PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 8 9 10 [11] 12 13 14 15 16 17 18 19

cloutz
25-06-2010, 20:28
moooolto buono!

Sullo stile degli HIPS puri (MD, PS,..) cui eravamo abituati, insomma, dove i popup erano ben organizzati....:)

Io, cmq, ho optato completamente per l'opzione 0 popup (advanced, options, popup notification, popup notification option: tutto su OFF)...:D

no io le notifiche dei popup le ho lasciate tutte tranne Protected Resources Access Events.. alla fine interviene raramente, solo quando realmente necessario!

comunque il problema di lentezza della gui era dovuto all'engine library che usa Ilya per la skin, infatti disattivando la skin blu (lasciando dw grigio :D) la situazione è tornata alla normalità..!:O

Ciaociao

nV 25
25-06-2010, 20:47
anche perchè la skin, onestamente, non si può vedere...:rolleyes:
e pensare che c'ha speso anche dei soldi per farla sviluppare esternamente...:rolleyes:


Sinceramente, poi, credo che la tua idea di riorganizzazione dei popup possa anche vedere la luce molto velocemente, e non solo perchè implementarla deve essere una cazzata, ma piuttosto perchè ha sposato la linea del popup solo quando realmente necessario...
Ora, visto che se settato in un certo modo Dw genera i popup di cui parlavi, non vedo cosa gli costi apportare le modifiche da te proposte dato che, peraltro, servono a rendere realmente più facilmente interpretabili gli eventi in questione...


Le mie "idee grafiche", invece, nonostante il gradimento del pubblico, si sono scontrate contro un muro proprio perchè contrastavano la linea di condotta di cui sopra (popup solo se realmente necessario)...

Ma aspetta a vederle per capire quanto sia esageratamente limitato sotto questo punto di vista...:sbonk:

La 1° era questa:
oggi, ti sposti sulla tray icon e si apre un campo grigio con il nome del programma..
La mia idea, invece, e senza stare a discorrere troppo sulla sua utilità o sul motivo per cui la proponevo, è riassunta nella foto...

(consideriamo che attualmente per accedere alla stessa informazione c'è da fare 2 passaggi..)

http://img580.imageshack.us/img580/6812/immagine1r.jpg

La 2°, invece, è a tratti ridicola...ma d'altro canto, dice che poi la gente sarebbe sommersa da popup...:mbe: :rolleyes:

http://img35.imageshack.us/img35/1117/immagine2og.jpg

(la proposta, peraltro, proprio per contenere il n° dei popup generati, prevedeva l'adozione di un trucco, e cioè fare in modo che il popup si producesse solo per quelle applicazioni/processi che non fossero ovviamente ricompresi nella Default Untrusted List...)

Che si fa, gli si rompe le °° in 2? :D

caturen
25-06-2010, 20:47
La soluzione che mi ha indicato è questa:
utilizzare il file defensewall_initialization.txt della v3.0.2 che, per semplicità, allego qui.

(Sostituire il nuovo .txt al vecchio mantenendo la posizione originaria)

Grazie ancora della disponibilità. Purtroppo ho sostituito il file defensewall_initialization.txt presente in system 32 ma il risultato è lo stesso: se firefox parte in modalità untrusted il plugin-container smette di funzionare e con lui anche l'intero browser. Se invece FF parte in modalità trusted tutto ok.
Vorrà dire che uso altri browser.
O che ho sbagliato qualcosa.

nV 25
25-06-2010, 20:59
strano:

a questo tizio che ha avuto il solito problema la soluzione ha funzionato..
http://gladiator-antivirus.com/forum/index.php?showtopic=106425


Cmq, visto che XP lo usi pochissimo, eviterei di starmi a sbattere ulteriormente e userei un browser alternativo (Chrome,..).

Ciao!

caturen
25-06-2010, 21:35
strano:

a questo tizio che ha avuto il solito problema la soluzione ha funzionato..
http://gladiator-antivirus.com/forum/index.php?showtopic=106425


Cmq, visto che XP lo usi pochissimo, eviterei di starmi a sbattere ulteriormente e userei un browser alternativo (Chrome,..).

Ciao!
Ho riprovato a ricambiare quel file ma niente da fare.
ps ho vista
ps2 se ti può servire come curiosità ti allego il log
ps3 ho pure provato a mettere DW 3 ma una volta che lo installo mi dice che la mia licenza è scaduta e immettere una nuova (non riesco a disinstallare del tutto DW 2.56. Ho provato in tutti i modi ed ho tolto nel registro tutte le chiavi collegate ma niente da fare)

nV 25
25-06-2010, 21:46
ok:
domani si manda la mail e si vede un pò...

cloutz
25-06-2010, 22:00
anche perchè la skin, onestamente, non si può vedere...:rolleyes:
e pensare che c'ha speso anche dei soldi per farla sviluppare esternamente...:rolleyes:


Sinceramente, poi, credo che la tua idea di riorganizzazione dei popup possa anche vedere la luce molto velocemente, e non solo perchè implementarla deve essere una cazzata, ma piuttosto perchè ha sposato la linea del popup solo quando realmente necessario...
Ora, visto che se settato in un certo modo Dw genera i popup di cui parlavi, non vedo cosa gli costi apportare le modifiche da te proposte dato che, peraltro, servono a rendere realmente più facilmente interpretabile gli eventi in questione...


Le mie "idee grafiche", invece, nonostante il gradimento del pubblico, si sono scontrate contro un muro proprio perchè contrastavano la linea di condotta di cui sopra (popup solo se realmente necessario)...

Ma aspetta a vederle per capire quanto sia esageratamente limitato sotto questo punto di vista...:sbonk:

La 1° era questa:
oggi, ti sposti sulla tray icon e si apre un campo grigio con il nome del programma..
La mia idea, invece, e senza stare a discorrere troppo sulla sua utilità o sul motivo per cui la proponevo, è riassunta nella foto...

(consideriamo che attualmente per accedere alla stessa informazione c'è da fare 2 passaggi..)

http://img580.imageshack.us/img580/6812/immagine1r.jpg

La 2°, invece, è a tratti ridicola...ma d'altro canto, dice che poi la gente sarebbe sommersa da popup...:mbe: :rolleyes:

http://img35.imageshack.us/img35/1117/immagine2og.jpg


Che si fa, gli si rompe le °° in 2? :D

Sul fatto che la 2^ sommergerebbe gli utenti è vero.. prova ad avviare chrome come untrusted, ti apre 3 processi, ogni tab almeno carica un altro processo.. vedresti spuntare quel popup ogni volta che apri una nuova tab.. se va bene ogni 10 secondi :D

trovo carina invece la prima opzione.. anche se credo ci siano modifiche più "critiche" da fare:


Log pessimo.. basterebbe fare che per gli eventi consecutivi dello stesso processo, si mette un + che ti apre a cascata tutti i suoi eventi. Questo per migliorare il log, senza modificare troppo la sua struttura, che è cmq davvero poco efficiente a prima vista..
Ampliare di un paio di cm il popup che si aprono in basso a destra.. la loro legibbilità è pari a zero se li si lascia così!
mi son ritrovato a dover rileggere lo stesso popup più volte, finendo per farlo chiudere da solo tanto tempo era passato!
questo per dire quanto era scomodo doversi spostare con la barretta laterale, leggendo massimo 3 righe alla volta (2 occupate dal percorso del file).. x forza ti vien voglia di sopprimere tutti i popup come hai fatto tu!:D
Hotkeys personalizzabili anche per rispondere ai popup (di default disabilitati però, sennò uno che non lo sa x sbaglio schiaccia una sequenza di tasti e da l'allow al popup :ciapet: ), non solo per aprire i menu di DW com'è ora..


più altre piccole robe, che xo vanno a gusto, o sono per lo più cagatine..:p

cmq pensandoci la tua prima proposta sarebbe davvero interessante, perchè alla fine x ricevere un feedback ti devi posizionare sull'icona, non vieni sommerso o quant'altro..!!:O
chissà xke non l'ha considerata..

arnyreny
26-06-2010, 01:52
volevo sfruttare la promo di defencewall 2.56...
quindi l'ho messo su una partizione con window 7 32 bit...facendo un po' di prove mi son reso conto che il test di comodo mi dava 150/340

http://img266.imageshack.us/img266/7894/immaginenj.th.jpg (http://img266.imageshack.us/i/immaginenj.jpg/)

un po' pochino :mbe:

mi direte che la 2.56 e' obsoleta...ma anche il test di comodo lo e':doh:

cloutz
26-06-2010, 10:22
volevo sfruttare la promo di defencewall 2.56...
quindi l'ho messo su una partizione con window 7 32 bit...facendo un po' di prove mi son reso conto che il test di comodo mi dava 150/340

http://img266.imageshack.us/img266/7894/immaginenj.th.jpg (http://img266.imageshack.us/i/immaginenj.jpg/)

un po' pochino :mbe:

mi direte che la 2.56 e' obsoleta...ma anche il test di comodo lo e':doh:

strano.. come puoi vedere qua (http://www.hwupgrade.it/forum/showpost.php?p=30039668&postcount=2230) su Xp dava ben altro punteggio..:stordita:

arnyreny
26-06-2010, 10:58
strano.. come puoi vedere qua (http://www.hwupgrade.it/forum/showpost.php?p=30039668&postcount=2230) su Xp dava ben altro punteggio..:stordita:

forse questa versione non e' pienamente compatibile con seven ....
aspettiamo nv per conferma

nV 25
26-06-2010, 11:04
Sul fatto che la 2^ sommergerebbe gli utenti è vero.. prova ad avviare chrome come untrusted..
Hai quotato cmq la stesura "outdated"...:p

Alle 22.39, infatti, e forse proprio perchè sentivo che qualcuno avrebbe colto la finezza, ho provveduto ad editare il post originale con un'aggiunta essenziale (peraltro specificata chiaramente nella stesura originale in inglese),

(la proposta, peraltro, proprio per contenere il n° dei popup generati, prevedeva l'adozione di un trucco, e cioè fare in modo che il popup si producesse solo per quelle applicazioni/processi che non fossero ovviamente ricompresi nella Default Untrusted List...)


:)

nV 25
26-06-2010, 11:13
forse questa versione non e' pienamente compatibile con seven ....
aspettiamo nv per conferma

premesso che quel risultato su CLT è figlio di un malfunzionamento di DW o, + probabile, di un "overdose" di programmi in real time che finiscono inevitabilmente per cozzare l'un l'altro generando il famoso fenomeno della "sicurezza apparente", DW 2.56 soffriva di un sacco di problemi sotto 7 (in particolare, forti limiti nella pulizia dei residui, o uso della funzionalità di RollBack, + tante altre cosettine)...


Sarebbe faticoso ricercare il passaggio dove facevo presente che era sconsigliabile l'uso di 7 con DW 2.56, ma credimi, era stato detto più volte*...


La 2.56, peraltro, sotto il profilo della "sicurezza pura" garantita alla macchina, è stata ampiamente superata dalla v3...
Non c'è dunque un solo motivo per cui doversi ostinare a tenerla se non forse il fatto che, come diceva caturen, si usi la piattaforma Windows l'1% del tempo complessivo d'accensione del PC...


*************

*Trovato il passaggio:
dw 2.56 *SCONSIGLIATO* per 7 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674)

cloutz
26-06-2010, 11:46
Hai quotato cmq la stesura "outdated"...:p

Alle 22.39, infatti, e forse proprio perchè sentivo che qualcuno avrebbe colto la finezza, ho provveduto ad editare il post originale con un'aggiunta essenziale (peraltro specificata chiaramente nella stesura originale in inglese),


:)

mea culpa! Ho impiegato un pò troppo a rispondere e l'avevi già editato :D

arnyreny
26-06-2010, 12:36
premesso che quel risultato su CLT è figlio di un malfunzionamento di DW o, + probabile, di un "overdose" di programmi in real time che finiscono inevitabilmente per cozzare l'un l'altro generando il famoso fenomeno della "sicurezza apparente", DW 2.56 soffriva di un sacco di problemi sotto 7 (in particolare, forti limiti nella pulizia dei residui, o uso della funzionalità di RollBack, + tante altre cosettine)...


Sarebbe faticoso ricercare il passaggio dove facevo presente che era sconsigliabile l'uso di 7 con DW 2.56, ma credimi, era stato detto più volte*...


La 2.56, peraltro, sotto il profilo della "sicurezza pura" garantita alla macchina, è stata ampiamente superata dalla v3...
Non c'è dunque un solo motivo per cui doversi ostinare a tenerla se non forse il fatto che, come diceva caturen, si usi la piattaforma Windows l'1% del tempo complessivo d'accensione del PC...


*************

*Trovato il passaggio:
dw 2.56 *SCONSIGLIATO* per 7 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674)

grazie...ero curioso ...oltre al test ...di mettermi x un istante nei tuoi panni.. con un solo soft di protezione..
adesso provo la v 3...;)

arnyreny
26-06-2010, 12:56
continuo a fare 150 anche con la versione 3 :doh:
strano:muro:

nV 25
26-06-2010, 14:16
Fammi capire:
su OS pulito (appena formattato..) e DW 3 (.0.2) fai 150 punti?

arnyreny
26-06-2010, 14:19
Fammi capire:
su OS pulito (appena formattato..) e DW 3 (.0.2) fai 150 punti?

si ho tolto la versione vecchia...ho messo la nuova...
sistema pulito e non aggiornato:mbe:

nV 25
26-06-2010, 14:24
Sei un mito! che dimostra ancora una volta come nel settore dell'informatica nulla sia mai certo! :)

Fino ad oggi, infatti, non avevo mai visto una sola persona ottenere (con la v3) un punteggio inferiore ai 330...:D


Domanda:
ma il tuo browser parte "untrusted"?
Puoi controllare nella scheda "untrusted applications" che sia materialmente presente e evidenziato in colore blu?

nV 25
26-06-2010, 14:38
A questo punto, cmq, mi sorge un dubbio:

guarda questo video [Link! (http://www.youtube.com/watch?v=Q1TsFnxQmoM)]..

Non è mica che al 1° popup che ricevi disponi che CLT.exe operi al di fuori del Sandbox? :mbe:

http://img682.imageshack.us/img682/9428/snap1c.jpg

Di default, infatti, DW chiede se un file che si trova in determinate locazioni debba girare come untrusted o meno (vedi anche post 2226 (http://www.hwupgrade.it/forum/showpost.php?p=30036729&postcount=2226))...

arnyreny
26-06-2010, 15:09
Sei un mito! che dimostra ancora una volta come nel settore dell'informatica nulla sia mai certo! :)

Fino ad oggi, infatti, non avevo mai visto una sola persona ottenere (con la v3) un punteggio inferiore ai 330...:D


Domanda:
ma il tuo browser parte "untrusted"?
Puoi controllare nella scheda "untrusted applications" che sia materialmente presente e evidenziato in colore blu?

....
e' untrusted guarda la foto


http://img145.imageshack.us/img145/908/immaginezc.th.jpg (http://img145.imageshack.us/i/immaginezc.jpg/)


:read:


A questo punto, cmq, mi sorge un dubbio:

guarda questo video [Link! (http://www.youtube.com/watch?v=Q1TsFnxQmoM)]..

Non è mica che al 1° popup che ricevi disponi che CLT.exe operi al di fuori del Sandbox? :mbe:

http://img682.imageshack.us/img682/9428/snap1c.jpg

Di default, infatti, DW chiede se un file che si trova in determinate locazioni debba girare come untrusted o meno (vedi anche post 2226 (http://www.hwupgrade.it/forum/showpost.php?p=30036729&postcount=2226))...

no non e' uscito nessun pop-up

nV 25
26-06-2010, 15:13
mi hai messo una curiosità pazzesca...:p

Quindi, via Chrome untrusted, scarichi CLT, lo esegui e ottinei 150 punti...:confused:

Di nuovo, sicuro che al 1° popup che ho postato sopra tu non dica al programma di eseguire CLT stesso fuori dal Sandbox? :mbe:

Rispondi celere, che poi giro tutto a Ilya...

Grazie

-------------
Ho visto che hai editato il post sopra..

Metteresti a questo punto anche la foto delle opzioni avanzate e, in particolare, quelle che si aprono cliccando la linguetta "Popup notification"?


-------------
EDIT IMPORTANTE!

Ho un'ultima richiesta da farti:
puoi mettere una foto delle "proprietà" di CLT.exe?

Scarichi CLT.exe, tasto destro del mouse su CLT stesso, nel menù a tendina che ti si apre vai sulla voce DefenseWall e selezioni l'ultima voce "File properties".

arnyreny
26-06-2010, 15:24
mi hai messo una curiosità pazzesca...:p

Quindi, via Chrome untrusted, scarichi CLT, lo esegui e ottinei 150 punti...:confused:

Di nuovo, sicuro che al 1° popup che ho postato sopra tu non dica al programma di eseguire CLT stesso fuori dal Sandbox? :mbe:

Rispondi celere, che poi giro tutto a Ilya...

Grazie

-------------
Ho visto che hai editato il post sopra..

Metteresti a questo punto anche la foto delle opzioni avanzate e, in particolare, quelle che si aprono cliccando la linguetta "Popup notification"?


-------------
EDIT IMPORTANTE!

Ho un'ultima richiesta da farti:
puoi mettere una foto delle "proprietà" di CLT.exe?

Scarichi CLT.exe, tasto destro del mouse su CLT stesso, nel menù a tendina che ti si apre vai sulla voce DefenseWall e selezioni l'ultima voce "File properties".

...non sono veloce...scusami...ho 2 bimbi che mi stanno mettendo la casa sottosopra...:cry:

torniamo a noi ...in avanzate non trovo la linguetta pop-up...
ecco la foto
http://img171.imageshack.us/img171/4840/immaginewb.th.jpg (http://img171.imageshack.us/i/immaginewb.jpg/)

nV 25
26-06-2010, 15:28
ok, no problem.

Ho bisogno SIA della foto relativa alle "proprietà" di CLT.exe (ti ho scritto la procedura nell'altro post..) SIA di quello che appare all'interno della scheda "OPTIONS" + il contenuto di una sua specifica linguetta, quella chiamata "popup notifications"..

arnyreny
26-06-2010, 15:32
ok, no problem.

Ho bisogno SIA della foto relativa alle "proprietà" di CLT.exe (ti ho scritto la procedura nell'altro post..) SIA di quello che appare all'interno della scheda "OPTIONS" + il contenuto di una sua specifica linguetta, quella chiamata "popup notifications"..

e' trusted :O :eek:

e chi l'ha messo come trusted:muro: :mbe:

io l'ho scaricato ed eseguito

nV 25
26-06-2010, 15:34
il problema, allora, è li'!

CLT.exe **NON** dovrebbe essere TRUSTED:
mi chiedo, dunque, COME abbia fatto ad avere quell'attributo SE Chrome è untrusted....


Mi posti le opzioni?

arnyreny
26-06-2010, 15:45
il problema, allora, è li'!

CLT.exe **NON** dovrebbe essere TRUSTED:
mi chiedo, dunque, COME abbia fatto ad avere quell'attributo SE Chrome è untrusted....


Mi posti le opzioni?

http://img3.imageshack.us/img3/2660/immaginehc.th.jpg (http://img3.imageshack.us/i/immaginehc.jpg/)

nV 25
26-06-2010, 15:58
Nel frattempo, mi è venuta in mente un'ultimissima cosa:

ma non è mica che hai attivato la modalità "esperto" (o EXPERT MODE)?
Perchè in quel caso, DW **NON** marca i file automaticamente come untrusted neppure se creati da un processo untrusted...


Cmq la cosa che vedo dalla foto che mi hai postato è questa:
di fronte ad un file scaricato a mezzo processo untrusted che si trova in determinate locazioni (desktop, ecc..) e che, a sua volta, non è firmato digitalmente da un fornitore sicuro, DW *TI CHIEDE* come avviarlo, se UNTRUSTED o se invece TRUSTED (è la voce abilitata della scheda popup notifications options-Running files from Download Areas).

Nel tuo caso, non hai infatti ricevuto il famoso popup perchè il file aveva attributo TRUSTED e quindi il problema è capire come abbia fatto ad assumere questa caratteristica...

Ricontrolla il discorso dell'EXPERT MODE che deve essere DISATTIVATO, altrimenti proprio non saprei cosa dirti se non girare tutto a Ilya...

Mi fai un'ultimo esperimento?

Scarica http://www.cpuid.com/downloads/cpu-z/1.54-32bits-en.zip e dimmi che proprietà ha...

arnyreny
26-06-2010, 16:05
Nel frattempo, mi è venuta in mente un'ultimissima cosa:

ma non è mica che hai attivato la modalità "esperto" (o EXPERT MODE)?
Perchè in quel caso, DW **NON** marca i file automaticamente come untrusted neppure se creati da un processo untrusted...


Cmq la cosa che vedo dalla foto che mi hai postato è questa:
di fronte ad un file scaricato a mezzo processo untrusted che si trova in determinate locazioni (desktop, ecc..) e che, a sua volta, non è firmato digitalmente da un fornitore sicuro, DW *TI CHIEDE* come avviarlo, se UNTRUSTED o se invece TRUSTED (è la voce abilitata della scheda popup notifications options-Running files from Download Areas).

Nel tuo caso, non hai infatti ricevuto il famoso popup perchè il file aveva attributo TRUSTED e quindi il problema è capire come abbia fatto ad assumere questa caratteristica...

Ricontrolla il discorso dell'EXPERT MODE che deve essere DISATTIVATO, altrimenti proprio non saprei cosa dirti se non girare tutto a Ilya...

Mi fai un'ultimo esperimento?

Scarica http://www.cpuid.com/downloads/cpu-z/1.54-32bits-en.zip e dimmi che proprietà ha...
si sto in expert mode

trusted anche cpu z

nV 25
26-06-2010, 16:08
ma bravo, arny!!!! :mad:



L'EXPERT MODE NON LA USA NEPPURE ILYA!!!

Ma il manuale, almeno un secondo, non lo leggete?


Cmq TOGLILO e riprova quello che ti pare:
ti ricarico postepay di 10€ se DW canna l'aasegnazione degli attributi!

CIAO :D

arnyreny
26-06-2010, 16:14
ma bravo, arny!!!! :mad:



L'EXPERT MODE NON LA USA NEPPURE ILYA!!!

Ma il manuale, almeno un secondo, non lo leggete?


Cmq TOGLILO e riprova quello che ti pare:
ti ricarico postepay di 10€ se DW canna l'aasegnazione degli attributi!

CIAO :D

....si ma non e' normale che chrome e' untusted e i file scaricati da esso siano trusted...
non essere di parte:D

adesso provo senza expert mode;)

nV 25
26-06-2010, 16:15
E' incredibile....:p

Mi hai inchiodato davanti alla sedia per aver abilitato l'UNICA opzione che indebolisce il programma! (hai visto l'expert e subito ti ci sei fiondato, eh?...)

http://img692.imageshack.us/img692/7683/immagine1tf.jpg

Cmq una lezione l'ho tratta, e di questo ti ringrazio:
segnalerò a Ilya di "nasconderla" o di enfatizzarne la potenziale pericolosità :sofico: ,

grazie davvero. :)

nV 25
26-06-2010, 16:17
....si ma non e' normale che chrome e' untusted e i file scaricati da esso siano trusted...
non essere di parte:D

dai, arny, su!?!

E' evidenziato anche sul manuale che l'effetto dell'abilitazione di quell'opzione è proprio quello che te hai riscontrato fino ad ora...


Se questo è essere di parte, allora...

Siamo seri, su...

arnyreny
26-06-2010, 16:23
dai, arny, su!?!

E' evidenziato anche sul manuale che l'effetto dell'abilitazione di quell'opzione è proprio quello che te hai riscontrato fino ad ora...


Se questo è essere di parte, allora...

