento di certi programmi e per averne rimarcato la loro non infallibilità però vedo anche del torbido in questo giochetto...

:D :asd: http://gladiator-antivirus.com/forum/style_emoticons/default/derisived.gif

--> L O L (http://tv.repubblica.it/piu-visti/settimana/bob-la-tuta-si-strappa-prima-della-gara/41455?video=&pagefrom=1) <--

http://gladiator-antivirus.com/forum/style_emoticons/default/guy_dancin.gif http://gladiator-antivirus.com/forum/style_emoticons/default/fire.gif http://gladiator-antivirus.com/forum/style_emoticons/default/nurse.gif




http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

...Dell'ultima vulnerabilità resa nota ieri siamo tuttora in attesa di un fix...

ho appreso 2 minuti fa tramite mail che il problema è stato risolto con la beta di ieri (24/1/10):
fa piacere notare cmq come a questo giro di boa Ilya se ne sia stato zitto zitto non facendo trapelare ufficialmente nessun tipo di riferimento a questo discorso per probabili ragioni di immagine, perchè è indubbio che la cosa gli abbia creato un certo fastidio...

Sinceramente avrei apprezzato di più una maggiore trasparenza anche se la cosa era fastidiosa...

PS: il concetto della trasparenza che è mancata, peraltro, ho avuto modo di ribadirglielo tanto per mail che pubblicamente anche se credo che la cosa lo abbia toccato "il giusto"...

EDIT:
e invece ha riconosciuto l'errore anche se, come scusa, ha addotto il fatto che il fix! lo aveva impegnato solo per un periodo di circa 20 minuti e che era tutto preso dal portare avanti certe implementazioni della nuova v3...

Stuzzicare la gente, dunque, paga specie se lo si fa pubblicamente...:D

ho appreso 2 minuti fa tramite mail che il problema è stato risolto con la beta di ieri (24/1/10):
fa piacere notare cmq come a questo giro di boa Ilya se ne sia stato zitto zitto non facendo trapelare ufficialmente nessun tipo di riferimento a questo discorso per probabili ragioni di immagine, perchè è indubbio che la cosa gli abbia creato un certo fastidio...

Sinceramente avrei apprezzato di più una maggiore trasparenza anche se la cosa era fastidiosa...

PS: il concetto della trasparenza che è mancata, peraltro, ho avuto modo di ribadirglielo tanto per mail che pubblicamente anche se credo che la cosa lo abbia toccato "il giusto"...

EDIT:
e invece ha riconosciuto l'errore anche se, come scusa, ha addotto il fatto che il fix! lo aveva impegnato solo per un periodo di circa 20 minuti e che era tutto preso dal portare avanti certe implementazioni della nuova v3...

Stuzzicare la gente, dunque, paga specie se lo si fa pubblicamente...:D

E' sempre un piacere leggere i tuoi interventi:gluglu:

E' sempre un piacere leggere i tuoi interventi

...specie se sono tutti come il post n 2311 :sofico:

Grazie, cmq, ciao!

EDIT:
e invece ha riconosciuto l'errore anche se, come scusa, ha addotto il fatto che il fix! lo aveva impegnato solo per un periodo di circa 20 minuti e che era tutto preso dal portare avanti certe implementazioni della nuova v3...

Stuzzicare la gente, dunque, paga specie se lo si fa pubblicamente...:D [/SIZE]

Osserva i tuoi nemici, poiché essi sono i primi a scoprire i tuoi difetti. (le brecce) [Cit.]

di fatto le cose stanno proprio così ;)

Grazie nV, sinceramente non sapevo neanche di questi altri PoC..

Anche a me fa piacere rileggerti, ma che te lo dico a fare, tanto lo sai:p

Saluti

---------
pensieri
---------

mi ero ovviamente chiesto il motivo per il quale mj spendesse tempo per stroncare certi hips (che tipo di interesse potesse avere, cioè):

bè, la risposta che ne ho ricavato leggendo un pò alla meglio forum cinesi con la traduzione in inglese fornita da google translator è stata, oltre al fatto che evidentemente non aveva un °||° da fare (:D), quella di mitigare tanto gli entusiasmi delle software house quando sbandierano a dx e a manca la bontà delle loro soluzioni quanto il senso di sicurezza che percepiscono inconsciamente i rispettivi utenti di queste soluzioni...

E questo, come dicevo, è un dato di fatto per i motivi citati nel post precedente (l'esistenza cioè delle brecce)...


Ma ci potrebbe essere altro dietro le quinte?
Chi lo sa, visto che da un lato mj si è sempre distinto come quello che non vede in queste soluzioni una panacea ma dall'altro, xò, lavora proprio per un nuovo player cinese, 360 (http://www.360.cn/) che, all'interno del proprio portafoglio, offre soluzioni concorrenti...

Insomma, lo ringrazio per aver offerto uno spunto all'irrobustimento di certi programmi e per averne rimarcato la loro non infallibilità però vedo anche del torbido in questo giochetto...

non esiste la sicurezza...come al poker ...non sai mai se il tuo avversario sta bleffando o ha il punto migliore di te...perc he' il punto vincente in assoluto non c'e'...queste sono le regole:D

dire che dispiaccia leggere che altri hanno gradito un intervento (o una serie di interventi, una partecipazione..), è palesemente falso:
mi fa piacere, e mi fa piacere eccome.

GRAZIE.


Visto cmq che la cosa è anche reciproca (questo, infatti, è una sorta di angolino che ha visibilità moderata e che coinvolge gira e rigira le solite persone), facciamo una cosa,

e cioè che a prescindere dal fatto che uno torni a postare o meno, quando ci leggiamo non diciamoci più che siamo stati contenti di rivederci o altro anche perchè personalmente mi mettete in imbarazzo visto che non ritengo di avere doti informatiche di chissà quale spessore (anzi, a dir la verità, conosco 0 di kernel, 0 di programmazione, ecc ecc)...




Mi chiedo anzi cosa parli a fare visto che la tematica degli HIPS ruota di fatto intorno a fattori che esulano dalle mie conoscenze...:D




Se invece è solo l'aspetto umano (come cioè mi rapporto con gli altri quando parlo, come tenti di risultare il più possibile comprensibile o che so io...) che vi spinge a dichiarare il vostro "piacere", allora a questo non sono indifferente e vi ringrazio sinceramente.



Visto cmq che tutti i salmi finiscono in gloria, vi ripropongo questo post passato troppo frettolosamente in sordina, :D
LINK! (http://www.hwupgrade.it/forum/showpost.php?p=30595464&postcount=2311)

:D :D

dire che dispiaccia leggere che altri hanno gradito un intervento (o una serie di interventi, una partecipazione..), è palesemente falso:
mi fa piacere, e mi fa piacere eccome.

GRAZIE.


Visto cmq che la cosa è anche reciproca (questo, infatti, è una sorta di angolino che ha visibilità moderata e che coinvolge gira e rigira le solite persone), facciamo una cosa,

e cioè che a prescindere dal fatto che uno torni a postare o meno, quando ci leggiamo non diciamoci più che siamo stati contenti di rivederci o altro anche perchè personalmente mi mettete in imbarazzo visto che non ritengo di avere doti informatiche di chissà quale spessore (anzi, a dir la verità, conosco 0 di kernel, 0 di programmazione, ecc ecc)...




Mi chiedo anzi cosa parli a fare visto che la tematica degli HIPS ruota di fatto intorno a fattori che esulano dalle mie conoscenze...:D




Se invece è solo l'aspetto umano (come cioè mi rapporto con gli altri quando parlo, come tenti di risultare il più possibile comprensibile o che so io...) che vi spinge a dichiarare il vostro "piacere", allora a questo non sono indifferente e vi ringrazio sinceramente.



Le tue sono osservazioni mai banali e scontate, anzi hanno sempre un qualcosa che va al di là della semplice informazione..
In questo valore aggiunto c'è, secondo me, il fattore umano di cui parli.. forse un pò di quella tua "passione" (passami il termine), che rende il tutto più gradevole e interessante:)


Visto cmq che tutti i salmi finiscono in gloria, vi ripropongo questo post passato troppo frettolosamente in sordina, :D
LINK! (http://www.hwupgrade.it/forum/showpost.php?p=30595464&postcount=2311)

:D :D

guarda la faccia di quelli dietro:fiufiu: :asd: :D

ehhh a lei serve un hips più robusto, il suo è stato bucato :D
perdonate l'OT

Io qua vi seguo sempre con piacere, peccato che le mie conoscenze in materia sono quasi zero e partecipo poco quindi.. ma ci si prova
Sto provando CIS 4 ma come al solito a me le beta di COMODO crashano regolarmente, e dire che ho messo su un xp fresco fresco
Misteri

E ti lamenti?!! :Prrr:

Io non è che non riesco ad installare CIS4 su VM, non riesco neanche a metterci l'installer sulla VM :asd:
Comodo mi odia .... e pensare che una volta era la sua preferita :D

Non posso resistere..... http://gladiator-antivirus.com/forum/style_emoticons/default/fire.gif ......è tremenda :asd:

ehhh a lei serve un hips più robusto, il suo è stato bucato :D
perdonate l'OT

Io qua vi seguo sempre con piacere, peccato che le mie conoscenze in materia sono quasi zero e partecipo poco quindi.. ma ci si prova
Sto provando CIS 4 ma come al solito a me le beta di COMODO crashano regolarmente, e dire che ho messo su un xp fresco fresco
Misteri

anchio vi leggo con curiosita' cercando di imparare qualcosa in piu' dall'affascinante mondo del hips

io ho avuto un po' piu' di coraggio ho istallato cis4 sia sul notebook che la mia postazione desktop di casa,funziona abbastanza bene tranne l'hips che non mi avverte di nulla quando faccio una istallazione di nuovo programma non mi avverte di nulla...quasi come se stesse sempre in modalita' istallazione eppure il d+ e settato

configurazione proactive security,defence livello safe mode:boh:

premesso che eviterei come la peste di usare questa release di CIS4 su un Pc "di produzione" (e cosi' dico anche la mia su quello che ci ha comunicato poc'anzi arnyreny...), DW continua ad essere sotto la morsa di mj:

se non ho capito male, infatti, sembrerebbe stesse passando in rassegna tutte le API "agganciate" da DW alla ricerca di debolezze nella loro implementazione...

http://translate.google.com/translate?hl=it&ie=UTF-8&sl=zh-CN&tl=en&u=http://bbs.kafan.cn/thread-634940-1-1.html&rurl=translate.google.it


Mah, se alla fine della fiera tutto quest'accanimento portasse ad un deciso giro di vite nella robustezza del programma, non tutto il male verrebbe per nuocere...:sperem:


Nel frattempo, e cosi' usciamo dal capitolo dei PoC e delle vulnerabilità varie, ho avuto modo di confrontarmi con alcuni giocattolini reali (TDL3,...):
per fortuna, con le ossa rotte sono usciti loro e non Dw...:D

es:
TDSS.avgk
01.26.2010 11:22:52, module C:\Users\...\Desktop\New folder\1262956944.exe, Attempt to rename file C:\Users\...\Desktop\New folder\1262956944.exe (File )

01.26.2010 11:22:50, module C:\Users\...\Desktop\New folder\1262956944.exe, Internet connections are blocked (Network)

01.26.2010 11:22:50, module C:\Users\...\Desktop\New folder\1262956944.exe, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

01.26.2010 11:22:49, module C:\Users\...\Desktop\New folder\1262956944.exe, Attempt to add new printer processor (Spooler)

01.26.2010 11:22:49, module C:\Users\...\Desktop\New folder\1262956944.exe, Attempt to open protected file C:\Users\...\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

01.26.2010 11:22:49, module C:\Users\...\Desktop\New folder\1262956944.exe, Attempt to change size of C:\Windows\System32\spool\prtprocs\w32x86\E755.tmp:Zone.Identifier (File )
dove il punto critico è la stringa "...Attempt to add new printer processor (Spooler)"....

Mi rendo conto, cmq, che è decisamente più semplice "tracciare" i comportamenti con Malware Defender (o un altro hips classico...) che, per quello che dovrebbe essere il solito tipo di rischio, restituisce questo log decisamente più chiaro specie alla luce di quella che è anche la mia capacità di interpretazione,
http://img716.imageshack.us/img716/6803/mdlog.png
(presa da wilders, utente: subset)

Agent.tnr
01.26.2010 11:35:23, module C:\Windows\System32\cmd.exe, Attempt to delete file C:\Users\...\Desktop\New folder\Agent tnr.exe (File )

01.26.2010 11:35:23, module C:\Windows\System32\cmd.exe, Attempt to delete file C:\Users\...\Desktop\New folder\Agent tnr.exe (File )

01.26.2010 11:35:23, module C:\Users\...\Desktop\New folder\Agent tnr.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\services\360SE\Parameters\ (Registry)

01.26.2010 11:35:23, module C:\Users\...\Desktop\New folder\Agent tnr.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\services\360SE\ (Registry)

01.26.2010 11:35:23, module C:\Users\...\Desktop\New folder\Agent tnr.exe, Attempt to create service (Service)


PS: chi è interessato, mi mandi pure un pvt che provvedo a girare...:p

mi sa che Ilya si sia in**cazz**.. di brutto o con me [:D] (forse mi revoca la licenza anche se in verità non credo gli convenga alla luce di tutti quelli che sono stati i miei report sul suo programma, ecc...) o con mj [:stordita:] ...

La sua mail di 2 secondi fa, infatti, ha un tono "criptico":
"And that's great! Can't wait until he find more serious flaws in dwall.sys!"


Chi mi illumina sul "contro chi l'abbia?" :D

PS: la differenza tra "you" e "he" la conosco anch'io, mentre è il tono deciso che trovo fuorviante...:D

premesso che eviterei come la peste di usare questa release di CIS4 su un Pc "di produzione" (e cosi' dico anche la mia su quello che ci ha comunicato poc'anzi arnyreny...)
[cut]
concordo, pure a me lascia qualche incertezza...
invece adoro profondamente ComodoTimeMachine:D

Hai un pm..

Saluti

[...]
Mi rendo conto, cmq, che è decisamente più semplice "tracciare" i comportamenti con Malware Defender (o un altro hips classico...) che, per quello che dovrebbe essere il solito tipo di rischio, restituisce questo log decisamente più chiaro specie alla luce di quella che è anche la mia capacità di interpretazione,
http://img716.imageshack.us/img716/6803/mdlog.png
(presa da wilders, utente: subset)
...
------------------
ILLUMINAZIONE!!
------------------
Dicevo di rendermi conto che era decisamente più semplice "tracciare" i comportamenti di un sample (in questo caso, TDL3) studiando meglio gli eventi registrati da un hips classico (avevo citato MD...):
ebbene, dopo un'attenta osservazione dello schema a blocchi che inserisco sotto ( e che illustra i passi percorsi da TDL3 per inizializzarsi..), "vedo" che Dw è straordinario! intervenendo addirittura moolto più a monte nel processo di infezione rispetto a MD.

http://blog.cmclab.net/wordpress/wp-content/uploads//2009/11/image003.jpg

Guardando il ramo di sinistra dello schema, infatti, vedo infatti che la prima cosa che fa il dropper è copiare un file temporaneo in una precisa directory (system32\spool) trasformandolo successivamente in una dll.

Solo a questo punto viene contattata l'API "AddPrintProcessor" che servirà a forzare il processo spoolsv.exe a caricare la dll in oggetto.

DefenseWall, in effetti, vede e castra questo tentativo di exploit indicandolo nella propria scheda di log come "...Attempt to add new printer processor (Spooler)".


E' evidente, dunque, che impedendo al processo spoolsv.exe di essere exploitato, il processo stesso muore.

***************


Con l'hips tradizionale (MD, ad es..), viene trascurato il lato di sinistra dello schema, e cioè il dropper riesce a patchare il file temporaneo cosi' da trasformarlo nella dll incriminata e, non filtrando l'API AddPrintProcessor, spoolsv.exe è forzato a caricare la dll in questione.

Solo a questo punto, entra in gioco e "vede" i passaggi del lato destro dello schema (inibiti in partenza da Dw! :D ):
infatti, la dll caricata dal processo spoolsv.exe "droppa" il driver del rootkit vero e proprio (un altro file temporaneo), cerca di crearne il servizio (tdlserv, intercettato!) e poi fa in modo di "chiamarlo direttamente" per guadagnarsi l'accesso al kernel (intercettata!), dopodichè la frittata ha inizio...


Insomma, goduria..! :p

Riferimento:
http://rootbiez.blogspot.com/2009/11/rootkit-tdl3-why-so-serious-lets-put.html





********************************************************
EDIT 10/2/2010:
paradossalmente, a seguito di queste considerazioni, mi sono sorti più dubbi che certezze per motivi che, al momento, preferisco omettere...

Alla fine non sono riuscito a scaricare il file che mi hai girato, rapidshare dice che è sovraccarico di richieste:(

Ad ogni modo sono riuscito a scaricare una (differente?) versione del TDL3:D
MD5: 81347b5591a59d79ed245a5848c43a0f

L'ho provato con MD perchè non mi fidavo del log di subset, e invece ho avuto quasi lo stesso risultato:
http://img34.imageshack.us/img34/4601/logtdl3.th.png (http://img34.imageshack.us/i/logtdl3.png/)

Ergo ha ragione nV, fornisco ulteriore prova del fatto che MD, come probabilmente tutti gli hips, non intercetta nessuno dei passaggi "di sinistra" nello schema:read:

Saluti

edit:
Ora me l'ha scaricato da rapidshare :p

è uscita una nuova beta di CIS4, v4.0.1**.679 (https://forums.comodo.com/cis4-beta-testing/comodo-internet-security-40129536679-beta-released-t50720.0.html)

FIXED! USB devices are not recognized while CIS is installed
FIXED! AV Scanner crashes while scanning some files
FIXED! CIS BSODs with Xlisoft Video Converter
FIXED! CIS keeps logging when logging is disabled
FIXED! CIS does not remember answers to some COM alerts
FIXED! CIS icon stays permanently in Windows 7 task bar
FIXED! Many incompatibility problems: Googlle Sidebar Consumes 100% CPU when sandboxed, Opera can not open default browser settings etc.
FIXED! AV full scanning status is not reflected properly in the summary screen

Installata :D

Ho circa un milione di domande su CIS 4 beta :D
Ci sono delle cose che proprio non mi piacciono, a default anche scegliendo la Proactive Secutiry le regole sono ridicole :cry:

Se ne può parlare qui o dobbaimo aprire una nuova discussione?

Ciao ciao ;)

Per quanto mi riguarda, se ne può parlare anche qui..:)

Bene :D
Allora ti dico la prima cosa che ho notato e per poco non mi prende un colpo :ncomment:

Guarda le regole globali, sono uguali per tutte e tre le configurazioni
http://img62.imageshack.us/img62/3136/imm1.th.jpg (http://img62.imageshack.us/i/imm1.jpg/)

A sì quasi dimenticavo :D
Ci sono solo 3 configurazioni: Internet, Proactive e Firewall Security.
Non so perchè non c'è anche Antivirus Security :boh:

Le regole per le applicazioni non sono poi molto meglio di default, ma magari erano così anche nella versione 3 ed io non me lo ricordo :asd:
Queste sono per la Proactive e per la Firewall Security
http://img691.imageshack.us/img691/2954/imm3.th.jpg (http://img691.imageshack.us/i/imm3.jpg/)

e queste per la Internet Security
http://img210.imageshack.us/img210/8171/imm2e.th.jpg (http://img210.imageshack.us/i/imm2e.jpg/)

Valli a capire questi :asd:

ho notato un altra cosa quando istalli una nuova applicazione con diritti elevati...ti si apre un pop-up che ti avverte e in caso gli dici che e' un applicazione sicura...procede come nel cis3 con la modalita' istallazione:D

...Guarda le regole globali, sono uguali per tutte e tre le configurazioni...
Perdonami ma credevo che l'oggetto delle tue perplessità fosse legato al comparto difesa proattiva...:stordita:
Problematiche legate al firewall, sinceramente, le relegherei ad altre zone del forum...


http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

Perdonami ma credevo che l'oggetto delle tue perplessità fosse legato al comparto difesa proattiva...:stordita:
Problematiche legate al firewall, sinceramente, le relegherei ad altre zone del forum...


http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

Quella che fa la calzetta sarei io? :D :D :stordita:

Le mie perpressità riguardano tutti i moduli della suite, nessuno escluso :(
Poi ho visto le regole del firewall e mi sono un pò alterata :asd:
In effetti dovevo pensarci che il firewall qui è OT :stordita:

Che dite allora si apre una discussione su CIS 4 beta?

Quella che fa la calzetta sarei io? :D :D :stordita:
la faccina (splendida, peraltro...) andava letta nel senso che continuavo a concentrarmi su altre cose...:)

Non per niente, si chiama "gal (ragazza) busy (occupata, affaccendata...)" :D


Se cmq vuoi fare la calzetta anche te...:fiufiu:
http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif :sofico:




il resto del post è stato editato perchè non importante...

Visto che ultimamente sto provando i programmi portable per il 3d apposito, nessuno di voi ha mai provato PE guard che tra le altre cose è pure portable?http://www.softpedia.com/get/Antivirus/PE-GUARD.shtml

Poi pure io ho provato la nuova beta di CIS4 e sebbene sia diventata più stabile (prima erano schermate blu, ora no) mi sembra acerbissimo, non si ricordava le regole impostate e varie altre cosucce, poi mi sembra meno personalizzabile e con regole preconfezionate abbastanza modeste, insomma mi sembra più orientato a quasi niubbi piuttosto che a utenti medi

NV se non vieni al pranzo in quel di Anghiari ti mando i cavalieri della famosa battaglia lì svolta sotto casa in singolar tenzone

Visto che ultimamente sto provando i programmi portable per il 3d apposito, nessuno di voi ha mai provato PE guard che tra le altre cose è pure portable?http://www.softpedia.com/get/Antivirus/PE-GUARD.shtml

Poi pure io ho provato la nuova beta di CIS4 e sebbene sia diventata più stabile (prima erano schermate blu, ora no) mi sembra acerbissimo, non si ricordava le regole impostate e varie altre cosucce, poi mi sembra meno personalizzabile e con regole preconfezionate abbastanza modeste, insomma mi sembra più orientato a quasi niubbi piuttosto che a utenti medi

NV se non vieni al pranzo in quel di Anghiari ti mando i cavalieri della famosa battaglia lì svolta sotto casa in singolar tenzone

L'ho provato io tempo fà ed ho messo qualche screen al test Comodo, se non erro, proprio in questo 3D anche se oggi appena ritornato dalla vacanza proprio non ho voglia di ricercare.....il tutto !! :D

L'ho provato io tempo fà ed ho messo qualche screen al test Comodo, se non erro, proprio in questo 3D anche se oggi appena ritornato dalla vacanza proprio non ho voglia di ricercare.....il tutto !! :D

eh infatti mi ricordava qualcosa ma col cerca non lo avevo trovato (a volte non fa il suo dovere) e infatti è qui http://www.hwupgrade.it/forum/showpost.php?p=30050266&postcount=2234
Comunque per essere leggerissimo e portable magari una segnalazione sul 3d dei software portabili la faccio

DefenseWall Personal Firewall v3 Review with 75 License Giveaway

http://www.raymond.cc/blog/archives/2010/02/06/defensewall-personal-firewall-v3-review-with-75-license-giveaway/

Non vi fate ingannare dal titolo dell'articolo, lo segnalo perchè Ray ha testato anche l'HIPS.

Ciao ciao ;)

in rotta con Ilya?...:D

Per carità, nulla di personale visto che è una persona squisita, disponibile ed estremamente competente, ma ci sono dei fattori (al momento non troppo circostanziati visto che mi sembra cerchi di eludere alcune risposte...) che mi fanno dubitare dell'effettiva capacità del suo software di contrastare le minacce FUTURE basandoci solo su quello che è lo stato oggi della tecnologia impiegata nel suo software...

In sostanza, la prevenzione è resa possibile solo andando di pari passo con quella che è la dinamica delle tecnologie impiegate dai malwares più recenti ed innovativi....

Per carità, nulla di nuovo ma tutto questo ragionamento (sfogo?) mi fa capire ancora una volta come la prevenzione più robusta in assoluto (intesa come capacità oggi di contenere gli effetti di un qualcosa di nuovo) è, oltre all'account limitato, quella offerta dallo "stupido" HIPS tradizionale se si dispone di buone regole e se si sappia come comportarsi di fronte a pop up...




Proprio mentre scrivevo, peraltro, ho avuto conferma dei miei sospetti visto che ho ricevuto il tanto anelato reply alla mia ultima (di una lunga serie di) e-mail....(~200 in meno di un anno?) :D

...E pensare che ad illuminarmi è stato proprio il TDL3 discusso pochi post sopra...:D :stordita:


Garantisco che sono realmente un dito nel ** [:D] quando mi ci metto e che, per 30€, alla software house XYZ non conviene avermi come cliente...


Alla fine della fiera, è probabile il ritorno @ MD! :D

in rotta con Ilya?...:D

Per carità, nulla di personale visto che è una persona squisita, disponibile ed estremamente competente, ma ci sono dei fattori (al momento non troppo circostanziati visto che mi sembra cerchi di eludere alcune risposte...) che mi fanno dubitare dell'effettiva capacità del suo software di contrastare le minacce FUTURE basandoci solo su quello che è lo stato oggi della tecnologia impiegata nel suo software...

In sostanza, la prevenzione è resa possibile solo andando di pari passo con quella che è la dinamica delle tecnologie impiegate dai malwares più recenti ed innovativi....

Per carità, nulla di nuovo ma tutto questo ragionamento (sfogo?) mi fa capire ancora una volta come la prevenzione più robusta in assoluto (intesa come capacità oggi di contenere gli effetti di un qualcosa di nuovo) è, oltre all'account limitato, quella offerta dallo "stupido" HIPS tradizionale se si dispone di buone regole e se si sappia come comportarsi di fronte a pop up...




Proprio mentre scrivevo, peraltro, ho avuto conferma dei miei sospetti visto che ho ricevuto il tanto anelato reply alla mia ultima (di una lunga serie di) e-mail....(~200 in meno di un anno?) :D

...E pensare che ad illuminarmi è stato proprio il TDL3 discusso pochi post sopra...:D :stordita:


Garantisco che sono realmente un dito nel ** [:D] quando mi ci metto e che, per 30€, alla software house XYZ non conviene avermi come cliente...


Alla fine della fiera, è probabile il ritorno @ MD! :D

Se non ricordo male AIGLE aveva aperto un 3D che ho seguito pochissimo, anzi quasi per nulla, su W. dove sosteneva un parziale bypassing anche di MD......

[...]

In sostanza, la prevenzione è resa possibile solo andando di pari passo con quella che è la dinamica delle tecnologie impiegate dai malwares più recenti ed innovativi....

Per carità, nulla di nuovo ma tutto questo ragionamento (sfogo?) mi fa capire ancora una volta come la prevenzione più robusta in assoluto (intesa come capacità oggi di contenere gli effetti di un qualcosa di nuovo) è, oltre all'account limitato, quella offerta dallo "stupido" HIPS tradizionale se si dispone di buone regole e se si sappia come comportarsi di fronte a pop up...

Scusa non ho capito bene :stordita:
Questo è un discorso che vale in generale, nel senso che tutti i programmi che pretendono di proteggere i nostri pc dovrebbero seguire l'evolversi delle tecnologie impiegate nei malware ed aggiornarsi in funzione di queste :D
DW ha un problema in tal senso? Cioè il modo in cui funziona lo rende più vulnerabile da questo punto di vista?

eheheh :p

Nel frattempo ho finito di impostare il grosso delle regole di MD..

Appena terminata la taratura di fino, rispondo a tutti.

A tra poco :)

eheheh :p

Nel frattempo ho finito di impostare il grosso delle regole di MD..

Appena terminata la taratura di fino, rispondo a tutti.

A tra poco :)

sarà felice il buon cloutz del tuo ritorno al programma

non so a quanti possa interessare, cmq riporto i motivi che mi hanno spinto al cambio che, a questo punto, direi essere definitivo.

Nulla è anzitutto imputabile alle recenti vulnerabilità segnalate di recente visto che i motivi che mi hanno spinto a prendere la decisione sono sati figli di un processo lento (ho dovuto ricercare a dx e a manca diversi elementi che mi mancavano per una comprensione più ampia del concetto di SandBox...) e doloroso visto che rinunciare a questo software comportava dire addio ad un modo di vivere la rete e ad un modo di gestione quotidiana del Pc decisamente più "rilassante" rispetto a quanto oggettivamente reso possibile con l'uso di un software come Malware Defender, ad es...

Anzi, paradossalmente sono arrivato a trarre le mie conclusioni sulla base di un'analisi il più possibile attenta del rootkit TDL3 discusso pochi post sopra...:stordita:

Curioso, no?, dopo aver sbandierato (ed è cmq vero) quanto sia elegante la soluzione proposta da DefenseWall come difesa contro il processo di exploit a danno di spoolsv.exe....

In effetti, gli HIPS tradizionali si sognano diversi preziosismi di Dw (e, credo, Sandboxie) ma...ecco, appunto, c'è un "ma" che è tutto un capitolo a sè....

Questo "ma", dunque, è estremamente mitigato (per non dire assente...) se l'utente impiega un hips puro, di quelli stupidi!, insomma...e a patto sempre che non si faccia trovare impreparato di fronte a potenziali popup..(ma non è questo il nostro caso :D )...

Quindi:
Analisi attenta di come Dw previene il TDL3 + analisi di come un Rootkit poco tempo fà era riuscito a forare Sandboxie ---> ho tratto le mie conclusioni...:D


Vi piace per ora l'abbocco che vi ho tirato? :p
Perchè riconosco da solo di aver gettato l'amo ma di non aver dato ancora alcuna spiegazione del famoso "ma" di cui parlavo poc'anzi e che sarà oggetto di un nuovo post....ASAP* :D









*ASAP: as soon as possible, come dicono gli inglish :Prrr:

sarà felice il buon cloutz del tuo ritorno al programma

assolutamente si* :D :D
unica cosa è che MD non funzia bene in account limitato, e sta cosa mi fa inalberare non poco

* anche se sto seguendo poco il suo sviluppo, è un pò un periodo incasinato..

nV dove sei? Sto aspettando la seconda parte :D
Io ho abboccato alla grande :asd:

nV dove sei? Sto aspettando la seconda parte :D
Io ho abboccato alla grande :asd:

+ 1

non l'ho detto ma era scontato che sarei rimasto interessantemente sintonizzato:ciapet:

gente, sono a casa di amici e mi sono ritagliato giusto 2 minuti di pausa tra 1 partita di briscola e 1 altra....:D

Per la 2° parte a questo punto si va a domani....:stordita:


Non aspettatevi cmq clamorose rivelazioni perchè non sono certo 1 tecnico...

A domani e....auguratemi 1 "in bocca al lupo" per i match che ancora mi aspettano.....:sofico:




---------------------
EDIT Venerdi 12/2:
---------------------
Scusatemi ma sono impossibilitato a mantenere la promessa di completare il mio pensiero per oggi...

Chi l'ha detto cmq che tutto il male venga per nuocere?
Magari, grazie a questa situazione di stallo, vi siete risparmiati delle fesserie...

...Alla fine della fiera......il ritorno @ MD! :D

...io invece mi devo essere perso il passaggio in cui spieghi perchè preferisci MD al D+... :D :D :D

....
In effetti, gli HIPS tradizionali si sognano diversi preziosismi di Dw (e, credo, Sandboxie) ma...ecco, appunto, c'è un "ma" che è tutto un capitolo a sè....

Questo "ma", dunque, è estremamente mitigato (per non dire assente...) se l'utente impiega un hips puro, di quelli stupidi!, insomma...
Brevemente*, 2 battute sul significato da attribuire al famoso "ma" che, evidentemente, ha suscitato giustamente la curiosità in più d'uno...

[* Se inizialmente pensavo di circostanziare meglio il mio pensiero, infatti, ora la voglia è decisamente scemata e spero dunque non me ne vogliate se ho scelto il profilo "sintetico"]...

In sostanza, i Sandbox, soluzioni di difesa indiscutibilmente STREPITOSE se non altro per il tipo di esperienza d'uso della rete che regalano ai loro fruitori, sono decisamente più vulnerabili agli EXPLOIT rispetto agli stupidi HIPS classici, sempre che questi ultimi siano di un certo livello e (non 2° come importanza) ben settati (probabilmente, il vero discrimine)...

Cerchiamo xò un pelettino di circostanziare il discorso sopra altrimenti chissà le obiezioni visto che la sparata è grossa...:fagiano:

E per farlo, allora, ripercorro la genesi del processo mentale che ha portato alla mia "famosa" decisione...

TDL3:
"There’s nothing interesting with the dropper except its unique approach for installation into systems. Instead of using known or documented method, this sample actually implements an “0day” to execute itself...

...the dropper registers the malicious DLL file as an Print Processor which is named “tdl” by calling winspool API AddPrintProcessorA(). Internally, this API will issue an RPC call to the Printing Subsystem hosted by spoolsv.exe process and force spoolsv.exe to load the Print Processor DLL remotely. In this case, spoolsv.exe will execute the DLL version of the dropper copied inside the Print Processor directory inside the context of spoolsv.exe process....

...after being loaded into spoolsv.exe, the malicious DLL drops a driver and begins its second stage infection in kernel space by calling NtLoadDriver() directly..."

In sostanza, nel passo sopra si dice che la cosa realmente innovativa di questo malware è il modo con cui exploita il processo di sistema spoolsv.exe:
registra cioè la sua dll chiamando l'API AddPrintProcessorA() che, internamente, col discorso dell'RPC call, forza il processo spoolsv.exe stesso a caricare (ed eseguire) la dll incriminata all'interno del suo spazio di memoria..

Anche se non ho conoscenza di API nè tantomeno del loro funzionamento interno, non ci voleva una laurea in ingegneria informatica per capire che tutto il nocciolo del discorso risiedesse nella benedetta API AddPrintProcessorA(), da qui la domanda:


ho visto quanto elegante e corretta sia la soluzione di DefenseWall per castrare tutto l'exploit (vedi il log del post 2322 (http://www.hwupgrade.it/forum/showpost.php?p=30613409&postcount=2323)), ma cosa succederebbe se chi è dietro il malware TDL3 trovasse un nuovo escamotage per exploitare un processo di sistema (ad es, utilizzando il modo pincopallino invece che spoolsv e la sua API AddPrintProcessorA())?....


In questa particolare circostanza, l'unica conclusione ammissibile sarebbe che l'utente del Sandbox (vale almeno per DWall...) è di fatto scoperto...

Il programma, infatti, copre i ventagli conosciuti di exploit dei processi di sistema ma, ovviamente, nulla può con quelli sconosciuti per i quali non è offerto nessun filtro sulla nuova API incriminata nel nuovo exploit..

OK:
vediamo invece perchè l'HIPS più stupido è "avanti" (è sulla carta meno esposto a questi rischi)...

Ebbene, è paradossalmente spiegato tutto nelle considerazioni che ho fatto qui! (http://www.hwupgrade.it/forum/showpost.php?p=30615848&postcount=2326) e poi (ovviamente) confermate anche da cloutz.

In sostanza, lo stupidone (l'HIPS classico) *NON* vede l'exploit, ma vede (grazie alle sue regole) l'anomalia su spoolsv che vuole inizializzare il caricamento del 1° Kernel mode driver...

http://img229.imageshack.us/img229/4708/snap1ng.jpg

E' elegante fino ad un certo punto, ma almeno il rootkit non entra nel Pc...

( PS: * il motivo per cui parlo di 1° driver kernel mode è spiegato infatti qui,
"...after being loaded into spoolsv.exe, the malicious DLL drops a driver and begins its second stage infection in kernel space by calling NtLoadDriver() directly.
Questa dunque, è la fase descritta dal log sopra..

Se si ammettesse (GRAVISSIMO ERRORE) :D il tutto, "Now the battlefield takes place in kernel mode. The dropped driver loaded by spoolsv.exe is actually a loader for another embedded kernel codes.."

Insomma, il Pc sarebbe già stato a pecorina...:p )


Col Sandbox, dunque, anche se le difese sono più eleganti, è sempre una rincorsa al filtro dell'API corretta mentre nel caso dello stupidone se ne può paradossalmente fare anche a meno...



A 'sto punto, ci sarebbe il ragionamento del Rootkit che aveva bypassato Sandboxie (ma non MD! per i ragionamenti di cui sopra...) ma la voglia è ormai pari a 0...

Se volete verificare, cmq, il link è questo (peraltro già discusso anche se troppo frettolosamente):
http://www.sandboxie.com/phpbb/viewtopic.php?t=6123&highlight=bypassed



E' chiaro che mi assumo tutta la responsabilità di quello che ho detto che ricordo cmq non essere la verità assoluta ma solo un ragionamento personalissimo e, come tale, probabilmente anche molto opinabile.

Se anzi qualcuno mi facesse notare i difetti...:fiufiu:




PS: e meno male che la volevo fare corta! :D

Ma il rootkit in questione non è fermato sul nascere dall'accout limitato,UAC attivo e quindi tu che hai 7 (cosi come in Vista) dovresti, per dirla in maniera colorita, essere in una "botte di ferro" ?

p.s. Non mi dire che anche il ferro si può arrugginire !! :)

sempre su TDL3 questo articolo di eraser era stato postato?
http://www.pcalsicuro.com/main/2010/01/tdl3-rootkit-spettatori-di-un-gioco-a-senso-unico/
Se sì mi scuso ma non l'ho visto nella pagina prima
Magari aiuta a capire ulteriormente il discorso di Enne

p.s. Non mi dire che anche il ferro si può arrugginire !! :)

Cioè? :mbe:

Ma il rootkit in questione non è fermato sul nascere dall'accout limitato,UAC attivo e quindi tu che hai 7 (cosi come in Vista) dovresti, per dirla in maniera colorita, essere in una "botte di ferro" ?
Non uso lo standard user e cmq si, avresti ragione...

Psicologicamente senza un HIPS mi sento "nudo" anche se sono consapevole che taglierebbe alla radice ogni problema (in verità sorge xò una domanda:
se un utente limitato intendesse installare qualcosa (si pensi ad es ad un Fake AV...) e al contempo fosse anche amministratore del Pc (= si dispone della password necessaria a soddisfare la richiesta di diritti amministrativi operata dall'installer), che beneficio comporterebbe il "viaggiare" con privilegi ridotti se all'installer si attribuisse max grado di libertà?