Siamo seri, su...

expert mode....mi doveva mettere davanti a una scelta non credi....
indebolisce la difesa se do una risposta sbagliata...ma non mi e' stata posta alcuna domanda

forse e' quella funzionalita' che ha dei problemi...:D

nV 25
26-06-2010, 16:34
arny, non insistere...


Ho sempre rispettato tutti, spesso e volentieri dedicando anche una discreta parte del mio tempo all'assistenza (gratuita...), ma pretendo a mia volta rispetto, cosa che invece mi sembra non ci sia in questo caso...

Ammettere di aver sbagliato perchè trascinati (o abbagliati) dalla parola EXPERT (mode..) pensando a chissà quale incremento di benefici ne sarebbero discesi, sarebbe francamente più ONESTO specie nei miei confronti...

Come se non bastasse infatti quello che ho postato prima dal manuale, Defensewall, prima di rendere pienamente ioperativa quella particolare modalità, genera un pop up (uno dei pochi, invero...) in cui si dice

http://img695.imageshack.us/img695/3940/immagine2cl.jpg

TRADUCO:
La modalità esperta è indirizzata ad un'utenza avanzata e richiede un elevato livello di conoscenza/competenza ALTRIMENTI la difesa (offerta dal programma..) è ENORMEMENTE RIDOTTA.
Sei sicuro di volerti spostare (ugualmente...) verso questa modalità?


Volevi un lucano, forse? :mbe:

arnyreny
26-06-2010, 16:37
...Grazie NV mi hai fatto un po' di scuola guida...
ho tolto expert mode funziona tutto bene...i file scaricati sono untrusted...
il test mi da 330...l'unico che fallisce e' invasion filedrop:D

nV 25
26-06-2010, 16:40
ok, amici come prima...:)

Approfitto cmq della tua "impasse" per segnalare ad Ilya di RIVEDERE questa funzionalità rendendola MENO ACCESSIBILE...

Alla fine della fiera, hai fatto solo bene al programma.

Grazie,
nV :)

arnyreny
26-06-2010, 16:42
l'expert mode lo avevo messo nella versione 2.5...poi ho disinstallato e riavviato ...ho installato la versione 3...ed ha ereditato quel settaggio dalla 2.5...
anche questa cosa non va'...

segnala anche questo

nV 25
26-06-2010, 16:44
...e ricorda che un lucchese, al pari di un genovese, se scommette (la storiella dei 10€..) lo fa solo quando è assolutamente sicuro di incassare!!! :D :ciapet:


Ciao di nuovo

arnyreny
26-06-2010, 17:54
...e ricorda che un lucchese, al pari di un genovese, se scommette (la storiella dei 10€..) lo fa solo quando è assolutamente sicuro di incassare!!! :D :ciapet:


Ciao di nuovo

non avevo dubbi....

come ho potuto capire l'expert mode lascia i vecchi file che hanno gia una regola untrusted come tali...mentre i nuovi file scaricati sul pc in default rimangono trusted a meno che con il tastino destro non diamo un altra regola...

....soft interessante;)
saluti

l'avviso della ridotta sicurezza non mi e' uscito perche' lo stato expeet mode e' stato ereditato dalla versione precedente

caturen
26-06-2010, 18:19
strano:

a questo tizio che ha avuto il solito problema la soluzione ha funzionato..
http://gladiator-antivirus.com/forum/index.php?showtopic=106425


Cmq, visto che XP lo usi pochissimo, eviterei di starmi a sbattere ulteriormente e userei un browser alternativo (Chrome,..).

Ciao!
Per curiosità ho provato ad installare Geswall. Anche con lui il plugin-container si blocca e firefox va in crash.

cloutz
26-06-2010, 19:00
non avevo dubbi....

come ho potuto capire l'expert mode lascia i vecchi file che hanno gia una regola untrusted come tali...mentre i nuovi file scaricati sul pc in default rimangono trusted a meno che con il tastino destro non diamo un altra regola...

....soft interessante;)
saluti

l'avviso della ridotta sicurezza non mi e' uscito perche' lo stato expeet mode e' stato ereditato dalla versione precedente

se l'expert mode era attivato nella versione precedente, evidentemente avevi consentito quell'avviso..
è facilmente deducibile che se installi la nuova versione sopra la vecchia ti eredita i settaggi.. non lo definirei propriamente un "problema di ridotta sicurezza" :fagiano:

Saluti

arnyreny
26-06-2010, 19:39
se l'expert mode era attivato nella versione precedente, evidentemente avevi consentito quell'avviso..
è facilmente deducibile che se installi la nuova versione sopra la vecchia ti eredita i settaggi.. non lo definirei propriamente un "problema di ridotta sicurezza" :fagiano:

Saluti

non l'ho messa sopra ma disinstallato riavviato e poi installata la 3...quindi in questo caso...la 3 doveva partire con i settaggi in default...non con quelli della 2.5....;)

nV 25
26-06-2010, 19:57
il discorso dell'importazione dei vecchi settaggi, sinceramente, è un non problema e ho preferito neppure riportarlo nella mail nella quale, cmq, ho posto invece l'accento sull'incidente intervenuto (figlio, IMO, di una certa sufficienza per una serie di motivi fatti trapelare qualche post fà...) chiedendo se fosse possibile ripensare ulteriormente la disposizione della famosa funzionalità...


Vediamo, sempre che non mandi in ****, me e chi ha sbagliato...:D

nV 25
26-06-2010, 20:05
ha risposto:

"Yes, I can. I can make this feature do not work...with 3.03 version"

Ve la traducete..;)

caturen
27-06-2010, 12:47
strano:

a questo tizio che ha avuto il solito problema la soluzione ha funzionato..
http://gladiator-antivirus.com/forum/index.php?showtopic=106425


Cmq, visto che XP lo usi pochissimo, eviterei di starmi a sbattere ulteriormente e userei un browser alternativo (Chrome,..).

Ciao!
Allora:
con l'aggiornamento a firefox 3.6.6 il problema si è risolto ed ora il plugin-containe funziona regolarmante sotto DW:cincin:
ps grazie del tempo che mi hai dedicato.

nV 25
27-06-2010, 16:42
Se si può, si cerca anche di aiutare...:)

nV 25
27-06-2010, 18:05
Per motivi di decoro e vista la situazione di "sbando" in cui versa adesso il post iniziale, è stata ripresa (se pur distrattamente..) una rielaborazione del 1° post...

Sono graditi, eventualmente, apporti anche di terzi...
Ciao :)

nV 25
28-06-2010, 18:10
Quasi pronta...

Pensieri?

arnyreny
28-06-2010, 18:50
forse ho trovato un bug nel hips di comodo http://www.hwupgrade.it/forum/showpost.php?p=32454054&postcount=1366
:muro:

buonasalve
28-06-2010, 20:49
forse ho trovato un bug nel hips di comodo http://www.hwupgrade.it/forum/showpost.php?p=32454054&postcount=1366
:muro:

credi che valga solo per la 4 oppure anche per la 3.14 ? :eek:

arnyreny
28-06-2010, 20:54
credi che valga solo per la 4 oppure anche per la 3.14 ? :eek:

credo per la 4 ...e solo su seven 64 bit...quindi se immune:D
ciao saluti;)

buonasalve
28-06-2010, 20:55
credo per la 4 ...e solo su seven 64 bit...quindi se immune:D
ciao saluti;)

fiiiuuuuuuuuuuuuuuu :D

ciao arny ;) un abbraccio

arnyreny
28-06-2010, 21:00
fiiiuuuuuuuuuuuuuuu :D

ciao arny ;) un abbraccio

il problema e' che comodo come nel antivirus anche nel d+ sta facendo confusione con le esclusioni...
avevo un file nelle esclusioni...e comodo escludeva tutta la cartella programmi...pulita la scheda file sicuri il programma funziona correttamente;)

buonasalve
28-06-2010, 21:07
il problema e' che comodo come nel antivirus anche nel d+ sta facendo confusione con le esclusioni...
avevo un file nelle esclusioni...e comodo escludeva tutta la cartella programmi...pulita la scheda file sicuri il programma funziona correttamente;)

ah ok...io sto ancora con la 3.14 e finche qualcuno non mi dice che sono in condizioni di poca sicurezza rimango così :fagiano: :D

arnyreny
28-06-2010, 21:10
ah ok...io sto ancora con la 3.14 e finche qualcuno non mi dice che sono in condizioni di poca sicurezza rimango così :fagiano: :D

si sei in condizione di poca sicurezza...converrebbe aggiornare...
poi su xp non ci sono grossi problemi;)

buonasalve
28-06-2010, 21:31
si sei in condizione di poca sicurezza...converrebbe aggiornare...
poi su xp non ci sono grossi problemi;)

cavolo...e chi se le ricorda tutte quelle regole da impostare !

è passato un anno da quando le ho fatte per cis3 ed ora è tutto nebuloso per me :rolleyes:

cloutz
29-06-2010, 11:21
Quasi pronta...

Pensieri?

bella la prima pagina :D

Da come era impostato il discorso sembrava che consigliassi DW o Sandboxie, citando solamente GW..
è voluto x un qualche motivo?
giusto x sapere cosa ne pensi di GW, e se la pensi come me :p

nV 25
29-06-2010, 12:47
ci sono ancora diverse cose da scrivere, anche se la parte relativa agli hips tradizionali verrà risolta in poche batture (metterò solo MD al 99%)...

Sulla tua domanda:
E chiaro che dei 3 consiglio Defensewall, su questo c'è poco da fare..

GW, invece, "patisce" del fatto di essere meno conosciuto anche dal sottoscritto (ecco perchè qualche post fà ho detto di essere pronto a raccogliere anche vostri input)...

L'impostazione che ho cercato di dare fino ad ora, cmq, è quella della neutralità sebbene mi sembra di capire che ci sia riuscito solo relativamente...

cloutz
29-06-2010, 13:13
ci sono ancora diverse cose da scrivere, anche se la parte relativa agli hips tradizionali verrà risolta in poche batture (metterò solo MD al 99%)...

Sulla tua domanda:
E chiaro che dei 3 consiglio Defensewall, su questo c'è poco da fare..

GW, invece, "patisce" del fatto di essere meno conosciuto anche dal sottoscritto (ecco perchè qualche post fà ho detto di essere pronto a raccogliere anche vostri input)...

L'impostazione che ho cercato di dare fino ad ora, cmq, è quella della neutralità sebbene mi sembra di capire che ci sia riuscito solo relativamente...

no va be, nel complesso il discorso è neutrale..:)

anche io conosco poco GW, ho tentato diverse volte di tenerlo installato.. ma purtroppo la scarsa assistenza-supporto tecnico si fa sentire, soprattutto per la lentezza nella correzione dei cosiddetti known issues..
il suo sviluppo non viene molto seguito e, fra i 3 (SB-GW-DW), è quello che se non ricordo male, nei test di Aigle ogni tanto dava qualche comportamento strano..

:D

Saluti!!

nV 25
29-06-2010, 18:03
Finito...:sofico:

Ci metto anche 2 note su OA/D+?

PS: ma aprire un nuovo TU dal titolo "Software HIPS: RELOADED" :D , no, eh?
Tanto questo rimane e lo si può sempre linkare...:p

sampei.nihira
29-06-2010, 20:59
Ciao Enne ho letto il post di apertura 3D.
Vorrei intervenire in merito agli HIPS che definisci puri.
Hai scritto (pressapoco) che oggi vivono un periodo di oggettiva difficoltà.
Giusto.
Vorrei mettere in evidenza il mio pensiero.
Da un versante centrale c'è la massa che neppure si avvicina a questi sw.
Poi ci sono 2 estremi che sono certamente la minoranza.
Un estremo di appassionati che li usa, l'altro estremo che li ha certamente usati ed ha preso coscienza che non sono mai intervenuti a salvaguardia del sistema.
Il famoso concetto dell'ultima linea di difesa.
Una linea di difesa quindi perennemente disoccupata.
Per tali utenti quindi le performance degli HIPS hanno un valore aggiunto che in fondo si concretizza in un aspetto più teorico (nei tests) che pratico.
Quindi in definitiva in totale abbiamo 2 tipi di utenti che "rifiutano" gli HIPS puri.
Per motivi opposti ovviamente.
Gli uni perchè li ritengono troppo difficili da usare (ed a questi utenti servirebbero),gli altri perchè hanno preso coscienza che sono inutili.

Se un utente è in grado, da solo, di discernere comportamenti pericolosi in presenza di malwares e comportarsi di conseguenza è lui stesso il miglior HIPS "umano".

Ed adesso la conclusione.

Sono portato a ritenere,quindi, che più un utente è in grado di usare con discreta naturalezza ed efficienza un HIPS,più tale sw sia quindi "inutile" se installato nel sistema.
L'HIPS quindi è stato notevolmente importante per l'utente che lo ha installato.
Ha avuto un importanza soggettiva.


p.s. Ed ora via al lancio dei pomodori........:D :D

cloutz
30-06-2010, 10:04
piccola nota: ovviamente si sono scatenate "polemiche" tra i pochi utilizzatori di MD, sul fatto che ormai sia da abbandonare, obsoleto, rischioso da usare in quanto non più aggiornato tempestivamente, tra chi vuole farsi ridare i soldi della licenza (furbi, bella la scusa, ora che è diventato free:mbe: ) ecc...

mi ha rincuorato il post di nick_s (http://www.wilderssecurity.com/showpost.php?p=1704072&postcount=17), che alla fine della fiera rappresenta la vera condizione delle cose.
MD non verrà più aggiornato con la frequenza che lo caratterizzava, ma verrà aggiornato, e i veri problemi fixati, a ritmi standard..
d'altra parte la struttura del programma è solida, credo ci sia poco da temere IMHO.

certo non ha più molto senso rompere le balle a Xiaolin sulle cose estetiche e feature particolari, perchè non ci ascolterà, ma su bug e vulnerabilità credo che sarà sempre disponibile da professionista quale è.. poi dipenderà dal corso degli eventi.

p.s.: cmq a breve l'uscita di MD 2.7.2 with an improved gui...:sofico:

cloutz
30-06-2010, 10:14
Ciao Enne ho letto il post di apertura 3D.
Vorrei intervenire in merito agli HIPS che definisci puri.
Hai scritto (pressapoco) che oggi vivono un periodo di oggettiva difficoltà.
Giusto.
Vorrei mettere in evidenza il mio pensiero.
Da un versante centrale c'è la massa che neppure si avvicina a questi sw.
Poi ci sono 2 estremi che sono certamente la minoranza.
Un estremo di appassionati che li usa, l'altro estremo che li ha certamente usati ed ha preso coscienza che non sono mai intervenuti a salvaguardia del sistema.
Il famoso concetto dell'ultima linea di difesa.
Una linea di difesa quindi perennemente disoccupata.
Per tali utenti quindi le performance degli HIPS hanno un valore aggiunto che in fondo si concretizza in un aspetto più teorico (nei tests) che pratico.
Quindi in definitiva in totale abbiamo 2 tipi di utenti che "rifiutano" gli HIPS puri.
Per motivi opposti ovviamente.
Gli uni perchè li ritengono troppo difficili da usare (ed a questi utenti servirebbero),gli altri perchè hanno preso coscienza che sono inutili.

Se un utente è in grado, da solo, di discernere comportamenti pericolosi in presenza di malwares e comportarsi di conseguenza è lui stesso il miglior HIPS "umano".

Ed adesso la conclusione.

Sono portato a ritenere,quindi, che più un utente è in grado di usare con discreta naturalezza ed efficienza un HIPS,più tale sw sia quindi "inutile" se installato nel sistema.
L'HIPS quindi è stato notevolmente importante per l'utente che lo ha installato.
Ha avuto un importanza soggettiva.


p.s. Ed ora via al lancio dei pomodori........:D :D

ciao sampei!:p

ti posso dire la verità? in questi ultimi mesi necessitavo di un pc pronto all'uso, senza troppi accorgimenti e cose a cui badare, senza noie e popup..che fosse immediato e reattivo per lo studio e per la programmazione (cosa su cui passo il 60-70% delle mie ore in pratica)..

ecco per circa 4-5 mesi son rimasto stabilmente senza alcun antivirus o programma di sicurezza, dietro router, con semplicemente Comodo Time Machine e 1snap del pc pulito con i programmi che uso per lo studio (Eclipse ecc)..
mai nessun problema, proprio perchè non facevo altro che programmare, controllare il sito di facoltà, scaricare email, ascoltare lezioni online.. poi ovviamente stavo attento.

Ora che ho più tempo libero mi son rimesso in gioco diciamo..
ma cmq non sono del tutto contrario alla tua seconda visione, ovvero credo anche io che si possa benissimo vivere senza HIPS.. ma, almeno nel mio caso, l'hips mi ha insegnato ad acquisire una certa consapevolezza di ciò che faccio..


Saluti

nV 25
30-06-2010, 11:10
piccola nota: ovviamente si sono scatenate "polemiche" tra i pochi utilizzatori di MD, sul fatto che ormai sia da abbandonare, obsoleto, rischioso da usare in quanto non più aggiornato tempestivamente...

Vorrei aggiungere, peraltro, che questa linea generale che, come dici, traspare su canali esteri (Wilders, ecc..), non rappresenta cmq in alcun modo la mia linea tant'è vero che nei "miei" thread ho sempre consigliato (e consiglio..) soluzioni che userei anch'io e dunque soluzioni in cui credo...

Certo, se lo stato di abbandono si dovesse protrarre a lungo, il giudizio cambierebbe inevitabilmente cosi' come (amaramente..) è stato per ProSecurity (ora, l'anonimo Real Time Defender)...

MD, attualmente, è sicuramente il punto di riferimento nel panorama degli HIPS puri (o classici, chiamateli come volete)...http://gladiator-antivirus.com/forum/style_emoticons/default/good.gif

sampei.nihira
30-06-2010, 17:00
ciao sampei!:p

ti posso dire la verità? in questi ultimi mesi necessitavo di un pc pronto all'uso, senza troppi accorgimenti e cose a cui badare, senza noie e popup..che fosse immediato e reattivo per lo studio e per la programmazione (cosa su cui passo il 60-70% delle mie ore in pratica)..

ecco per circa 4-5 mesi son rimasto stabilmente senza alcun antivirus o programma di sicurezza, dietro router, con semplicemente Comodo Time Machine e 1snap del pc pulito con i programmi che uso per lo studio (Eclipse ecc)..
mai nessun problema, proprio perchè non facevo altro che programmare, controllare il sito di facoltà, scaricare email, ascoltare lezioni online.. poi ovviamente stavo attento.

Ora che ho più tempo libero mi son rimesso in gioco diciamo..
ma cmq non sono del tutto contrario alla tua seconda visione, ovvero credo anche io che si possa benissimo vivere senza HIPS.. ma, almeno nel mio caso, l'hips mi ha insegnato ad acquisire una certa consapevolezza di ciò che faccio..


Saluti

Ciao Cloutz mi fà piacere risentirti ogni tanto come l'amico Leolas (ormai tedesco di Germania :D ).

Come vedi ho evidenziato quello che io avevo scritto alla fine del mio intervento.
L'HIPS è stato notevolmente importante,per il soggetto che usa il pc.;)

nV 25
30-06-2010, 17:06
abbondantemente rivisto (in meglio, spero..) la parte relativa ai sandbox con il discorso del Total untrusted files movement control (valido per DW..) e tante altre cose...

Ora, nelle differenze tra DW & Sbxie, rimane solo da chiarire perchè lo stesso Ilya Rabinovich suggerisca l'accoppiata ad un AV specie se l'utente è meno avvezzo all'uso delle funzionalità avanzate di DW...

Poi, veramente, direi che è tutto anche perchè mi sono abbondantemente rotto le °°...


Forse, come dicevo qualche post indietro, spenderò giusto 2 parole sulla categoria a sé degli ALL in ONE (Comodo in primis)...:D


PS: si accettano anche CRITICHE specie se costruttive!
GRAZIE

leolas
30-06-2010, 17:41
Forse, come dicevo qualche post indietro, spenderò giusto 2 parole sulla categoria a sé degli ALL in ONE (Comodo in primis)...:D

a proposito di farsi sentire..
dovesse succedere.. informo solo che OA è passato dalla Tall Emu alla Emsisoft, ovvero da 2 sviluppatori a una ventina.. Quindi magari potrebbe prima o poi entrare nella tua orbita :p

PS: Zì sampei, in effetti il tettesko ti ggermana ezizte ankora :D E anke a lui fa piacere sentire foi :)

arnyreny
30-06-2010, 18:30
abbondantemente rivisto (in meglio, spero..) la parte relativa ai sandbox con il discorso del Total untrusted files movement control (valido per DW..) e tante altre cose...

Ora, nelle differenze tra DW & Sbxie, rimane solo da chiarire perchè lo stesso Ilya Rabinovich suggerisca l'accoppiata ad un AV specie se l'utente è meno avvezzo all'uso delle funzionalità avanzate di DW...

Poi, veramente, direi che è tutto anche perchè mi sono abbondantemente rotto le °°...


Forse, come dicevo qualche post indietro, spenderò giusto 2 parole sulla categoria a sé degli ALL in ONE (Comodo in primis)...:D


PS: si accettano anche CRITICHE specie se costruttive!
GRAZIE

tutto chiaro ...e condivido l'ultima affermazione...
un utente che si avvicina agli hips ...avrebbe un quadro piu' chiaro se citassi in linea di massima oa e comodo...
qualcuno ha fatto qualche test con geswall?
....anche questo sarebbe interessante;)

nV 25
30-06-2010, 19:31
a proposito di farsi sentire..
dovesse succedere.. informo solo che OA è passato dalla Tall Emu alla Emsisof.. Quindi magari potrebbe prima o poi entrare nella tua orbita :p

ecco, ti distrai un attimo e perdi la news...:muro:

Secondo me paga l'effetto "Comodo", un software cmq ancora troppo confuso (fatto col pennato?, leggi bug a go go ecc)...;)

nV 25
30-06-2010, 19:34
tutto chiaro ...e condivido l'ultima affermazione...
un utente che si avvicina agli hips ...avrebbe un quadro piu' chiaro se citassi in linea di massima oa e comodo...
qualcuno ha fatto qualche test con geswall?
....anche questo sarebbe interessante;)
ok.

Per GesWall, si, esistono in rete molti test amatoriali (tipo quelli che talavolta faccio io, ma non solo...) e in linea di massima sono tutti positivi!
Per intendersi, fossero a quel livello gli Antivirus tradizionali...;) ;)

lupin 3rd
30-06-2010, 21:18
nv 25,potrei chiederti un favore?visto che più volte hai contattato il supporto tecnico di malware defender,potresti chiedere e sollecitare per il rilascio compatibile con le versioni a 64 bit di windows?mi spiace molto non poter provare un hips raffinato come md...

arnyreny
01-07-2010, 01:28
ok.