Che protezione avrebbe cioè il Pc durante quel lasso di tempo?

OVO, quando invece con l'HIPS rimane sempre un certo grado di controllo sul sistema specie per le operazioni critiche anche nel caso di uso della modalità installazione (vero per MD, era vero per ProSecurity, ecc)...


@ Romagnolo:
sinceramente non so se l'articolo fosse stato postato o meno..
Resta il fatto che è un ottimo articolo come da consuetudine di cancellino...

La mia cmq non voleva essere un'analisi del malware in se per se (cosa peraltro che sarebbe andata decisamente al di là delle mie capacità) ma far vedere solo il ragionamento seguito per arrivare a trarre la mia personale opinione...

:)


--------
EDIT:
--------
Per completezza, cmq, riporterò ASAP anche i passi critici della discussione cui avevo fatto cenno dove si vedeva come Sbxie veniva bypassato da un rootkit che aggrediva sempre il solito spoolsv..
Solo i passi critici, ovvio, per continuare nel mio solito percorso mentale cui ormai vi ho introdotto...

Cioè? :mbe:

[/COLOR]
Non uso lo standard user e cmq si, avresti ragione...

Psicologicamente senza un HIPS mi sento "nudo" anche se sono consapevole che taglierebbe alla radice ogni problema (in verità sorge xò una domanda:
se un utente limitato intendesse installare qualcosa (si pensi ad es ad un Fake AV...) e al contempo fosse anche amministratore del Pc (= si dispone della password necessaria a soddisfare la richiesta di diritti amministrativi operata dall'installer), che beneficio comporterebbe il "viaggiare" con privilegi ridotti se all'installer si attribuisse max grado di libertà?

Che protezione avrebbe cioè il Pc durante quel lasso di tempo?

OVO, quando invece con l'HIPS rimane sempre un certo grado di controllo sul sistema specie per le operazioni critiche anche nel caso di uso della modalità installazione (vero per MD, era vero per ProSecurity, ecc)...


@ Romagnolo:
sinceramente non so se l'articolo fosse stato postato o meno..
Resta il fatto che è un ottimo articolo come da consuetudine di cancellino...

La mia cmq non voleva essere un'analisi del malware in se per se (cosa peraltro che sarebbe andata decisamente al di là delle mie capacità) ma far vedere solo il ragionamento seguito per arrivare a trarre la mia personale opinione...

:)


--------
EDIT:
--------
Per completezza, cmq, riporterò ASAP anche i passi critici della discussione cui avevo fatto cenno dove si vedeva come Sbxie veniva bypassato da un rootkit che aggrediva sempre il solito spoolsv..
Solo i passi critici, ovvio, per continuare nel mio solito percorso mentale cui ormai vi ho introdotto...

Forse da piccolo sono stato troppo influenzato dalle metafore di Trilussa.
Quindi era il mio modo colorito di dire quello che temono di più coloro che fanno completo affidamento all'account limitato cioè la "scalata dei privilegi".

Per completezza, cmq, riporterò ASAP anche i passi critici della discussione cui avevo fatto cenno dove si vedeva come Sbxie veniva bypassato da un rootkit che aggrediva sempre il solito spoolsv..
Solo i passi critici, ovvio, per continuare nel mio solito percorso mentale cui ormai vi ho introdotto...

Eccoli, e per oggi almeno si conclude qui la vicenda Pc che a 'sto punto mi ha realmente scassato i maroni...

Ricordate, no, il famoso Spyboss? (link! (http://www.hwupgrade.it/forum/showpost.php?p=28606625&postcount=2202))

Ecco, questo è il log di MD postato da nick s (ex ProSecurity user...) sul forum di Sandboxie ottenuto eseguendo il sample in questione in ambiente isolato da SandBoxie stesso:

A seguire, cmq, **solo** i passi critici:

I retested and am able to confirm Buster's findings including the existence of \system32\drivers\SKYNETnosixnst.sys. The only difference in the setup was to leave spoolsv.exe set to manual startup and unstarted.

........

8/20/2009 14:34:14 Access kernel object Permitted
Process: c:\sandbox\nick\defaultbox\user\current\application data\10036_04256324d54641e4d0ae335fde32668e.exe
Target: \KnownDlls\msvcrt.dll

.........

8/20/2009 14:34:15 Create file Permitted
Process: c:\windows\system32\spoolsv.exe
Target: C:\WINDOWS\system32\drivers\vxerxtaprqqhoyro.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

8/20/2009 14:34:15 Create registry key Permitted
Process: c:\windows\system32\spoolsv.exe
Target: HKEY_LOCAL_MACHINE\system\currentcontrolset\services\vxerxtaprqqhoyro
Rule: [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

8/20/2009 14:34:15 Set registry value Permitted
Process: c:\windows\system32\spoolsv.exe
Target: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vxerxtaprqqhoyro\imagepath
Data: \systemroot\system32\drivers\vxerxtaprqqhoyro.sys
Rule: [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

8/20/2009 14:34:15 Load kernel driver Permitted
Process: c:\windows\system32\spoolsv.exe
Target: c:\windows\system32\drivers\vxerxtaprqqhoyro.sys
Rule: [App]c:\windows\system32\spoolsv.exe



Notate anzitutto come (per ragioni di test..) autorizzi di proposito i comportamenti sopra? (permitted)
Tanto, anche dando l'OK!, quello che ne conseguiva doveva essere ristretto da SBxie, no?

......

Il problema, dunque, risiedeva nella possibilità del malware di eseguire il proprio codice nella "shared memory" e infatti, tzuk stesso dichiarava che "a program running with admin privileges can change bits of memory that are used by all programs in the system"...

L'HIPS stupido, dunque, non vede questa finezza (poi correttamente filtrata da Sbxie...) ma è in grado di nuovo di cogliere la sua diretta conseguenza, i passi critici cioè del log postato sopra....


In tutto questo discorso non c'è sicuramente eleganza nè lo stato dell'arte della prevenzione, ma di fatto, il sistema è libero da rischi maggiori (il Rootkit attivo che gira invisibile nel sistema)...

E dunque in questo senso è la "superiorità"....

Opinioni?





















PS:
alla fine della fiera, tante energie spese per cercare di trasmettere considerazioni varie valgono la pena giusto per il fatto che, essendo certi concetti fissati nero su bianco, ho la possibilità di rileggermeli in un 2° momento quando certe cose sfumano a causa del tempo...:fagiano:

Se tenessi un diario invece che scrivere sul forum sortivo lo stesso effetto! :D

e ora, invece, si passa ad aggiornare il post n°1 visto che diversi concetti, ormai, sono chiari e diversi pensieri sono espressi da schifo!


http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

e ora, invece, si passa ad aggiornare il post n°1 visto che diversi concetti, ormai, sono chiari e diversi pensieri sono espressi da schifo!


http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

:eek: :eek:
ma allora sei tornato davvero!!:eek:

Opinioni?

PS:
alla fine della fiera, tante energie spese per cercare di trasmettere considerazioni varie valgono la pena giusto per il fatto che, essendo certi concetti fissati nero su bianco, ho la possibilità di rileggermeli in un 2° momento quando certe cose sfumano a causa del tempo...:fagiano:

Se tenessi un diario invece che scrivere sul forum sortivo lo stesso effetto! :D
Permettimi di dirti che sbagli :D
E spero ti faccia piacere saperlo ;)

Io leggo sempre quello che scrivi e fortunatamente quasi sempre riesco a leggere i tuoi post prima che li editi (cancelli sempre la parte più interessante/divertente :asd:)

Certo io non posso collaborare all'analisi di un malware :stordita: e la maggior parte delle volte è per questo che non rispondo ai tuoi post ;)
Però leggo e faccio tesoro di ciò che scrivi (sperando che il giorno che becco un vero malware riconosco le sue azioni, perchè le hai spiegate qui :D )

Ciao ciao ;)

piace il tratto minimalista del post n°1?

:sofico:








Roby (e gli altri soliti amici), grazie!

:eek: :eek:
ma allora sei tornato davvero!!:eek:

sono tornato....e col botto!!! :D (vedi post 1..., essenziale... :asd: )

Ora ci stiocco 2 nomi ed ho finito!
......
E ci sono pure i complimenti (vedi post 2, ecc...)!! :asd: :asd:

Enne in merito agli 0-days mi aspetto un notevole passo avanti da Avira 10.
Non vorrei invece che una parte degli utenti (trà cui io probabilmente ma è solo un idea in embrione e magari domani sarà già passata) rinunci invece, se le premesse saranno mantenute, all'HIPS !!

Anche la versione di Avast 5 specie quella a pagamento con Sandbox + account limitato potrebbe far propendere una certa categoria di utenti per l'abbandono di questa tipologia di sw.

Tu ovviamente non sei noto (per ciò che hai scritto nel post iniziale) della mia idea.

sono tornato....e col botto!!! :D (vedi post 1..., essenziale... :asd: )

Ora ci stiocco 2 nomi ed ho finito!
......
E ci sono pure i complimenti (vedi post 2, ecc...)!! :asd: :asd:

haha, tiriamocela!! :asd: :D

eddai, che è quella roba???
è solo l'abbozzo, vero?? :O :Prrr: :Prrr:

Comunque complimenti per la semplicità :O

Opinioni?













PS:
alla fine della fiera, tante energie spese per cercare di trasmettere considerazioni varie valgono la pena giusto per il fatto che, essendo certi concetti fissati nero su bianco, ho la possibilità di rileggermeli in un 2° momento quando certe cose sfumano a causa del tempo...:fagiano:

Se tenessi un diario invece che scrivere sul forum sortivo lo stesso effetto! :D

in realtà ho letto i tuoi ultimi post e mi hanno alquanto spiazzato:stordita:
il mio silenzio era in realtà di riflessione, in quanto non avevo mai visto le cose da questo punto di vista...:stordita: :stordita:

al di là di chi risulta, dal tuo ragionamento, vincitore, sicuramente la riflessione è degna di nota.. soprattutto perchè si focalizza sul come vengono sviluppati determinati software..

Gli hips sono tendenzialmente più generici per coprire uno spettro decisamente più ampio di fattori.. poi modificando alcune cose si possono ottenere, per vie traverse, migliori controlli sulla quasi totalità delle aree.. Quindi, bug permettendo, mostrano una maggiore flessibilità (a carico dell'utente); caratteristica, questa, che li rende ancora una volta i più orientati alla prevenzione..

(policy-)sandbox invece basate sulla prevenzione di infezioni future, ma sviluppate sull'esperienza delle infezioni del passato.. e l'utenza non può, a mano, andare a modificare/gestire come il software processa determinati file; tutto è affidato alle mani dello sviluppatore, cui viene delegato tutto (a favore di una semplicità mostruosa)..

:fagiano:

..il mio silenzio era in realtà di riflessione, in quanto non avevo mai visto le cose da questo punto di vista...

bè, anch'io sono arrivato a formarmi l'idea di cui sopra dopo un percorso tortuoso...

Pensa, cmq, che a tutt'ora ho la presunzione di dire di aver guardato nella direzione giusta e, a conforto proprio della mia "teoria", vengono in soccorso tanto le pseudo analisi relative al TDL3/Spyboss (ma non solo...) che le risposte che mi ha fornito a denti stretti Ilya...


Fatto stà che
1) se l'exploit convolge processi di sistema
e (non secondario..)
2) utilizza al contempo un sistema innovativo,

allora il Sandbox offre agli utenti una difesa praticamente pari a 0....

Nel caso di uso di un HIPS tradizionale, invece,
l'exploit che risponde alle caratteristiche di cui sopra si trova imbrigliato all'interno del grado di libertà (di movimento) attribuito dall'utilizzatore al processo stesso (poi exploitato dal malware).

E gli avvisi che dovessero seguirne, dunque, sarebbero chiaramente indicatori di un anomalia in essere...


Diverso probabilmente il caso di CIS4 dove, al di là di come funzioni praticamente il suo nuovo Sandbox (ancora in fase troppo embrionale per addentrarsi in considerazioni più precise, imo..), c'è l'affiancamento di questa soluzione alla parte tradizionale che vede i processi di sistema imbrigliati nelle loro policy...

Anche se, in verità, qualcosa in CIS non mi quadra proprio a proposito delle sue policy, ma questo è un altro discorso...

bè, anch'io sono arrivato a formarmi l'idea di cui sopra dopo un percorso tortuoso...

Pensa, cmq, che a tutt'ora ho la presunzione di dire di aver guardato nella direzione giusta e, a conforto proprio della mia "teoria", vengono in soccorso tanto le pseudo analisi relative al TDL3/Spyboss (ma non solo...) che le risposte che mi ha fornito a denti stretti Ilya...


Fatto stà che
1) se l'exploit convolge processi di sistema
e (non secondario..)
2) utilizza a contempo un sistema innovativo,

allora il Sandbox offre agli utenti una difesa praticamente pari a 0....

Nel caso di uso di un HIPS tradizionale, invece,
l'exploit che risponde alle caratteristiche di cui sopra si trova imbrigliato all'interno del grado di libertà (di movimento) attribuito dall'utilizzatore al processo stesso (poi exploitato dal malware).

E gli avvisi che dovessero seguirne, dunque, sarebbero chiaramente indicatori di un anomalia in essere...


Diverso probabilmente il caso di CIS4 dove, al di là di come funzioni praticamente il suo nuovo Sandbox (ancora in fase troppo embrionale per addentrarsi in considerazioni più precise, imo..), c'è l'affiancamento di questa soluzione alla parte tradizionale che vede i processi di sistema imbrigliati nelle loro policy...

Anche se, in verità, qualcosa in CIS non mi quadra proprio a proposito delle sue policy, ma questo è un altro discorso...

anche io sinceramente ho dubbi sul nuovo CIS, più che altro cose che non capisco:stordita:

ps.: come ti trovi con MD e Windows7? a me stufavano un pò i messaggi su processi di sistema mai visti (nuovi per me che ero abituato a xp):D

tipo?

Cmq si, da quello che ho visto 7 comporta più lavoro rispetto ad XP per quanto riguarda la configurazione delle regole...

Visto che parlate di CIS4 ora ve ne dico quattro (:asd:)

Intanto tra le impostazioni del D+ c'è una nuova voce "Crea le regole per le Applicazioni Sicure" ... avessi capito a che serve...???

http://img196.imageshack.us/img196/1394/imm4.th.jpg (http://img196.imageshack.us/i/imm4.jpg/)

Poi i gruppi e le regole di default sono cambiate.

http://img709.imageshack.us/img709/7159/imm5.th.jpg (http://img709.imageshack.us/i/imm5.jpg/)
http://img693.imageshack.us/img693/7109/imm6.th.jpg (http://img693.imageshack.us/i/imm6.jpg/)

e questo non so se sia un bene o un male, spero che me lo sappiate dire voi.

L'impressione globale non è buona: in 3 giorni di test quelle che vedete sono le uniche regole che si sono create.
Si sono create al primo riavvio, poi non c'è stato più modo di far comparire un pop up o di fargli creare regole neanche mettendolo in apprendimento.
Ora o gli sto antipatica io o lui non funziona bene.
Il SandBox non l'ho neanche guardato, mi ero demoralizzata :asd:

Ciao ciao ;)

tipo?

Cmq si, da quello che ho visto 7 comporta più lavoro rispetto ad XP per quanto riguarda la configurazione delle regole...

eh ora ho tolto Seven, non te lo saprei dire:D
comunque ho visto parecchi popup in più per processi di sistema, che sinceramente non sapevo cosa facessero..

forse sono gli effetti negativi di un salto da Xp a 7, senza passare per Vista :fagiano:

NOTE:

15/2/10: dato un piccolo tocco minimalista al post...:D

[...]

Visto ora.... molto essenziale ma rende bene l'idea :D

**************************************************************************


Ho provato il primo TDL3 che mi hai passato con l'ultima beta di CIS 4.

Per me stanno facendo un ottimo lavoro e rispetto alla prima beta che avevo testato hanno migliorato parecchio, credo stia diventando un SW adatto a tutti.

http://www.virustotal.com/analisis/336e1823ae6bf7a8f36a687ac27ae111616fcff8064c5c3ffc0892813ad57eca-1266361847

CIS in Proactive, ho cambiato solo il FW portandolo su Custom.

Avviando il malware si ha l'avviso dell'AV http://img51.imageshack.us/img51/4469/28318481.th.png (http://img51.imageshack.us/i/28318481.png/) disattivo iol real-time e riavvio di nuovo...... nessun pop-up e dopo un paio di secondi il file sparisce dalla cartella, vado a controllare il log http://img51.imageshack.us/img51/6208/47096014.th.png (http://img51.imageshack.us/i/47096014.png/) come potete vedere viene sandboxato, controllato on-line, identificato come malevolo e quindi eliminato.

Saluti :)

Nuova versione di CIS :eek: :eek:
La stavo aspettando. Quando è uscita??? Dove la trovo???
Nel forum ufficiale non ho visto niente?

Non credo sia uscita una nuova versione, solo che io l'ho installata ieri ed è la 4.0.129536.679


Visto che parlate di CIS4 ora ve ne dico quattro (:asd:)

Intanto tra le impostazioni del D+ c'è una nuova voce "Crea le regole per le Applicazioni Sicure" ... avessi capito a che serve...???

A creare automaticamente delle regole per la applicazioni considerate sicure da Comodo.

http://img196.imageshack.us/img196/1394/imm4.th.jpg (http://img196.imageshack.us/i/imm4.jpg/)

Poi i gruppi e le regole di default sono cambiate.

http://img709.imageshack.us/img709/7159/imm5.th.jpg (http://img709.imageshack.us/i/imm5.jpg/)
http://img693.imageshack.us/img693/7109/imm6.th.jpg (http://img693.imageshack.us/i/imm6.jpg/)

e questo non so se sia un bene o un male, spero che me lo sappiate dire voi.

Anche se prematura per me è un bene però è un'opinione personale.

L'impressione globale non è buona: in 3 giorni di test quelle che vedete sono le uniche regole che si sono create.
Si sono create al primo riavvio, poi non c'è stato più modo di far comparire un pop up o di fargli creare regole neanche mettendolo in apprendimento.
Ora o gli sto antipatica io o lui non funziona bene.
Il SandBox non l'ho neanche guardato, mi ero demoralizzata :asd:

Ciao ciao ;)

Funziona, funziona :D



...


Diverso probabilmente il caso di CIS4 dove, al di là di come funzioni praticamente il suo nuovo Sandbox (ancora in fase troppo embrionale per addentrarsi in considerazioni più precise, imo..), c'è l'affiancamento di questa soluzione alla parte tradizionale che vede i processi di sistema imbrigliati nelle loro policy...

Anche se, in verità, qualcosa in CIS non mi quadra proprio a proposito delle sue policy, ma questo è un altro discorso...

Cioè? Cos'è che non ti quadra?


anche io sinceramente ho dubbi sul nuovo CIS, più che altro cose che non capisco:stordita:

...

Cosa cloutz?

Cosa cloutz?

Ho già fatto notare a suo tempo queste cose, e non ero l'unico:
http://www.hwupgrade.it/forum/showpost.php?p=30452094&postcount=11549

Settato tutto al massimo, avviavo programmi, nei popup mettevo la spunta Remember my Answer, ma la regola non veniva salvata e non compariva da nessuna parte.