Per GesWall, si, esistono in rete molti test amatoriali (tipo quelli che talavolta faccio io, ma non solo...) e in linea di massima sono tutti positivi!
Per intendersi, fossero a quel livello gli Antivirus tradizionali...;) ;)

non prendertela a male,ma la presentazione degli hips ibridi,come li chiamavi precedentemente ...e adesso all in one....sembra una caricatura:stordita:
...2 parole per comodo online armor e online solution security sono doverose se in qualche modo ...si puo dire che ' quello e' il livello 0 per chi si avvicina a questo tipo di protezione...:D

cloutz
01-07-2010, 08:33
nv 25,potrei chiederti un favore?visto che più volte hai contattato il supporto tecnico di malware defender,potresti chiedere e sollecitare per il rilascio compatibile con le versioni a 64 bit di windows?mi spiace molto non poter provare un hips raffinato come md...

ti dico già che è altamente improbabile che vengano implementati i 64 bit [gli ho rotto le balle per mesi, ma non ha mai avuto seriamente in progetto di farlo:D ], soprattutto perchè se non è stato fatto fino ad ora (che era a pagamento) figuriamoci se lo farà adesso che è diventato gratuito, ed il programmatore è impegnato in un altro grande progetto..! :O

Come ripeto, imho molto probabilmente dopo l'uscita imminente della 2.7.2 si lavorerà soprattutto di correzione bug e vulnerabilità..

poi mai dire mai :p

Saluti

nV 25
01-07-2010, 09:23
non prendertela a male,ma la presentazione degli hips ibridi,come li chiamavi precedentemente ...e adesso all in one....sembra una caricatura:stordita:...
sinceramente non avrei mai immaginato che tra ieri sera e stamattina qualcuno avrebbe riletto il post iniziale cogliendo peraltro il sarcasmo del mio commento...:stordita:

Cercherò di togliere il carattere da "caricatura" anche se provo un oggettivo fastidio nei confronti del management COMODO che mi fa essere poi sarcastico nei confronti delle sue "creature"...

arnyreny
01-07-2010, 09:38
sinceramente non avrei mai immaginato che tra ieri sera e stamattina qualcuno avrebbe riletto il post iniziale cogliendo peraltro il sarcasmo del mio commento...:stordita:

Cercherò di togliere il carattere da "caricatura" anche se provo un oggettivo fastidio nei confronti del management COMODO che mi fa essere poi sarcastico nei confronti delle sue "creature"...

massima imparzialita' :D

che tu sappia per dw c'e' uno sviluppo a 64 bit?

nV 25
01-07-2010, 09:52
Allo stato non è prevista nessuna versione a 64bit..:(

arnyreny
01-07-2010, 10:28
Allo stato non è prevista nessuna versione a 64bit..:(

tutti i soft di questo genere stanno trovando enormi difficolta' con i 64 bit, online a. è un anno che ha sottomano una beta a 64 bit...i bug del tuo amatissimo comodo sono concentrati prevalentemente sui 64 bit...comunque si devono dare tutti una mossa visto che una buona fetta del mercato sono notebook a 64 bit

nb le prime dritte quando misi la prima volta comodo le ho ricevute da te,allora eri piu paziente nei confronti di comodo

nV 25
01-07-2010, 15:56
permettetemi il moto di presunzione, ma mi sono riletto giusto 2 minuti fà l'inizio di questo thread e l'ho trovato davvero ben fatto! (mi autostringo la mano da solo..:friend: )


Fermo restando che dovrà essere affrontato non appena possibile il discorso di Comodo che cmq, al di là del mio sarcasmo, è un prodotto sicuramente valido, sono realmente intenzionato a chiedere l'apertura di una versione "RELOADED" di questo thread.

Diverse, infatti, potrebbero essere le cosettine da aggiungerci ma mi trovo oggettivamente a scontrarmi con pressanti limiti di spazio...

Anche se il nuovo thread dovesse raccogliere 20 lettori, credo sia oggettivamente la strada migliore da percorrere.



Se qualcuno, nel frattempo, ritiene che alcuni post di questo thread debbano essere salvati (messi cioè in rilievo perchè utili o altro..), si faccia avanti.


Saluti da nV,
sicuramente alla ricerca di maggiore visibilità...:asd:

arnyreny
01-07-2010, 16:17
NV puoi spiegarmi una cosa...come mai i file che ho sul pc sono tutti trusted...
si puo fare il modo che siano untrusted in automatico...
cioe' sul disco dati ho tanti eseguibili ...sono andato a guardare le proprieta' e sono tutti trusted da cosa dipende?
Grazie;)

ovviamente mi riferisco a dw

arnyreny
01-07-2010, 16:31
forse ci sono arrivato da solo ...nella scheda untrusted application...add e aggiungo il disco dati:D

nV 25
01-07-2010, 17:37
non capisco perchè tu voglia considerare i file che hai sul Pc come untrusted:
hai letto quella che è la logica di funzionamento di DW?


Se poi (ma è una caso diverso..) sul tuo Pc hai una zona nella quale tieni di proposito la tua collezione di malwares, allora si è fondamentale marcare come untrustes la cartella...

Altrimenti, è normalissimo che (ad es.) il contenuto di C: sia trusted...

nV 25
01-07-2010, 17:42
insomma, se si ha almeno chiaro come funziona (e secondo me è cosa alquanto banale...), non esiste motivo di starsi a alambriccare il cervello pensando a chissà quale riconfigurazione anche perchè, ripeto, DW è già AL MASSIMO di default:

l'unica cosa, eventualmente, può essere il settaggio di unità USB/CD Rom ecc come untrusted, ma per il resto NON E' RICHIESTA NESSUN ALTRA OPERAZIONE!!

Spero sia chiaro, altrimenti si rifinisce per rendere complessa una cosa che, per disegno, è utilizzabile anche dal mi nonno (fosse vivo..) o dall'ultimo dei n00b (quasi, via..)

:)

bender8858
02-07-2010, 14:03
http://www.turbotramp.fre3.com/

Lo conoscete :) ?

Ciao

nV 25
02-07-2010, 17:15
si.


Personalmente, cmq, mi soffermerei solo sui nomi che garantiscano realmente una certa efficacia:
per es., e al di là quindi dell'euforia che regna ultimamente su Wilders attorno a PE Guard, non mi sentirei neppure di citarlo dato che, oltre che estremamente immaturo e valido probabilmente solo in qualità di "controllore sulla prima esecuzione dei processi", è sviluppato da un ragazzotto, persona sicuramente più capace di me nel programmare (e non ci voleva cmq più di tanto visto che conosco a malapena il BASIC :D o 2 comandi DOS :ciapet: ) ma lontano dai talenti che stanno dietro a programmi ben consolidati e citati in questo thread.

IMO

eraser
04-07-2010, 00:32
Io non sarei molto cattivo con il "ragazzotto" :) D'altronde tutti quelli che hanno sviluppato software di sicurezza che adesso sono ultra-citati erano "ragazzotti" che hanno fatto esperienza con il tempo :) Dietro DefenseWall c'è un solo sviluppatore, dietro Malware Defender idem (almeno fino ad ora), dietro Sandboxie idem con patate.

Insomma, se tutti avessero ragionato così con loro quando erano agli inizi, ora non ci sarebbero DefenseWall o Sandboxie per esempio ;)

eraser
04-07-2010, 00:36
nv 25,potrei chiederti un favore?visto che più volte hai contattato il supporto tecnico di malware defender,potresti chiedere e sollecitare per il rilascio compatibile con le versioni a 64 bit di windows?mi spiace molto non poter provare un hips raffinato come md...

È impossibile portare Malware Defender nei sistemi a 64 bit, almeno non prima di un redesign completo del programma ;) Non sarà mai portato a causa della tecnologia KPP

arnyreny
04-07-2010, 01:42
È impossibile portare Malware Defender nei sistemi a 64 bit, almeno non prima di un redesign completo del programma ;) Non sarà mai portato a causa della tecnologia KPP

si pensava che anche sandbox non sarebbe mai girata sui 64 bit e invece...
io credo che con qualche limitazione ...si puo' far in modo di poter adattare qualsiasi hips ai 64 bit...vedi oa finquando c'erano pochi sviluppatori dietro...
il 64 bit era un traguardo irraggiungibile ...infatti e' piu' di un anno che e' in beta...adesso che e' passato alla emsisoft ...vedrai che nel giro di qualche mese girera' sui 64 bit;)

nV 25
04-07-2010, 08:40
Io non sarei molto cattivo con il "ragazzotto" :) D'altronde tutti quelli che hanno sviluppato software di sicurezza che adesso sono ultra-citati erano "ragazzotti" che hanno fatto esperienza con il tempo :) Dietro DefenseWall c'è un solo sviluppatore, dietro Malware Defender idem (almeno fino ad ora), dietro Sandboxie idem con patate.

Insomma, se tutti avessero ragionato così con loro quando erano agli inizi, ora non ci sarebbero DefenseWall o Sandboxie per esempio ;)

Ho capito, Marco, ed hai perfettamente ragione...

Il discorso, allora, lo avrei dovuto fare in questi termini:
quando gli autori dei software che hai citato poc'anzi hanno mosso i primi passi nei loro progetti, erano persone culturalmente e tecnicamente formate:
qui, se permetti, siamo di fronte ad uno studentello che nei ritagli di tempo sviluppa il proprio programmino...

Bravo e tutto (anche se onestamente credo che un programma che stia attento [di fatto...] ad intercettare il solo momento della prima esecuzione riuscirebbe a tirarlo giù anche l'ultimo degli studentelli*...) ma "hai voglia di be' ova" prima di arrivare anche solo a carezzare l'idea di far qualcosa di più e di meglio rispetto ad es a MD...

E dunque, che senso ha consigliarlo quantomeno oggi?


* mi sarebbe più piaciuto dire "il maiale" invece che "l'ultimo degli..." :D

PS: ma non sarai mica te opaida?:D :Prrr:

chuck palahniuk
04-07-2010, 21:19
Ciao a tutti,
sto provando la trial di DW.piuttosto bene il test clt con 330:340.in pratica ha cannato solo il FileDrop.Qualche perplessità per il firewall integrato con i test sulle porte shieldsUP che risultano chiuse ma non stealthed.E' un problema o visto che cmq eventuali attacchi vengono instradati verso la sandbox,è una precisa scelta del programmatore?

eraser
05-07-2010, 00:35
quando gli autori dei software che hai citato poc'anzi hanno mosso i primi passi nei loro progetti, erano persone culturalmente e tecnicamente formate

Su questo non ti so rispondere. Non conosco né Ilya, né Tzuk, né Xiaolin, quindi non saprei dirti se i vari progetti non siano nati veramente a scopo di studio come questo PE Guard per poi assumerne i connotati di programmi più completi con il tempo.

Comunque sia il concetto di PE Guard (da quello che ho capito, non l'ho visto) è molto semplice quanto "efficace", un concetto utilizzato anche da software più blasonati e famosi quali ad esempio Faronics Anti-Executable: il concetto del whitelisting.

E in ambito aziendale, dove in un computer ad esempio devono girare solo specifici programmi e null'altro è permesso, è una soluzione alquanto efficace.

PS: No non sono io :Prrr: Io sono impegnato in altre novità che verranno implementate in Prevx 4 :Prrr: :D

nV 25
05-07-2010, 09:14
Ciao a tutti,
sto provando la trial di DW.piuttosto bene il test clt con 330:340.in pratica ha cannato solo il FileDrop.Qualche perplessità per il firewall integrato con i test sulle porte shieldsUP che risultano chiuse ma non stealthed.E' un problema o visto che cmq eventuali attacchi vengono instradati verso la sandbox,è una precisa scelta del programmatore?

In realtà in DW il test FileDrop deve essere letto in questi termini:
"si, è vero:
CLT.exe mostra correttamente il programma come vulnerabile a questo specifico test..

Peccato xò che questo discorso sia perfettamente coerente con quella che è l'architettura di DefenseWall che prevede espressamente il disinteresse del Sandbox verso le operazioni di copia/scrittura/.../ di file in certe locazioni dato che questi, comunque, risulteranno sempre non solo tracciabili ma anche disarmati (congelati).

Il loro attributo, infatti, sarebbe UNTRUSTED!, elemento cruciale attorno al quale ruota proprio l'idea di questo Sandbox HIPS"...


Sul discorso del firewall, invece, si può sempre chiedere a Ilya:
io, sinceramente, sono dietro router e non ho mai avuto tempo/voglia di verificare lavorando sul discorso della DMZ...

nV 25
05-07-2010, 11:29
eraser, se riesci a ritagliarti 5 minuti puoi darmi una lettura al post iniziale cosi' da segnalarmi errori (specie di concetto...) o eventuali allargate?


Mi interesserebbe, in particolare, una tua opinione in merito a questo passaggio che ho legato nell' "unicum" in maniera (spero..) non troppo forzosa :stordita: :
http://www.hwupgrade.it/forum/showpost.php?p=10228828&postcount=22 :read:



Danke :D

nV 25
05-07-2010, 18:04
Preso atto che ricevere 1 risposta da cancellino richiede un tempo superiore a quello solitamente impiegato dallo sviluppatore di MD (ma li' come attenuante c'erano 8 ore di fuso orario...:D ), mi sono venute in mente 2 integrazioni che stasera, tempo permettendo, guarderò di inserire...


Il cantiere, a dispetto di quello che pensavo giorni fà, è ancora in corso...:help: :doh:



PS: ringrazio cmq in anticipo Marco che avrà modo sicuramente di dire la sua intorno all'1:30 di notte, quando le persone perbene dormono...:bimbo: :ronf: :D

eraser
05-07-2010, 23:45
PS: ringrazio cmq in anticipo Marco che avrà modo sicuramente di dire la sua intorno all'1:30 di notte, quando le persone perbene dormono...:bimbo: :ronf: :D

Eccomi qua :D puntuale :asd:

eraser, se riesci a ritagliarti 5 minuti puoi darmi una lettura al post iniziale cosi' da segnalarmi errori (specie di concetto...) o eventuali allargate?


Mi interesserebbe, in particolare, una tua opinione in merito a questo passaggio che ho legato nell' "unicum" in maniera (spero..) non troppo forzosa :stordita: :
http://www.hwupgrade.it/forum/showpost.php?p=10228828&postcount=22 :read:



Danke :D

Il passaggio a grandi linee è corretto. Questo è uno dei motivi per cui fare test su virtual machine o all'interno di sandbox pubbliche può essere fuorviante. Purtroppo ci sono n-mila modi per poter verificare in maniera attendibile se si è all'interno di una macchina virtuale o meno, e di conseguenza modificarne il comportamento del malware.

Come hai gia detto tu, un utente inesperto potrebbe provare il file all'interno di Sandboxie e verificare che il comportamento non è nocivo. Di conseguenza si sente autorizzato ad eseguire il programma al di fuori di esso. E il malware ha libertà di azione.

Ma non solo. Questo è un punto dolente anche per i famosi test degli antivirus che si fanno. Tante persone che si lanciano nell'esecuzione di test casalinghi utilizzano le virtual machine come base di test, ma le virtual machine possono essere fuorvianti per un mare di possibili motivi.

arnyreny
05-07-2010, 23:50
Eccomi qua :D puntuale :asd:



Il passaggio a grandi linee è corretto. Questo è uno dei motivi per cui fare test su virtual machine o all'interno di sandbox pubbliche può essere fuorviante. Purtroppo ci sono n-mila modi per poter verificare in maniera attendibile se si è all'interno di una macchina virtuale o meno, e di conseguenza modificarne il comportamento del malware.

Come hai gia detto tu, un utente inesperto potrebbe provare il file all'interno di Sandboxie e verificare che il comportamento non è nocivo. Di conseguenza si sente autorizzato ad eseguire il programma al di fuori di esso. E il malware ha libertà di azione.

Ma non solo. Questo è un punto dolente anche per i famosi test degli antivirus che si fanno. Tante persone che si lanciano nell'esecuzione di test casalinghi utilizzano le virtual machine come base di test, ma le virtual machine possono essere fuorvianti per un mare di possibili motivi.

cosa puoi anticiparci sul hips che sara' inserito in prevx...
:D
:mbe:

eraser
06-07-2010, 00:26
cosa puoi anticiparci sul hips che sara' inserito in prevx...
:D
:mbe:

Ci sarà un hips? :stordita: Non lo sapevo proprio :help:

arnyreny
06-07-2010, 01:33
Ci sarà un hips? :stordita: Non lo sapevo proprio :help:

non e' un hips...allora e' una sandbox:eek:

eraser
06-07-2010, 02:03
non e' un hips...allora e' una sandbox:eek:

Una sandbox? :eek:

nV 25
06-07-2010, 12:39
non dubitavo della tua puntualità...:p
...Il passaggio a grandi linee è corretto. ..
Se vuoi segnalarmi correzioni da apportare, lo sai che sarebbe quello che ho sempre sognato...



Non hai speso cmq una sola parola sul resto :incazzed: :
globalmente lo trovi valido o condito di sciocchezze/allargate? :mbe:


(PS: non mi rispondere per cortesia con la solita storiellina [ :D ] secondo la quale, non utilizzando questi programmi, non hai la possibilità di esprimerti appieno in merito:
anche un tuo commento di massima, infatti, ha un GRANDE valore :ave:... )


Nel frattempo, segnalo l'uscita della versione 3.0.3 di DefenseWall che risolve (non solo sotto un profilo di marketing..;) ) il discorso della "vulnerabilità" TOCTTOU riportata a gran voce da Matousec (Avviso... (http://www.matousec.com/info/articles/khobe-8.0-earthquake-for-windows-desktop-security-software.php))

DefenseWall v3.03 released.
Strong anti-TOCTTOU (race conditions) protection is integrated into.

Kohai
06-07-2010, 21:20
Ciao a tutti,
sto provando la trial di DW.piuttosto bene il test clt con 330:340.in pratica ha cannato solo il FileDrop.Qualche perplessità per il firewall integrato con i test sulle porte shieldsUP che risultano chiuse ma non stealthed.E' un problema o visto che cmq eventuali attacchi vengono instradati verso la sandbox,è una precisa scelta del programmatore?

In realtà in DW il test FileDrop deve essere letto in questi termini:
"si, è vero:
CLT.exe mostra correttamente il programma come vulnerabile a questo specifico test..

Peccato xò che questo discorso sia perfettamente coerente con quella che è l'architettura di DefenseWall che prevede espressamente il disinteresse del Sandbox verso le operazioni di copia/scrittura/.../ di file in certe locazioni dato che questi, comunque, risulteranno sempre non solo tracciabili ma anche disarmati (congelati).

Il loro attributo, infatti, sarebbe UNTRUSTED!, elemento cruciale attorno al quale ruota proprio l'idea di questo Sandbox HIPS"...


Sul discorso del firewall, invece, si può sempre chiedere a Ilya:
io, sinceramente, sono dietro router e non ho mai avuto tempo/voglia di verificare lavorando sul discorso della DMZ...

Personale esperienza.
Finche' ero dietro modem con il solo firewall (OA), le porte del test GRC erano tutte stealth con punteggio 340/340 nel test di comodo.

Da quando son dietro il router, alcune porte e in modo random mi risultano visibili ma chiuse, il tutto lo imputo probabilmente alla marca del router o alle varie comunicazioni che avvengono fra esso ed il modem.

La DMZ non l'ho attivata in quanto non portava ad alcun beneficio (almeno nel mio caso), quindi concludendo sono propenso a pensare che il tutto dipenda da come e' impostato di default un router, ce ne sono alcuni impostati meglio ed altri no oppure hanno settaggi di default "troppo permissivi"; nel mio infatto ho apportato alcune modifiche :D :read:

Spero di non essere stato OT, nel caso me ne scuso :stordita:

Den76
07-07-2010, 16:39
C'è nessuno che ha sottoposto al test Comodo il sw anche HIPS per giunta free sotto ?

http://spyshelter.com/download.html

Su W. ne stanno parlando sempre più visto anche l'interesse di un utente come Kees1958.

L'ho fatto io sotto il risultato a default, modalità amministratore,(visto che devo ancora mangiare.....):

http://www.pctunerup.com/up/results/_201006/th_20100621133255_comodo.JPG (http://www.pctunerup.com/up/image.php?src=_201006/20100621133255_comodo.JPG)

Non male mi sembra vero ?

Se aspettate un attimo vi dico il risultato con account limitato.
Siamo a 270/340 sempre con impostazioni a default.
Gli ulteriori test passati sono il 16 ed il 26.

A voi eventuali commenti a parte la traduzione fatta da un troglodita senz'altro !!
Credo che ci sia spazio per "limare qualcos'altro" ma probabilmente verrebbe meno la facilità d'uso del sw.

Ciao Sampei. Io lo volevo usare in sostituzione di Zemana la cui licenza mi stava per scadere e affiancarlo a PrivateFirewall. Però vedo che sia la tastiera virtuale che il programma di setup vengono riconosciuti da Avira, A-squared e Kasperky come trojan/Buzus.

Setup
http://www.virustotal.com/analisis/0b913274b7143c3d23cc2b889605785ea2a00e002415925e6dc43682f96880b4-1278408519

Tastiera virtuale
http://www.virustotal.com/analisis/4fa78540c7e029278f39b0eb62101aa87c61bde3fedb5cacf4c87bee64c71624-1278473426

Falsi positivi?

nV 25
08-07-2010, 10:39
Molto carina la nuova veste grafica di CIS 5 (alfa)...

Da quello che è dato vedere, sembra anche ben riorganizzata la disposizione dei settaggi...

http://www.youtube.com/watch?v=I2FeKhoxRX8

Fonte:
https://forums.comodo.com/news-announcements-feedback-cis/cis-2011-cis-50-sneak-peek-t58989.0.html


http://img444.imageshack.us/img444/5862/16040853.th.jpg (http://img444.imageshack.us/i/16040853.jpg/)


http://img341.imageshack.us/img341/8831/66011739.jpghttp://img199.imageshack.us/img199/5099/30091932.jpg

buonasalve
08-07-2010, 12:38
Molto carina la nuova veste grafica di CIS 5 (alfa)...



caspiterina, molto bella davvero :cool:

caturen
10-07-2010, 23:46
Ho un piccolo problema: non riesco ad installare DF 3.3. Premessa: uso defensewall 2.56 che ho avuto grazie ad una offerta di giveawayoftheday. Volevo dare una occhiata alla nuova versione ma mi è impossibile installarla perchè, benchè abbia disinstallato la vecchia versione e tolto le voci che rimanevano nel registro, mi dice che ho terminato il periodo di prova e di immettere la chiave di attivazione. Ma io non ho fatto nessuna prova:muro: :mc:

sampei.nihira
12-07-2010, 15:58
Ciao Sampei. Io lo volevo usare in sostituzione di Zemana la cui licenza mi stava per scadere e affiancarlo a PrivateFirewall. Però vedo che sia la tastiera virtuale che il programma di setup vengono riconosciuti da Avira, A-squared e Kasperky come trojan/Buzus.

Setup
http://www.virustotal.com/analisis/0b913274b7143c3d23cc2b889605785ea2a00e002415925e6dc43682f96880b4-1278408519

Tastiera virtuale
http://www.virustotal.com/analisis/4fa78540c7e029278f39b0eb62101aa87c61bde3fedb5cacf4c87bee64c71624-1278473426

Falsi positivi?


Se hai scaricato il tutto dal sito ufficiale quasi certamente sì.
Comunque puoi inviare i files ai labs Avira e Kaspersky ,con il metodo descritto nei singoli 3D dedicati, che correggeranno in caso di FP entro poco tempo il problema.

nV 25
14-07-2010, 10:49
Ho un piccolo problema: non riesco ad installare DF 3.3. Premessa: uso defensewall 2.56 che ho avuto grazie ad una offerta di giveawayoftheday. ...
Ho contattato Ilya e, se sei sempre interessato a provarla, mi manda una chiave valida 30 giorni :)

PS: in caso affermativo, mi mandi via pvt i tuoi dati personali (nome, cognome + valido indirizzo email)..

caturen
14-07-2010, 13:57
Ho contattato Ilya e, se sei sempre interessato a provarla, mi manda una chiave valida 30 giorni :)

PS: in caso affermativo, mi mandi via pvt i tuoi dati personali (nome, cognome + valido indirizzo email)..
Grazie ancora per lo "sbattimento". Purtroppo mi sa che devo desistere ad installare questo benedetto DF 3.3. La chiave mi è arrivata. Ho provato ad installare . In un primo momento sembra che tutto funzioni, ma una volta che mi collego mi appare un popup che mi dice che il driver non è inizializzato in maniera appropriata e nel contempo l'icona di DF diventa grigia. Sempre in quel pupup mi dice di fare il reboot o di installare di nuovo DF. Purtroppo ho provato entrambi ma sempre con lo stesso esito: driver non inizializzato in maniera appropriata.
:muro: :mc: :confused: :nono:

nV 25
14-07-2010, 14:09
asp 1 sec:
se vuoi si contatta Ilya, è possibile che possa risolvere tutto nel giro di pochi minuti...

Altri elementi per capire meglio?
E' la 3.0.3 su XP?

PS:
sono in linea con Ilya, se mi fai avere più info possibili (magari anche uno screenshot dell'errore..) guardo di farlo intervenire...

caturen
14-07-2010, 14:30
asp 1 sec:
se vuoi si contatta Ilya, è possibile che possa risolvere tutto nel giro di pochi minuti...

Altri elementi per capire meglio?
E' la 3.0.3 su XP?

PS:
sono in linea con Ilya, se mi fai avere più info possibili (magari anche uno screenshot dell'errore..) guardo di farlo intervenire...
Vuoi sapere l'ultima: ho provato a rimettere DF 2.56. Alla fine dell'installazione e dopo il reboot mi appariva sempre lo stesso popup del driver non inizializzato. Una volta riavviato il sistema però funziona tutto ok. Anzi ho avuto anche una sorpresa: DF è valido fino al 2109 :sbav:
Peccato che quella chiave non si possa aggiornare:fiufiu: altrimenti ero a posto a vita. Non ho più una immagine del popup incriminato perchè l'ho cancellata. comunque basta che traduci in inglese: driver non è inizializzato in maniera appropriata. Fare il reboot o installare di nuovo DF.
PS dimenticavo:ho vista

nV 25
14-07-2010, 14:39
sei tornato alla 2.56, allora?

Cmq quando si presentano casi come quello da te segnalato è necessaria la collaborazione del'utente:
Ilya, infatti, provvede a mandare degli appositi driver con i quali riesce a tracciare eventuali problemi...


Diciamo che ci siamo divertiti un oretta, dai..:p

caturen
14-07-2010, 14:48
sei tornato alla 2.56, allora?

Cmq quando si presentano casi come quello da te segnalato è necessaria la collaborazione del'utente:
Ilya, infatti, provvede a mandare degli appositi driver con i quali riesce a tracciare eventuali problemi...


Diciamo che ci siamo divertiti un oretta, dai..:p
La mia era solo una prova!!!! Non te la devi prendere. Sarei ben felice di provare questa benedetta 3.3 (è uscita la beta 3.4) ma non voglio creare casini. Comunque io sono qui a disposizione. Qualsiasi cosa serva basta chiedere..
ps guarda che per provare DF3.3 ho disinstallato pure Online Armor++ perchè pensavo che fosse lui il colpevole che andava in conflitto.

nV 25
14-07-2010, 14:53
non me la sono presa assolutamente, cmq...:)


Quello che volevo dire è che i problemi come quelli da te segnalati non si risolvono semplicemente scrivendo 2 righe in una mail o sul suo forum:
sapere che il driver non si inizializza correttamente ha una valore relativo se non si capisce la causa che porta al malfunzionamento.

E l'unico modo per capirlo è ricorrere allo strumento del driver ad hoc con il quale tracciare la possibile origine del problema...

Ecco la necessità di collaborazione di cui parlavo poc'anzi visto che questa prova è fattibile SOLO sul Pc che lamenta problemi e non sugli altri...:)

caturen
14-07-2010, 15:04
non me la sono presa assolutamente, cmq...:)


Quello che volevo dire è che i problemi come quelli da te segnalati non si risolvono semplicemente scrivendo 2 righe in una mail o sul suo forum:
sapere che il driver non si inizializza correttamente ha una valore relativo se non si capisce la causa che porta al malfunzionamento.

E l'unico modo per capirlo è ricorrere allo strumento del driver ad hoc con il quale tracciare la possibile origine del problema...

Ecco la necessità di collaborazione di cui parlavo poc'anzi visto che questa prova è fattibile SOLO sul Pc che lamenta problemi e non sugli altri...:)
Come detto sopra sono qui a disposizione. Se riesci a farmi avere questo driver o un installer del programma diverso, vorrà dire che grazie a te mi comprerò una licenza.
Adesso però devo andare.

nV 25
14-07-2010, 15:12
ok, gli faccio sapere e ti faccio mandare i driver necessari..

A inglish come stai?

Riesci poi a fargli avere le info di cui ha bisogno?



-----------------------

Ok, contattato e spiegato il problema.

A regola, il driver lo devi sostituire mediante il semplice copia/incolla nella sua locazione naturale, system32\drivers.

PS: mi ha detto di chiederti se chiudendo l'interfaccia di dw (dalla tray icon, exit GUI..) e riaprendola registri di nuovo il problema del driver non inizializzato correttamente...

sampei.nihira
14-07-2010, 16:28
Gli utenti che vogliono un ulteriore conferma sulle parole che ha già speso nV25 in merito a PE Guard 2.1 ecco un CLT test con account limitato:

http://www.pctunerup.com/up/results/_201007/th_20100714172518_CLT.JPG (http://www.pctunerup.com/up/image.php?src=_201007/20100714172518_CLT.JPG)

Notate le vulnerabilità,specie le injection.
In modalità amministratore il punteggio è ancora peggio siamo a valori di 110/340.

caturen
14-07-2010, 17:31
PS: mi ha detto di chiederti se chiudendo l'interfaccia di dw (dalla tray icon, exit GUI..) e riaprendola registri di nuovo il problema del driver non inizializzato correttamente...[/SIZE]
Non ho provato. Adesso lo reinstallo e vedo che fa. A fra poco.

caturen
14-07-2010, 17:54
Questo è quanto: ho installato Df3.3 firewall. Sembra che la cosa vada a buon fine, ma una volta che mi collego ad internet ed avvio il browser non da segni. Cioè mi dovrebbe apparire l'icona con un numero, cioè i processi che si collegano ad internet. Invece nulla. Qualche secondo dopo mi appare il popup del driver, che ti metto in allegato. Da quel momento l'icona di DF diventa grigia. Se faccio tasta destro sull'icona e la chiudo, una volta che riapro il programma sempre la stessa storia. Questo è quello che mi sta succedendo. Sono in attesa che Ylia mi mandi questo driver.

eraser
14-07-2010, 17:58
Giusto ad onor di cronaca, ma sono rimasto abbastanza sconcertato da come uno dei ricercatori di Avast abbia scritto in pubblico palesemente come riuscire a superare totalmente le difese di Sandboxie: http://www.wilderssecurity.com/showpost.php?p=1709792&postcount=39

Un atteggiamento, a mio avviso, assolutamente non professionale. Se dovessi mettermi ad elencare in pubblico tutti i metodi per superare tutte le varie difese dei software di sicurezza...:rolleyes:

nV 25
14-07-2010, 17:58
Gli utenti che vogliono un ulteriore conferma sulle parole che ha già speso nV25 in merito a PE Guard 2.1...

Grazie del test :) ...

Nulla di diverso cmq da quello che mi aspettavo:
come HIPS, infatti, è sufficiente guardarne le specifiche per rimarcare ancora una volta l'adagio
"hai voglia di be' ova" prima di arrivare anche solo a carezzare l'idea di far qualcosa di più e di meglio rispetto ad es a MD...

Se cmq guardiamo a questo programma nella logica di eraser,

Comunque sia il concetto di PE Guard... è molto semplice quanto "efficace" [...]: il concetto del whitelisting.
E in ambito aziendale, dove in un computer ad esempio devono girare solo specifici programmi e null'altro è permesso, è una soluzione alquanto efficace.

allora PE Guard può essere interessante...

In realtà, perchè spendere soldi per questo programma quando la solita funzionalità la offre anche MD oltretutto gratuitamente? :D

nV 25
14-07-2010, 17:59
Questo è quanto: ho installato Df3.3 firewall. Sembra che la cosa vada a buon fine, ma una volta che mi collego ad internet ed avvio il browser non da segni. Cioè mi dovrebbe apparire l'icona con un numero, cioè i processi che si collegano ad internet. Invece nulla. Qualche secondo dopo mi appare il popup del driver, che ti metto in allegato. Da quel momento l'icona di DF diventa grigia. Se faccio tasta destro sull'icona e la chiudo, una volta che riapro il programma sempre la stessa storia. Questo è quello che mi sta succedendo. Sono in attesa che Ylia mi mandi questo driver.

resta in linea che si ricontatta Ilya :)

nV 25
14-07-2010, 18:00
Giusto ad onor di cronaca, ma sono rimasto abbastanza sconcertato da come uno dei ricercatori di Avast abbia scritto in pubblico palesemente come riuscire a superare totalmente le difese di Sandboxie: http://www.wilderssecurity.com/showpost.php?p=1709792&postcount=39

Un atteggiamento, a mio avviso, assolutamente non professionale. Se dovessi mettermi ad elencare in pubblico tutti i metodi per superare tutte le varie difese dei software di sicurezza...:rolleyes:

Se hai sample che bucano DefenseWall, sappi che Ilya sarebbe super contento di mettervi mano...;)

Al di là di questo, è sicuramente un atteggiamento poco elegante..


PS: ma allora vivi anche di giorno? :eek: :D

eraser
14-07-2010, 18:19
PS: ma allora vivi anche di giorno? :eek: :D

Ebbene sì, ma di giorno mi trasformo in un bravo lavoratore, ligio al dovere :O :D E faccio cose tipo queste:

http://www.pcalsicuro.com/images/tdl3_scan.jpg

No perché siccome tutti dicono che il rootkit TDL3 ha bypassato tutte le società di sicurezza e i ricercatori annaspano, giusto per far notare che forse non è proprio così :D (da notare la data nell'intestazione del programma ;))

nV 25
14-07-2010, 18:23
ho notato, cancellino, ho notato...:p








PS: non dimenticare di girare i sample che bucano DW* a Ilya, grazie!



* in verità, credo si contino sulla punta di una mano...:asd:

eraser
14-07-2010, 18:27
PS: non dimenticare di girare i sample che bucano DW* a Ilya, grazie!

Non ne ho :) Non mi ci sono mai dedicato a quel programma :)

Chill-Out
14-07-2010, 18:32
Giusto ad onor di cronaca, ma sono rimasto abbastanza sconcertato da come uno dei ricercatori di Avast abbia scritto in pubblico palesemente come riuscire a superare totalmente le difese di Sandboxie: http://www.wilderssecurity.com/showpost.php?p=1709792&postcount=39

Un atteggiamento, a mio avviso, assolutamente non professionale. Se dovessi mettermi ad elencare in pubblico tutti i metodi per superare tutte le varie difese dei software di sicurezza...:rolleyes:

Linko il Post di tzuk decisamente professionale

http://www.sandboxie.com/phpbb/viewtopic.php?p=55014#55014

eraser
14-07-2010, 18:34
Linko il Post di tzuk decisamente professionale

http://www.sandboxie.com/phpbb/posting.php?mode=quote&p=55014

Confermo :)

nV 25
14-07-2010, 18:35
..e questo è Ilya:
I know about localhost, DW cover it. :D

eraser
14-07-2010, 18:37
..e questo è Ilya:
I know about localhost, DW cover it. :D

A me personalmente non sta simpatico :)

nV 25
14-07-2010, 18:40
In effetti a volte va saputo prendere...:p

PS: ricordo cmq bene anch'io come si era "scagliato" con un vostro dipendente (era la discussione sui software hips per i 64bit)..

eraser
14-07-2010, 18:43
È una persona arrogante, piena di sé. Sono tutte caratteristiche che non mi piacciono in una persona, tanto meno in qualcuno a cui dovrei affidare la sicurezza del mio pc

leolas
14-07-2010, 18:46
Giusto ad onor di cronaca, ma sono rimasto abbastanza sconcertato da come uno dei ricercatori di Avast abbia scritto in pubblico palesemente come riuscire a superare totalmente le difese di Sandboxie: http://www.wilderssecurity.com/showpost.php?p=1709792&postcount=39

Un atteggiamento, a mio avviso, assolutamente non professionale. Se dovessi mettermi ad elencare in pubblico tutti i metodi per superare tutte le varie difese dei software di sicurezza...:rolleyes:

bè, se lo dici, viene risolto.. Se te lo tieni per te, lasci che un cracker lo scopra da solo..

Il mondo dell'opensource va avanti così. So che di software di sicurezza opensource non ce ne sono (a parte clamav), e che non si è abituati a questo modo di lavorare, ma secondo me è meglio così..


EDIT: Però è vero, lui l'ha detto molto male e con lo scopo di denigrare sandboxie, sembrerebbe

eraser
14-07-2010, 18:48
bè, se lo dici, viene risolto.. Se te lo tieni per te, lasci che un cracker lo scopra da solo..

Il mondo dell'opensource va avanti così. So che di software di sicurezza opensource non ce ne sono (a parte clamav), e che non si è abituati a questo modo di lavorare, ma secondo me è meglio così..

C'è una cosa che si chiama Responsible Disclosure (http://en.wikipedia.org/wiki/Responsible_disclosure) ;)

nV 25
14-07-2010, 18:51
È una persona arrogante, piena di sé. Sono tutte caratteristiche che non mi piacciono in una persona, tanto meno in qualcuno a cui dovrei affidare la sicurezza del mio pc
per certi versi puoi avere ragione, per altri (senza offesa) proprio no:
la sua maniacalità/perfezionismo, sinceramente, la vedo come una grossissima garanzia specie proprio perchè si parla di un software che deve il più possibile garantirmi la sanità della macchina...

E poi mica lo devo sposare?
A me interessa che mi garantisca risposte (e fatti) nel giro di ore...


In parte è vera cmq anche la riflessione di leolas (sullo sharing di informazioni), ed è per quello che sono solito spedire alle piccole software house diversi sample interessanti..:)

leolas
14-07-2010, 18:56
C'è una cosa che si chiama Responsible Disclosure (http://en.wikipedia.org/wiki/Responsible_disclosure) ;)

Leggi il mio edit :p
Purtroppo ho l'abitudine di modificare sempre i miei post..

Cmq nel mondo open source spesso i bug vengono riferiti in pubblico, soprattutto se, già riferiti agli sviluppatori, gli sviluppatori se ne fregano.

In compenso, quello che ha fatto lo sviluppatore Avast nel post che dici te, è un fatto da disprezzare e basta, perchè invece di provare prima a avvertire gli sviluppatori, ne ha approfittato per dire in pubblico che SB si può craccare, e lo è andato a spiegare a tutto il mondo senza motivo :O

eraser
14-07-2010, 18:56
per certi versi puoi avere ragione, per altri (senza offesa) proprio no:
la sua maniacalità/perfezionismo, sinceramente, la vedo come una grossissima garanzia specie proprio perchè si parla di un software che deve il più possibile garantirmi la sanità della macchina...


Preferisco personalmente di gran lunga tzuk, che sa essere professionale pur non essendo scontroso e sbruffone in molte occasioni. Mi fido molto di piu (Senza considerare che ritengo sandboxie molto più sicuro rispetto a dw, sempre personalmente)


In parte è vera cmq anche la riflessione di leolas (sullo sharing di informazioni), ed è per quello che sono solito spedire alle piccole software house diversi sample interessanti..:)

Mi dispiace ma non sono d'accordo. C'è una grande differenza tra responsible disclosure e full disclosure, ed è il vantaggio che dai a chi può sfruttare una specifica falla. Non mi sembra per niente poco

eraser
14-07-2010, 18:59
Leggi il mio edit :p
Purtroppo ho l'abitudine di modificare sempre i miei post..

Cmq nel mondo open source spesso i bug vengono riferiti in pubblico, soprattutto se, già riferiti agli sviluppatori, gli sviluppatori se ne fregano.

In compenso, quello che ha fatto lo sviluppatore Avast nel post che dici te, è un fatto da disprezzare e basta, perchè invece di provare prima a avvertire gli sviluppatori, ne ha approfittato per dire in pubblico che SB si può craccare, e lo è andato a spiegare a tutto il mondo senza motivo :O

In quel caso si può parlare anche di full disclosure, solo allora diventa più accettabile come cosa.

Il discorso che va fatto per l'open source è molto differente comunque, e la storia che essendo i programmi open source tutti possono guardare i sorgenti e rendersi conto se ci sono codici nocivi non regge poi molto (http://www.omgubuntu.co.uk/2009/12/malware-found-in-screensaver-for-ubuntu.html) :) Ma questa è un'altra riflessione, a parte.

nV 25
14-07-2010, 19:43
Preferisco personalmente di gran lunga tzuk, che sa essere professionale pur non essendo scontroso e sbruffone in molte occasioni. Mi fido molto di piu (Senza considerare che ritengo sandboxie molto più sicuro rispetto a dw, sempre personalmente)


ti passo la prima visto che è una (pur autorevole..) opinione personale che, peraltro, può trovarmi anche in parte d'accordo..

Mi chiedo invece come tu faccia ad asserire la parte tra parentesi se, come dici, hai sempre usato poco (o nulla) il software di Ilya...

Su cosa poggia la tua opinione?

eraser
14-07-2010, 19:55
Sulle diverse tecnologie utilizzate alla base per sviluppare l'idea sandbox. L'utilizzo cioè di tecniche di direct kernel object hook invece dei classici hook SSDT.
C'è un motivo se Sandboxie non è stato vulnerabile all'attacco KHOBE (o altresì TOCTTOU). Senza considerare che *se* per qualche motivo dovesse essere scoperta una falla in DefenseWall, bypassare poi tutte le sue protezioni è molto più semplice rispetto a quelle applicate da Sandboxie

nV 25
14-07-2010, 20:02
ok, si prova a chiedere lumi sul perchè utilizzare una tecnica in luogo di un'altra...:)

Kohai
14-07-2010, 21:41
ps guarda che per provare DF3.3 ho disinstallato pure Online Armor++ perchè pensavo che fosse lui il colpevole che andava in conflitto.
:ncomment: ;)
Giusto ad onor di cronaca, ma sono rimasto abbastanza sconcertato da come uno dei ricercatori di Avast abbia scritto in pubblico palesemente come riuscire a superare totalmente le difese di Sandboxie: http://www.wilderssecurity.com/showpost.php?p=1709792&postcount=39

Un atteggiamento, a mio avviso, assolutamente non professionale. Se dovessi mettermi ad elencare in pubblico tutti i metodi per superare tutte le varie difese dei software di sicurezza...:rolleyes:

Linko il Post di tzuk decisamente professionale

http://www.sandboxie.com/phpbb/viewtopic.php?p=55014#55014

Ragazzi scusate una domandina veloce veloce: utilizzando sandboxie con la spunta sulla limitazione dei diritti degli utenti amministratori ed anche il WWDC (windows worms doors cleaner) che va a chiudere la porta 445, il modo per aggirare sandboxie sarebbe ancora fattibile? :stordita:

Grazie in anticipo :)

gabryflash
14-07-2010, 22:03
certo che questa uscita se la poteva risparmiare..sono rimasto basito a leggere quanto ha scritto..a meno che (diamoglim il beneficio del dubbio) lo abbia fatto a scopo di scuotere gli autori del programma dal una sorta di "sedersi sugli allori" anche se ,forse ci sarebbero stati altri modi per farlo a mio avviso...:rolleyes:

@ot: ciao genietto (leolas) e bentornato ;)

eraser
15-07-2010, 00:42
ok, si prova a chiedere lumi sul perchè utilizzare una tecnica in luogo di un'altra...:)

Puoi vedere che anche il noto software antirootkit Rootkit Unhooker ha modificato la propria tecnologia di autodifesa, dall'utilizzo di hook SSDT al più comodo DKOH. Questo per una serie di motivi:

- ci sono meno hook da fare, c'è meno codice da scrivere, quindi minor rischio di errori;

- si lavora già ad un livello inoltrato nel kernel di Windows, il che significa maggiore possibilità di controllo di ciò che accade;

- proprio perché già ad un livello inoltrato, non c'è il rischio di race condition causate da thread in user mode come ad esempio è stato l'attacco KHOBE (TOCTTOU), mentre gli hook SSDT sono molto piu esposti;

- se, per caso, si riuscisse ad evadere dalla sandbox di Defensewall, gli hook SSDT sono veramente facili da bypassare, mentre utilizzare tecniche DKOH permette di mantenere comunque un discreto livello di robustezza e di protezione

E così via. Sono scelte di design, si vede che Ilya ha preferito hook SSDT che sono più semplici da implementare. Avrà i suoi motivi

Giusto per la cronaca, inoltre, Defensewall così come è progettato è un progetto morto, senza futuro. Funziona fin tanto che ci sono i sistemi 32 bit, ma non ha nessuna possibilità sui sistemi a 64 bit. Cosa che invece Sandboxie ha già, essendo compatibile anche nei sistemi 64 bit grazie ad un re-design del programma


certo che questa uscita se la poteva risparmiare..sono rimasto basito a leggere quanto ha scritto..a meno che (diamoglim il beneficio del dubbio) lo abbia fatto a scopo di scuotere gli autori del programma dal una sorta di "sedersi sugli allori" anche se ,forse ci sarebbero stati altri modi per farlo a mio avviso...:rolleyes:

A me sembra più per far vedere che ogni singolo programma può avere falle, non solo Avast. Quasi una ripicca bambinesca che - non solo è inutile - ma rischia di danneggiare gli utenti invece di aumentarne la sicurezza

nV 25
15-07-2010, 11:19
@caturen:

leggi la mail che ti ho mandato, il tuo problema dovrebbe essere risolto..:)

nV 25
15-07-2010, 11:28
editato

nV 25
15-07-2010, 11:39
...

Giusto per la cronaca, inoltre, Defensewall così come è progettato è un progetto morto, senza futuro. Funziona fin tanto che ci sono i sistemi 32 bit, ma non ha nessuna possibilità sui sistemi a 64 bit. Cosa che invece Sandboxie ha già, essendo compatibile anche nei sistemi 64 bit grazie ad un re-design del programma..
Non vorrei che nascessero incomprensioni visto che vado a ribattere anche su questo punto, per cui dico solo che "faccio per parlare" dato che la tematica mi interessa..

http://www.sandboxie.com/index.php?NotesAbout64BitEdition

Full disclosure: The 64-bit edition of Sandboxie provides a reduced level of protection compared to the 32-bit edition of Sandboxie.

This shortcoming is the result of a new security feature introduced in 64-bit editions of Windows, called Kernel Patch Protection. This feature aims to protect the core of Windows (the kernel) by regularly performing self-checks to detect changes.

The problem is that a stock Windows kernel does not provide all the facilities necessary to implement a security solution such as Sandboxie. On 32-bit Windows, Sandboxie can dynamically enhance the Windows kernel to provide the missing functionality. This is not possible on 64-bit Windows, due to the Kernel Patch Protection feature.

It should be noted, however, that even with this disadvantage, the 64-bit edition of Sandboxie is still an adequate front line of defense against most types of malicious software.

Additionally, in order to compensate for this disadvantage, the 64-bit edition of Sandboxie enables the Drop Rights setting by default. This setting may need to be disabled before software can be installed into a sandbox.


Livello di sicurezza ridotto rispetto alla v. @ 32bit, protezione adeguata sebbene in parte mitigata da...
Insomma, ottimo Tzuk, ma le limitazioni sono evidenti.

Non credo peraltro che Ilya perderà il treno dei 64bit se realizza che il 32bit dovesse sparire...

eraser
15-07-2010, 11:52
punto n°1,
"ci sono meno hook da fare, c'è meno codice da scrivere, quindi minor rischio di errori"
Wrong assumption. It depends on programmer's skills only


:D Difatti gli hook SSDT sono molto più propensi ad essere attaccati proprio perché più esposti. Infatti dovrebbero essere scritti nella maniera più corretta possibile, onde evitare che una chiamata volontariamente (o involontariamente) errata da user mode venga malgestita dal codice del programma di sicurezza causando un BSOD. È una procedura di testing chiamata fuzzing. Molto piu applicabile a hook SSDT che non ad un livello di hook quale quello applicato agli object di Windows. Guarda caso, Defensewall risultò tempo fa vulnerabile a questo attacco. Effettivamente ha ragione lui, dipende dalle abilità del programmatore. E il suo codice non era stato scritto come avrebbe dovuto esserlo.