Prendeva decisioni da solo, io non vedevo nulla di ciò che accadesse, neanche settando l'hips al massimo.

Anche quando gli dicevo di considerare il browser un'applicazione da avviare sempre nella sandbox, o mi restituiva un'errore simile a quello delle SRP, o me lo avviava normalmente..
anche provando ad allentare le restrizioni, dandogli più libertà (mi pare ci fossero diversi livelli di restrizione da poter assegnare), accadeva la stessa cosa.

questi erano alcuni dei motivi (quelli che mi ricordo meglio) per cui l'ho disinstallato, dato che alla fine mi ritrovavo con un hips castrato (nonostante settaggio aggressivo a mano:D ) e una sandbox che non si capiva cosa faceva:fagiano:

Non credo sia uscita una nuova versione, solo che io l'ho installata ieri ed è la 4.0.129536.679

A creare automaticamente delle regole per la applicazioni considerate sicure da Comodo.

Anche se prematura per me è un bene però è un'opinione personale.

Funziona, funziona :D

La versione è la stessa ed a me non funziona, però se a te va così bene, appena ho finito di sistemare il pc, reinstallo la VM e poi la testo di nuovo.
Certo se nel frattempo uscisse una nuova versione sarei più contenta :asd:

Ciao ciao ;)

Ho già fatto notare a suo tempo queste cose, e non ero l'unico:
http://www.hwupgrade.it/forum/showpost.php?p=30452094&postcount=11549

Settato tutto al massimo, avviavo programmi, nei popup mettevo la spunta Remember my Answer, ma la regola non veniva salvata e non compariva da nessuna parte.

Prendeva decisioni da solo, io non vedevo nulla di ciò che accadesse, neanche settando l'hips al massimo.

Anche quando gli dicevo di considerare il browser un'applicazione da avviare sempre nella sandbox, o mi restituiva un'errore simile a quello delle SRP, o me lo avviava normalmente..
anche provando ad allentare le restrizioni, dandogli più libertà (mi pare ci fossero diversi livelli di restrizione da poter assegnare), accadeva la stessa cosa.

questi erano alcuni dei motivi (quelli che mi ricordo meglio) per cui l'ho disinstallato, dato che alla fine mi ritrovavo con un hips castrato (nonostante settaggio aggressivo a mano:D ) e una sandbox che non si capiva cosa faceva:fagiano:
anche a me idem, niente remember sulle azioni fatte, al riavvio mi seccava Chrome perchè non lo conosceva mente con IE andavo in internet tranquillo sebbene avessi settato Chrome come web browser, decisamente immaturo

anche a me idem, niente remember sulle azioni fatte, al riavvio mi seccava Chrome perchè non lo conosceva mente con IE andavo in internet tranquillo sebbene avessi settato Chrome come web browser, decisamente immaturo

anchio lo disinstallato...stessi problemi...
lasciamolo maturare....
ho trovato l'hips decisamente piu' automatico...
politiche di espansione...:O

Ho già fatto notare a suo tempo queste cose, e non ero l'unico:
http://www.hwupgrade.it/forum/showpost.php?p=30452094&postcount=11549

Settato tutto al massimo, avviavo programmi, nei popup mettevo la spunta Remember my Answer, ma la regola non veniva salvata e non compariva da nessuna parte.

Prendeva decisioni da solo, io non vedevo nulla di ciò che accadesse, neanche settando l'hips al massimo.

Anche quando gli dicevo di considerare il browser un'applicazione da avviare sempre nella sandbox, o mi restituiva un'errore simile a quello delle SRP, o me lo avviava normalmente..
anche provando ad allentare le restrizioni, dandogli più libertà (mi pare ci fossero diversi livelli di restrizione da poter assegnare), accadeva la stessa cosa.

questi erano alcuni dei motivi (quelli che mi ricordo meglio) per cui l'ho disinstallato, dato che alla fine mi ritrovavo con un hips castrato (nonostante settaggio aggressivo a mano:D ) e una sandbox che non si capiva cosa faceva:fagiano:

Con la pre-alpha (:D) che avevo provato io avevo dei problemi simili ma ora con questa le cose sono migliorate...certo è sempre una beta.

Se si lascia in Safe Mode il D+ è ovvio che prenda decisioni da solo, portandolo su Paranoid ci chiede cosa fare e spuntando il remember ora ricorda le regole.

La sandbox CIS non è uguale alle altre.. non è ancora perfetta però funziona (alcune info sul funzionamento (https://forums.comodo.com/beta-corner-cisv4/how-the-comodo-sandbox-works-t50176.0.html)) e un utente medio non ha bisogno di capire come, l'importante è che lo protegga senza farlo preoccupare. O no?
Puoi scegliere quali SW far girare sempre nella SandBox, alcuni però non possono (ancora?) girare con le restrizioni più alte (cosa intendi per SRP ???). Come fai a dire: "o me lo avviava normalmente"?

Cmq non so se hai provato quest'ultima versione, se non l'avessi fatto prova e poi ne riparliamo :)

anche a me idem, niente remember sulle azioni fatte, al riavvio mi seccava Chrome perchè non lo conosceva mente con IE andavo in internet tranquillo sebbene avessi settato Chrome come web browser, decisamente immaturo

anchio lo disinstallato...stessi problemi...
lasciamolo maturare....
ho trovato l'hips decisamente piu' automatico...
politiche di espansione...:O

:mbe: ..ma che pretendete :confused: è una versione beta.

Arny a te l'avevo anche scritto che presentava parecchi problemi e tu volevi addirittura provare la pre-alpha.

Cmq IMHO ha grandi potenzialità, ancora la sto studiando visto che nell'ultimo periodo non ho avuto molto tempo da dedicargli, mi piacciono i cambiamenti avvenuti nelle policy... sia dell'hips che del FW.

La versione è la stessa ed a me non funziona, però se a te va così bene, appena ho finito di sistemare il pc, reinstallo la VM e poi la testo di nuovo.
Certo se nel frattempo uscisse una nuova versione sarei più contenta :asd:

Ciao ciao ;)

Fai uno snapshot del sistama prima e un altro subito dopo l'istallazione di CIS in modo da poter tornare sempre al punto precedente e al sistema pulito.

Già che ci sei installa prima l'ultima versione di Comodo Time Machine.

Ciao bella ;)


P.S. We have just released COMODO Internet Security 4.0.132838.716 RC. This is a release candidate. Except sandboxed application notifications, there will not be any new features(We are still working on the notifications).

This is a BETA software and must not be used any other purpose than testing.

What is new in version 4.0.132838.716?

This release fixes many unreported and some of the reported bugs. Here are SOME of them for your reference.

NEW! COMODO Web Installer - We now have a simple installer that can install any of our products on any OSs
FIXED! Obisidium packed applications(e.g. Terracopy) do not work well with CIS4
FIXED! CIS does not remember global hook alerts on x64 operating systems
FIXED! CIS registry virtualization does not handle symbolic links proeprly
FIXED! CIS does not catch rundll32/regsvr/wscript/jscript executions from removebale drives


Download Locations:

http:*********
Size: 2,756,368 Bytes
MD5: 918fac02d1585ad6701aca2ab98975e4
SHA1: f1860d80194fbaf70484062153dc8b0d181f871b

Bug Reports:

Please feel free to use CIS4 Beta board for further discussion about CIS4. you can use the following thread for reporting bugs:

http://forums.comodo.com/beta-corner-cisv4/comodo-internet-security-40132838716-rc-bug-reports-t51702.0.html

Regards,
Egemen



La potete scaricare qui (https://forums.comodo.com/beta-corner-cisv4/comodo-internet-security-40132838716-rc-released-t51706.0.html) ma occorre essere utenti registrati.

Saluti :)

...Cioè? Cos'è che non ti quadra?

semplice, non mi quadra (o, meglio, non mi è mai quadrata...) la libertà attribuita di default a determinati processi di sistema che sono solitamente oggetto di exploit.

Se il sensore anti-exploit in D+ dovrebbe essere rappresentato dal memory firewall, non so onestamente quanto questo sia realmente efficace per contrastare anomalie che si possano presentare nella vita reale...


E dunque, se disgraziatamente il nostro exploit risponde alle caratteristiche di cui sopra (e cioè, essere costruito in modo tale da coinvolgere processi di sistema + essere innovativo!) e non fosse filtrato dal modulo Memory Firewall, questo di fatto si troverebbe di fronte ad un'autostrada (nel mio esempio, rappresentata dalle policy disegnate espressamente per svchost, spoolsv, msiexec, ecc)...







Detto fra noi, infatti, non me lo leva dalla testa nessuno che uno dei motivi che hanno spinto gli ingegneri del software ad una scelta cosi' radicale ed elastica è il fatto che D+ sarebbe risultato meno indigesto ai più specie nel momento degli update di Windows & del programma stesso....


Gli HIPS puri migliori, invece (forse anche perchè non dispongono di tecnologie come quella del Memory Firewall, la cui effettività xò è tutta da dimostrare..), prevedono un ristrettissimo margine di manovra (o grado di libertà) per i processi di sistema mettendoli perciò nella condizione di "fiutare" anomalie che partono da lontano...

A patto, ovvio, di uno stress maggiore dell'utente nel caso (ad es..) di aggiornamenti di Windows....






------------------------
Se riesco, in giornata provo ad installare in VM la RC di CIS4 segnalata da Sirio..
Sono curioso...





-----------------------
Edit!! ore 18:55
-----------------------
Credo di aver detto una cazzata paurosa a proposito del Memory Firewall di CIS:

non dovrebbe essere infatti un "sensore" anti-exploit bensi' un sistema di protezione contro i vari buffer overflow..

Questi errori, cmq, sono abbastanza normali visto che, come ho sempre sottolineato, la mia "formazione" [:asd:] è squisitamente amatoriale, motivo in più per prendere sempre con le molle ciò che sparo a dx e a manca...:)

Di conseguenza, buona parte del post perde di significato anche se l'osservazione che ho mosso resta vera..

-----------------------
Edit ore 19:15
-----------------------
Se prima temevo di aver detto una cazzata, ora ne ho la certezza...:D

La versione corretta del post, dunque, è la seguente:

semplice, non mi quadra (o, meglio, non mi è mai quadrata...) la libertà attribuita di default a determinati processi di sistema che sono solitamente oggetto di exploit.

E dunque, se disgraziatamente il nostro exploit risponde alle caratteristiche di cui sopra (e cioè, essere costruito in modo tale da coinvolgere processi di sistema + essere innovativo!), questo di fatto si troverebbe di fronte ad un'autostrada (nel mio esempio, rappresentata dalle policy disegnate espressamente per svchost, spoolsv, msiexec, ecc)...



Tutto il giochetto, cmq, parte da una FORZATURA:
autorizzare la 1° esecuzione del malware... :fiufiu:

Se si blocca fin dall'inizio, fine della fiera e ho parlato giusto per dar fiato alle corde..

più che altro sarebbe da verificare quanto sia efficace la sandbox..

Se ogni nuova applicazione avviata venisse eseguita con Least Privileged User (e CIS di default lo fa) e dentro la sandbox che virtualizza file/registri di sistema (la prima beta ancora non lo faceva, ora non saprei), il più è fatto..
insomma il centro di CIS4 secondo me è la sandbox, la cui robustezza è ancora tutta da verificare..
il controllo del D+ mi sembra diventato un surplus, un contorno marginale (magari limitato al controllo esecuzione, richiesta privilegi e installazione driver) al lavoro sporco della sandbox..

A fronte delle tue opinioni circa il discorso sandbox vs hips.. è questo che mi preoccupa:D



Questo è il mio punto di vista, secondo me è un vero peccato stravolgere CISv3 che faceva il suo bel lavoro senza problemi!:mad::cry:
spero che decidano di continuare il supporto, o almeno il bugfix, per la versione3.. ma mi pare assai difficile!

più che altro sarebbe da verificare quanto sia efficace la sandbox..

Se ogni nuova applicazione avviata venisse eseguita con Least Privileged User (e CIS di default lo fa) e dentro la sandbox che virtualizza file/registri di sistema (la prima beta ancora non lo faceva, ora non saprei), il più è fatto..
insomma il centro di CIS4 secondo me è la sandbox, la cui robustezza è ancora tutta da verificare..
il controllo del D+ mi sembra diventato un surplus, un contorno marginale (magari limitato al controllo esecuzione, richiesta privilegi e installazione driver) al lavoro sporco della sandbox..

A fronte delle tue opinioni circa il discorso sandbox vs hips.. è questo che mi preoccupa:D



Questo è il mio punto di vista, secondo me è un vero peccato stravolgere CISv3 che faceva il suo bel lavoro senza problemi!:mad::cry:
spero che decidano di continuare il supporto, o almeno il bugfix, per la versione3.. ma mi pare assai difficile!

Probabilmente grazie a decisioni commerciali......
Io sono per il vecchio detto:

"Chi lascia la strada vecchia per la nuova,sà ciò che lascia ma non sà ciò che trova"

Usate il solito sw per S.;)

E forse necessario rimarcare che, in realtà, non ho voluto mettere in discussione l'idea dei Sandbox e la loro effettività:
le mie osservazioni, infatti, colgono quello che è probabilmente l'unico punto debole di queste soluzioni...
Allo stesso tempo, è bene ricordare che si parla sempre di casi limite visto che questo "momento di vulnerabilità" si presenta solo in rarissime circostanze...


Dunque, alla fine della fiera se si considera che i Sandbox automatizzano tutto il processo di filtraggio dei tentativi conosciuti di manipolazione delle risorse protette di sistema e vista la rarità dell'ipotesi dibattuta in queste ultime pagine, ritengo che questi approcci di difesa rappresentino realmente il futuro dato che semplificano enormemente diverse problematiche offrendo al contempo un'esperienza d'uso e di gestione del Pc SCONOSCIUTA ai modelli di difesa atipici quali gli HIPS puri, ad es..



Preso atto del giudizio di massima tracciato poc'anzi, cmq, nel mio caso l'idea di avere un momento di vulnerabilità totale (per quanto questo sia raro...) è motivo sufficiente per avermi fatto ritornare sui miei passi.

Ecco, era questo il senso del mio messaggio più che dire che A è migliore di B....




E forse la soluzione ibrida Sandbox/HIPS puro attualmente in sviluppo da Comodo rappresenta (sulla carta) la pezza alla debolezza del Sandbox puro alla Sbxie/DWall che vivono su delle policy default-deny per filtrare determinate azioni ma che nulla possono per quelle rarissime circostanze in cui queste sono una novità!:
una volta che quest'ultima ha agio [:D], e a prescindere dall'esistenza di un contenitore virtuale o meno, "toccherà" una risorsa "sensibile" bypassando qualsiasi difesa...

Se invece ci sono anche delle regole che "governano" le libertà di manovra dei processi di sistema, queste potrebbero essere il MURO mancante...


Spero di risultare comprensibile...

Al di là di questi discorsi che poi porta via il vento visto che sono semplici congetture (eraser, se ci leggi e vuoi dire la tua accomodati pure...:fagiano: ), mi piacerebbe focalizzarmi maggiormente tanto sulle cose migliorabili in MD (cloutz, ci sei? :D ) quanto sulle differenze tra una soluzione e un altra (una sorta di comparazione per il solito evento non necessariamente riconducibile ad un malware*)...



* es: vedere come risponde il programma A,B,..,Z all'esecuzione di CPU-z,...,

[cut]
...mi piacerebbe focalizzarmi maggiormente tanto sulle cose migliorabili in MD (cloutz, ci sei? :D )...
[cut]

tipo? :D

Secondo me sono ballini gli aspetti che meritano di essere migliorati:
su tutto, la cosa che trovo più assurda è l'impossibilità di consultare la scheda di log quando MD è "bloccato" con password....:doh:


Ma ce ne sono altri, sebbene tutti attinenti alla sfera "pratico/estetica"...:D

Senza spremermi troppo le meningi, ecco una piccola lista di cose che vorrei vedessero la luce...

1 non esiste nessun campo LOG nel menù a tendina che si apre cliccando sull'icona del programma stesso nella system tray, il che vuol dire che si è obbligati ad aprire la consolle del programma e a spostarsi nell'apposita scheda prima di avere accesso a queste informazioni....

2 Il campo LOG, a sua volta, dovrebbe risultare accessibile anche nell'ipotesi in cui MD sia in silent mode:
è assurdo infatti che se uno impiega questa modalità sia obbligato ad inserire la password per consultare gli eventi intervenuti (e bloccati silenziosamente)...



Mi sembra che come inizio non sia niente male...:p

Senza spremermi troppo le meningi, ecco una piccola lista di cose che vorrei vedessero la luce...

1 non esiste nessun campo LOG nel menù a tendina che si apre cliccando sull'icona del programma stesso nella system tray, il che vuol dire che si è obbligati ad aprire la consolle del programma e a spostarsi nell'apposita scheda prima di avere accesso a queste informazioni....

2 Il campo LOG, a sua volta, dovrebbe risultare accessibile anche nell'ipotesi in cui MD sia in silent mode:
è assurdo infatti che se uno impiega questa modalità sia obbligato ad inserire la password per consultare gli eventi intervenuti (e bloccati silenziosamente)...

1. Credo che ti risulti scomodo non avere il log dal menu contestuale perchè l'hai spostato da dov'era in origine:D
Di default infatti basta fare doppio click in tray e ti ritrovi il riquadro log aperto sotto quello rules..

2. Ti potrebbe essere utile la funzione di tooltip? Se hai impostato l'opzione log all denied actions, riceverai un avviso per ogni nuova voce del log (credo funzioni anche sotto password)..
Tools>Options>Logs> Show baloon tooltip in the system tray


provo a scrivergli di inserire la voce Log nel menu contestuale visualizzabile anche in locked-mode.. vediamo!

ps.: cosa pensi della scelta di disabilitare di default mdhook.dll?
Io lo tengo comunque abilitato..

1. Credo che ti risulti scomodo non avere il log dal menu contestuale perchè l'hai spostato da dov'era in origine:D
Di default infatti basta fare doppio click in tray e ti ritrovi il riquadro log aperto sotto quello rules..

2. Ti potrebbe essere utile la funzione di tooltip? Se hai impostato l'opzione log all denied actions, riceverai un avviso per ogni nuova voce del log (credo funzioni anche sotto password)..
Tools>Options>Logs> Show baloon tooltip in the system tray




ps.: cosa pensi della scelta di disabilitare di default mdhook.dll?
Io lo tengo comunque abilitato..
1 infatti, per il log ho "costruito" una scheda a parte tramite l'apposita funzione "Show Logs window as a main tab window"...



2 sia ballon tooltip che Log actions which are denied by Ask rules in Silent mode sono attive ma non risolvono il problema dell'utente assente quando si verifica l'evento...
Il problema, cioè, non è il fatto che MD non registri un'azione ma che, se si è in locked mode, queste info siano disponibili solo previa introduzione password (x lo sblocco del programma..) e apertura della consolle...

La consultazione della scheda di Log, infatti, dovrebbe essere disponibile a prescindere dalla sua collocazione o dal fatto che si sia in modalità locked...










Su mdhook (attivo anche sul mio sistema...) non esiste neppure il problema visto che, disabilitandolo, si perderebbero funzionalità...:fiufiu:

Resta cmq la mia curiosità circa i nomi dei software che potrebbero cozzare con questo hook (altri programmi di sicurezza?)...

provo a scrivergli di inserire la voce Log nel menu contestuale visualizzabile anche in locked-mode.. vediamo!

Grazie! :smack:

:D

Riporto un messaggio della discussione su malware defender 2.6 su wilders,
in cui viene proposta un'ipotetica configurazione di sicurezza basata su MD + DW

Well, this would be my setup

MD
Process/application control
- allow everything for the all processes (*), except
- kernel protection
- low level operations (keyboard + registry_
- direct disk access
- keyboard access
- driver install

** DW will protect all internet facing programs completely, with this SYSTEM WIDE protection, you Antivirus or Hitman Pro (on demand) will allways be able to remove the nasties (the real core of you system is protected, while you do not receive pop-ups of MD)

Create a special group with your internet facing software and
- create an ask for HKEY_CURRENT_USERl registry access
- create an ask for all disk access (except your temp and download directories) of your documents or user data section

** DW will block access to HKLM and Windows + Program Files, so MD will enhance security level to user space

Choose which FW you want to use DW or MD and deselect option of the other
also trim down MD alerst of file protection (restrict that for all aps to Windows )

Che ne pensate?
Ciao :)

...

semplice, non mi quadra (o, meglio, non mi è mai quadrata...) la libertà attribuita di default a determinati processi di sistema che sono solitamente oggetto di exploit.

E dunque, se disgraziatamente il nostro exploit risponde alle caratteristiche di cui sopra (e cioè, essere costruito in modo tale da coinvolgere processi di sistema + essere innovativo!), questo di fatto si troverebbe di fronte ad un'autostrada (nel mio esempio, rappresentata dalle policy disegnate espressamente per svchost, spoolsv, msiexec, ecc)...



Tutto il giochetto, cmq, parte da una FORZATURA:
autorizzare la 1° esecuzione del malware... :fiufiu:

Se si blocca fin dall'inizio, fine della fiera e ho parlato giusto per dar fiato alle corde..

Caxxate o meno i tuoi post sono per me fonte d'inspirazione...

E forse necessario rimarcare che, in realtà, non ho voluto mettere in discussione l'idea dei Sandbox e la loro effettività:
le mie osservazioni, infatti, colgono quello che è probabilmente l'unico punto debole di queste soluzioni...
Allo stesso tempo, è bene ricordare che si parla sempre di casi limite visto che questo "momento di vulnerabilità" si presenta solo in rarissime circostanze...


Dunque, alla fine della fiera se si considera che i Sandbox automatizzano tutto il processo di filtraggio dei tentativi conosciuti di manipolazione delle risorse protette di sistema e vista la rarità dell'ipotesi dibattuta in queste ultime pagine, ritengo che questi approcci di difesa rappresentino realmente il futuro dato che semplificano enormemente diverse problematiche offrendo al contempo un'esperienza d'uso e di gestione del Pc SCONOSCIUTA ai modelli di difesa atipici quali gli HIPS puri, ad es..



Preso atto del giudizio di massima tracciato poc'anzi, cmq, nel mio caso l'idea di avere un momento di vulnerabilità totale (per quanto questo sia raro...) è motivo sufficiente per avermi fatto ritornare sui miei passi.

Ecco, era questo il senso del mio messaggio più che dire che A è migliore di B....




E forse la soluzione ibrida Sandbox/HIPS puro attualmente in sviluppo da Comodo rappresenta (sulla carta) la pezza alla debolezza del Sandbox puro alla Sbxie/DWall che vivono su delle policy default-deny per filtrare determinate azioni ma che nulla possono per quelle rarissime circostanze in cui queste sono una novità!:
una volta che quest'ultima ha agio [:D], e a prescindere dall'esistenza di un contenitore virtuale o meno, "toccherà" una risorsa "sensibile" bypassando qualsiasi difesa...

Se invece ci sono anche delle regole che "governano" le libertà di manovra dei processi di sistema, queste potrebbero essere il MURO mancante...


Spero di risultare comprensibile...

Molto comprensibile :) ..ho grande ammirazione per chi scrive parole sensate :p

Visto che mi hai inspirato e anche per chiarire meglio il funzionamento di CIS che "sfugge" ai più (infatti.. CIS 4 non ha perso niente della versione 3 anzi, ha guadagnato qualcosa ;)) ripeterò il test togliendo alcuni automatismi per vedere se riuscirà a bloccare l'infezione e come, e se il suo hips rappresenta (non solo sulla carta) il "muro" mancante di cui parli per sopperire alle mancanze (punti deboli) della sandbox.

Attualmente (imo) il vero "punto debole" del nuovo CIS a default, quindi in Safe Mode per la Proactive Security (o minore), sono gli installer (infetti), a cui se daremo (rispondendo al nostro bel pop-up) diritti amministrativi, daremo il consenso all'avvio, e questo non verrà riconosciuto dall'AV o dall'euristica o ancora dalla scansione on-line, non avremo altre richieste che ci avviseranno del pericolo e il malware avrà, come dice enne (:D), davanti a sè un'autostrada libera :rolleyes:
Almeno, così era per la vecchia beta, ora con la RC non so ma non credo che le cose siano cambiate... vi saprò dire.

1 infatti, per il log ho "costruito" una scheda a parte tramite l'apposita funzione "Show Logs window as a main tab window"...



2 sia ballon tooltip che Log actions which are denied by Ask rules in Silent mode sono attive ma non risolvono il problema dell'utente assente quando si verifica l'evento...
Il problema, cioè, non è il fatto che MD non registri un'azione ma che, se si è in locked mode, queste info siano disponibili solo previa introduzione password (x lo sblocco del programma..) e apertura della consolle...

La consultazione della scheda di Log, infatti, dovrebbe essere disponibile a prescindere dalla sua collocazione o dal fatto che si sia in modalità locked...




Non credo che si arrabbi se posto l'email di ieri sera..

Gli ho scritto:

Hi Xiaolin! :D

Some MD Italian users asked me to refer you some requests:

1. A View Log option from contextual menu in tray icon. So it would be more comfortable consulting Log, especially when Log is displayed as main tab window;
2. Log visible even in locked mode (password activated). In fact it is unhandy to re-put the password only to see the Log, or to see if MD has blocked something.

I think you'll make them happy creating the above contextual menu entry View Log, and making it accessible even in password-locked mode :-)


Regards


Risposta:

Hi Christian,

Thanks for the suggestions! I will implement it in future release. :-)

Best regards,
Xiaolin

Quindi credo proprio che ti accontenterà (secondo me già nella 2.7.0_b1:asd:)
anche perchè, "conoscendolo", so che gli piacciono molto questo tipo di modifiche..



Su mdhook (attivo anche sul mio sistema...) non esiste neppure il problema visto che, disabilitandolo, si perderebbero funzionalità...:fiufiu:

Resta cmq la mia curiosità circa i nomi dei software che potrebbero cozzare con questo hook (altri programmi di sicurezza?)...



Grazie! :smack:

:D
Credo che sia perchè la gente non ha intenzione di rispondere ai popup necessari per iniettare mdhook in ogni nuovo processo..
anche se, in effetti, il fatto di disabilitarlo di default è una scelta importante..

Finchè non riscontrerò problemi, sul mio sistema rimarrà attivo..

cloutz sei un tesoro, gracias :p

...
Credo che sia perchè la gente non ha intenzione di rispondere ai popup necessari per iniettare mdhook in ogni nuovo processo..
anche se, in effetti, il fatto di disabilitarlo di default è una scelta importante..
Partiamo dalla parte finale del discorso:
poichè disabilitarlo di default significa perdere il controllo su 2 funzionalità importanti, e cioè gli accessi alle interfacce COM e le operazioni che coinvolgono l'SCM ("The program will not inject mdhook.dll into other processes, and the protections for accessing Service Control Manager and accessing COM interfaces will be disabled"), ne discende che Xiaolin ha preferito optare per la soluzione che gli garantiva una maggiore compatibilità (e cioè, come si diceva, "spengerlo" di default) visto che l'effetto dell'hook in questione potrebbe essere quello di interferire con l'avvio di altri programmi ("If an application cannot be launched when MD is running, you can try disabling mdhook.dll to resolve the problem")...

Se è vero questo, xò, è sbagliato il passaggio iniziale "perchè la gente non ha intenzione di rispondere ai popup necessari per iniettare mdhook in ogni nuovo processo"...
Non cè nessun problema di popup in + o in - ma solo il rischio che qualcosa non funzioni correttamente.







A questo punto xò sorge spontanea la domanda:
qual'è il nome dei programmi che non si avvierebbero se si ha MD con l'hook in questione attivo?

Sinceramente, infatti, tanto nel mio piccolo che leggendo su wilders non sono ancora riuscito a vedere qualcuno che lamentasse il problema di cui sopra...:mbe:

-----------------
OT:
semmai una cosa da chiedere a Xiaolin:

come è difeso mdhook.dll da tentativi di unloading?
Perchè non rimandare alla sola componente kernel (il suo driver) tutto ciò che attiene il monitoraggio delle diverse azioni?
-----------------

PS: e se l'utente Brummelchen (http://www.wilderssecurity.com/showpost.php?p=1620103&postcount=25), alla luce delle domande che pone, si fa chiamare "support specialist", bè, noi in confronto siamo dei Guru, e pace a lui..;)
Lo specialista di 'sta minchia, infatti, non si è preso neppure la briga di leggere il manuale nè, più che altro, di riflettere prima di parlare...






Per il resto delle cose segnalate da Sirio & bender8858, vedo oggi visto che ora devo scappare.
Ciao

Se è vero questo, xò, è sbagliato il passaggio iniziale "perchè la gente non ha intenzione di rispondere ai popup necessari per iniettare mdhook in ogni nuovo processo"...
Non cè nessun problema di popup in + o in - ma solo il rischio che qualcosa non funzioni correttamente.


si è vero ho cannato di brutto:D

Ciaociaoo

semmai una cosa da chiedere a Xiaolin:

come è difeso mdhook.dll da tentativi di unloading?
Perchè non rimandare alla sola componente kernel (il suo driver) tutto ciò che attiene il monitoraggio delle diverse azioni?

domanda partita in direzione Cina...:asd:

Riporto un messaggio...in cui viene proposta un'ipotetica configurazione di sicurezza...

Che ne pensate?


Sinceramente non ho ancora formato nessuna idea in proposito e cmq tanto Aigle che Kees sono persone che mi piacciono un sacco...:)

....
Visto che mi hai inspirato e anche per chiarire meglio il funzionamento di CIS che "sfugge" ai più...
un bel confrontino veloce tra la v3 e la RC come la vedi? :p (usando ad es il TDSS che ti ho mandato...)

...

un bel confrontino veloce tra la v3 e la RC come la vedi? :p (usando ad es il TDSS che ti ho mandato...)

Confrontino veloce? Bè lo sai che tanto veloce non sarà :D ...cmq vedrò di provare anche con la 3.14

domanda partita in direzione Cina...:asd:
se non fosse per il discorso del fuso orario, lo scambio di mail sarebbe davvero piacevole...:(

Brevemente, cmq, per quanto riguarda il discorso di Mdhook.dll e del rischio di un suo unloading con conseguente perdita delle funzionalità demandate a quest'elemento, ha precisato che farà ricerche mirate per implementare direttamente nella componente kernel del programma (il suo driver..) la funzionalità in oggetto...

Ha precisato poi (e qui si spiegherebbe quindi anche la scelta di disabilitarlo di default...) che tanto il controllo degli accessi alle interfacce COM che all'SCM non è vitale per garantire la difesa del Pc visto che anche nell'ipotesi di unloading (che equivarrebbe al tenere l'hook "spento"...), MD continuerebbe a presentare un popup all'utente per il processo di sistema "services.exe when installing (registry actions) or starting (create process or load driver) service/driver"...

E' chiaro, cmq, che far affidamento solo sulla componente kernel sarebbe di gran lunga soluzione preferibile proprio per neutralizzare i rischi di cui sopra anche se questi non sono vitali...

Invece, il suggerimento che gli ho dato è stato accolto [:D], ed è questo:
attualmente, se si ha mdhook.dll attivo e un processo chiede il permesso di compiere un'operazione sull'SCM (es: avviare un servizio...), flaggando l'apposita voce che da l'OK!, MD attribuisce al processo stesso il generico diritto ad usare l'SCM in tutte le sue accezioni (install, remove, change, start, stop, pause, resume driver/service..) invece che il singolo permesso (nell'es, il solo avvio [Start])...

(eraser, se ci leggi e vuoi dire la tua accomodati pure...:fagiano: )

"la tua" :fagiano: :D

@nV25

prima che tu te ne vada per qualche altro mese... :O :sofico:

Online Armor l'hai mai (seriamente) provato?

Vedo che ti fanno commentare spesso DW, MD e Comodo, ma non ho ancora sentito la voce dell'esperto (e ora mi dirai che non sei esperto, me lo sento... :O :asd:) su OA :read: :)

OA, in effetti, è sempre stato un prodotto che non ha mai catturato il mio interesse...

Certo, lo conosco indirettamente grazie alle innumerevoli discussioni su Wilders (dove, peraltro, non ha mai sfigurato...) ma c'è sempre stato qualcosa che di fatto lo ha sempre distratto dalla mia attenzione...


Non mi chiedere perchè, poi, ma da quello che ho captato pare che sui canali cinesi goda di una reputazione mediocre...






@ cancellino:
grazie per l'intervento costruttivo [:D]:
sei sempre nei nostri cuori e la cosa che più mi fa piacere è sapere che comunque leggi la discussione...:)

Così per curiosità qualche tempo addietro il discorso era caduto sui pop-up dell'HIPS in caso di aggiornamenti Microsoft.
Io mi ero ripromesso di contarli.
Ebbene in questi 2 ultimi aggiornamenti ho premuto il mouse ai pop-up di EQS 20 volte.

@ cancellino:
grazie per l'intervento costruttivo [:D]

:D Scusate, ieri sera ero parecchio stanco, ho staccato il cervello e l'ho messo in standby :D

EDIT!



:D Scusate, ieri sera ero parecchio stanco, ho staccato il cervello e l'ho messo in standby :D
Quando ti sentirai mentalmente pronto a dire qualcosa di più costruttivo :Prrr: sei sempre il BENVENUTO! :)

ho reinstallato l'ultima RC di CIS4, tanto poi ho ripristinato con ComodoTM..

l'ho trovato molto più stabile della prima beta pubblica che ho provato, ma rimane il fatto che, secondo me, l'hips è troppo blando di default, viene delegato troppo alla sandbox.
Ho cercato di fare qualcosa per aumentare il ruolo del D+ e sono entrato nel ruleset..mi è bastato vedere explorer.exe trattato come Windows System Application (= tutto su Allow) per confermare il mio pensiero :stordita:
se non ricordo male stessa cosa valeva per services.exe, insomma processi importanti per un hips..


imho per avere un buon controllo via D+ bisogna andare a modificare a mano i permessi per ogni processo importante (l'ho fatto per explorer.exe e aveva funzionato), perchè di default il ruleset non soddisfa.

sempre se si vuole puntare su D+ e non su altri moduli, sia chiaro..

Infatti la mia osservazione è per la componente hips che, a differenza di quanto avevo detto prima, non credo sia castrata ma penalizzata nell'insieme della suite..
Invece se si tiene la suite così com'è non si riceve (quasi) nessun popup e si può essere molto sicuri, con una soluzione validissima e comoda:D

Poi sono solo le mie opinioni..

Saluti:)

Non mi chiedere perchè, poi, ma da quello che ho captato pare che sui canali cinesi goda di una reputazione mediocre...

e certo, nessuno è ancora riuscito a craccarlo! :sofico:


no scherzo... cmq se un giorno ti andasse di provarlo, scrivi qui i "risulati", mi raccomando :D

@nV:
tu hai creato, in MD, delle regole per "programmi sensibili"?:D

Per ora ho provato a giocare un pò con MD, creando delle regole che isolano il browser dal resto del sistema, pur permettendogli di fare il suo lavoro normalmente.. e mi sto divertendo un mondo!:D :D

Per esempio gli permetto di scrivere nella cartella download, file temporanei e basta (blocco il resto con una regola shield).
Con 3-4 regole network proteggo le porte note e consento il traffico solo per le 3-4 porte solitamente più usate (http, https, ftp).. anche qui blocco il resto con una regola shield.

Questo per tutti i browser, sto lavorando per fare lo stesso per ogni programma che si interfaccia ad internet.. insomma policy di contenimento, poi metto MD in Silent Mode e controllo solo il log.

se poi Xiaolin implementa il log da (locked) Silent Mode diventa comodissimo:fagiano:

http://www.wilderssecurity.com/showthread.php?t=266396

Visto, grazie bender! :)





@ cloutz:
sei assolutamente in grado di muoverti come e più di me per cui non c'è motivo che debba dire la mia su queste faccende...:)

Per un pò, infatti, vorrei lasciare la mente sgombra dalle problematiche inerenti questi prodotti per cercare di capire meglio la filosofia dei prodotti cloud-based...:)

Olà..:flower:

@nV:
tu hai creato, in MD, delle regole per "programmi sensibili"?:D

Per ora ho provato a giocare un pò con MD, creando delle regole che isolano il browser dal resto del sistema, pur permettendogli di fare il suo lavoro normalmente.. e mi sto divertendo un mondo!:D :D

Per esempio gli permetto di scrivere nella cartella download, file temporanei e basta (blocco il resto con una regola shield).
Con 3-4 regole network proteggo le porte note e consento il traffico solo per le 3-4 porte solitamente più usate (http, https, ftp).. anche qui blocco il resto con una regola shield.

Questo per tutti i browser, sto lavorando per fare lo stesso per ogni programma che si interfaccia ad internet.. insomma policy di contenimento, poi metto MD in Silent Mode e controllo solo il log.

se poi Xiaolin implementa il log da (locked) Silent Mode diventa comodissimo:fagiano:


......se dovessi spiegarmi in poche parole perche' malware defender sia meglio del D+? ....