Lo stesso vale per l'attacco TOCTTOU. Sì, ora lui dice che il suo programma non è più vulnerabile. ORA. E lo diceva anche nella versione 3.0.3, salvo poi rilasciare la versione 3.0.4 perché la precedente era ancora vulnerabile. Sandboxie è apposto a priori.


punto n°2,
"si lavora già ad un livello inoltrato nel kernel di Windows, il che significa maggiore possibilità di controllo di ciò che accade"
Wrong assumption. Just name me how exactly you are going to control ZwAllocateVirtualMemory/ZwFreeVirtualMemory/ZwSaveKey/ZwSetWindowsHook/....


Per alcune di queste chiamate non ce n'è neanche bisogno di monitorarle, basta lavorare a priori. E, comunque, giusto ad onor di cronaca, ci sono ottime routine messe a disposizione dal sistema operativo per fare monitoring del sistema


punto n°3,
"proprio perché già ad un livello inoltrato, non c'è il rischio di race condition causate da thread in user mode come ad esempio è stato l'attacco KHOBE (TOCTTOU), mentre gli hook SSDT sono molto piu esposti"
That's true. BUt 3.04 version of DefenseWall is free of race conditions attacks already.


Trovi la risposta al primo punto


punto n°4,
"se, per caso, si riuscisse ad evadere dalla sandbox di Defensewall, gli hook SSDT sono veramente facili da bypassare, mentre utilizzare tecniche DKOH permette di mantenere comunque un discreto livello di robustezza e di protezione"
Wrong assumption. If malware can escape sandbox, the defense over. It is very simple to restore both SSDT and object methods to its original state. Even simpler- it is always possible to work bypassing both protection methods, with direct ATAPI/TDI/... interfaces, for instance.


Si, anche PatchGuard si può disattivare se superi le difese di Windows, nonostante sia una grande misura di sicurezza implementata da Microsoft. Solo che alcune di queste misure sono facilmente bypassabili (vedi SSDT hook), altre sono un po piu robuste. Non esiste niente di inviolabile, ci sono solo approcci più basilari da superare e alcuni molto meno.

Ma comunque sia, se cerchi di farmi scontrare con Ilya tranquillo che non te lo tocco ;) Non ho né intenzione né tempo da perdere.

Ed in fondo è inutile che dici di non aver messo il mio nome nell'e-mail. Hai postato le sue risposte così come scritte da lui, Hardware Upgrade è indicizzato da Google nel giro di 2 minuti e il mio username è sempre lo stesso. Basta fare 1+1 a Ilya e trovare questo thread nel giro di 30 secondi

eraser
15-07-2010, 11:55
Non vorrei che nascessero incomprensioni visto che vado a ribattere anche su questo punto, per cui dico solo che "faccio per parlare" dato che la tematica mi interessa..

http://www.sandboxie.com/index.php?NotesAbout64BitEdition

Full disclosure: The 64-bit edition of Sandboxie provides a reduced level of protection compared to the 32-bit edition of Sandboxie.

This shortcoming is the result of a new security feature introduced in 64-bit editions of Windows, called Kernel Patch Protection. This feature aims to protect the core of Windows (the kernel) by regularly performing self-checks to detect changes.

The problem is that a stock Windows kernel does not provide all the facilities necessary to implement a security solution such as Sandboxie. On 32-bit Windows, Sandboxie can dynamically enhance the Windows kernel to provide the missing functionality. This is not possible on 64-bit Windows, due to the Kernel Patch Protection feature.

It should be noted, however, that even with this disadvantage, the 64-bit edition of Sandboxie is still an adequate front line of defense against most types of malicious software.

Additionally, in order to compensate for this disadvantage, the 64-bit edition of Sandboxie enables the Drop Rights setting by default. This setting may need to be disabled before software can be installed into a sandbox.


Livello di sicurezza ridotto rispetto alla v. @ 32bit, protezione adeguata sebbene in parte mitigata da...
Insomma, ottimo Tzuk, ma le limitazioni sono evidenti.

Limitazioni evidenti? Tipo? Lì dice soltanto che non ha potuto aggiungere alcuni controlli aggiuntivi che garantivano il massimo della sicurezza sui sistemi a 32 bit indipendentemente dal sistema operativo. Qui si basa più sul sistema operativo, non vedo questi immensi problemi.

Almeno Tzuk c'ha provato, Ilya non c'ha nemmeno provato, se proprio tocca dirla tutta

nV 25
15-07-2010, 12:38
per quanto mi riguarda, chiuso il discorso anche perchè mi sembra tu sia un pò scocciato...

E' evidente altresi che non ami la persona, ma poco male visto che è legittimo preferire altri.

Su tanti punti, in 1° luogo il discorso che "tzuk almeno c'ha provato", stendo un velo di silenzio..

Non sono cmq un detrattore di Ilya a tutti i costi per quanto cerchi di promuoverne il software che reputo essere eccezionale...

nV 25
15-07-2010, 12:41
..
Ed in fondo è inutile che dici di non aver messo il mio nome nell'e-mail. Hai postato le sue risposte così come scritte da lui, Hardware Upgrade è indicizzato da Google nel giro di 2 minuti e il mio username è sempre lo stesso. Basta fare 1+1 a Ilya e trovare questo thread nel giro di 30 secondi

Allo stato, non sa che le sue risposte le avrei copiate pari pari su un forum...

nV 25
15-07-2010, 12:46
...Ma comunque sia, se cerchi di farmi scontrare con Ilya tranquillo che non te lo tocco ;) Non ho né intenzione né tempo da perdere.

questa, cmq, è la frase che più mi ha ferito:
sinceramente credevo tu avessi non solo un'altra considerazione di me ma anche che non sono una persona che ama il partito preso, fomentare lo scontro e quant'altro...

Perdonami ma non hai capito nè me nè lo spirito del thread...:(

eraser
15-07-2010, 12:46
Mi scoccia semplicemente che vengano riportate mie frasi dette in una discussione tra amici, e quindi informale, senza che mi sia stato chiesto prima. Se ho da dire qualcosa a Ilya lo dico tranquillamente, il resto sono pareri differenti derivanti da punti di vista differenti. Ilya può avere determinati pareri, io ne ho altri.

Mi spiace molto leggere del velo di silenzio, visto che fa passare un'idea che è sbagliata. Tzuk ha sviluppato una sandbox per i sistemi a 64 bit che funziona egregiamente, anche se alcune cose non le ha potute fare come con i sistemi a 32 bit.

Tu hai voluto evidenziare che non è una soluzione efficiente, con l'affermazione "Insomma, ottimo Tzuk, ma le limitazioni sono evidenti", che a mio avviso suona come un "si vabhe, buono il tentativo ma è inutile".

E mi sembra un'affermazione che svilisce una soluzione che invece c'è, esiste e funziona bene. A questo punto, se bisogna vederla così, mi viene da dire che perlomeno, nelle sue limitazioni, un tentativo è stato fatto e non è stato invece snobbato il sistema a 64 bit.

eraser
15-07-2010, 12:48
questa, cmq, è la frase che più mi ha ferito:
sinceramente credevo tu avessi non solo un'altra considerazione di me ma anche che non sono una persona che ama il partito preso, fomentare lo scontro e quant'altro...

Perdonami ma non hai capito nè me nè lo spirito del thread...:(

Si, infatti la ho tutt'ora. E mi dispiace che sei andato a riportare mie opinioni personali che possono essere più o meno condivisibili ad un'altra persona senza almeno avvisarmi prima che l'avresti fatto

nV 25
15-07-2010, 12:54
sinceramente non capisco dove sia il problema...

Ho parlato in via generica, quindi senza alcun tipo di riferimento a qualcuno in particolare, e il motivo era avere un punto di vista diverso che mi aiutasse a capire meglio le debolezze / vantaggi di ogni approccio...


Non vedo come possa arrivare a collegare il tuo nome visto che (spero..) non sarai l'unico ricercatore italiano a occuparsi di sicurezza informatica..

Si può sempre cancellare il tutto, cmq...
Dimmi te

nV 25
15-07-2010, 12:57
...
Tu hai voluto evidenziare che non è una soluzione efficiente, con l'affermazione "Insomma, ottimo Tzuk, ma le limitazioni sono evidenti", che a mio avviso suona come un "si vabhe, buono il tentativo ma è inutile".

E mi sembra un'affermazione che svilisce una soluzione che invece c'è, esiste e funziona bene. A questo punto, se bisogna vederla così, mi viene da dire che perlomeno, nelle sue limitazioni, un tentativo è stato fatto e non è stato invece snobbato il sistema a 64 bit.

guarda che il primo a dire che la robustezza di Sbxie a 64bit è diversa dall'esperienza resa possibile su un sistema a 32bit è proprio tzuk...

Nessuno vuole svilire nessuno, ma semplicemente dire che lui per primo riconosce l'esistenza di certe difficoltà...

eraser
15-07-2010, 13:01
Non vedo come possa arrivare a collegare il tuo nome visto che (spero..) non sarai l'unico ricercatore italiano a occuparsi di sicurezza informatica..

Con questo nickname e questo avatar? Con in firma il link al mio sito web dove c'è scritto chi sono?

Ma non è che sia un problema, semplicemente lì per lì mi è scocciato che non ho fatto in tempo a parlare e ad esporre alcuni miei pensieri che subito sono stati comunicati all'autore del programma.

Non ho mai detto che Defensewall non sia un buon programma. È un buon programma, con un'assistenza molto veloce. Non mi piace l'approccio utilizzato che, seppur efficace, a mio avviso può mostrare delle lacune. Inoltre non mi piace l'autore che si atteggia molto a Dio, spesso e volentieri. Tutto qua.

Per me l'incidente è chiuso, e non è vero che non ho stima di te, ho molta stima di te, molta più di quella che tu ti immagini ;)

Scusa per la mia reazione probabilmente eccessiva

nV 25
15-07-2010, 13:03
@ eraser:
ho cancellato il post incriminato delle risposte punto per punto alle tue osservazioni..
Ora, devi fare altrettanto cancellando a tua volta il tuo "quote"...


Ilya, che cmq giustamente non temi, non saprà mai nulla e l'alveo della discussione tornerà ad essere quello di una piazza amichevole...

eraser
15-07-2010, 13:08
Ilya, che cmq giustamente non temi, non saprà mai nulla e l'alveo della discussione tornerà ad essere quello di una piazza amichevole...

Cosa c'entra questo?
Non ho problemi a lasciare lì le mie risposte, visto che ha fatto delle affermazioni io lascio le mie

nV 25
15-07-2010, 13:18
Non temi significa che anche là dove dovesse risalire a questa discussione (apro una parentesi: mi dovresti dire cortesemente come farebbe, quali frasi su google dovrebbe ricercare, come se poi anche lui non avesse da fare altro che stare a controllare se qualche coglionazzo di turno [io, in questo caso..] usa le sue risposte per incollarle a dx e a manca su forum ecc...), hai la forza (e competenza) per portare avanti le tue idee anche nell'eventualità di un confronto aperto...

nV 25
15-07-2010, 13:32
Marco, credimi:
non è mia intenzione alimentare ulteriormente malumori o quant'altro e anzi sai bene (ma lo dico anche pubblicamente) quanta stima e considerazione (oltre che affetto) ho di te.


Ribadisco che, se non forse involontariamente riprendendo tue affermazioni fatte "inter nos" in via amichevole su questa piazza, non è MAI stata mia intenzione mettere uno contro qualcun'altro MA ero mosso SOLO dalla voglia di CAPIRE MEGLIO certe tematiche, in particolare i punti di forza e di debolezza dei 2 approcci.




Ho fatto cmq una ricerchina veloce su google a proposito della 1° frasettina (sulle competenze di chi scrive un hook, per intendersi..), e il thread "prevenire e meglio che bla bla bla.." non appare neppure col binocolo (PS: voglio cercare anche le altre frasi, cmq!)


Per non considerare poi che non conosce una sola parola di italiano se non forse CIAO, visto che è il mio modo di chiudere tutte le volte le mail...:D

nV 25
15-07-2010, 13:37
si, confermo:

a me, sinceramente, non è riuscito risalire a questo thread sulla base di quello che è stato l'oggetto dello scontro...


Il soggetto, dunque, se mai dovesse arrivarvi, sarebbe realmente un fenomeno, altro che tzuk*...:ciapet:




*stavolta me la passi la battuta o leggi tra le righe qualche allusione a Sbxie?:p

eraser
15-07-2010, 13:42
Non temi significa che anche là dove dovesse risalire a questa discussione (apro una parentesi: mi dovresti dire cortesemente come farebbe, quali frasi su google dovrebbe ricercare, come se poi anche lui non avesse da fare altro che stare a controllare se qualche coglionazzo di turno [io, in questo caso..] usa le sue risposte per incollarle a dx e a manca su forum ecc...), hai la forza (e competenza) per portare avanti le tue idee anche nell'eventualità di un confronto aperto...

1) Mi sembra inutile andare a criticare in casa di qualcun altro qualcosa, come ti ho già detto è come andare a chiedere all'oste se il vino che offre è buono;

2) Mi ha dato fastidio che hai preso delle mie affermazioni fatte in un clima amichevole e le sei andate a ridire direttamente a lui. Se ne avevo l'occasione e ne avevo la necessità lo avrei fatto io, ma visto che so che tipo è e so anche che se ha fatto delle scelte avrà dei suoi motivi, non ho mai avuto la necessità di farlo. Ho delle mie idee a riguardo (e, guarda caso, anche Rootkit Unhooker è passato dagli hook SSDT a DKOH, un motivo magari c'è) ma so che tanto sarebbe inutile discuterne, sono punti di vista differenti e si creerebbe un battibecco che non ha più fine, di conseguenza evito a priori;

3) Se per qualche motivo riuscisse a risalire a chi aveva esposto queste osservazioni (non si tratta di dire che non ha niente da fare, in molti lo fanno e anche lui più di una volta l'ha fatto) si potrebbe creare una polemica inutile, che se ho evitato un motivo ci sarà. Mi permetto di sbottonarmi un po di più qui in questo forum perché per me è quasi una casa virtuale, vi conosco tutti e vi stimo molto, così lo faccio spesso in modo amichevole, più confidenziale rispetto ad altre situazioni.

Stop, per me l'incidente è chiuso. Le risposte e contro risposte sono lì, se ci sono problemi non ho alcun problema a portare avanti eventuali discussioni. Se ho esagerato me ne scuso.

PS: e certo che ti passo le battute :D Guarda che non è che ti stimo di meno o altro :asd: Purtroppo per te :asd:

sampei.nihira
15-07-2010, 14:27
Se venite tutti e due a casa di "babbo" Sampei si fà la pace,ma non ce n'è bisogno sicuramente, davanti ad un piatto di spaghetti allo scoglio.:)

Mi permetto di fare una battuta da Toscano (notare la lettera maiuscola :D ) ad altri 2 Toscani (idem) certamente più illustri di questo semplice pescatore e non solo in queste pagine di vita virtuale.....

Mi scuso come sempre per l'OT.

nV 25
15-07-2010, 14:39
ok.

Visto che tutto si è ricomposto, ho un'altra domanda da porre (prometto stavolta di non usare l'aventuale risposta per qualsivoglia fine):

quando dici (eraser)

"difatti gli hook SSDT sono molto più propensi ad essere attaccati proprio perché più esposti. Infatti dovrebbero essere scritti nella maniera più corretta possibile, onde evitare che una chiamata volontariamente (o involontariamente) errata da user mode venga malgestita dal codice del programma di sicurezza causando un BSOD. È una procedura di testing chiamata fuzzing. Molto piu applicabile a hook SSDT che non ad un livello di hook quale quello applicato agli object di Windows. Guarda caso, Defensewall risultò tempo fa vulnerabile a questo attacco. Effettivamente ha ragione lui, dipende dalle abilità del programmatore. E il suo codice non era stato scritto come avrebbe dovuto esserlo."

Ti riferisci (ad es..) al discorso sollevato da matousec tempo fà in quest'articolo (http://www.matousec.com/info/articles/plague-in-security-software-drivers.php)?



Quest'altro pensiero, invece, non mi trova d'accordo se non parzialmente:
"Lo stesso vale per l'attacco TOCTTOU. Sì, ora lui dice che il suo programma non è più vulnerabile. ORA. E lo diceva anche nella versione 3.0.3, salvo poi rilasciare la versione 3.0.4 perché la precedente era ancora vulnerabile. Sandboxie è apposto a priori."

Infatti Ilya, dopo il polverone sollevato da matousec, ha candidamente ammesso che la vulnerabilità (molto teorica, cmq, almeno stando a quello che ho potuto capire leggendo quà e là...) esisteva..


Dopo aver quindi riscritto parte del proprio codice ha rilasciato la 3.0.3, apparentemente perfetta per risolvere l'annoso problema.

A prescindere poi dalle chiacchiere di mj0011 che era ritornato a brontolare sul modo con cui Ilya aveva affrontato il problema, Ilya stesso ha rinvenuto altre vulnerabilità nel proprio codice, segno che lo sviluppo non è approssimativo ma meticoloso. [Annuncio (http://gladiator-antivirus.com/forum/index.php?showtopic=106958)]

Sinceramente in una condotta di questo tipo non rilevo approssimazione ma professionalità...
(PS: alle nuove pressioni di mj [vedi qui! (http://ssj100.fullsubject.com/defensewall-f9/dw-still-vulnerable-on-anti-tocttou-by-mj0011-t171.htm)], ha risposto cosi:
http://gladiator-antivirus.com/forum/index.php?s=&showtopic=107120&view=findpost&p=259961)

nV 25
15-07-2010, 14:41
Se venite tutti e due a casa di "babbo" Sampei si fà la pace,ma non ce n'è bisogno sicuramente, davanti ad un piatto di spaghetti allo scoglio.:)

Mi permetto di fare una battuta da Toscano (notare la lettera maiuscola :D ) ad altri 2 Toscani (idem) certamente più illustri di questo semplice pescatore e non solo in queste pagine di vita virtuale.....

Mi scuso come sempre per l'OT.
vada per lo scoglio, ma tutto è rientrato...:)

Resta l'amarezza per aver innescato una cosa di cui, onestamente, avrei fatto tranquillamente a meno..


Bona, Sampei! :)

nV 25
15-07-2010, 14:49
Non ho capito cmq la battuta nè il discorso dell'illustre..

Se ti riferisci infatti in qualche maniera a me, sappi che in realtà sono solo un coglionazzo che ha sbagliato un sacco di cose nella sua vita...

sampei.nihira
15-07-2010, 16:17
Non ho capito cmq la battuta nè il discorso dell'illustre..

Se ti riferisci infatti in qualche maniera a me, sappi che in realtà sono solo un coglionazzo che ha sbagliato un sacco di cose nella sua vita...

Ognuno di noi ha sbagliato un sacco di cose nella propria vita,difficilmente sarebbe altrimenti per gli esseri umani.
Gli sbagli fanno parte di noi stessi.
Chi non fà nulla non sbaglia certamente nulla.
E poi è grazie ad uno sbaglio che è possibile imparare o almeno insegnare ad altri a non commettere il nostro stesso errore:


http://www.youtube.com/watch?v=Vb1CqoU9DWc

p.s. Per il coglionazzo più illustre vedasi il link

Kohai
15-07-2010, 17:56
:stordita:
ho paura che in mezzo a questa mezza baraonda il mio umilissimo post sia passato inosservato...

Faccio un piccolo uppino, giusto la curiosita' di sapere, grazie :D

nV 25
15-07-2010, 18:01
il tuo post lo avevo letto ma non sapevo fornire una risposta...

Credo che allo stato la cosa sia un pelo più delicata per il discorso dei comandi SMB (Windows file sharing) che consentirebbero di leggere/scrivere file al di fuori del Sandbox....

Kohai
15-07-2010, 18:04
il tuo post lo avevo letto ma non sapevo fornire una risposta...

Credo che allo stato la cosa sia un pelo più delicata per il discorso dei comandi SMB (Windows file sharing) che consentirebbero di leggere/scrivere file al di fuori del Sandbox....

Grazie per la risposta.
Pensavo che utilizzando il WWDC che chiudeva la porta 445 di default c'era un minimo di sicurezza in piu'...

Ehh... ne devo di far di strada per stare al passo con voi... :rolleyes:

eraser
15-07-2010, 18:05
Scusate il ritardo :) Ho avuto da fare un poco e non ho potuto rispondere


quando dici (eraser)

"difatti gli hook SSDT sono molto più propensi ad essere attaccati proprio perché più esposti. Infatti dovrebbero essere scritti nella maniera più corretta possibile, onde evitare che una chiamata volontariamente (o involontariamente) errata da user mode venga malgestita dal codice del programma di sicurezza causando un BSOD. È una procedura di testing chiamata fuzzing. Molto piu applicabile a hook SSDT che non ad un livello di hook quale quello applicato agli object di Windows. Guarda caso, Defensewall risultò tempo fa vulnerabile a questo attacco. Effettivamente ha ragione lui, dipende dalle abilità del programmatore. E il suo codice non era stato scritto come avrebbe dovuto esserlo."

Ti riferisci (ad es..) al discorso sollevato da matousec tempo fà in quest'articolo (http://www.matousec.com/info/articles/plague-in-security-software-drivers.php)?


Il concetto è quello, ma effettivamente non è una cosa sollevata da matousec, era un concetto presente già tempo addietro - solo meno conosciuto.



Quest'altro pensiero, invece, non mi trova d'accordo se non parzialmente:
"Lo stesso vale per l'attacco TOCTTOU. Sì, ora lui dice che il suo programma non è più vulnerabile. ORA. E lo diceva anche nella versione 3.0.3, salvo poi rilasciare la versione 3.0.4 perché la precedente era ancora vulnerabile. Sandboxie è apposto a priori."

Infatti Ilya, dopo il polverone sollevato da matousec, ha candidamente ammesso che la vulnerabilità (molto teorica, cmq, almeno stando a quello che ho potuto capire leggendo quà e là...) esisteva..


Dopo aver quindi riscritto parte del proprio codice ha rilasciato la 3.0.3, apparentemente perfetta per risolvere l'annoso problema.

A prescindere poi dalle chiacchiere di mj0011 che era ritornato a brontolare sul modo con cui Ilya aveva affrontato il problema, Ilya stesso ha rinvenuto altre vulnerabilità nel proprio codice, segno che lo sviluppo non è approssimativo ma meticoloso. [Annuncio (http://gladiator-antivirus.com/forum/index.php?showtopic=106958)]

Sinceramente in una condotta di questo tipo non rilevo approssimazione ma professionalità...
(PS: alle nuove pressioni di mj [vedi qui! (http://ssj100.fullsubject.com/defensewall-f9/dw-still-vulnerable-on-anti-tocttou-by-mj0011-t171.htm)], ha risposto cosi:
http://gladiator-antivirus.com/forum/index.php?s=&showtopic=107120&view=findpost&p=259961)

Probabilmente non ho espresso io correttamente il mio pensiero, perché non è questo il punto che volevo sottolineare.

Io avevo detto che per lavorare sulla SSDT si tratta di scrivere molto più codice rispetto a lavorare un po piu in profondità nel kernel con l'hooking degli object di Windows. Scrivendo più codice c'è più rischio di imbattersi in errori di programmazione (per un'ovvia regola dell'informatica e della programmazione) e, nel caso SSDT, c'è più rischio derivante da attacchi user mode - questo poiché sono funzioni più esposte all'utente rispetto agli object di Windows, dove è impossibile arrivarci da user mode.