......se dovessi spiegarmi in poche parole perche' malware defender sia meglio del D+? ....
Premettendo che anche il D+ è una buona soluzione, anche io la uso e l'ho usata per un bel pò:D
descriverlo in poche parole è difficile.. facciamo così, uso solo 5 punti:p

Preferisco Malware Defender perchè:

1) Ha un controllo più granulare: non fa nulla da solo, e ti puoi sbizzarrire a creare regole a mano. Questo lo rende di difficile comprensione..
2) Ho tutto a portata di mano: quando si apre un avviso riesco già, spuntando delle opzioni, a creare dall'avviso stesso una regola ad hoc per quel dato processo (in D+ puoi usare solo policy predefinite o ricordare l'allow).
3) Ha il Silent Mode: una volta fatto il rodaggio imposti il Silent Mode e lui negherà tutto ciò che non è esplicitamente consentito tra le regole. (comodissimo)
4) Log chiarissimi: se trovi un evento bloccato puoi creare dal log (tasto dx sulla voce) una regola Consenti per quell'azione di quel processo. Altrimenti ti permette di saltare direttamente alla regola che ha fatto scaturire l'avviso ecc.. insomma tutta una serie di comodità..
5) È leggero.

poi ci sarebbero altre cose, ma non rispetterei le tue richieste di essere conciso:D

Il D+ da parte sua è sicuramente più orientato agli utenti, grafica migliore, più user friendly, diverse modalità più silenziose (clean pc mode, safe mode), Trusted Software Vendors.. ed è free! :D :D


Alla fine mi sono dilungato come sempre...:rolleyes:

Saluti

@ cloutz:
sei assolutamente in grado di muoverti come e più di me per cui non c'è motivo che debba dire la mia su queste faccende...:)

Per un pò, infatti, vorrei lasciare la mente sgombra dalle problematiche inerenti questi prodotti per cercare di capire meglio la filosofia dei prodotti cloud-based...:)

Olà..:flower:

:ave: :D

Saluti

Alla fine mi sono dilungato come sempre...:rolleyes:

Saluti

no, 6 stato perfetto! ;)

lo inseriamo anche qui tanto è ben fatto,

Principi di funzionamento di CIS4 (http://www.hwupgrade.it/forum/showpost.php?p=31119065&postcount=12382)...

lo inseriamo anche qui tanto è ben fatto,

Principi di funzionamento di CIS4 (http://www.hwupgrade.it/forum/showpost.php?p=31119065&postcount=12382)...

esageratoo :O :bimbo:

come sempre grazie mille nV:)

Saluti

Io non ho mai provato Malware defender. Sono andato a cercarlo tramite il motore di ricerca e, tra i vari siti che ne parlano, ho trovato questo:
http://www.ilbloggatore.com/2009/03/21/come-rimuovere-malware-defender-2009-dal-pc/
Sono rimasto sorpreso, anche perchè nel test della Matousec rientra tra quelli buoni, almeno la versione a pagamento: vuoi proprio che sia tutto vero quello scritto dal bloggatore?

Io non ho mai provato Malware defender. Sono andato a cercarlo tramite il motore di ricerca e, tra i vari siti che ne parlano, ho trovato questo:
http://www.ilbloggatore.com/2009/03/21/come-rimuovere-malware-defender-2009-dal-pc/
Sono rimasto sorpreso, anche perchè nel test della Matousec rientra tra quelli buoni, almeno la versione a pagamento: vuoi proprio che sia tutto vero quello scritto dal bloggatore?

Malware Defender 2009 è un rouge antivirus, Malware Defender (http://www.torchsoft.com/en/md_information.html) è un'altra cosa..

Saluti

Malware Defender 2009 è un rouge antivirus, Malware Defender (http://www.torchsoft.com/en/md_information.html) è un'altra cosa..

Saluti
Ci ho azzeccato subito!:D Mi sembrava strano...
Però il nome è sempre quello: c'è solo un 2009 in più...

...nel frattempo, e per quello che può contare, ho provveduto a segnalare a Xiaolin il risultato dell'ultimo Proactive Security Challenge di Matousec che vede MD 2.60 registrare il punteggio di 90% (133 su 148)...

La segnalazione, ovviamente, più che volerlo mettere al corrente del risultato, verteva su delle osservazioni strettamente legate al funzionamento del programma stesso, in particolare il fatto che nel test kernel2-Livello 5 (peraltro, superato...), MD ad oggi "non vedesse" ancora l'original caller che, come si desume anche dalle note del report, "sembrerebbe" essere ancora services.exe....

Ora, è chiaro che questo problemino potrebbe spiazzare un pò i meno avvezzi (anche se in verità ritengo che chi usa MD sia tutt'altro che il n00b di turno e dunque sarebbe abbondantemente in grado di interpretare il pop up che riporta [erroneamente] service.exe come il caller originario...), ed è per questo e per altri motivi segnalati da Matousec stesso (il + clamoroso, probabilmente, l'inject1- Level7) che X. conviene sul fatto di dover sistemare le cose in tempi brevi...




Dopo tutto questo preambolo, ritorno a quello che è indiscutibilmente l'argomento del giorno, CIS4, che per certi versi presenta ancora diversi punti a me oscuri...:p

Malware defender è anche firewall o solo HIPS?

E' anche firewall :)

Malware Defender is a HIPS (Host Intrusion Prevention System) with firewall

http://www.torchsoft.com/en/md_information.html

Malware defender è anche firewall o solo HIPS?

qui c'e' la guida http://www.hwupgrade.it/forum/showthread.php?t=2022058
;)

Come da tradizione Comodo, apprendo dal loro forum ufficiale che la release *FINALE* della v4 è STRAbuggata...:asd:

Al di là delle gravi lacune segnalate su numerosi thread, era sufficiente scorrere questo (http://forums.comodo.com/feedbackcommentsannouncementsnews-cis/are-comodo-betatesters-doing-seriously-their-job-t52461.0.html) thread per trarre le conclusioni di cui sopra...


Morale?
Anche stavolta la storia non ha insegnato nulla...:rolleyes:



Osservazione di un tizio:
"Everytime a new CIS version comes out, I see pages and pages of people reporting immediately (I mean the same day) new bugs so I wonder if this is due to bad betatesters.."

Risposta di un altro (che condivido):
"You are wrong, the betatesters have reported docens of bugs in the last RC, all of them are still present the FINAL v4.
The problem is that Comodo have not fixed any of them, the only change from the RC to the final is a little feature in the sandbox.

I mean they dont care a lot the quality of the product is just marketing, some old big bugs that were in v3 are now present in V4 and were reported 1 year ago..."




Da qui, poi, si innesta tutta una bagarre alimentata da EricJH che ha perso la sua brava occasione per contare fino a 10...






Fermo restando che ho ancora delle zone d'ombra sul funzionamento di CIS4 (ma questo cmq è solo un problema mio dato che mi sforzo di capirne la sua logica senza averlo sotto mano...), credo che siano necessarie almeno 2 ulteriori release per rendere la v4 *realmente* una vera versione finale...

Per come la vedo io, anche portando l'esempio della beta di DefenseWall che dura ormai da 3 mesi*, rilasciare una finale cosi' è solo sintomo di ARROGANZA.



*il suo sviluppo, però, è portato avanti da una persona sola contando perlatro su un'infrastruttura ridicola se paragonata a quella messa in campo da Comodo...

...ed è per questo e per altri motivi segnalati da Matousec stesso (il + clamoroso, probabilmente, l'inject1- Level7) che X. conviene sul fatto di dover sistemare le cose in tempi brevi...

mi sembrava strano, in effetti, che un software come MD non superasse il test inject1-Level7:
subset (http://www.wilderssecurity.com/showpost.php?p=1634407&postcount=40) http://gladiator-antivirus.com/forum/style_emoticons/default/good.gif





http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

http://gladiator-antivirus.com/forum/style_emoticons/default/nurse.gif

:D

Come da tradizione Comodo, apprendo dal loro forum ufficiale che la release *FINALE* della v4 è STRAbuggata...:asd:

Al di là delle gravi lacune segnalate su numerosi thread, era sufficiente scorrere questo (http://forums.comodo.com/feedbackcommentsannouncementsnews-cis/are-comodo-betatesters-doing-seriously-their-job-t52461.0.html) thread per trarre le conclusioni di cui sopra...


Morale?
Anche stavolta la storia non ha insegnato nulla...:rolleyes:



Osservazione di un tizio:
"Everytime a new CIS version comes out, I see pages and pages of people reporting immediately (I mean the same day) new bugs so I wonder if this is due to bad betatesters.."

Risposta di un altro (che condivido):
"You are wrong, the betatesters have reported docens of bugs in the last RC, all of them are still present the FINAL v4.
The problem is that Comodo have not fixed any of them, the only change from the RC to the final is a little feature in the sandbox.

I mean they dont care a lot the quality of the product is just marketing, some old big bugs that were in v3 are now present in V4 and were reported 1 year ago..."




Da qui, poi, si innesta tutta una bagarre alimentata da EricJH che ha perso la sua brava occasione per contare fino a 10...






Fermo restando che ho ancora delle zone d'ombra sul funzionamento di CIS4 (ma questo cmq è solo un problema mio dato che mi sforzo di capirne la sua logica senza averlo sotto mano...), credo che siano necessarie almeno 2 ulteriori release per rendere la v4 *realmente* una vera versione finale...

Per come la vedo io, anche portando l'esempio della beta di DefenseWall che dura ormai da 3 mesi*, rilasciare una finale cosi' è solo sintomo di ARROGANZA.



*il suo sviluppo, però, è portato avanti da una persona sola contando perlatro su un'infrastruttura ridicola se paragonata a quella messa in campo da Comodo...

penso però che questa tua considerazione andasse postata nel thread di comodo...;)

Come da tradizione Comodo, apprendo dal loro forum ufficiale che la release *FINALE* della v4 è STRAbuggata...:asd:

Al di là delle gravi lacune segnalate su numerosi thread, era sufficiente scorrere questo (http://forums.comodo.com/feedbackcommentsannouncementsnews-cis/are-comodo-betatesters-doing-seriously-their-job-t52461.0.html) thread per trarre le conclusioni di cui sopra...


Morale?
Anche stavolta la storia non ha insegnato nulla...:rolleyes:



Osservazione di un tizio:
"Everytime a new CIS version comes out, I see pages and pages of people reporting immediately (I mean the same day) new bugs so I wonder if this is due to bad betatesters.."

Risposta di un altro (che condivido):
"You are wrong, the betatesters have reported docens of bugs in the last RC, all of them are still present the FINAL v4.
The problem is that Comodo have not fixed any of them, the only change from the RC to the final is a little feature in the sandbox.

I mean they dont care a lot the quality of the product is just marketing, some old big bugs that were in v3 are now present in V4 and were reported 1 year ago..."




Da qui, poi, si innesta tutta una bagarre alimentata da EricJH che ha perso la sua brava occasione per contare fino a 10...






Fermo restando che ho ancora delle zone d'ombra sul funzionamento di CIS4 (ma questo cmq è solo un problema mio dato che mi sforzo di capirne la sua logica senza averlo sotto mano...), credo che siano necessarie almeno 2 ulteriori release per rendere la v4 *realmente* una vera versione finale...

Per come la vedo io, anche portando l'esempio della beta di DefenseWall che dura ormai da 3 mesi*, rilasciare una finale cosi' è solo sintomo di ARROGANZA.



*il suo sviluppo, però, è portato avanti da una persona sola contando perlatro su un'infrastruttura ridicola se paragonata a quella messa in campo da Comodo...

nv leggendo un po' e spulciando nella cartella sandbox...
si puo dire che quello che e' stato detto nel forum di comodo e' parzialmente vero...infgatti se ricordi quell'esempio di installazione del file zilla dal chrome sandyboxato...se vado nella cartella nascosta sandybox il filezilla e' ancora li'...quindi se fosse stato un trojan sarebbe rimasto nel mio pc...

forse questa cosa e' da rivedere:doh:

Parlando di Comodo anche secondo me siamo :ot: qui.

CIS non è strabuggata, ogni tanto ha qualche problemino ma niente di così eclatante, ne più ne meno di altri software.

La maggior parte dei problemi imo sono riportati da persone che non sanno far funzionare il programma, io tutti questi problemi non li ho e di test ne faccio a "palate" sul mio laptop pieno zeppo di SW di ogni genere.

E poi nV prima dovresti provarla per dare un giudizio.

P.S. Per esempio ecco il post di qualcuno che sa come far funzionare CIS: http://forums.comodo.com/feedbackcommentsannouncementsnews-cis/comodo-internet-security-40135239742-released-t52402.0.html;msg374658#msg374658

Voglio spiegare anzitutto il motivo per cui non ho fatto l'intervento di cui sopra nell'apposito T.U. di Comodo.

Confidando infatti sul fatto che questo thread gode di una visibilità limitata o, per lo meno, sicuramente inferiore a quella del T.U. dedicato, ho evitato di innescare panico e ingenerare confusione per quanto l'oggetto del post fosse legato a quel software...



Peraltro, non vedo di cosa stupirsi da una segnalazione come la mia visto che è perfettamente in linea con la tradizione Comodo spacciare come finali release che al più potrebbero fregiarsi del titolo alfa/beta presso società più serie...

E il fatto di non aver provato in prima persona il programma prima di aver riportato una certa preoccupazione è un accusa davvero poco consistente:
di fronte infatti a post come questo! (http://forums.comodo.com/feedbackcommentsannouncementsnews-cis/cis-v-4-sandbox-bugs-n-design-flaws-t52576.0.html) (giusto per citarne uno a caso...), spazi per l'interpretazione sono praticamente assenti...



Detto questo, il mio interesse a capirne meglio il meccanismo di funzionamento è immutato.



/!\ NB:

il post è stato editato per tentare di dargli un taglio che lo esponga il meno possibile alla polemica dato che vorrei tenerla fuori da questo thread ...

Cortesemente, discustiamo di CIS4 nel 3D dedicato onde evitare di disperdere info, grazie.

ok, copio incollo

APPELLO:

per cortesia, fermate il Support Specialist [:asd: :rotfl: ] Brummelchen! [leggi (http://www.wilderssecurity.com/showpost.php?p=1634409&postcount=41), è solo una delle tante] :D ...

+ che Support Specialist, infatti, cambierei in "in search of a...specialized support!":asd:

APPELLO:

per cortesia, fermate il Support Specialist [:asd: :rotfl: ] Brummelchen! [leggi (http://www.wilderssecurity.com/showpost.php?p=1634409&postcount=41), è solo una delle tante] :D ...

+ che Support Specialist, infatti, cambierei in "in search of a...specialized support!":asd:

pietoso per un Support Specialist non riuscire a capire dov'è il tasto per il caricamento DLL......
sisi, è lui a necessitare di supporto:D

APPELLO:

per cortesia, fermate il Support Specialist [:asd: :rotfl: ] Brummelchen! [leggi (http://www.wilderssecurity.com/showpost.php?p=1634409&postcount=41), è solo una delle tante] :D ...

+ che Support Specialist, infatti, cambierei in "in search of a...specialized support!":asd:

:Prrr: :D

Ciao ho visitato il sito di DefenceWall e dopo aver letto e tradotto dal loro sito vorrei un parere.
Fa a botte con Prevx? qualcuno lo ha provato DefenceWall?:eh:

Ciao ho visitato il sito di DefenceWall e dopo aver letto e tradotto dal loro sito vorrei un parere.
Fa a botte con Prevx? qualcuno lo ha provato DefenceWall?:eh:

nessuno passa di qui ?
:D

Ciao ho visitato il sito di DefenceWall e dopo aver letto e tradotto dal loro sito vorrei un parere.

A me piace, ha soprattutto un ottimo rapporto efficacia-semplicità di utilizzo/leggerezza.
Non credo proprio che ci siano problemi ad usarlo con prevx, sono entrambi prodotti che fanno della loro compatibilità (ed interoperabilità) con altri software di sicurezza uno dei loro punti di forza :) .
Ciao :)

non dovrebbero esserci incompatibilità, Prevx+DW è una soluzione molto usata dagli utenti di Wilders per esempio..:p

non dovrebbero esserci incompatibilità, Prevx+DW è una soluzione molto usata dagli utenti di Wilders per esempio..:p

Bene :)
Grazie, ho chiesto anche a quelli di Prevx per sicurezza ;)

Bene :)
Grazie, ho chiesto anche a quelli di Prevx per sicurezza ;)

mi autoquoto per informare:

La risposta del team Prevx:
Hi there,

Prevx is compatible with all other AV and security programs.
You should have no problem running these side by side.

Kind Regards,
Prevx Support

In sostanza confermano la piena compatibilità del loro programma con altri programmi AV e di sicurezza

http://gladiator-antivirus.com/forum/index.php?showtopic=102324

BREAKING NEWS! :D

Xiaolin (autore di Malware Defender...) è entrato ufficialmente a far parte della software house 360Safe nella quale, peraltro, partecipa anche mj0011...

Non conosco, come è logico immaginare, quello che sarà il futuro di MD...



Visto che, alla luce delle informazioni di cui dispongo, mi trovo nell'impossibilità di formarmi un qualsivoglia giudizio circa la positività o meno dei riflessi di questa notizia, l'unico aspetto che mi rende fiero è che sono il 1° su base occidentale a lanciare la breaking news in oggetto....:yeah:

-------
EDIT: in realtà sono stato bruciato sul tempo da scoobs72 (http://www.wilderssecurity.com/showpost.php?p=1649448&postcount=67) e dunque addio primato...:muro: :nera: :cry:


:p

BREAKING NEWS! :D

Xiaolin (autore di Malware Defender...) è entrato ufficialmente a far parte della software house 360Safe nella quale, peraltro, partecipa anche mj0011...

Non conosco, come è logico immaginare, quello che sarà il futuro di MD...



Visto che, alla luce delle informazioni di cui dispongo, mi trovo nell'impossibilità di formarmi un qualsivoglia giudizio circa la positività o meno dei riflessi di questa notizia, l'unico aspetto che mi rende fiero è che sono il 1° su base occidentale a lanciare la breaking news in oggetto....:yeah:

-------
EDIT: in realtà sono stato bruciato sul tempo da scoobs72 (http://www.wilderssecurity.com/showpost.php?p=1649448&postcount=67) e dunque addio primato...:muro: :nera: :cry:


:p

Te lo dico io il futuro.....ti toccherà prima o poi (forse più prima) ripiegare sul "nemico" CIS....

ti toccherà prima o poi (forse più prima) ripiegare sul "nemico" CIS....

O sul buon vecchio defensewall :cool: :)

Ciao

in realtà, allo stato attuale sto già valutando la v4.0.x.779 di CIS anche se, confesso, lo trovo molto ostico...

Ci sono infatti una marea di aspetti importanti che non sono minimamente trattati sul manuale per cui tutto posso dire fuorchè sentirmi assolutamente padrone di quello che tento di usare...


Nonostante l'impegno e la buona volontà, confesso che il senso di frustrazione è quasi totale...

Vedremo...

Nel frattempo, e se lo volete segnalare, un processo sandboxato (nel mio caso, APT (http://www.diamondcs.com.au/advancedseries/processkilltechniques.php)4..) riesce ad interagire con un processo NON sandboxato via metodo 3 (WM_QUIT) & 7 (using the EndTask function in user32.dll).

E' da indagare meglio anche il n°2 (che fa uso del metodo WM_CLOSE) & 4 (SC_CLOSE)...



D+: CLEAN PC Mode
Configuration: Proactive

Cioè mi stai dicendo che uno stupido test che si scarica da internet riesce a bypassare il programma a cui ho delelgato la protezione del mio pc?? :(

Nel frattempo, e se lo volete segnalare, un processo sandboxato (nel mio caso, APT (http://www.diamondcs.com.au/advancedseries/processkilltechniques.php)4..) riesce ad interagire con un processo NON sandboxato via metodo 3 (WM_QUIT) & 7 (using the EndTask function in user32.dll).

E' da indagare meglio anche il n°2 (che fa uso del metodo WM_CLOSE) & 4 (SC_CLOSE)...



D+: CLEAN PC Mode
Configuration: Proactive
:O :eek: :doh:

BREAKING NEWS! :D

Xiaolin (autore di Malware Defender...) è entrato ufficialmente a far parte della software house 360Safe nella quale, peraltro, partecipa anche mj0011...

Non conosco, come è logico immaginare, quello che sarà il futuro di MD...



Visto che, alla luce delle informazioni di cui dispongo, mi trovo nell'impossibilità di formarmi un qualsivoglia giudizio circa la positività o meno dei riflessi di questa notizia, l'unico aspetto che mi rende fiero è che sono il 1° su base occidentale a lanciare la breaking news in oggetto....:yeah:

-------
EDIT: in realtà sono stato bruciato sul tempo da scoobs72 (http://www.wilderssecurity.com/showpost.php?p=1649448&postcount=67) e dunque addio primato...:muro: :nera: :cry:


:p

Non ho informazioni aggiuntive riguardo a questo..

Posso solo dire che, per come uso io MD, questo cambierà relativamente le cose, avendo creato le regole giuste, restrizioni precise ai programmi più a rischio (che si interfacciano a internet), e usandolo in Silent Mode. Così tutto quello che non è dichiaratamente consentito viene negato, quindi rischio zero.
Poi browser aggiornati con opportune estensioni, e Comodo Time Machine di base...
Non installo mai nulla e tengo il sistema leggerissimo e pulito, aggiorno solo i programmi già presenti.

Questa sarà la mia configurazione definitiva, finchè xp sarà supportato.
Sul portatile nuovo, che sto per acquistare, mi inventerò qualcosa..

Sicuramente il dispiacere di fondo c'è...:fagiano:

Saluti

Xiaolin sul futuro di MD:

http://www.wilderssecurity.com/showthread.php?t=267680&page=4

Sembra che lo sviluppo continuerà e che forse sarà freeware :winner:

Ciao

di sicuro una buona notizia...:sperem:

cronaca:

La prox settimana è in programma l'uscita della 1° release gratuita di Malware Defender.

L'unica novità sarà esclusivamente il cambio delle informazioni relative al copyright del programma che verrà peraltro distruibuito solo in lingua cinese & inglese..

E' solo a 32 bit, giusto?

si

Sempre per dovere di cronaca, mi è stato confermato lo sviluppo del programma per cui resta solo da vedere se tra il dire e il fare c'è di mezzo il mare...

[cut]
per cui resta solo da vedere se tra il dire e il fare c'è di mezzo il mare...
il mio scetticismo mi porta verso una delle due visioni..
bè vedremo..

Saluti

DefenseWall v3.00 released.
New DefenseWall Personal Firewall edition is created.
Dynamic Trusted/Untrusted zones control for installation software is added.
System shutdown control is added.
Screen capturing control for untrusted processes is added.
Whitelisting for new "known as good" installation programs is added.
Multiple stability and security-related issues are solved.

http://www.softsphere.com/news/

Volevo informare cloutz che X., nell'ultima mail che ho ricevuto, ha dettagliato meglio il concetto di "prosecuzione del progetto MD":
non si limiterà, come sembrava invece emergere da qualche parte, a garantire il supporto al futuro SP1 di Windows7 ecc, ma ha in programma l'estensione delle aree monitorate...


Sempre per quello che può valere una mail, ovvio...


Ciao :)

Alla fine, è uscita la v2.70 di MD in cinese...

Credo sia questione di ore perchè sia ufficializzata su wilders anche quella in lingua inglese...

Arrivo sempre prima della banda! :yeah:

MD v2.70 inglese (http://www.wilderssecurity.com/showpost.php?p=1667984&postcount=173)

Come anticipato nelle mail, le novità sono illustarte sotto:

cambio di copyright
http://img72.imageshack.us/img72/3669/24677589.jpg

e una nuova tray icon, più carina ma che ricorda vagamente il marchio Citroen :p
http://img163.imageshack.us/img163/5054/26224303.jpg

E' di oggi l'ANNUNCIO (http://translate.googleusercontent.com/translate_c?hl=it&ie=UTF-8&sl=zh-CN&tl=en&u=http://bbs.kafan.cn/thread-695395-1-1.html&rurl=translate.google.com&usg=ALkJrhhSf1dxBr-ENeTi8Pug4LQkfDx2kg) su kafan.cn, e direttamente stavolta dalla bocca di Xiaolin, dell'uscita della v2.7.1 beta in lingua inglese/cinese di MD che va a risolvere i bug, lamentati in particolare su XP, introdotti con la precedente versione semiufficiale* 2.70....

Credo cmq che ne sia stata posticipata la segnalazione su Wilders a causa del rilascio, sempre oggi, di un PoC capace di "spegnere" diversi HIPS tra cui anche MD stesso (vedi link (http://translate.googleusercontent.com/translate_c?hl=it&ie=UTF-8&sl=zh-CN&tl=en&u=http://bbs.kafan.cn/thread-695301-1-1.html&rurl=translate.google.com&usg=ALkJrhhX4PnJAAN7vJ5m6K3e0d4bKwIbpQ))...

Alla luce del vizio di cui sopra, è probabile che si salti direttamente la comunicazione della 2.7.1 a favore della 2.7.2, sempre che nel frattempo non sorgano altri problemi...

Sul forum ufficiale, cmq, è evidente un grande fermento e una notevole eccitazione, segno della vitalità del progetto (o, almeno, io la leggo cosi')...:)


* vedi infatti il link (http://www.wilderssecurity.com/showpost.php?p=1670987&postcount=242)

Molto probabilmente a causa delle vulnerabilità evidenziate con gli ultimi PoC, credo si stia delineando all'orizzonte un profondo redesign di MD...

L'ultima mail di oggi, infatti, recita cosi':
"[..] the next version may not be released in near future..."

E va bè...:(

Se gli strumenti di traduzione online non consentono di formarsi un'idea precisa sugli aspetti fondamentali segnalati nei canali cinesi, una paziente ricerca mi ha permesso di rintracciare un canale nel quale, fortunatamente, scrive anche una persona cinese che ha provveduto a riportare gli aspetti salienti di queste discussioni in una lingua comprensibile, l'inglese, levando cosi' il velo di mistero che accompagna ogni discussione tradotta con gli strumenti di cui sopra...:D*

In 1° luogo, sono arrivato ad avere un'idea più chiara del PoC citato al post 2461 (http://www.hwupgrade.it/forum/showpost.php?p=31856051&postcount=2461).

Avvalendosi di uno di questi metodi (CreateJobObject, AssignProcessToJobObject, TerminateJobObject and their Native API equivalents...), il PoC, una volta eseguito, è capace di "spengere" un qualsiasi processo (diverso xò, nel caso di MD, dal suo servizio che, quindi, rimane "vigile" per intercettare eventuali altre "anomalie")...

Dal test emerge, invece, come EQSecure 4.xnon riesca a proteggere neppure se stesso...

Questa è la "tavola" riassuntiva che viene proposta,

1. LUA: PASS
2. Sandboxie 3.45.09: PASS
3. Online Armor Premium 4.0.0.44: PASS
4. DefenseWall 3.00: PASS
5. GeSWall Pro 2.9: PASS
6. Malware Defender 2.7.1: FAIL
7. Comodo Internet Security 4.0.141842.828FAIL
8. System Safety Monitor 2.4.0.622: FAIL
9. ProcessGuard 3.500: FAIL

Emrge chiaramente come OA, quindi, sia l'unico HIPS "classico" in grado di intercettare questa "chiamata",

http://img687.imageshack.us/img687/3312/40997100.jpg

Questo, invece, è il PoC in azione,

http://img514.imageshack.us/img514/7166/91612489.jpg

---------------------------------------------------------

Sempre su kafan, era stata segnalata pochi giorni fà una notizia.
mj0011, ingegnere capo in 360Safe (attuale proprietaria del codice di MD dopo i recenti sviluppi...), aveva lanciato una sfida, e cioè provare a "scardinare" il codice di AresProtectionSystem(APS).

"This AresProtectionSystem(APS) is not an application for daily use,actually the reason why it comes out is that some guy want to bet with mj0011 on a program which mj0011 makes up would be killed by the guy...

Partial tech of APS is similar to sandbox (not sandboxie,but Chrome sanbox),APS has sandbox and HIPS both aspects,due to the unique design of APS,it's much stricter and stronger than normal sandobx and hips kind software,and it could prevent windows kernel 0day vulnerability to a large extent, ecc.."

Seguivano le condizioni di test e alcuni dettagli relativi alla tecnologia impiegata...

Ebbene, APS, allo stato, sembra aver piegato ogni tentativo volto a forzarlo (sembra che il n° di loopholes di cui soffre, infatti, sia drasticamente inferiore rispetto a qualsiasi altro codice, da qui la chiave del suo successo)...

---------------------------------------------------

Per finire, la bella notizia che ci giunge da Matousec (Kernel HOok Bypassing Engine (http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php)) dibattuta anche su wilders (http://www.wilderssecurity.com/showthread.php?t=271968)...:muro:


*questo, peraltro, è l'unico motivo di giubilo dato che per il resto c'è poco da ridere...

Vero la traduzione fà pena !! :muro: :muro:

Io mi ero fermato................. e poi mi sono mangiato un gelato artigianale dai miei gusti preferiti (lattementa + liquirizia) che conservo in contenitore da 8 persone minimo quando ho letto di........ Comodo !! :D

Grazie per questo interessante approfondimento.;)

Vero la traduzione fà pena !! :muro: :muro:

a me, invece, pareva che la gente fosse ebete (e, per carità, per la legge dei grandi n° era possibilissimo che la concentrazione di °° su quel canale fosse superiore a quella presente su altre piazze dato il n° sterminato di gente che usa internet in Cina..:p ), ma quando a sembrare ebete era anche lo stesso mj (si fa chiamare 3x3eyes..), Xiaolin ecc, mi sono posto il problema (da tanto, in verità..) che ci fosse sotto un problema di traduzione...:p

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635

Segnalo la nuova home page di MD anche se ancora "minimalista" :asd: (sostanzialmente, infatti, oltre ai collegamenti per il download, traccia solo una mera fotografia su quelle che sono le caratteristiche del programma...) e in cinese,

http://labs.360.cn/malwaredefender/index.html (trad. di google (http://translate.googleusercontent.com/translate_c?hl=it&ie=UTF-8&sl=zh-CN&tl=en&u=http://labs.360.cn/malwaredefender/index.html&rurl=translate.google.it&usg=ALkJrhgmnX2L-B9BN1lj-UB7a84vTfMD0g))

:)

utilizzo questo thread come una piazzetta per comunicarvi che, senza alcun motivo apparente, lo sviluppatore di DefenseWall mi ha regalato una licenza valida 100 anni!! :mbe:

Allo stato, sono ancora in attesa di capire cosa abbia fatto scattare questo spirito caritatevole....:p


----------------------------------------------------------
Risposta di 1 minuto fà che chiarisce l'arcano:

"....Because you were active during V3 beta testing. As I promised, all the active beta testers got 100-years license keys..."




Prendo atto dell'omaggio, che in definitiva è di gran lunga meio che un calcio nei °°... :D

utilizzo questo thread come una piazzetta per comunicarvi che, senza alcun motivo apparente, lo sviluppatore di DefenseWall mi ha regalato una licenza valida 100 anni!! :mbe:

Allo stato, sono ancora in attesa di capire cosa abbia fatto scattare questo spirito caritatevole....:p


----------------------------------------------------------
Risposta di 1 minuto fà che chiarisce l'arcano:

"....Because you were active during V3 beta testing. As I promised, all the active beta testers got 100-years license keys..."




Prendo atto dell'omaggio, che in definitiva è di gran lunga meio che un calcio nei °°... :D

questo significa che sono persone serie...
sono anni che faccio betatester ma nessuno mi regala niente...
questo regalo dovrebbe essere motivo di orgoglio....adesso non hai dubbi...sai a chi dare fiducia...:D

L'unica correzione nel ragionamento sopra è il fatto che la Softsphere, titolare del codice di DefenseWall, è costituita da 1 sola persona che risponde al nome di Ilya Rabinovich, fisico (e, evidentemente, dotato anche di grandi qualità come programmatore)...

Per il resto, persona disponibile ed estremamente preparata a cui è possibile affidare serenamente il prezzo richiesto per la licenza sicuri di aver fatto un buon acquisto...

Allo stato, sono ancora in attesa di capire cosa abbia fatto scattare questo spirito caritatevole....:p


Pena? Compassione? :Prrr: :p :p

Pena? Compassione? :Prrr: :p :p

voi non avete compassione di nessuno:Prrr:

Pena? Compassione? :Prrr: :p :p
opterei più per la 1°...:fuck:

opterei più per la 1°...:fuck:

:D :D

Scherzo ovviamente :)

voi non avete compassione di nessuno:Prrr:

La Prevx ha già compassione di me, gli faccio pena e mi tiene :p

La Prevx ha già compassione di me, gli faccio pena e mi tiene :p

non fare il modesto ti tengono perche sei in gamba...
non per niente sei lo special one degi antivirus...
per non andare ot...volevo chiederti in futuro...
ho letto in giro...che prevx adottera' una sandbox...mettete anche un hips cosi'
avremo un prodotto all in one ....:D

Al di là delle battute di cancellino che presto verrà bannato dal thread per essersi fatto beffe del sottoscritto :ciapet:, mi dispiace dover comunicare che a distanza di più di 12 ore non ho ancora ricevuto alcuna risposta da Xiaolin ad una mia precedente mail...:(

Per la verità, mi aveva già fatto presente che non poteva far trapelare nulla sui futuri piani di sviluppo di MD (e la mia mail, sotto un certo punto di vista, andava a scavare proprio in tal senso..), xò mi aspettavo ugualmente (quanto meno per educazione..) una qualche risposta se pur evasiva...

Nella mail, infatti, chiedevo lumi in particolare su quali contolcode della funzione NtSystemDebugControl veniva effettuato il filtraggio (se l'intero ventaglio o se questo fosse solo parziale..), mi permettevo di dagli un suggerimento su come rendere ancora più informativo il log a proposito proprio del verificarsi di un evento come quello sopra (allo stato genericamente "bollato" come tentativo di "accesso alla memoria kernel"..) e, in particolare, chiedevo se era in programma l'estensione del monitoraggio ad alcune aree attualmente scoperte (es, quelle attinenti al "loading and invoking control" [invoke API function, load OLE component] e al "System control" [in particolare, attraverso Adjust Privilege Token,...]).


Resto cmq fiduciosamente in attesa di un suo input...:sperem:

Mi sembrava strano che non caGasse neppure di striscio :D...

Ecco qui la risposta di stamattina:

"Thanks for the suggestions. I will think about it : ).
But these features may not be implemented in near future."

Giusto per informazione, grazie al gentile omaggio di 1 settimana fà ho ripreso a pieno regime la mia "collaborazione" con Ilya Rabinovich e, in barba a tutto (specie alle mie considerazioni dei post 2340 e immediatamente successivi..), sono ritornato a sfoggiare Dwall...:D

Da oggi, pertanto, fa bella mostra di se una firma decisamente più colorata...:ciapet:

...e, in barba a tutto [...], sono ritornato a sfoggiare Dwall...:D


lo sapevo :Prrr:

Peccato che tali soft sono solo per OS a 32bit...su W7 x64 l'unico che ho potuto testare è winpatrol :muro:

lo sapevo :Prrr:

:mbe:

Abla, che son curioso di sapere...:p

:mbe:

Abla, che son curioso di sapere...:p

nulla, sapevo che saresti tornato a DW:D
Saluti nV!!

nulla, sapevo che saresti tornato a DW:D
Saluti nV!!

lo sapevamo tutti:D

Qualcuno ha già provato?
http://www.hwupgrade.it/forum/showpost.php?p=32290734&postcount=8418
Con Avira nessun problema ma con una suite e nello specifico con KIS ho diversi dubbi...

Qualcuno ha già provato?
http://www.hwupgrade.it/forum/showpost.php?p=32290734&postcount=8418
Con Avira nessun problema ma con una suite e nello specifico con KIS ho diversi dubbi...

Il crossposting è vietato da Regolamento e dal momento che la domanda è riferita nello specifico al Kis la sede correta è per l'appunto il 3D dedicato al Kaspersky.

Per quanto il Proactive Security Challenge (http://www.matousec.com/projects/proactive-security-challenge/results.php) condotto da Matousec abbia un'importanza puramente indicativa e non sia da assimilare ad un indicatore assoluto circa la validità di un prodotto in luogo di un altro, informo che DefenseWall 3 (http://www.softsphere.com/) otterrebbe comunque un punteggio pari al 100% (livello raggiunto 10+).

Nel giro di brevissimo, peraltro (v3.0.3), verrà data completa soluzione al "famoso" TOCTOU bug...
Ciao :)


----------------------------------
Per fine mese, poi, è attesa la v2.7.2 di MD con un'interfaccia migliorata...:)
(Link alla notizia (http://www.wilderssecurity.com/showthread.php?t=275189))

C'è nessuno che ha sottoposto al test Comodo il sw anche HIPS per giunta free sotto ?

http://spyshelter.com/download.html

Su W. ne stanno parlando sempre più visto anche l'interesse di un utente come Kees1958.

L'ho fatto io sotto il risultato a default, modalità amministratore,(visto che devo ancora mangiare.....):

http://www.pctunerup.com/up/results/_201006/th_20100621133255_comodo.JPG (http://www.pctunerup.com/up/image.php?src=_201006/20100621133255_comodo.JPG)

Non male mi sembra vero ?

Se aspettate un attimo vi dico il risultato con account limitato.
Siamo a 270/340 sempre con impostazioni a default.
Gli ulteriori test passati sono il 16 ed il 26.

A voi eventuali commenti a parte la traduzione fatta da un troglodita senz'altro !!
Credo che ci sia spazio per "limare qualcos'altro" ma probabilmente verrebbe meno la facilità d'uso del sw.

Personalmente mi accontento di un misero 330/340 registrabile su account amministratore senza dover rispondere ad un singolo pop up...:D

http://img684.imageshack.us/img684/759/immagine1jy.jpg

E se mi affidassi a qualcos'altro, come era stato peraltro per il periodo in cui ho utilizzato MD, mi affiderei *solo* ad una software house capace di garantirmi un supporto realmente di qualità anche se il prezzo da pagare per questo valore aggiunto fosse per l'appunto un esborso monetario...:)


---------------------------------
Per chi fosse interessato, riporto sotto gli elementi salienti del log "catturati" da dw durante l'esecuzione di CLT.exe stesso:
DefenseWall log file

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set value Userinit within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ (Registry)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set value servicedll within the key HKLM\SYSTEM\ControlSet001\services\SENS\Parameters\ (Registry)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set value StartupPrograms within the key HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Wds\rdpwd\ (Registry)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set value AppInit_DLLs within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ (Registry)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to send message 52C into the window of the process C:\Windows\explorer.exe. (Shatter)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to post message 52C into the window of the process C:\Windows\explorer.exe. (Shatter)

........

06.21.2010 13:51:34, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to overwrite file (overwrite_if) C:\Users\n V 2 5\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg (File )

06.21.2010 13:51:34, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to send message 52C into the window of the process C:\Windows\explorer.exe. (Shatter)

06.21.2010 13:51:34, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to post message 52C into the window of the process C:\Windows\explorer.exe. (Shatter)

............