Ilya ha risposto che è una congettura sbagliata e dipende dalle abilità del programmatore. Allora a questa affermazione - che è vera - rispondo che effettivamente Defensewall è stato in passato (recente e remoto) vittima di attacchi che non sarebbero esistiti se la tecnica utilizzata non fosse stata l'SSDT hooking.

Ad esempio il TOCTTOU attack è esistito per un errore di programmazione, mentre un programma come Sandboxie non ha sofferto di questa tipologia di attacco a priori.

Cerco di spiegare meglio cosa succede con il TOCTTOU attack:

- un processo crea due thread simultanei;
- uno dei due thread prova ad avere accesso ad un processo al quale non può avere accesso;
- l'altro thread simultaneamente modifica la chiamata del primo thread, modificando il PID del processo che si vuole aprire con un processo per il quale si hanno diritti di accesso

Mettiamo che un programma di sicurezza prenda il controllo della funzione NtOpenProcess nell'SSDT e, da lì, monitora tutti i tentativi di avere accesso ai vari processi.

Nel mentre che controlla il PID del processo che sta per aprire, uno dei due thread gli cambia il PID, facendo credere che si tenta di accedere un processo per cui si hanno i diritti di apertura. Passato il controllo del software di sicurezza, quindi, viene eseguita l'apertura del processo. Nel momento in cui viene eseguita l'apertura del processo, viene ricambiato il PID con il processo per il quale non si dovrebbe avere possibilità di accesso. Ma, oramai, il controllo è stato superato, e si procede tranquillamente.

Ora, questo è - detto in modo molto basilare - quello che succede con il TOCTTOU attack. Tuttavia, se il controllo del PID viene effettuato molto all'interno del kernel, invece che all'inizio, si raggiunge un punto al quale non si può più fare questo giochetto perché è irraggiungibile per un utente. Lì è dove Sandboxie pone i propri hook.

Capisco che magari la spiegazione può essere poco chiara, in caso la spiego meglio la cosa :) È che è un concetto un po ostico e magari può risultare alquanto indigesto.

Nulla da obiettare sulla "velocità" di risoluzione del problema, ovviamente. È chiaro esempio di professionalità. Però quello che volevo dire è che è una delle conseguenze di una tipologia di hook che è più esposta ad attacchi.

nV 25
15-07-2010, 18:07
Ehh... ne devo di far di strada per stare al passo con voi... :rolleyes:
ahaha!

Spesso quello che scrivo non lo capisco a fondo neppure io (es, il discorso dell'SMB)...

Sono tutte cose che leggo e tento di interpretare ma, come ovvio, è lontana la piena comprensione del tutto..;)

Credo, anzi, che solo eraser (o chi per lui...) potrebbe illuminare in proposito..

nV 25
15-07-2010, 18:13
Il concetto è quello [...]

ok, letto e, in prima battuta, direi capito..

I tuoi post, cmq, vanno assimilati, il che richiede (da parte mia..) di ritornare sicuramente sul tuo post con una lettura decisamente meno frettolosa..

caturen
15-07-2010, 18:14
@caturen:

leggi la mail che ti ho mandato, il tuo problema dovrebbe essere risolto..:)
Infatti ora è tutto ok. :ubriachi:
Grazie mille Nv25 :winner:

nV 25
15-07-2010, 18:18
:D


Ciao a tutti.

Pax vobiscum...:ciapet:

bender8858
15-07-2010, 18:19
Ragazzi scusate una domandina veloce veloce: utilizzando sandboxie con la spunta sulla limitazione dei diritti degli utenti amministratori ed anche il WWDC (windows worms doors cleaner) che va a chiudere la porta 445, il modo per aggirare sandoboxie sarebbe ancora fattibile? :stordita:



No (se non ho capito male)

Ciao

bender8858
15-07-2010, 18:21
:D


Ciao a tutti.

Pax vobiscum...:ciapet:


http://www.youtube.com/watch?v=jBDF04fQKtQ&feature=related

Ciao :p

Kohai
15-07-2010, 18:22
No (se non ho capito male)

Ciao

:stordita:
No nel senso che si aggirerebbe comunque sandbox oppure non si aggirerebbe?

Mado'.... che giri di parole.... :doh:

bender8858
15-07-2010, 18:24
No nel senso che non si presenterebbe la possibilità di aggirarla

Ciao

Kohai
15-07-2010, 18:28
No nel senso che non si presenterebbe la possibilità di aggirarla

Ciao

Oh! Thank's :D

P.s.
Correte a dirlo a Tzuk allora ^_^

nV 25
15-07-2010, 18:56
eraser, la lezione che hai fornito nel post 2683 è chiarissima...;)


Mi domando perchè, xò, il 99,..% dei software HIPS (che infatti risultavano essere tutti colpiti dal TOCTTOU attack...) è stato costruito attorno all'ssdt hooking:
solo per semplicità di programmazione o in realtà, e posta l'esistenza di una certa abilità in chi programma questi hooks, ci potrebbero essere motivazioni tecniche che hanno spinto a favore dell'adozione di questa struttura?
(anche se lo sai già, ti ricordo di nuovo che il tanto blasonato CIS [e OA, MD,..] è (sono) costruito(i) attorno all'ssdt hooking)...

Possibile che non esista un solo motivo a sfavore della struttura DKOM?

Tocttou, infatti, da quello che ho capito, era più che altro un problema teorico (magari più semplice da sfruttare oggi con il discorso del multicore)..


Ciao, grazie

nV 25
16-07-2010, 10:14
eraser, quando puoi cerca di fornire una velocissima risposta anche alle domande del post sopra cosi' da fare una sorta di mini-contraddittorio a te stesso per gettare ulteriore luce sui pregi/difetti di ogni approccio (SSDT/DKOH)...

Contraddittorio che sarebbe peraltro interessante anche alla luce del fatto che pure il vs/software implementa l'ssdt hooking come struttura di base...


Sicuro di una tua risposta, ne approfitto per salutare di nuovo tanto te che quei pochi che leggono assiduamente gli sviluppi di questo thread..:)

eraser
16-07-2010, 11:01
eraser, quando puoi cerca di fornire una velocissima risposta anche alle domande del post sopra cosi' da fare una sorta di mini-contraddittorio a te stesso per gettare ulteriore luce sui pregi/difetti di ogni approccio (SSDT/DKOH)...

Contraddittorio che sarebbe peraltro interessante anche alla luce del fatto che pure il vs/software implementa l'ssdt hooking come struttura di base...


Sicuro di una tua risposta, ne approfitto per salutare di nuovo tanto te che quei pochi che leggono assiduamente gli sviluppi di questo thread..:)

Non avevo visto il post di ieri sera scusa :)

L'approccio SSDT hooking è molto più utilizzato per vari motivi:

1) è più conosciuto, quindi è più documentato online;

2) essendo più documentato è più semplice da applicare;

3) permette una maggiore possibilità di controllo sui comportamenti dei programmi, a scapito di un DKOH che è più potente ma che è "o bianco o nero". Con un DKOH puoi implementare bene una sandbox per bloccare un processo, ma non è che hai molta possibilità di tracciare cosa faccia quel programma, invece con un SSDT hooking puoi tracciarne tutti i comportamenti, e per molti HIPS è molto più comoda come cosa

La tecnica dell'hooking degli object di Windows (DKOH) è una tecnica non ben documentata, si trova poco online, contrariamente all'SSDT hooking che è diventata praticamente una pratica comune e utilizzata da tutti.

(PS: Occhio, non DKOM, ma DKOH. Il Direct Kernel Object Manipulation è una cosa differente)

Prevx non si basa sull'SSDT hooking come funzionamento di anti-malware. le funzionalità di scanner anti-malware sono basate su un file system driver, gli hook che vedi in Prevx sono solo per l'auto-protezione, ma possono essere disattivate.

Si, fondamentalmente TOCTTOU era piu un problema teorico che pratico, anche perché richiedeva un notevole sforzo per venire applicato e molte coincidenze favorevoli

nV 25
16-07-2010, 12:42
ottima spiegazione! (peraltro hai ragione: nel post di ieri avevo confuso erroneamente il DKOM con il DKOH...)

Secondo me sarebbe cmq da approfondire ulteriormente il punto n°3 che cela sicuramente altri ragionamenti delicati, per es. il concetto sintetizzato col tuo "bianco o nero" (più potente ma collegato ad una < tracciabilità dei comportamenti di un processo e dunque (dico io..) < elasticità? La tracciabilità di un ventaglio più ampio di azioni, infatti, non è un elemento proprio cosi' marginale per chi deve sviluppare un prodotto di questo tipo che risponde ad una precisa funzione...)

Potenza contro praticità, minore documentazione di una struttura contro quella che è ormai una prassi (32bit, per il 64bit si deve infatti ricorrere a meccanismi diversi dall'API hooking...)


Insomma, in attesa di conoscere ulteriori dettagli che chiariscano un pelo di più il punto n°3, il fatto di continuare a insistere sull'API hooking (o SSDT hooks...) non la vedo una cosa cosi' drammatica specie poi se chi sviluppa il prodotto lo fa con professionalità concentrando peraltro i suoi sforzi nella direzione della mitigazione dei rischi di attacchi user mode (vedi per es. come Ilya risponde a mj: link (http://gladiator-antivirus.com/forum/index.php?showtopic=107120&st=0&p=259961&#entry259961)! Parla infatti di aver già preso sotto esame tutti i possibili vettori di attacco anche se poi, per carità, col tempo possono emergere ulteriori magagne mentre invece, come dicevi, l'utilizzo dell'altro approccio avrebbe potuto risolvere sul nascere il problema...)

Un'altra cosa, infine:
quando dici "Prevx non si basa sull'SSDT hooking come funzionamento di anti-malware. le funzionalità di scanner anti-malware sono basate su un file system driver, gli hook che vedi in Prevx sono solo per l'auto-protezione, ma possono essere disattivate...", potrei osservare che anche DW (ad es..) "vive" attorno ad un file system driver, suo cuore/motore...

Forse il nocciolo è (per PrevX) nel non basarsi sull'API hooking per le sue funzionalità di anti-malware mentre (continuando con l'es. di DW) DW basa il suo funzionamento anti-malware sull'API Hooking?




..........
In realtà, credo di essermi perso dietro il rapporto file system driver (http://www.microsoft.com/whdc/driver/filterdrv/default.mspx)/API hook...:muro:

eraser
16-07-2010, 13:57
ottima spiegazione! (peraltro hai ragione: nel post di ieri avevo confuso erroneamente il DKOM con il DKOH...)

Secondo me sarebbe cmq da approfondire ulteriormente il punto n°3 che cela sicuramente altri ragionamenti delicati, per es. il concetto sintetizzato col tuo "bianco o nero" (più potente ma collegato ad una < tracciabilità dei comportamenti di un processo e dunque (dico io..) < elasticità? La tracciabilità di un ventaglio più ampio di azioni, infatti, non è un elemento proprio cosi' marginale per chi deve sviluppare un prodotto di questo tipo che risponde ad una precisa funzione...)

Potenza contro praticità, minore documentazione di una struttura contro quella che è ormai una prassi (32bit, per il 64bit si deve infatti ricorrere a meccanismi diversi dall'API hooking...)


L'approccio fondamentalmente è diverso. Sandboxie fa un doppio lavoro: piazza l'API hooking in user mode, una dll caricata dentro il processo, e da lì monitorizza i comportamenti. Ma, prima di tutto, si preoccupa di rendere l'eseguibile monitorato inoffensivo, tramite DKOH. Rimuove ogni privilegio, ogni possibilità di azione per quel processo. Poi il controllo dell'azione viene eseguito in user mode. Con il DKOH fondamentalmente si preoccupa di rendere totalmente inoffensivo il processo. Infatti, volendo, è possibile bypassare gli hook piazzati in user mode dalla dll di sandboxie. Ma, anche facendolo, vedrai che il processo non è abilitato a fare assolutamente niente.

Defensewall fa tutto il lavoro tramite SSDT hooking, contemporaneamente rende inoffensivo il programma e monitorizza tutti i vari comportamenti.

Non è una cosa assolutamente drammatica, hai ragione. Mi piace più Sandboxie per questo doppio approccio al problema.



Un'altra cosa, infine:
quando dici "Prevx non si basa sull'SSDT hooking come funzionamento di anti-malware. le funzionalità di scanner anti-malware sono basate su un file system driver, gli hook che vedi in Prevx sono solo per l'auto-protezione, ma possono essere disattivate...", potrei osservare che anche DW (ad es..) "vive" attorno ad un file system driver, suo cuore/motore...

Forse il nocciolo è (per PrevX) nel non basarsi sull'API hooking per le sue funzionalità di anti-malware mentre (continuando con l'es. di DW) DW basa il suo funzionamento anti-malware sull'API Hooking?

..........
In realtà, credo di essermi perso dietro il rapporto file system driver (http://www.microsoft.com/whdc/driver/filterdrv/default.mspx)/API hook...:muro:

Defensewall utilizza un file system driver? :confused: Mi era sfuggita questa, ma potrei sbagliarmi :stordita:

nV 25
16-07-2010, 15:10
...Defensewall utilizza un file system driver? :confused: Mi era sfuggita questa, ma potrei sbagliarmi :stordita:
guarda, a questo punto è più probabile un mio abbaglio visto che il tuo riferimento a proposito di prevx ha fatto saltare ogni equilibrio nella mia mente...


Se sei d'accordo, direi che l'unica cosa da fare è che tu chiarisca in 2 battute il concetto di file system driver e come questo si collega al discorso dell'API hooking..

cloutz
17-07-2010, 12:15
uscito DW 3.04 stabile!
http://www.softsphere.com/downloads/

..e da ora anche la/e versione/i italiana/e della 3:D
http://www.softsphere.com/localizations/

Saluti!

nV 25
17-07-2010, 12:42
Grande Cloutz...http://gladiator-antivirus.com/forum/style_emoticons/default/good.gif







eraser, ASAP cerca di dare una risp. al post 2698 visto che mi hai involontariamente confuso le idee, ciao

http://gladiator-antivirus.com/forum/style_emoticons/default/gal_busy.gif

eraser
17-07-2010, 20:18
guarda, a questo punto è più probabile un mio abbaglio visto che il tuo riferimento a proposito di prevx ha fatto saltare ogni equilibrio nella mia mente...


Se sei d'accordo, direi che l'unica cosa da fare è che tu chiarisca in 2 battute il concetto di file system driver e come questo si collega al discorso dell'API hooking..

http://www.calsoftlabs.com/whitepapers/images/guaranteed1.gif

eraser
18-07-2010, 19:35
nV? :) tutto apposto o devo spiegare un po più dettagliatamente? :)

nV 25
18-07-2010, 22:24
scusa cancellino ma oggi non ero a casa..

Si, se hai 2 minuti da spendere per dettagliare meglio lo schema sarebbe cosa più che gradita...:p

nV 25
19-07-2010, 20:09
Ce la fai a rispondere prima della fine del mese? :D

eraser
20-07-2010, 12:04
Ce la fai a rispondere prima della fine del mese? :D

Hai ragione scusa :D problema exploit Windows 0-day (https://www.pcalsicuro.com/main/2010/07/grave-falla-in-tutte-le-versioni-di-windows/) :D

Allora, quando si procede ad un accesso al disco rigido, il sistema operativo segue alcuni passi fondamentali. Ti faccio un esempio nel caso tu debba scrivere un file:

- il programma che vuole scrivere un file chiama l'API di Windows WriteFile (o, magari ci sono altri layer, tipo .NET o Java ma alla fine per scrivere su un file bisogna sempre passare per lì, sia che la invochi tu direttamente dal programma o la invoca qualcuno per te);

- WriteFile è un'implementazione standard di Windows che va a iniziare un procedimento di comunicazione con il kernel di Windows, chiamando l'API NtWriteFile, che è semplicemente un ponte in user mode per poter accedere poi alla vera implementazione in kernel mode di NtWriteFile;

- NtWriteFile fa il grande passo, e spedisce tutte le informazioni al gestore della chiamate NtWriteFile in kernel mode, che è la funzione vera che va a gestire poi i comandi inviati dall'utente;

- NtWriteFile in kernel mode ricostruisce la richiesta dell'utente in modo di tradurla per il kernel, e inizia così il procedimento vero di accesso al disco rigido, invocando a catena tutti i driver che gestiscono il disco, a partire dai file system driver (che agiscono a livello di file system) fino a driver che gestiscono il disco rigido in maniera fisica (ad esempio disk.sys e successivi)

Ora, nel momento in cui si controllano le API native tramite hook SSDT, chiaramente siamo ai punti 2/3 che ho detto prima, controllando le richieste dell'utente e in caso filtrandole.

Un file system driver invece agisce piu in profondità, controlla direttamente cosa sta accadendo nel disco, cosa viene scritto, cosa sta per essere scritto o modificato, cosa viene cancellato e così via. Ed è indipendente dagli hook SSDT.

Sono riuscito a spiegare un po meglio la differenza e cosa fa un file system driver? :)

nV 25
20-07-2010, 16:40
perfetto! :)

eraser
20-07-2010, 16:59
perfetto! :)

:confused: :mc: Sono riuscito a lasciarti senza neanche una domanda? :stordita:

nV 25
20-07-2010, 17:23
esatto :)

eraser
20-07-2010, 17:43
esatto :)

Sei sicuro di star bene vero? :mbe: :p

arnyreny
20-07-2010, 18:18
la tua lezione e' stata cosi' chiara che ci ho capito qualcosa perfino io:eek:
potevi fare il professore...:D

nV 25
20-07-2010, 19:54
è ovvio che più elementi riesci a fornire, migliore è tanto la spiegazione quanto il quadro d'insieme che ne viene fuori:
tassello dopo tassello, infatti, si compone un puzzle che da una visione (pur panoramica..) del tutto...

E' altresi' elementare che non possa conoscere il tempo che puoi dedicare a queste "lezioni", da qui il mio "non tirar troppo la corda" nella pretesa di ulteriori informazioni...

Preciso cmq quello che già avevo dichiarato poc'anzi:
la spiegazione, almeno per quanto mi riguarda (ma non solo, stando almeno all'altro commento di arny..) , è stata chiarissima!

nV 25
22-07-2010, 11:50
Sulla "falla" segnalata anche da eraser (L I N K! (https://www.pcalsicuro.com/main/2010/07/grave-falla-in-tutte-le-versioni-di-windows/)) potrebbe essere utile considerare l'aspetto sotto specie alla luce di quello che è l'oggetto del thread:
come rispondono gli HIPS a questa pressione, vedi QUI! (http://www.hwupgrade.it/forum/showpost.php?p=32668598&postcount=5)...




------------------------------------
EDIT 14.10
------------------------------------
è di una tristezza assoluta constatare il totale disinteresse della piazza italiana intorno a queste tematiche rispetto al fermento che è invece possibile registrare all'estero:
la sensazione di scoramento unita al desiderio di lasciar perdere tutto è veramente sempre più pressante...

A livello informatico, infatti, siamo un popolo di ignoranti realmente rubato alle consolle...:rolleyes:

sampei.nihira
22-07-2010, 13:46
Sulla "falla" segnalata anche da eraser (L I N K! (https://www.pcalsicuro.com/main/2010/07/grave-falla-in-tutte-le-versioni-di-windows/)) potrebbe essere utile considerare l'aspetto sotto specie alla luce di quello che è l'oggetto del thread:
come rispondono gli HIPS a questa pressione, vedi QUI! (http://www.hwupgrade.it/forum/showpost.php?p=32668598&postcount=5)...




------------------------------------
EDIT 14.10
------------------------------------
è di una tristezza assoluta constatare il totale disinteresse della piazza italiana intorno a queste tematiche rispetto al fermento che è invece possibile registrare all'estero:
la sensazione di scoramento unita al desiderio di lasciar perdere tutto è veramente sempre più pressante...

A livello informatico, infatti, siamo un popolo di ignoranti realmente rubato alle consolle...:rolleyes:



Vero !!
Tempo fà scrissi alla Samsung dicendo loro che, in Italia, una tv che avesse modo di avere un collegamento WI-FI ad internet avrebbe spopolato.
Non mi sono più interessato al "fatto".
Ma credo che ci siamo "arrivati",almeno così mi dicono.....
Probabilmente se il sistema sarà semplice, la vendita dei pc home, si ridurrà ai soli note/net.

Veramente ottimo il risultato di Geswall,anzi è a dir poco sorprendente.
Così quello della RC di Returnil.

cloutz
22-07-2010, 14:28
------------------------------------
EDIT 14.10
------------------------------------
è di una tristezza assoluta constatare il totale disinteresse della piazza italiana intorno a queste tematiche rispetto al fermento che è invece possibile registrare all'estero:
la sensazione di scoramento unita al desiderio di lasciar perdere tutto è veramente sempre più pressante...

A livello informatico, infatti, siamo un popolo di ignoranti realmente rubato alle consolle...:rolleyes:

Dai non mi piacciono i videogiochi!!:p
Ho letto i link ma son di fretta purtroppo, solo x questo non ho risposto.. ho l'aereo fra 3 ore!!!:D :D

Comunque credo che sia da monitorare attentamente questa fase, x capire come, e con che ritmo, si muovono le softwarehouse..
In particolare osserverei lo sviluppo di DW, MD, OA, CIS.. e ancor di più MD e OA perchè, ora che son cambiate molte cose, devono dimostrare.

Ne approfitto per augurare delle buone vacanze a tutti! scappo!! :)

Saluti

nV 25
22-07-2010, 15:11
ciao cloutz e buone vacanze! :)


L'edit, cmq, non era riferito tanto ai soliti 2 o 3 tizi che leggono + o - sporadicamente questo thread o quello delle news ecc, quanto voleva essere una fotografia di quello che succede a livello italiano nelle varie piazze online di carattere amatoriale (o semi-amatoriale) tipo questo...

Ed è veramente una profonda tristezza constatare che la gente sa realmente una ricca °!° a 2 mani di certe tematiche e che, cosa ancora più grave, dimostra totale mancanza di curiosità nei confronti di un fenomeno che dovrebbe essere invece osservato con maggior attenzione...

Se può essere infatti legittimo che non tutti siano chiamati a sapere i dettagli di certi aspetti, è però anomala la scarsa curiosità, sinonimo sicuramente di scarsa intelligenza...


Non solo siamo (mediamente) rubati alle consolle, ma ci meritiamo forum zeppi di richieste di aiuto e discussioni con la solita roba trita e ritrita (ma non "vi" ha ancora rotto i °° ??) ...

bender8858
22-07-2010, 16:34
ciao cloutz e buone vacanze! :)


L'edit, cmq, non era riferito tanto ai soliti 2 o 3 tizi che leggono + o - sporadicamente questo thread o quello delle news ecc, quanto voleva essere una fotografia di quello che succede a livello italiano nelle varie piazze online di carattere amatoriale (o semi-amatoriale) tipo questo...

Ed è veramente una profonda tristezza constatare che la gente sa realmente una ricca °!° a 2 mani di certe tematiche e che, cosa ancora più grave, dimostra totale mancanza di curiosità nei confronti di un fenomeno che dovrebbe essere invece osservato con maggior attenzione...





Succedesse solo con queste tematiche! :cry: :cry:

Ciao

nV 25
02-08-2010, 14:18
ok, in un ritaglio di tempo ho avuto modo di confrontarmi con 2 rogue e 1 sample della famigerata famiglia di rootkit TDL3.