06.21.2010 13:51:34, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to overwrite file (overwrite_if) C:\Users\n V 2 5\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg (File )

06.21.2010 13:51:34, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to post message 3E8 into the window of the process C:\Program Files\Mozilla Firefox\firefox.exe. (Shatter)

06.21.2010 13:51:33, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to use BITS service for data manipulation (Process)

06.21.2010 13:51:29, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to use BITS service for data manipulation (Process)

06.21.2010 13:51:29, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to post message 3E6 into the window of the process C:\Program Files\Internet Explorer\iexplore.exe. (Shatter)

06.21.2010 13:51:13, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

06.21.2010 13:51:13, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Internet connections are blocked (Network)

06.21.2010 13:51:13, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open protected file C:\Users\n V 2 5\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to call system debug control with the 10 code (System debugger)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to set windows event hook with module C:\Users\n V 2 5\Desktop\CLT\plugins\SetWinEventHook.dl (Hook)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, 1:Attempt to create global windows hook with module C:\Users\n V 2 5\Desktop\CLT\plugins\SetWindowsHook.dll (Hook)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open thread in process C:\Windows\explorer.exe (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\services\new_service\ (Registry)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open process C:\Windows\System32\svchost.exe (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to manipulate KnownDlls section \KnownDlls\advapi32.dll (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create KnownDlls section \knowndlls\advapi32.dll (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open process C:\Windows\System32\svchost.exe (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open thread in process C:\Windows\System32\svchost.exe (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open process C:\Windows\explorer.exe (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\services\dwall\ (Resource isolation)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create new file C:\Users\n V 2 5\AppData\Local\Temp\esihdrv.sys (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create new file C:\Users\n V 2 5\AppData\Local\Temp\esihdrv.sys (File )

....

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to load and execute module C:\Users\n V 2 5\Desktop\CLT\driver.sys (Process)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create new file C:\Windows\System32\drivers\beep.sys_old (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to create new file C:\Windows\System32\drivers\beep.sys_old (File )

....

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to overwrite file (overwrite_if) C:\Windows\System32\drivers\beep.sys (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to overwrite file (overwrite_if) C:\Windows\System32\drivers\beep.sys (File )

....

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, 4:Attempt to change service (Service)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, 4:Attempt to change service (Service)

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to rename file C:\Program Files\Mozilla Firefox\firefox.exe (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to read directly from the disk \Device\Harddisk0\DR0 (File )

06.21.2010 13:50:53, module C:\Users\n V 2 5\Desktop\CLT\clt.exe, Attempt to open protected key HKLM\SYSTEM\ControlSet001\services\dwall\ (Resource isolation)

Personalmente mi accontento di un misero 330/340 registrabile su account amministratore senza dover rispondere ad un singolo pop up...:D


pure io :sborone:

Ciao

Avete ragione, ma DW come MD sono a pagamento (ed io, come altri utenti credo, siamo allergici agli esborsi monetari) mentre OA e Comodo sono free ma c'è l'aspetto Fw integrato da considerare.

Se nel panorama di scelta si presenta anche un sw, che avrà certamente performance minori, ma 2 pregi,oltre a quello già evidenziato è anche piuttosto facile da usare + leggero, occorre farlo presente agli utenti !! :Prrr: :Prrr:

@ nV 25

Enne, me lo fai gentilmente, il "testettino" sotto con il tuo pupillo,non è di parte (anche se sembra :) ) perchè pure quello di Zemana è passato da S. a pieni voti:

http://www.spyshelter.com/download/AntiTest.exe

Grazie.

Sinceramente, l'unica nota dolente che posso rinvenire in un software come Defensewall è il prezzo della licenza...

Per il resto, infatti, siamo di fronte ad un prodotto

robusto,
intuitivo,
con un impatto minimo sulle risorse,
sviluppato da un programmatore non solo presente (anche se la comunicazione avviene solo in inglese..)
ma anche straordinariamente veloce nel fissare bug

e, non ultimo,
impostato di default per offrire il max della protezione senza richiedere una competenza specifica in materia di sicurezza (0 popup, MAX efficacia di default, uniformità della protezione).



Disponibile, peraltro, in 2 versioni:
Personal firewall o Sandbox nudo e crudo.


Più di cosi', giusto un lucano*....











*non Alfio, Alfredo, Ugo, o la Nara, ma l'AMARO...:D

@ nV 25

Enne, me lo fai gentilmente, il "testettino" sotto con il tuo pupillo...
http://www.spyshelter.com/download/AntiTest.exe

Yes, sure!

1 solo popup per il test clipboard monitor (dw, infatti, è disegnato cosi' per i keylogger in presenza dei quali [o, meglio, in presenza di un "comportamento" che ricordi quello di un keylogger...] offre la possibilità di "spengere" immediatamente il processo che effettua proprio questa richiesta anomala)...

Il log di dw:
DefenseWall log file

06.21.2010 17:49:21, module C:\Users\n V 2 5\Desktop\AntiTest.exe, Attempt to set value AntiTest within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ (Registry)

06.21.2010 17:48:59, module C:\Users\n V 2 5\Desktop\AntiTest.exe, Process reads clipboard data via GetClipboardData (Clipboard)

06.21.2010 17:48:25, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 7:Attempt to make a screenshot (Screen)

06.21.2010 17:48:23, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 5:Attempt to make a screenshot (Screen)

06.21.2010 17:48:22, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 1:Attempt to make a screenshot (Screen)

06.21.2010 17:48:20, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 3:Attempt to make a screenshot (Screen)

06.21.2010 17:47:57, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 2:Attempt to make a screenshot (Screen)

06.21.2010 17:47:50, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 7:Attempt to make a screenshot, 10010 (Screen)

06.21.2010 17:47:48, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 5:Attempt to make a screenshot, 10010 (Screen)

06.21.2010 17:47:45, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 1:Attempt to make a screenshot,10010 (Screen)

06.21.2010 17:47:43, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 3:Attempt to make a screenshot, 10010 (Screen)

06.21.2010 17:47:33, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 2:Attempt to make a screenshot, 10010 (Screen)

06.21.2010 17:47:06, module C:\Users\n V 2 5\Desktop\AntiTest.exe, 1:Attempt to create global windows hook with module C:\Users\n V 2 5\Desktop\AntiTest.exe (Hook)


Superati Keylogging, Screenshot [da 1a->5a, 1b-5b], Clipboard monitor, System protection:
Sound record/Webcam capture non effettuati perchè non ho una webcam e cmq sono quasi certo che dw non copra almeno il sound record...

http://img204.imageshack.us/img204/9522/89891799.jpg

http://img231.imageshack.us/img231/7449/67807749.jpg

Che carino!

HP si è aggiornato automaticamente all'ultima build :D ...

http://img532.imageshack.us/img532/8986/immagine1wi.jpg

Notare cmq quanto sia premuroso,

http://img180.imageshack.us/img180/3192/immagine2wu.jpg

anche se alla fine la cosa più importante è questa,

http://img694.imageshack.us/img694/2118/immagine3v.jpg


As usual, peraltro...:sofico:

Hitman Pro 3.5.6 Build 104 (2010-06-21) (http://www.wilderssecurity.com/showpost.php?p=1698780&postcount=1580)

---------------------
...ma DW come MD sono a pagamento...
Mi sa che sei rimasto indietro :read: :

http://www.hwupgrade.it/forum/showpost.php?p=31782435&postcount=118 e successivi...

...me lo fai gentilmente il "testettino"...
ricordavo in effetti di aver già visto provato Dw con il test in questione...

I miei risultati, infatti, sono in linea con questo post:
SS Anti-Test tool Updated, Tested with 4 Software (http://www.wilderssecurity.com/showpost.php?p=1678522&postcount=1)

Sull'efficacia di SpyShelter come Anti Keylogger, cmq, è interessante questa scheda (complimenti a chi l'ha fatta! :eek: ):
link! (http://www.wilderssecurity.com/showpost.php?p=1679322&postcount=19)

Che carino!

HP si è aggiornato automaticamente all'ultima build :D ...

http://img532.imageshack.us/img532/8986/immagine1wi.jpg

Notare cmq quanto sia premuroso,

http://img180.imageshack.us/img180/3192/immagine2wu.jpg

anche se alla fine la cosa più importante è questa,

http://img694.imageshack.us/img694/2118/immagine3v.jpg


As usual, peraltro...:sofico:

Hitman Pro 3.5.6 Build 104 (2010-06-21) (http://www.wilderssecurity.com/showpost.php?p=1698780&postcount=1580)

---------------------

Mi sa che sei rimasto indietro :read: :

http://www.hwupgrade.it/forum/showpost.php?p=31782435&postcount=118 e successivi...

Vero !! :(
Quando un pescatore inizia a perdere colpi si avvicina il momento di appendere la canna al chiodo.;)

Per quanto il Proactive Security Challenge (http://www.matousec.com/projects/proactive-security-challenge/results.php) condotto da Matousec abbia un'importanza puramente indicativa e non sia da assimilare ad un indicatore assoluto circa la validità di un prodotto in luogo di un altro, informo che DefenseWall 3 (http://www.softsphere.com/) otterrebbe comunque un punteggio pari al 100% (livello raggiunto 10+).

Nel giro di brevissimo, peraltro (v3.0.3), verrà data completa soluzione al "famoso" TOCTOU bug...
Ciao :)


----------------------------------
Per fine mese, poi, è attesa la v2.7.2 di MD con un'interfaccia migliorata...:)
(Link alla notizia (http://www.wilderssecurity.com/showthread.php?t=275189))

non ho capito bene ...defence wall ha qualche legame con online solution security suite?

No...

Da dove salterebbe fuori il riferimento ad OSS? :mbe:

No...

Da dove salterebbe fuori il riferimento ad OSS? :mbe:

......:D

ho cliccato sul link che avevi postato per verificare il 10+ ottenuto da defencewall (sono come s.Tommaso) postato da te qui

Per quanto il Proactive Security Challenge (http://www.matousec.com/projects/proactive-security-challenge/results.php) condotto da Matousec abbia un'importanza puramente indicativa e non sia da assimilare ad un indicatore assoluto circa la validità di un prodotto in luogo di un altro, informo che DefenseWall 3 (http://www.softsphere.com/) otterrebbe comunque un punteggio pari al 100% (livello raggiunto 10+).

Nel giro di brevissimo, peraltro (v3.0.3), verrà data completa soluzione al "famoso" TOCTOU bug...
Ciao :)


----------------------------------
Per fine mese, poi, è attesa la v2.7.2 di MD con un'interfaccia migliorata...:)
(Link alla notizia (http://www.wilderssecurity.com/showthread.php?t=275189))

e gli unici con 10+ erano comodo:winner: e online solution security....

defence wall non l'ho visto:eek:

Per tutta una serie di ragioni, Matousec ha scelto di non testare DefenseWall (vedi 1 (http://gladiator-antivirus.com/forum/index.php?showtopic=104234) o 2 (http://www.wilderssecurity.com/showthread.php?t=271912)):
fondamentalmente, cmq, il motivo era collegato al discorso del "0 popup"...


Poichè cmq il report di Matousec influenza in qualche maniera le scelte dei consumatori indirizzandoli verso una soluzione in luogo di un'altra, mi sembrava trasparente comunicare che (semmai..) anche DefenseWall 3 raggiungeva senza il minimo problema il 100%...

Come puoi capire facilmente, e per quanto il test valga solo a livello indicativo, per una piccolissima software house vedere il proprio software "escluso" dal roundup può essere fortemente penalizzante sulle vendite (o, detto in altri termini, vedere il proprio nome capeggiare anche li' ne avrebbe indiscutibilmente trainato le vendite)...

La "vera" tabella, quindi, sarebbe quella sotto:

http://img686.imageshack.us/img686/9628/matousec.jpg

Cosi' risulta più chiaro? :D

Per tutta una serie di ragioni, Matousec ha scelto di non testare DefenseWall (vedi 1 (http://gladiator-antivirus.com/forum/index.php?showtopic=104234) o 2 (http://www.wilderssecurity.com/showthread.php?t=271912)):
fondamentalmente, cmq, il motivo era collegato al discorso del "0 popup"...


Poichè cmq il report di Matousec influenza in qualche maniera le scelte dei consumatori indirizzandoli verso una soluzione in luogo di un'altra, mi sembrava trasparente comunicare che (semmai..) anche DefenseWall 3 raggiungeva senza il minimo problema il 100%...

Come puoi capire facilmente, e per quanto il test valga solo a livello indicativo, per una piccolissima software house vedere il proprio software "escluso" dal roundup può essere fortemente penalizzante sulle vendite (o, detto in altri termini, vedere il proprio nome capeggiare anche li' ne avrebbe indiscutibilmente trainato le vendite)...

La "vera" tabella, quindi, sarebbe quella sotto:

http://img686.imageshack.us/img686/9628/matousec.jpg

Cosi' risulta più chiaro? :D

adesso e' chiaro...
sono daccordissimo sulle classifiche e i test...
lasciano il tempo che trovano ...anche se influenzano in modo significativo il grande pubblico....
fatti un giro sul thread pctools firewall ...tutti preoccupati perche' e' stato declassato...
...come si fa in paio di mesi a passare da un prodotto ottimo a scadente booh:mbe:

la sintesi che hai tracciato, cmq, mi trova d'accordo su alcuni punti (es, influenzare il pubblico, che è quello peraltro che dicevo anch'io...) e meno su altri...

Sul fatto poi che una cosa sia stata declassata non ci vedo nulla di anomalo:
va da se, infatti, che se aumenta il ventaglio di aspetti che si vanno a verificare e, al contempo, il prodotto rimane "statico" o, nelle sue caratteristiche, non sono ricomprese funzionalità tali da tener traccia delle azioni impiegate appunto nei nuovi test di cui sopra, il risultato è inevitabilmente destinato a mutare...:)

Mi sono accorto che Dw 2.56 non va d'accordo con firefox 3.6.4 e più precisamente fa a botte con plugin-container. Ho provato ha settarlo come trusted, untrusted, ma niente. Non c'è verso di vedere i filmati in flash con firefox, devo usare altri browser.Nemmeno usare Gmail. C'è modo di ovviare a questo?

In generale, cmq, un software del tipo di quelli trattati nel corso del thread richiederebbe sempre l'installazione e l'uso dell'ultima versione.

I motivi sono cosi' banali che ometto di specificarli...

Visto infatti che la v3.0.2 non soffre del problema da te lamentato, direi che nel tuo caso l'unica soluzione è quella di girare il problema a Ilya e sentire se ha qualcosa da dire in proposito..

L'unica cortesia che ti chiedo, se non vuoi contattarlo te per mail, è di allegare qui il log di Dw non appena ti si ripresenta il problema assieme all'eventuale file c:\windows\dwall_log_file.txt (che non è detto infatti esista)...

PS: indica anche l'OS e eventuali altri programmi di sicurezza in real time, grazie!

*****
edit:
Nel frattempo, ho già provveduto a segnalare ad Ilya il problema e sono in attesa di una sua risposta che cmq, visto anche il discorso del fuso, non credo possa arrivare prima di domani....

In generale, cmq, un software del tipo di quelli trattati nel corso del thread richiederebbe sempre l'installazione e l'uso dell'ultima versione.

I motivi sono cosi' banali che ometto di specificarli...


Certo lo so, ma dato che io uso windows solo saltuariamente (ubuntu al 99,9%) credo che possa andarre bene anche la vecchia versione. Era una promozione e non è possibile aggiornarla (ovviamente)


Visto infatti che la v3.0.2 non soffre del problema da te lamentato, direi che nel tuo caso l'unica soluzione è quella di girare il problema a Ilya e sentire se ha qualcosa da dire in proposito..

L'unica cortesia che ti chiedo, se non vuoi contattarlo te per mail, è di allegare qui il log di Dw non appena ti si ripresenta il problema assieme all'eventuale file c:\windows\dwall_log_file.txt (che non è detto infatti esista)...

PS: indica anche l'OS e eventuali altri programmi di sicurezza in real time, grazie!
]
Lo so che Ylia è disponibilissimo. L'ho contattato un'altra volta e incredibilmente mi ha risposto in tempo reale

La soluzione che mi ha indicato è questa:
utilizzare il file defensewall_initialization.txt della v3.0.2 che, per semplicità, allego qui.

(Sostituire il nuovo .txt al vecchio mantenendo la posizione originaria)

A proposito di DefenseWall, vi propongo questi 2 video molto carini.

Il 1°, sebbene in inglese, è la descrizione nuda e cruda delle funzionalità del software (v3) direttamente ad opera della SoftSphere,
Dw 3 User Guide (http://www.youtube.com/user/SoftSphereTech#p/u/0/pWo0M_B_OKU),

il 2°, invece, è un test molto carino condotto dall'amministratore di un noto sito di sicurezza francese (Malekal.com) e propone lo scontro
Dw 2.56 VS Virut (http://www.youtube.com/watch?v=KUsxYBOncZw&feature=related).

Li consiglio perchè permettono di formarsi un'idea sufficientemente precisa tanto sul livello di isolamento garantito dal programma quanto sulla difficoltà di gestione del software nel quotidiano (e la simulazione di un infezione, illustrata nel video n°2, rende particolarmente bene l'idea del lavoro richiesto nel momento in cui si sia chiamati ad eliminare eventuali residui là dove non si faccia uso di strumenti di blacklisting (Antivirus))...

Buona visione :)

Ho inviato a Ilya dei suggerimenti, che sicuramente migliorerebbero la chiarezza dei pochi popup :D

risposta più che sintetica:
"Ah, OK, it's possible."


..già mi odia :asd: :D

es.?




PS: Io invece credo che alla fine finirà per amarti...:Prrr:

incollo il succo della mia mail:

When DW opens popups, this shows the path of the source process, the path of the target process and (eventually) the parameter or the tipe of attack.
This is umconfortable to read, cause all the paths are at the same line..

for example:

- Now:
Process: "C:\Documents and Settings\lockdown\Desktop\CLT\clt.exe" is about to run process: "C:\Program Files\Internet Explorer\iexplore.exe" with parameter: "about:blank"

- My suggest is to change in this way:

Process:
"C:\Documents and Settings\lockdown\Desktop\CLT\clt.exe"

is about to run process:
"C:\Program Files\Internet Explorer\iexplore.exe"

with parameter:
"about:blank"


and at the top of the alert window (window's title bar) change
"DefenseWall - This Action Requires Your Permission!"

(that is obvious and gives no more information about what's happening), with

"DefenseWall - [TYPE OF ATTACK]"

for example:
"DefenseWall - untrusted process is about to run a new process!"

In this way, reading the title of the window, the user knows immediatly what type of attack is ongoing.

avrei anche altri suggerimenti per i popup piccoli (quelli che compaiono a destra nell'angolo), per il log e altre cosette.. ma vediamo cosa ne fa di questi prima* :D

* se li cestina bellamente, non sto qua neanche a scriverglieli :Prrr:

La soluzione che mi ha indicato è questa:
utilizzare il file defensewall_initialization.txt della v3.0.2 che, per semplicità, allego qui.

(Sostituire il nuovo .txt al vecchio mantenendo la posizione originaria)
Grazie mille, sei insostituibile :winner: . Provo subito e farò sapere

incollo il succo della mia mail:



avrei anche altri suggerimenti per i popup piccoli (quelli che compaiono a destra nell'angolo), per il log e altre cosette.. ma vediamo cosa ne fa di questi prima* :D

* se li cestina bellamente, non sto qua neanche a scriverglieli :Prrr:

moooolto buono!

Sullo stile degli HIPS puri (MD, PS,..) cui eravamo abituati, insomma, dove i popup erano ben organizzati....:)

Io, cmq, ho optato completamente per l'opzione 0 popup (advanced, options, popup notification, popup notification option: tutto su OFF)...:D

Grazie mille, sei insostituibile :winner: . Provo subito e farò sapere

figurati :)