Uno dei rogue, peraltro, è quello che "buca" CIS 4, vedi link! (https://forums.comodo.com/news-announcements-feedback-cis/rst-antivirus-2010-rogue-av-bypassed-cis-t56246.0.html) :p :
RST Antivirus 2010

http://img375.imageshack.us/img375/521/rstav.jpg

DefenseWall, ovviamente, facendolo girare "untrusted", ne contiene qualsiasi interferenza...

http://img824.imageshack.us/img824/2976/rstav2.jpg

08.02.2010 14:38:37, module C:\Windows\System32\msiexec.exe, Attempt to post message 44B into the window of the process C:\Windows\explorer.exe. (Shatter)

08.02.2010 14:38:01, module C:\Windows\System32\msiexec.exe, Attempt to open handle in process C:\Windows\System32\msiexec.exe, source=, handle name=(null) (Process)

08.02.2010 14:37:58, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RST Antivirus 2010\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:58, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Users\test\AppData\Roaming\Microsoft\Installer\{0933F968-51E5-4780-B485-CE2DCE47E8F6}\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:58, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Users\test\AppData\Roaming\Microsoft\Installer\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:57, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Users\test\AppData\Roaming\RST Antivirus 2010\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:57, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Users\test\AppData\Roaming\RST Antivirus 2010\db\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:57, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Program Files\RST Antivirus 2010\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:56, module C:\Windows\System32\msiexec.exe, Attempt to set value C:\Config.Msi\ within the key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\ (Registry)

08.02.2010 14:37:34, module C:\Windows\System32\msiexec.exe, Attempt to post message 44B into the window of the process C:\Windows\explorer.exe. (Shatter)


L'intevento manuale nella scheda di rollback consente altresi' di avere ragione di tutto riportando il sistema allo stato esistente prima dell'esecuzione del rogue stesso...



I ragionamenti sono identici per il 2° rogue e per il rootkit,
Security Tool...

http://img408.imageshack.us/img408/1584/securitytool.jpg



08.02.2010 14:08:49, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to open process C:\Windows\System32\dllhost.exe (Process)

08.02.2010 14:08:48, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to open process C:\Windows\System32\SearchProtocolHost.exe (Process)

08.02.2010 14:08:48, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to open process C:\Windows\System32\SearchFilterHost.exe (Process)

08.02.2010 14:08:31, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to open process C:\Windows\System32\dllhost.exe (Process)

08.02.2010 14:05:44, module C:\Users\test\AppData\Local\0931435743.exe, Internet connections are blocked (Network)

08.02.2010 14:05:43, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

08.02.2010 14:05:41, module C:\Users\test\AppData\Local\0931435743.exe, 8:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

08.02.2010 14:05:29, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to open handle in process C:\Users\test\AppData\Local\0931435743.exe, source=, handle name=(null) (Process)

08.02.2010 14:05:26, module C:\Users\test\AppData\Local\0931435743.exe, Attempt to set value 0931435743 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ (Registry)

08.02.2010 14:05:25, module C:\Windows\System32\cmd.exe, 2:Close handle TOCTTOU (TOCTTOU)

08.02.2010 14:05:24, module C:\Users\test\Desktop\Security Tool\pzeclawski_gsdhrthigw.exe, Attempt to set value pzeclawski_gsdhrthigw within the key HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ (Registry)

08.02.2010 14:05:22, module C:\Users\test\Desktop\Security Tool\pzeclawski_gsdhrthigw.exe, Attempt to set value pzeclawski_gsdhrthigw within the key HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ (Registry)


...e il TDL3
http://img837.imageshack.us/img837/7619/tdl1.jpg

08.02.2010 14:12:11, module C:\Users\test\Desktop\setup\setup.exe, Attempt to add new printer provider (Spooler)

08.02.2010 14:12:10, module C:\Users\test\Desktop\setup\setup.exe, Attempt to create new file C:\Windows\Tasks\MSWD-f6ab9a8a.job (File )

08.02.2010 14:12:09, module C:\Users\test\Desktop\setup\setup.exe, Attempt to create new file C:\Windows\Tasks\MSWD-f6ab9a8a.job (File )

08.02.2010 14:12:09, module C:\Users\test\Desktop\setup\setup.exe, Attempt to create new file C:\Windows\Tasks\MSWD-f6ab9a8a.job (File )

08.02.2010 14:12:08, module C:\Users\test\Desktop\setup\setup.exe, 1:Attempt to open system service (Service)

o, osservando il log in forma grafica,
http://img535.imageshack.us/img535/314/tdl2.jpg

A proposito del TDL3 esaminato sopra è interessante notare che, a differenza del sample provato in questo! (http://www.hwupgrade.it/forum/showpost.php?p=30615848&postcount=2326) link, cambia parzialmente la "tecnica di impianto":
"sparisce" l' "Attempt to add new printer processor" rimpiazzato stavolta dall' "Attempt to add new printer provider"...

arnyreny
02-08-2010, 20:15
sarei curioso di vedere come si comporta malware defender ...
con la bestiaccia:O

nV 25
03-08-2010, 08:55
sarei curioso di vedere come si comporta malware defender ...

sono convinto che lo ribloccherebbe nel solito modo illustrato sotto,
...
http://img716.imageshack.us/img716/6803/mdlog.png
(presa da wilders, utente: subset)
(l'exploit, in sostanza, andrebbe in porto forzando il processo spoolsv.exe a caricare una qualche componente nociva all'interno del proprio spazio di memoria ma le successive alterazioni al sistema indotte dal processo exploitato (come il tentativo di impianto della componente kernel mode...) sarebbero intercettate visto che si scontrerebbero con quello che è il "grado di libertà" attribuito a spoolsv.exe stesso)...

arnyreny
03-08-2010, 09:36
ok, in un ritaglio di tempo ho avuto modo di confrontarmi con 2 rogue e 1 sample della famigerata famiglia di rootkit TDL3.

Uno dei rogue, peraltro, è quello che "buca" CIS 4, vedi link! (https://forums.comodo.com/news-announcements-feedback-cis/rst-antivirus-2010-rogue-av-bypassed-cis-t56246.0.html) :p :
RST Antivirus 2010


se mi passi il set up provo con comodo 5 beta;)

nV 25
03-08-2010, 12:06
se mi passi il set up provo con comodo 5 beta;)

cestinato...:(

Volendo, cmq, lo ritrovi facilmente facendo da google una ricerca per RST Antivirus 2010:
ha anche una bella home page, molto curata nei dettagli ecc ecc...

"When running, RSTAntivirus2010 will also block legitimate antivirus and antispyware programs to protect itself from being removed and it will probably also disable Task Manager and Registry Editor. Furthermore, it will hijack Internet Explorer and redirect you to various misleading websites full of false information and advertisements. The home page of RST Antivirus 2010 is [...]"

arnyreny
03-08-2010, 13:17
cestinato...:(

Volendo, cmq, lo ritrovi facilmente facendo da google una ricerca per RST Antivirus 2010:
ha anche una bella home page, molto curata nei dettagli ecc ecc...

"When running, RSTAntivirus2010 will also block legitimate antivirus and antispyware programs to protect itself from being removed and it will probably also disable Task Manager and Registry Editor. Furthermore, it will hijack Internet Explorer and redirect you to various misleading websites full of false information and advertisements. The home page of RST Antivirus 2010 is [...]"

si l'avevo visto il sito...
appena ho tempo provo...
Grazie ciao;)

Blue Spirit
04-08-2010, 11:16
Sulla "falla" segnalata anche da eraser (L I N K! (https://www.pcalsicuro.com/main/2010/07/grave-falla-in-tutte-le-versioni-di-windows/)) potrebbe essere utile considerare l'aspetto sotto specie alla luce di quello che è l'oggetto del thread:
come rispondono gli HIPS a questa pressione, vedi QUI! (http://www.hwupgrade.it/forum/showpost.php?p=32668598&postcount=5)...




------------------------------------
EDIT 14.10
------------------------------------
è di una tristezza assoluta constatare il totale disinteresse della piazza italiana intorno a queste tematiche rispetto al fermento che è invece possibile registrare all'estero:
la sensazione di scoramento unita al desiderio di lasciar perdere tutto è veramente sempre più pressante...

A livello informatico, infatti, siamo un popolo di ignoranti realmente rubato alle consolle...:rolleyes:


hai provato a fare il test anche da account limitato?

nV 25
04-08-2010, 13:00
hai provato a fare il test anche da account limitato?

no, io mi sono limitato a riportare un test fatto da un tizio che, peraltro, mi risulta a tratti anche indigesto...
Il problema, cmq, è definitivamente rientrato con il rilascio dell'apposita patch di qualche giorno fà...

PS: figurarsi se io avrei avuto voglia di mettermi li a provare 14! soluzioni diverse...:asd:

nV 25
04-08-2010, 13:28
A proposito del TDL3 esaminato sopra è interessante notare che, a differenza del sample provato in questo! (http://www.hwupgrade.it/forum/showpost.php?p=30615848&postcount=2326) link, cambia parzialmente la "tecnica di impianto":
"sparisce" l' "Attempt to add new printer processor" rimpiazzato stavolta dall' "Attempt to add new printer provider"...

proprio ieri mi sono imbattuto in un altro sample che sembra utilizzare una tecnica ibrida*:
da un lato (si parla sempre di un sample della famiglia TDL3...) cerca di exploitare il solito spoolsv.exe via "attempt to add a new print provider", dall'altro cerca di registrare un nuovo servizio (sr).


module C:\Users\test\Desktop\svchost.exe, Attempt to set new security descriptor for C:\Program Files\Internet Explorer\iexplore.exe (File )

module C:\Users\test\Desktop\svchost.exe, Attempt to rename file to C:\Program Files\Internet Explorer\iexplore.exe (File )

module C:\Users\test\Desktop\svchost.exe, 8:Attempt to open protected file C:\Program Files\Mozilla Firefox\temp.tmp (Resource isolation)

module C:\Users\test\Desktop\svchost.exe, Attempt to rename file C:\Program Files\Mozilla Firefox\firefox.exe (File )

module C:\Users\test\Desktop\svchost.exe, 10:Attempt to open protected file C:\Program Files\Mozilla Firefox\temp.tmp (Resource isolation)

module C:\Users\test\Desktop\svchost.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\services\sr\Parameters\ (Registry)

module C:\Users\test\Desktop\svchost.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\services\sr\ (Registry)

module C:\Users\test\Desktop\svchost.exe, Attempt to set new security descriptor for C:\Windows\System32\wininit.exe (File )

module C:\Users\test\Desktop\svchost.exe, Attempt to rename file to C:\Windows\System32\wininit.exe (File )

module C:\Users\test\Desktop\svchost.exe, Attempt to add new printer provider (Spooler)

http://img819.imageshack.us/img819/2131/95929552.jpg


Il carattere ibrido, dunque, dovrebbe essere in questo senso:
se non riesce ad infettare la macchina con la 1° tecnica, ricorre ad un metodo "classico" che prescinde dal canale "spoolsv.exe"...









*mi si passi il concetto data la mia ignoranza in materia...

nV 25
05-08-2010, 09:26
Prevx scricchiola sotto i colpi di EP_X0FF:
http://www.kernelmode.info/forum/viewtopic.php?f=15&t=249

nV 25
05-08-2010, 09:31
eraser in action: :D
http://www.wilderssecurity.com/showthread.php?t=278777


*************
La saga continua visto che EP ha prontamente risposto alla release .187 che supera il problema da lui stesso segnalato.

"The new build .187 fixes the bypass reported this afternoon and further strengthens self protection against future attacks" (PrevxHelp)

"Done. Prevx 187 successfully terminated with all it's hooks from pure user mode..." (EP_X0FF, stamattina...)


A stupire il sottoscritto, cmq, è la crudezza del commento di EP stesso a proposito della tecnologia utilizzata in Prevx:

"Prevx is just have a worst self-protection I've seen for all AV products I tried.
...everything I used before and in next release - well known since ages.
It is very strange Prevx self-protection authors don't know these methods. Must be they still testing programs with APT which is total trash."

eraser
05-08-2010, 13:40
ma vedi, il discorso è molto semplice.

Sicuramente fixeremo anche questo problema. Se è per questo - indipendentemente dallo sviluppatore del driver di auto-difesa di Prevx - io sto sviluppando un mio driver di auto-difesa che blocca questi test di EP_X0FF.

Il problema è un altro però. Fintanto che chi attacca ha i privilegi di amministratore di sistema, ci sarà sempre un modo per superare le tecniche di auto-difesa, per quanto esse possano essere complesse.

Un esempio è PatchGuard, un sistema di auto-difesa del kernel di Windows efficace, ma inutile se chi attacca è riuscito ad avere accesso al kernel di Windows. Questo perché si sta lavorando allo stesso livello, con gli stessi privilegi.

Penso di sapere già quale tecnica di attacco abbia utilizzato, cioè di rimuovere gli hook SSDT direttamente da user mode. Ma per fare ciò, è necessario avere accesso al kernel di Windows, cosa che si può fare se hai i diritti di amministratore. Ma nel momento in cui hai già i diritti di amministratore e puoi accedere al kernel di Windows, che fastidio ti dà Prevx? ;)

nV 25
05-08-2010, 13:52
si, infatti, avevo già trovato su wilders un'interpretazione che andava proprio nel senso della lettura al problema che hai dato poc'anzi (riferimento (http://www.wilderssecurity.com/showpost.php?p=1724043&postcount=12))...

L'obiettivo di EP, cmq (e anche se ti dico una cosa che sai già..), credo sia essenzialmente quello di mettere in discussione il modo in cui sono implementate certe tecnologie (ridimensionando dunque un pò il marketing di certe software house, diciamo)...

Se xò da tutto questo polverone ne beneficia l'utente perchè "vi" spinge a migliorare ancora di più i programmi...

In definitiva sono quindi portato a vedere positivamente queste "sparate" per quanto convenga sul fatto che, anche stavolta, sia mancato il tatto del Responsible disclosure cui avevi fatto inizialmente cenno proprio alcuni giorni fà...:)

nV 25
05-08-2010, 16:44
mi salutano da wilders? :mbe: link (http://www.wilderssecurity.com/showpost.php?p=1724167&postcount=11)

'azz, allora sono importante...:ciapet:


Ricambio, anche se non so chi sei...:)

PS:
se prescindiamo dal discorso del Responsible disclosure che è mancato anche in quest'occasione, torno a dire che secondo me queste "aggressioni" che ciclicamente colpiscono le diverse software house possono avere solo risvolti positivi per l'utenza...
Voglio insomma vedere il bicchiere come mezzo pieno anche se francamente addolora vedere come l'uso di tecniche datate* siano tuttora sufficienti per avere ragione di un programma di sicurezza...


* mi baso infatti su quella che è la dichiarazione di EP_X0FF...

eraser
05-08-2010, 16:45
Sì ma comunque ho i miei dubbi sul video postato, anche perché dopo 10 secondi Prevx si riattiverebbe automaticamente da solo, anche se killato ;)

nV 25
05-08-2010, 17:28
sono d'accordo:
"...why bother killing the AV, alerting the user that something is wrong, when you already have full access to the system?", PrevxHelp pochi istanti fà...

PS @ eraser:

EP è un hacker buono, di sicuro un validissimo coder...
Prenderei i suoi appunti non come affronto nei vs/confronti ma come spunti positivi per migliorare le vostre tecnologie:
sapere infatti che pochissimi malware usano/hanno usato queste tecniche ("..I have only extremely sparingly seen malware using these techniques"), infatti, dovrebbe consolare fino ad un certo punto...

nV 25
05-08-2010, 18:05
parlando di cose serie*, è di pochi minuti fà l'uscita della v3.06 di DefenseWall...:D





* @ eraser:
si stà scherzando, eh! :Prrr:

eraser
05-08-2010, 18:25
sono d'accordo:
"...why bother killing the AV, alerting the user that something is wrong, when you already have full access to the system?", PrevxHelp pochi istanti fà...

PS @ eraser:

EP è un hacker buono, di sicuro un validissimo coder...
Prenderei i suoi appunti non come affronto nei vs/confronti ma come spunti positivi per migliorare le vostre tecnologie:
sapere infatti che pochissimi malware usano/hanno usato queste tecniche ("..I have only extremely sparingly seen malware using these techniques"), infatti, dovrebbe consolare fino ad un certo punto...

Ma lo so che è un validissimo coder, anche se ha la mania di sparare sempre a zero :) Un po troppo ;)

eraser
05-08-2010, 18:36
Come immaginavamo :) Prevx riparte automaticamente nel giro di 10 secondi :D

nV 25
09-08-2010, 15:21
ok, ecco un'altra tornata di quello che avevo disponibile (roba, cmq, presa parecchio a caso)...

Ambiente di test:

Virtualbox 3.2.6, Guest OS: 7 @ 32bit, Account Amministratore, UAC off, DEP limitato ai soli processi di sistema
Sistema di prevenzione: DefenseWall Personal Firewall 3.06
Check sistema ex-post: Hitman Pro, RootkitUnhooker 3.8.x.590

Direi di farla corta e arrivare subito alle conclusioni:
in sostanza, non c'è stata partita...:D

Si può passare quindi subito alla fotografia del sistema ex post, quella cioè che risultava dopo la mera esecuzione dei 6 sample (2 rootkit, 1 Rogue, ...).

"Imbrigliati" nella scheda di Rollback abbiamo dunque questi elementi:
http://img525.imageshack.us/img525/2600/7riassunto.th.jpg (http://img525.imageshack.us/i/7riassunto.jpg/)

All'interno della lista di elementi untrusted, invece, ci troviamo con questa situazione:
http://img42.imageshack.us/img42/9568/5sisntesi.jpg

Se RootkitUnhooker non rileva alcuna alterazione alla struttura del sistema operativo (eventuali tentativi di subverting sono stati infatti scartati automaticamente dal Sandbox...), Hitman Pro rileva invece tracce lasciate dai malware (anche se, ricordo, in stato INATTIVO o C O N G E L A T O, e dunque improduttive di alcun danno alla macchina).

http://img34.imageshack.us/img34/2245/6scan.jpg

In particolare, troviamo un certo oriqf.exe e un tale alvdbve[ecc].exe in C:\User\[nome utente]\AppData...

Queste voci, come era lecito aspettarsi controllando la miniatura relativa alla scheda di Rollback, compaiono assieme ad altre modifiche relative al file system/registro...


[PC Defender (rogue fresco fresco riconosciuto da 1 solo AV...) ha difficoltà ad installarsi Sandboxato, vedi anche la foto successiva...]
http://img819.imageshack.us/img819/8889/4pcdefender.jpg




OK.

Con 2 semplici click in DefenseWall si riesce ad aver ragione di tutto e il PC ritorna lindo come il sederino di un bambino appena accudito dalle amorevoli cure della mamma...:D

http://img839.imageshack.us/img839/1407/8scanfinal.jpg





PS:
nello zip sono presenti i log catturati da DW in conseguenza di ogni esecuzione...)

nV 25
10-08-2010, 11:57
Volevo segnalare l'OTTIMO supporto fornito dalla software house spyshelter (http://www.spyshelter.com/)!

A seguito di mie difficoltà ad utilizzare la versione gratuita del loro software sotto VirtualBox, è nato un fitto scambio epistolare volto a capire dove risiedesse il problema (in Virtualbox, appunto...:( )

Resta solo l'amaro in bocca per non averlo potuto vedere in funzione neppure 1 minuto...:muro:

Chill-Out
10-08-2010, 15:03
Ambiente di test:

Virtualbox 3.2.6, Guest OS: 7 @ 32bit, Account

Volevo segnalare l'OTTIMO supporto fornito dalla software house spyshelter (http://www.spyshelter.com/)!

A seguito di mie difficoltà ad utilizzare la versione gratuita del loro software sotto VirtualBox, è nato un fitto scambio epistolare volto a capire dove risiedesse il problema ([SIZE="1"]in Virtualbox, appunto...:( )

Resta solo l'amaro in bocca per non averlo potuto vedere in funzione neppure 1 minuto...:muro:

anche con la 3.2.8 ?

nV 25
10-08-2010, 20:04
in effetti anche loro mi hanno suggerito di provare con quella versione ma non mi garantivano cmq il buon fine...:(

Vedremo...:sperem:

nV 25
11-08-2010, 08:20
devo dire che il meccanismo di aggiornamento automatico di VirtualBox è ineccepibile... :rolleyes:

http://img641.imageshack.us/img641/5093/15830937.jpg

http://img837.imageshack.us/img837/2677/62652534.jpg

nV 25
11-08-2010, 08:53
ok, in un ritaglio di tempo ho avuto modo di confrontarmi con 2 rogue [...]

Uno, peraltro, è quello che "buca" CIS 4, vedi link! (https://forums.comodo.com/news-announcements-feedback-cis/rst-antivirus-2010-rogue-av-bypassed-cis-t56246.0.html) [...]
ok, dovrebbero aver finalmente risolto il problema:

http://img121.imageshack.us/img121/271/egement.jpg

La cosa curiosa, cmq, è che a beneficaire del fix sembrerebbe essere solo la nuova beta di CIS 5 attesa (credo..) in giornata...

http://img835.imageshack.us/img835/4558/egemen2.jpg

E coloro che hanno CIS 4? :mbe:

Riferimento... (https://forums.comodo.com/beta-corner-cis/trojan-passes-by-d-sandbox-image-execution-t60089.0.html)

(A regola la nuova beta dovrebbe risolvere anche il problema segnalato da MRG, "Critical security issue with Comodo Internet Security", link.. (http://malwareresearchgroup.com/?p=1715))

arnyreny
11-08-2010, 18:32
ok, dovrebbero aver finalmente risolto il problema:

http://img121.imageshack.us/img121/271/egement.jpg

La cosa curiosa, cmq, è che a beneficaire del fix sembrerebbe essere solo la nuova beta di CIS 5 attesa (credo..) in giornata...

http://img835.imageshack.us/img835/4558/egemen2.jpg

E coloro che hanno CIS 4? :mbe:

Riferimento... (https://forums.comodo.com/beta-corner-cis/trojan-passes-by-d-sandbox-image-execution-t60089.0.html)

(A regola la nuova beta dovrebbe risolvere anche il problema segnalato da MRG, "Critical security issue with Comodo Internet Security", link.. (http://malwareresearchgroup.com/?p=1715))

sara' per il fatto che cis 5 ha un architettura differente...e permette il controllo cloud anche per il d+ cosa non possibile per cis4:D

nV 25
11-08-2010, 20:00
:huh: ?

Starete a vedere come intendono muoversi (PS: la beta 3, o 1079, è di uscita imminentissima visto che è già stato aperto un ticket apposito per i bug)...

Troverei curioso, cmq, che dei fix importanti siano rilasciati per una versione di cui ne sconsigliano (ovviamente..) l'impiego in un sistema "di produzione" ("BETA NOTICE: .. a BETA release...is intended for special users who would like to join testing efforts for the product. It can contain serious bugs and must NOT be used in any production system.") e non la implementino invece in quello che è il prodotto "finale", stabile (la v4)...

nV 25
12-08-2010, 07:03
Allo stato, i fix riguardano solo la beta di CIS 5 e dunque la stragrande maggioranza della loro utenza continua ad essere vulnerabile a quelli che sono ormai sistemi consolidati di impianto di malware...:rolleyes:

Bella mossa, specie per chi (arrogantemente..) si ergerebbe come unico paladino credibile* in tema di sicurezza informatica...


*nota, infatti, è la loro posizione sul fatto che siano gli unici titolari dell'approccio default deny offerto peraltro generosamente a titolo gratuito alle masse...


Anche se dovranno riverificare meglio il codice (sembra infatti che sotto certe condizioni le nuove protezioni non entrino in gioco, vedi qui! (https://forums.comodo.com/beta-corner-cis/comodo-internet-security-501588361079-beta-bug-reports-t60360.0.html;msg423850#msg423850)), CIS 5 "risponderebbe" cosi' alle "pressioni" indotte da particolari installer: link! (https://forums.comodo.com/beta-corner-cis/comodo-internet-security-501588361079-released-t60364.0.html;msg423770#msg423770)

(Notare che sono proprio gli stessi Rogue da me testati qualche gg fà contro DefenseWall 3 al post 2717 & 2736...)

http://img237.imageshack.us/img237/1353/98383952.jpg

nV 25
12-08-2010, 08:59
Ne approfitto per segnalare inoltre che sono stati pubblicati i risultati relativi al progetto "Online banking/Browser security" eseguito dal Malware Research Group ( Rapporto (http://malwareresearchgroup.com/wp-content/uploads/2009/01/Online-Banking-Browser-Security-Project-June-201013.zip)).

Per rimanere esclusivamente sulle soluzioni di difesa trattate in questo thread, è possibile osservare che DefenseWall svolge perfettamente il suo ruolo di prevenzione senza richiedere alcun tipo di accorgimento all'utente (0 popup).

http://img576.imageshack.us/img576/3221/93878441.th.jpg (http://img576.imageshack.us/i/93878441.jpg/)

Nulla può, invece (e per ovvi motivi...), in un sistema già infetto...

Prevx SafeOnLine, invece, che per ora è entrato giusto marginalmente in questo thread, svolge un lavoro eccezionale in entrambe le ottiche di osservazione (sia in fase cioè di mantenimento dell'integrità del sistema che in fase di protezione dati in un sistema già compromesso):

http://img837.imageshack.us/img837/4259/88460367.th.jpg (http://img837.imageshack.us/i/88460367.jpg/)

http://img687.imageshack.us/img687/4237/16810766.th.jpg (http://img687.imageshack.us/i/16810766.jpg/)


GesWall Professional, infine, è sostanzialmente* in linea con DW:

http://img837.imageshack.us/img837/7237/immagine8g.th.jpg (http://img837.imageshack.us/i/immagine8g.jpg/)



*l'anomalia, infatti, è la voce "Download via IE in Zip"...

nV 25
12-08-2010, 09:00
immaginavo che le immagini avrebbero messo fuori forma tutto! :muro:

**************
risolto, anche se cosi' fa un pò pena...

cloutz
12-08-2010, 09:26
Allo stato, i fix riguardano solo la beta di CIS 5 e dunque la stragrande maggioranza della loro utenza continua ad essere vulnerabile a quelli che sono ormai sistemi consolidati di impianto di malware...:rolleyes:

Bella mossa, specie per chi (arrogantemente..) si ergerebbe come unico paladino credibile* in tema di sicurezza informatica...


*nota, infatti, è la loro posizione sul fatto che siano gli unici titolari dell'approccio default deny offerto peraltro generosamente a titolo gratuito alle masse...


Anche se dovranno riverificare meglio il codice (sembra infatti che sotto certe condizioni le nuove protezioni non entrino in gioco, vedi qui! (https://forums.comodo.com/beta-corner-cis/comodo-internet-security-501588361079-beta-bug-reports-t60360.0.html;msg423850#msg423850)), CIS 5 "risponderebbe" cosi' alle "pressioni" indotte da particolari installer: link! (https://forums.comodo.com/beta-corner-cis/comodo-internet-security-501588361079-released-t60364.0.html;msg423770#msg423770)

(Notare che sono proprio gli stessi Rogue da me testati qualche gg fà contro DefenseWall 3 al post 2717 & 2736...)

http://img237.imageshack.us/img237/1353/98383952.jpg

Carini i popup del nuovo CIS5!

p.s.: si vede che hanno ascoltato uno dei miei suggerimenti, ovvero l'inserimento della command line (anche se, a quanto riesco a capire da quei popup, hanno preferito utilizzare l'euristica anche per questo anzichè mostrare direttamente la cmdline.. ma loro son così!:rolleyes: )

BTW prima di esprimermi lo voglio provare, quando uscirà la final!:D

Saluti

nV 25
12-08-2010, 10:29
[...]

Bentornato! :)

Elettronicamente parlando, sentivo la tua mancanza...:)

cloutz
12-08-2010, 10:52
Bentornato! :)

Elettronicamente parlando, sentivo la tua mancanza...:)

vi seguo sempre, anche se intervengo solo quando strettamente necessario (mai) :D :D

Hola!

nV 25
12-08-2010, 13:57
vi seguo sempre, anche se intervengo solo quando strettamente necessario (mai) :D :D

:asd: :asd:

Leggi anche questo, allora:
mosso da curiosità, ho tentato di mettere sotto la lente di ingrandimento l'HIPS della software house "OnlineSolution", home page (http://www.online-solutions.ru/en/products/osss-security-suite.html)...

Soluzione sicuramente efficace quanto a spettro di azioni intercettate e ad effettività, sconcerta dal punto di vista dell'interfaccia che, secondo me, richiede un certo redesign dando infatti allo stato un'impressione di ampollosità/scarsa fruibilità di certe funzionalità in diverse aree (praticamente tutte...) raramente riscontrata in software simili (è realmente "lento" arrivare in poche battute a controllare determinati parametri e quant'altro)...

L'impressione che se ne ricava, personalmente, è quella di un overdose di controllo (o iper-controllo, che non necessariamente è sinonimo di iper-efficacia..) che rischia di confondere solamente l'utenza...

Cmq, veniamo ai dati...

Capitolo test/PoC:
poco da obiettare, OSSS "stacca" ottimi risultati più o meno ovunque.

http://img801.imageshack.us/img801/7381/immagine11u.th.jpg (http://img801.imageshack.us/i/immagine11u.jpg/)

(un estratto dal log...)
http://img835.imageshack.us/img835/9449/immagine12.th.jpg (http://img835.imageshack.us/i/immagine12.jpg/)http://img823.imageshack.us/img823/8926/immagine13.th.jpg (http://img823.imageshack.us/i/immagine13.jpg/)

Qualche difficoltà nel trattare il test n°3/11 di APT, es:
http://img9.imageshack.us/img9/357/immagine9mh.jpg

ma, globalmente, fa bene il suo lavoro...:)
(Ad es., CPILSuite:
http://img825.imageshack.us/img825/1419/immagine8.th.jpg (http://img825.imageshack.us/i/immagine8.jpg/), ecc...)

Capitolo Virus ITW:
+ o - siamo sui livelli di Malware Defender...

Rootkit famiglia TDL3:

http://img529.imageshack.us/img529/5194/immagine14d.jpg

Risulta quindi impedito di fatto l'impianto della componente kernel nel solito modo registrabile con MD, vedi infatti qui (http://img716.imageshack.us/img716/6803/mdlog.png) anche se si parla di un malware con un MD5 diverso...
Soluzione meno elegante rispetto a DefenseWall che castra l'exploit di spoolsv.exe sul nascere
module C:\Users\test\Desktop\1281110534\1281110534.exe, Internet connections are blocked (Network)

module C:\Users\test\Desktop\1281110534\1281110534.exe, Attempt to set value ProxyEnable within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ (Registry)

module C:\Users\test\Desktop\1281110534\1281110534.exe, 8:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

module C:\Users\test\Desktop\1281110534\1281110534.exe, Attempt to add new printer provider (Spooler)
...ma cmq effettiva per prevenire danni maggiori alla macchina...

(PS: l'unico hips "classico" capace di superare elegantemente il test del TDL3, da quello che ho visto, è peraltro proprio CIS che intercetta un tentativo d'uso [anomalo..] dell'interfaccia protetta RPC[...] coinvolta proprio nell'exploit..)



Un altro virus con funzionalità di Rootkit (Trojan.Agent e qualcosa...),

http://img293.imageshack.us/img293/9151/immagine15t.jpg

(DWall 3:

module C:\Windows\System32\cmd.exe, Attempt to set value 1609 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\ (Registry)

C:\Windows\System32\cmd.exe, Attempt to set value 1406 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ (Registry)

module C:\Windows\System32\cmd.exe, Attempt to set value 1609 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ (Registry)

module C:\Windows\System32\cmd.exe, Attempt to set value 1406 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\ (Registry)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Windows\System32\msfeedssync.exe (Process)

module C:\Users\test\Desktop\stats\stats.exe, 10:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

module C:\Users\test\Desktop\stats\stats.exe, 10:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\Low\ (Resource isolation)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Windows\System32\dwm.exe (Process)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Windows\explorer.exe (Process)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Program Files\DefenseWall\defensewall.exe (Process)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Windows\System32\dllhost.exe (Process)

module C:\Users\test\Desktop\stats\stats.exe, Attempt to set value 1406 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\ (Registry)

module C:\Users\test\Desktop\stats\stats.exe, Attempt to set value 1609 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\ (Registry)

08.09.2010 14:57:45, module C:\Users\test\Desktop\stats\stats.exe, Attempt to set value 1406 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ (Registry)

module C:\Users\test\Desktop\stats\stats.exe, Attempt to set value 1609 within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\ (Registry)

module C:\Users\test\Desktop\stats\stats.exe, 10:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\ (Resource isolation)

module C:\Users\test\Desktop\stats\stats.exe, 10:Attempt to open protected file C:\Users\test\AppData\Roaming\Microsoft\Windows\Cookies\Low\ (Resource isolation)

module C:\Users\test\AppData\Roaming\Xiveeq\oriqf.exe, Attempt to open process C:\Windows\System32\taskhost.exe (Process)

RollBack:
http://img839.imageshack.us/img839/4828/57572212.jpg)






Infine, un virus che blocca il PC (Trojan WinLock/ScreenLocker) e chiede di pagare "un riscatto" per sbloccare il tutto:
anche bloccando i vari popup, riesce nel suo intento e si è costretti a riavviare manualmente il PC per riprendere possesso della macchina (in realtà, al reboot successivo quello forzato si registrano anomalie [se pur di lieve entità...] al suo corretto funzionamento)...

Il PC "bloccato" *...
http://img266.imageshack.us/img266/7240/immagine16q.th.jpg (http://img266.imageshack.us/i/immagine16q.jpg/)

...e le anomalie che seguono il reboot...
http://img580.imageshack.us/img580/6990/immagine17p.th.jpg (http://img580.imageshack.us/i/immagine17p.jpg/)


*discrete, eh? :sbav: :D

cloutz
12-08-2010, 14:24
in OSSS dovrebbe esserci in mezzo "bluevik" di PianetaPC, come betatester se non sbaglio..

vediamo come cresce, poi chi lo sa.. magari :fiufiu: :D

nV 25
13-08-2010, 16:04
ne approfitto per dire che quelli di Spyshelter hanno preso a cuore il fatto che sia presente un conflitto con VirtualBox (anche ultima versione, 3.2.8) e mi hanno contattato chiedendomi di provare una particolare beta che, a detta loro, migliorerebbe la coesistenza del loro software in VM (con VirtualBox, cmq, i problemi sono rimasti paro paro)...

Per la verità, mi avrebbero anche suggerito di utilizzare VMWare commerciale per fare testing "serio":
al di là del serio, che trovo discutibile, ora gli chiedo se fanno un bonifico a mio favore cosi' li esaudisco...:D


Cmq un buon supporto...:)

arnyreny
13-08-2010, 16:21
ne approfitto per dire che quelli di Spyshelter hanno preso a cuore il fatto che sia presente un conflitto con VirtualBox (anche ultima versione, 3.2.8) e mi hanno contattato chiedendomi di provare una particolare beta che, a detta loro, migliorerebbe la coesistenza del loro software in VM (con VirtualBox, cmq, i problemi sono rimasti paro paro)...

Per la verità, mi avrebbero anche suggerito di utilizzare VMWare commerciale per fare testing "serio":
al di là del serio, che trovo discutibile, ora gli chiedo se fanno un bonifico a mio favore cosi' li esaudisco...:D


Cmq un buon supporto...:)

puoi usare vmware player che e' gratuito ed ha piu' o meno le stesse funzioni della pro

nV 25
13-08-2010, 16:41
puoi usare vmware player che e' gratuito ed ha piu' o meno le stesse funzioni della pro

A quel punto, preferisco sinceramente VirtualBox...:stordita:

Se qualcuno lo vuole cmq provare su una VM diversa, lo faccia tranquillamente a patto però che posti qualcosa anche qui...:D


***********
Guardavo alcuni Rogue AV e sono rimasto sinceramente impressionato dalle loro interfacce, realmente ben curate (anche se gira e rigira sono sempre le solite 2 o 3 lievemente rimanipolate...) e (IMO) tali da far invidia anche ad alcuni software...:stordita:

Es:

http://img805.imageshack.us/img805/6449/immagine2e.th.jpg (http://img805.imageshack.us/i/immagine2e.jpg/)http://img266.imageshack.us/img266/8573/immagine3u.th.jpg (http://img266.imageshack.us/i/immagine3u.jpg/)

Oltre all'ignoranza/superficialità della gente, credo infatti che una leva su cui queste gang agiscono per attirare l'attenzione dell'incauto utente sia proprio quella di catturarne l'interesse proponendo pseudo-software con interfacce colorate/"pulite" oltre che home page davvero accattivanti...

Lasciamo fare a loro, che sanno realmente dove dorme il polpo*...:D



* = saperla lunga...

nV 25
13-08-2010, 16:46
ba, e poi ditemi se dico bugie:
mi è arrivata un'altra mail pochi istanti fà...(ora xò hanno rotto i boccioli, eh! :D )

http://img835.imageshack.us/img835/7937/immagine4u.jpg



*********************



senza stare ad aprire un nuovo ticket, edito direttamente questo per segnalare di aver rintracciato una discussione abbastanza delicata,

http://img810.imageshack.us/img810/9334/immagine1n.jpg

Il problema principale, come si ricava facilmente osservando attentamente l'immagine, è il fatto che risulta impedita la lettura se non si ha un particolare tipo di permesso...
Ora, considerando che il forum è cinese, immaginatevi quante siano le chance di successo...

Resto sintonizzato in attesa di vedere gli eventuali sviluppi di questa notizia (leggi, qualche fuga di notizie su canali occidentali)...


************** OT *************

Guardate questo che è realmente incredibile...:eek:
video! (http://tv.repubblica.it/spettacoli-e-cultura/l-artista-di-strada-ambidestro-che-la-rete-adora/51742?video)

nV 25
19-08-2010, 15:15
visto che la mia sospensione è terminata, ne approfitto per far vedere una funzionalità di DefenseWall di cui fino a ieri ne ignoravo l'utilità:
gli Hotkeys.

In effetti, non mi ero mai trovato a doverla utilizzare...

Era destino, dunque, che prima o poi si sarebbe dovuta presentare una situazione di impasse dalla quale sarei uscito facendo leva esclusivamente su questa misteriosa funzionalità facendomi dunque ricredere sul grande valore di quest'ultima...

Arriviamo dunque a spiegare brevemente in che sarebbe consistita questa situazione di stallo cui ho fatto cenno poc'anzi.

In buona sostanza, testando alcuni sample della famiglia WinLock/ScreenLocker il cui obiettivo è quello di bloccare la funzionalità del Pc fin tanto che non si sia pagato un riscatto, mi sono trovato in una situazione del tipo sotto:

http://img42.imageshack.us/img42/7536/immagine1lv.th.jpg (http://img42.imageshack.us/i/immagine1lv.jpg/)

Tutta la VM, dunque, risultava "inagibile", bloccata.

Le strade, dunque, erano 2:
1) resettare la VM e vedere cosa sarebbe successo al reboot successivo
2) provare a ricorrere agli Hotkeys controllando se mi sarebbero potuti servire per uscire da questa situazione di stallo...

E, sorpresa :D, sono stati realmente DETERMINANTI per avere ragione del malware...

http://img840.imageshack.us/img840/4096/immagine1l.jpg

La pressione dei tasti evidenziati nell'immagine sopra, infatti, consente di "terminare automaticamente qualsiasi attacco in corso"...

La VM, dunque, è tornata subito "disponibile" senza forzarmi a dover resettare...
http://img256.imageshack.us/img256/6425/immagine2rt.th.jpg (http://img256.imageshack.us/i/immagine2rt.jpg/)

(Guardare infatti l'ora dell'attacco e l'ora di sistema indicata nella system tray)...

Non solo è stato contenuto il blocco della sessione attiva, ma anche qualsiasi altra interferenza (in particolare, quelle sul registro necessarie perchè il malware potesse riattivarsi al reboot successivo rimettendo in scacco la macchina)...


Con il sample visto per OSSS, invece, non mi ero dovuto neppure porre il problema degli Hotkeys perchè l'interferenza (=la pagina di riscatto) era una porzione più piccola dell'intero schermo e risultava banalmente osservabile che rimaneva possibile compiere qualsiasi operazione sul sistema, come accedere tranquillamente alla tray icon di DefenseWall per terminare manualmente l'attacco, controllare il log ecc...

http://img266.imageshack.us/img266/7240/immagine16q.th.jpg (http://img266.imageshack.us/i/immagine16q.jpg/)

Termino l'intervento allegando dunque i log.

Sample "delle donnine nude" :D visto con OSSS (che, ricordo, in un sistema protetto da questo HIPS non solo forza al reboot ma produce interferenze anche nel sistema riavviato, chiaro indice del fatto che è riuscito ad alterare qualcosa..),
[....]

08.18.2010 16:02:15, module C:\Users\test\Desktop\bldjad\bldjad.exe, 1:Attempt to hide/show window of the process C:\Program Files\DefenseWall\defensewall.exe. (Screen)

08.18.2010 16:02:15, module C:\Users\test\Desktop\bldjad\bldjad.exe, Attempt to enable/disable window of the process C:\Program Files\DefenseWall\defensewall.exe (Screen)

08.18.2010 16:02:15, module C:\Users\test\Desktop\bldjad\bldjad.exe, Attempt to set value explorer within the key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ (Registry)

08.18.2010 16:02:14, module C:\Users\test\Desktop\bldjad\bldjad.exe, Process reads keystrokes via GetKeyState (Keylogger)


Sample "schermo nero",

[...]
08.18.2010 15:57:16, module C:\Users\test\Desktop\xxx_video_1043.avi.exe, Attempt to set value Shell within the key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ (Registry)

08.18.2010 15:57:16, module C:\Users\test\Desktop\xxx_video_1043.avi.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network_\ (Registry)

08.18.2010 15:57:16, module C:\Users\test\Desktop\xxx_video_1043.avi.exe, Attempt to create new key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal_\ (Registry)

08.18.2010 15:57:16, module C:\Users\test\Desktop\xxx_video_1043.avi.exe, Attempt to create new key HKCU\software\Microsoft\Windows\CurrentVersion\Policies\system\ (Registry)

08.18.2010 15:57:16, module C:\Users\test\Desktop\xxx_video_1043.avi.exe, Attempt to create new key HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\ (Registry)


DefenseWall: http://gladiator-antivirus.com/forum/style_emoticons/default/good.gif

nV 25
19-08-2010, 15:29
Sebbene non sia un grandissimo fan di Languy, l'effetto "schermo nero" è possibile osservarlo guardando un suo video dal minuto 2.40->3.50 della sua ultima review su PE GUARD,
http://www.youtube.com/watch?v=3UJy333eSAo

nV 25
21-08-2010, 09:13
a proposito del TDL3, EP_X0FF ci informa sul fatto che l'ultima variante (identica sotto il profilo del meccanismo di impianto della propria componente kernel via famoso exploit del processo spoolsv.exe), ha ora questa qualità :D,

"...contains fully working x64 loader driver".

Conferma viene anche da a_d_13 (autore di RootRepeal),
"I cannot confirm for sure, as I do not have a dropper, but based on an analysis of dumped files, yes. This rootkit will work, even if PatchGuard is enabled."

EP, poi, entra un pò nel merito per rispondere a chi chiedeva se fosse stato aggirato il discorso dei certificati digitali relativi ai driver,
"What about driver digital signature enforcement? Have they stolen a digital certificate yet?"

Risposta:
"PatchGuard actually is doing what how it is named: guarding from modifying SSDT/SSSDT, IDT's, GDT's, using kernel stacks not allocated by the kernel, modifying or patching code contained within the kernel itself or the HAL or NDIS dll. As in fact TDL3 is much more PatchGuard friendly than most of security software. If assumptions are correct TDL can use bootkit technique to load itself while operation system initialization, so no digital signatures required at all. This is conceptual bypassing of built-in security. The more interesting thing here - how it installs on x64."

:D





--------------------EDIT 26/8/10----------------

La Cina (intesa come "kafan.cn") sembra essersi chiusa agli occhi degli utenti non iscritti...:cry: :muro:

http://img94.imageshack.us/img94/4776/immagine1mx.jpg

nV 25
26-08-2010, 20:21
Come anticipato da EP_X0FF (vedi il post sopra), arriva anche da Prevx la conferma dell'inizio di una nuova era che vede per la prima volta far capolino un Rootkit capace di operare pienamente anche su 64bit,
TDL x64 goes in the wild! (http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html).

La mia previsione dettata esclusivamente dal buon senso, dunque (e legata essenzialmente al banalissimo principio secondo il quale all'aumentare della base installata di un sistema operativo aumenta inevitabilmente anche l'interesse degli sviluppatori di malware verso nuove strade per realizzare denaro...), era vera.

I tratti salienti dell'articolo di eraser, dunque, sono riassunti in questo passaggio:
"To bypass both Kernel Patch Protection and Driver Signature verification, the rootkit is patching the hard drive's master boot record so that it can intercept Windows startup routines, owns it, and load its driver. Both Windows security mechanisms are bypassed.

While on x86 versions of Windows it doesn't need to immediately restart the system because it can load the driver as it wants, on x64 versions the infection steps are different.

The rootkit needs administrative privileges to infect the Master Boot Record. Even then, it still cannot load its own 64 bit compatible driver because of Windows's kernel security. So, the dropper forces Windows to immediately restart. This way, the patched MBR can do the dirty work..."

E' spiegata dunque la diversa meccanica di impianto del rootkit in versione 64bit rispetto alla canonica 32bit:
visto che un OS @64bit adotta in particolare 2 strategie per contrastare il driver loading e le sue dirette conseguenze (= l'alterazione delle aree sensibili del kernel che solitamente accompagna l'installazione della componente kernel di un virus), questa nuova versione del TDL3 aggira queste protezioni "prendendo possesso" del MBR cosi' da intercettare le routine di inizializzazione di Windows, ecc..

In sostanza, come dice anche Marco, chi è dietro il progetto ha adattato il rootkit per la piattaforma @ 64 bit "by adding to it a bootkit infection technique already showed by Whistler bootkit and Stoned v2 bootkit".

In sostanza,
possiamo dare il BENVENUTO a queste nuove creature compatibili con il 64bit.

Enjoy! :D

cloutz
26-08-2010, 21:21
[..]
In sostanza,
possiamo dare il BENVENUTO a queste nuove creature compatibili con il 64bit.

Enjoy! :D

Finita la pacchia per tutti quei x64-user che gongolavano sostenendo di essere più protetti :fuck:
È ora di passare ai 128bit :O :D

Chill-Out
27-08-2010, 08:58
http://hitmanpro.wordpress.com/2010/08/26/hitman-pro-detects-64-bit-variant-of-tdl3-rootkit/

Our statistics show that this 64-bit rootkit is not yet widely spread. This is mainly caused by the fact that the rootkit needs more work as it is unstable. But you can expect the authors will improve their creation over the next few weeks, starting a new chapter in rootkit history.

*) The current build of Hitman Pro is not yet capable of removing the 64-bit TDL3 infection.

nV 25
27-08-2010, 20:55
una notizia cosi' fragorosa non ha avuto alcun eco...:D

Onestamente, non ho mai dubitato considerando la nostra atavica ignoranza/superficialità in materia...

:winner: :D

Chill-Out
27-08-2010, 21:56
una notizia cosi' fragorosa non ha avuto alcun eco...:D

Onestamente, non ho mai dubitato considerando la nostra atavica ignoranza/superficialità in materia...

:winner: :D

Non ti seguo..........:what: