Mi è stato appena dato dello "spooky hacker" :fagiano:

Mi è stato appena dato dello "spooky hacker" :fagiano:

:eek: addirittura spettrale!!!:eek:
Sti linuxari son quasi peggio dei Melafans:D
Comunque ha ragione Cloutz, noi Windowsari viviamo nell'insicurezza e in un certo senso siamo consapevoli dell'imperfezione che ci circonda, gli altri invece cadono dal pero come si dice qua e non accettano neppure le evidenze, contenti loro...

L'ho sempre detto: la cosa piu' brutta al mondo e' l'ignoranza :nono:

Condivido in pieno... winzozz..per "bastardo" che sia.. sotto 7 a 64 bit mi sta dando soddisfazioni audio(ed è tutto dire) che per nulla rimpiango la melina di casa.. e linux..bo..ancora tarda a sbocciare.
Sarò off-topic.. ma 7 a 64 è 2..anzi..3 spanne sopra Xp..
MI SBILANCIO...BRAVA MICROSOFT.

Confermo il mio test con un vecchio post di un addetto ai lavori in Debian:


If you ever believed that there is *any* way to prevent a program having
access to your session to obtain root access when you use the same
session to do stuff as root, you have been abused. It’s possible to make
things harder, but the purpose of locking keyboard and mouse is to avoid
leaking *accidentally* the password. If there is a malicious program
running in your session, you are completely screwed.


E poi lo spooky hacker sono io :fagiano:

Non conosco il mondo Linux e solo in minima parte quello Windows:
certo è che se una persona con la tua preparazione in materia si esprime in un certo modo, non rilevo francamente alcun motivo per dubitare delle consclusioni cui arrivi che, peraltro, documenti anche a mezzo filmato dimostrativo...



Conclusione che, nel caso in esame, è molto semplice:
i nuovi OS Microsoft (Vista, 7), grazie all'implementazione di una serie di tecnologie pensate proprio allo scopo (e di derivazione dal mondo Unix?), isolano i processi elevati dai processi non elevati che girano sullo stesso Desktop (= inteso come "nella stessa sessione attiva")...
Linux sembrerebbe non fare altrettanto o, per lo meno, restringe un ventaglio minore di azioni tagliate invece dalla tecnologia UIPI di Vista/7, es:

"UIPI prevents lower privilege processes from accessing higher privilege processes by blocking the following behavior.

A lower privilege process cannot:

- Perform a window handle validation of higher process privilege.
- SendMessage or PostMessage to higher privilege application windows. These application programming interfaces (APIs) return success but silently drop the window message.
- Use thread hooks to attach to a higher privilege process.
- Use Journal hooks to monitor a higher privilege process.
- Perform dynamic link library (DLL)–injection to a higher privilege process.",
da MSDN.



----------------------EDIT---------------
IMPERDIBILE (http://tv.repubblica.it/copertina/sembra-un-robot-il-corpo-snodabile-del-ballerino-di-strada/67905?video=&ref=HRESS-6) :eek:

Buon pomeriggio a tutti,la mia auto-punizione "morale" è alle spalle !!
Meno male,devo ammettere che è stata dura.

Anche se rimarrà (ancora da scontare) quella "corporale" fino al giorno del mio compleanno (io sono della bilancia quindi......)....:rolleyes: :rolleyes:

Noto che in questo 3D si stà discutendo "di tutto un pò" e tiene banco il test di Eraser per altro molto interessante.;)
Almeno dal punto di vista teorico.

Prima che qualcuno mi faccia notare che il certificato ssl di pcalsicuro.com è scaduto, lo so :D Sto provvedendo :D Dovrebbe essere apposto nel giro di qualche ora al massimo :D

Experimental Protection [64-bit] http://www.sandboxie.com/phpbb/viewtopic.php?t=10201

osservando il Whole product dynamic test (link (http://www.av-comparatives.org/en/comparativesreviews/dynamic-tests)), ho notato tra i valori preliminari che 360.cn ottiene ~96%.
ma 360.cn non è mica il progetto cui il buon Xiaolin, ex sviluppatore del noto (:D) hips Malware Defender, ha aderito??

tifo spudoratamente per lui.:winner: :ciapet:

buona serata!

La questione malware in Windows e Linux (http://goo.gl/1xHTS)

ma 360.cn non è mica il progetto cui il buon Xiaolin [...] ha aderito??

si, anche se non si conosce il ruolo che ricopre all'interno di quella realtà (cura sicuramente il [lento] sviluppo di MD, poi?)...
La questione malware in Windows e Linux (http://goo.gl/1xHTS)
:flower:
Experimental Protection [64-bit] http://www.sandboxie.com/phpbb/viewtopic.php?t=10201
alla luce del disclaimer che accompagna questa notizia, non so dirti a priori se questo meccanismo sarà adottato sul mio PC, vedremo...

Solo per curiosità:

http://www.wilderssecurity.com/showthread.php?t=299026

Scoperto il 2° Rootkit per piattaforma x64 che sfrutta un canale lasciato appositamente aperto dalla stessa Microsoft per consentire agli sviluppatori di verificare il corretto funzionamento dei programmi che vivono attorno ad un componente kernel mode, Nekus Rootkit (http://translate.google.it/translate?u=http%3A%2F%2Fwww.securelist.com%2Fru%2Fblog%2F40500%2FNovyy_64_bitnyy_rutkit_i_FakeAV_pod_MacOS_vmeste&sl=ru&tl=en&hl=&ie=UTF-8).

Per i sistemi operativi a 64bit, "the kernel-mode code signing policy requires that all kernel-mode code have a (valid) digital signature" (dunque, che la componente kernel mode sia validata da Microsoft stessa).
In sostanza, gli OS a 64bit non caricheranno in memoria un driver che non risponda al requisito di cui sopra e, di conseguenza, i "test-signed kernel-mode drivers" (quelli cioè impiegati per finalità di test dagli sviluppatori) "will not load by default on 64-bit versions".
Se invece il sistema è lanciato in modalità TESTSIGNING, "any driver having a digital signature (even not approved by Microsoft) can be successfully loaded by the system", fonte: 1 (http://msdn.microsoft.com/en-us/library/ff553484(v=vs.85).aspx), 2 (http://www.sysprogs.org/signing/).

Anche questo Rootkit non ha quindi bisogno di bypassare PatchGuard per insidiarsi nella macchina e, a giudicare dall'analisi di EP_X0FF su KMinfo, risulta essere cmq semplice da identificare e rimuovere, nulla dunque in confronto a quanto visto con la sofisticazione di TDL4...

:)

Scoperto il 2° Rootkit per piattaforma x64 che sfrutta un canale lasciato appositamente aperto dalla stessa Microsoft per consentire agli sviluppatori di verificare il corretto funzionamento dei programmi che vivono attorno ad un componente kernel mode, Nekus Rootkit (http://translate.google.it/translate?u=http%3A%2F%2Fwww.securelist.com%2Fru%2Fblog%2F40500%2FNovyy_64_bitnyy_rutkit_i_FakeAV_pod_MacOS_vmeste&sl=ru&tl=en&hl=&ie=UTF-8).

Per i sistemi operativi a 64bit, "the kernel-mode code signing policy requires that all kernel-mode code have a (valid) digital signature" (dunque, che la componente kernel mode sia allo stesso tempo firmata & validata da Microsoft stessa).
In sostanza, gli OS a 64bit non caricheranno in memoria un driver che non risponda al requisito di cui sopra e, di conseguenza, i "test-signed kernel-mode drivers" (quelli cioè impiegati per finalità di test dagli sviluppatori) "will not load by default on 64-bit versions".
Se invece il sistema è lanciato in modalità TESTSIGNING, "any driver having a digital signature (even not approved by Microsoft) can be successfully loaded by the system", fonte: 1 (http://msdn.microsoft.com/en-us/library/ff553484(v=vs.85).aspx), 2 (http://www.sysprogs.org/signing/).

Anche questo Rootkit non ha quindi bisogno di bypassare PatchGuard per insidiarsi nella macchina e, a giudicare dall'analisi di EP_X0FF su KMinfo, risulta essere cmq semplice da identificare e rimuovere, nulla dunque in confronto a quanto visto con la sofisticazione di TDL4...

:)

chissà se riesce a bypassare anche l'uac:doh:

http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx

http://blogs.technet.com/b/srd/archive/2011/05/18/new-version-of-emet-is-now-available.aspx

Ottima segnalazione! :)

Per l'installazione del nuovo pacchetto è stato sufficiente sovrascrivere la vecchia installazione...

Osservando peraltro la tavola delle mitigazioni "per-process", in linea peraltro con le note che accompagnano il rilascio di questa nuova release, si ricava come, effettivamente, i processi a 64bit godano delle stesse protezioni dei processi a 32bit fatta eccezione per il meccanismo SEHOP, evidentemente non applicabile su questa piattaforma se non a livello di sistema...

Insomma, so felice...:yeah:



PS: bellissimo, anche se "nudo", il nuovo forum dedicato a questo pacchetto,
http://social.technet.microsoft.com/Forums/en/emet/threads

Il fatto che la v2.1 possa essere sovrascritta direttamente sopra la v2.0 viene confermata anche da Microsoft stessa per bocca di un suo impiegato,
"So, in few words, if you have 2.0 you can install on top of it 2.1".

Qui, invece, c'è una tavola che riassume le protezioni per-process che possono dar fastidio ad alcuni programmi,
http://social.technet.microsoft.com/Forums/en/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875.

I driver ATI, in particolare (ma era scritto anche sulla guida della v2!), NON VANNO D'ACCORDO con l'impostazione "always on" per l'impostazione DI SISTEMA dell'ASLR, pena BSOD al boot della macchina.
Attenzione dunque a NON fare gli sboroni.


A livello DI SISTEMA, dunque, le impostazioni più stringenti che è possibile configurare su un PC con VGA ATI sono riassunte nello screenshot sotto (e che, peraltro, rappresenta la mia configurazione),

http://img16.imageshack.us/img16/1711/immagine1ft.jpg (http://imageshack.us/photo/my-images/16/immagine1ft.jpg/)

Vero ottima segnalazione, grazie Chill.;)

Anche io ho sovrascritto la versione precedente.
E mi sono ritrovato nella configurazione applicazioni la nuova lista "Bottom-up Rand".
Quindi disponibile anche per XP.

Veramente ottimo.:D :D

Scoperto il 2° Rootkit per piattaforma x64
scusate se mi intrometto in questo 3D
ho visto segnalato questo
http://www.securelist.com/en/blog/11266/Rootkit_Banker_now_also_to_64_bit?CID=
è stato postato ieri per cui dovrebbe essere news
io però non ci capisco nulla :(
ciao a tutti :)

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto...


A proposito dell'articolo da te postato, in particolare l'elemento add.reg che disabilita l'UAC, posso dirti senza paura di smentita (o quasi :D ) che se l'UAC è (attivo, ovviamente, e) settato alla sua impostazione massima, la chiave in questione non potrebbe essere "installata" pena, appunto, un popup da parte dell'UAC stesso.

Quasi sicuramente, peraltro, questo passaggio è necessario perchè il malware possa lanciare (attraverso il file aaa.bat) l'eseguibile bcdedit.exe con i privilegi di amministratore che gli sono indispensabili per poter procedere al settaggio desiderato dei parametri coinvolti nel trucchetto di cui al post 3027 (http://www.hwupgrade.it/forum/showpost.php?p=35159567&postcount=3027) che danno poi seguito all'infezione vera e propria...


Asp. eraser (o altri) per la conferma, ma vedrai che, pur a senso, non dovrei essere andato molto al di là di quello che è il meccanismo corretto di impianto...:tie:
:D

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto... grazie :)
p.s. quei 3 o 4 Win7 64 che mi hanno fatto cambiare L'AV
l'UAC era disattivato (ed io non gli ho detto nulla) se l'avevano così avranno avuto le loro idee....;)
forse il nuovo rootkit cerca quelli (che per me' sono tantissssimi)
ciao
p.s. OT domani e Lun sono vicino a Te' (Viareggio) :D

se dovessi farmi anch'io il sangue amaro per come sono configurati i PC dei miei amici... :D

La soluzione, pur egoistica, è quella di non farsi coinvolgere per non rischiare di trovarsi invischiati nella fenomenologia che segue, molto comune anche a Lucca:
http://www.hwupgrade.it/forum/showthread.php?t=1913833

scusate se mi intrometto in questo 3D
ho visto segnalato questo
http://www.securelist.com/en/blog/11266/Rootkit_Banker_now_also_to_64_bit?CID=
è stato postato ieri per cui dovrebbe essere news
io però non ci capisco nulla :(
ciao a tutti :)

grazie marco, e torna a fare le capatine quando vuoi visto che ogni input è sempre ben accetto...


A proposito dell'articolo da te postato, in particolare l'elemento add.reg che disabilita l'UAC, posso dirti senza paura di smentita (o quasi :D ) che se l'UAC è (attivo, ovviamente, e) settato alla sua impostazione massima, la chiave in questione non potrebbe essere "installata" pena, appunto, un popup da parte dell'UAC stesso.

Quasi sicuramente, peraltro, questo passaggio è necessario perchè il malware possa lanciare (attraverso il file aaa.bat) l'eseguibile bcdedit.exe con i privilegi di amministratore che gli sono indispensabili per poter procedere al settaggio desiderato dei parametri coinvolti nel trucchetto di cui al post 3027 (http://www.hwupgrade.it/forum/showpost.php?p=35159567&postcount=3027) che danno poi seguito all'infezione vera e propria...


Asp. eraser (o altri) per la conferma, ma vedrai che, pur a senso, non dovrei essere andato molto al di là di quello che è il meccanismo corretto di impianto...:tie:
:D

Secondo me il passaggio chiave è il seguente

The attack was made using a malicious applet in such a way as to infect users running old versions of the JRE (Java Runtime Environment) and was prepared to infect users running versions of both 32 and 64 bits systems.

Purtroppo VT al momento non funziona a dovere, questa è l'analisi inerente plusdriver64.sys

Antivirus results
AhnLab-V3 - 2011.05.22.00 - 2011.05.21 - -
AntiVir - 7.11.8.85 - 2011.05.20 - -
Antiy-AVL - 2.0.3.7 - 2011.05.21 - -
Avast - 4.8.1351.0 - 2011.05.21 - -
Avast5 - 5.0.677.0 - 2011.05.21 - -
AVG - 10.0.0.1190 - 2011.05.21 - -
BitDefender - 7.2 - 2011.05.21 - -
CAT-QuickHeal - 11.00 - 2011.05.21 - -
ClamAV - 0.97.0.0 - 2011.05.21 - -
Comodo - 8778 - 2011.05.21 - -
DrWeb - 5.0.2.03300 - 2011.05.21 - Trojan.PWS.Banker.55837
Emsisoft - 5.1.0.5 - 2011.05.21 - Rootkit.Win64!IK
eSafe - 7.0.17.0 - 2011.05.19 - -
eTrust-Vet - 36.1.8339 - 2011.05.20 - -
F-Prot - 4.6.2.117 - 2011.05.21 - -
F-Secure - 9.0.16440.0 - 2011.05.21 - -
Fortinet - 4.2.257.0 - 2011.05.21 - -
GData - 22 - 2011.05.21 - -
Ikarus - T3.1.1.104.0 - 2011.05.21 - Rootkit.Win64
Jiangmin - 13.0.900 - 2011.05.20 - -
K7AntiVirus - 9.103.4693 - 2011.05.20 - -
Kaspersky - 9.0.0.837 - 2011.05.21 - Rootkit.Win64.Banker.a
McAfee - 5.400.0.1158 - 2011.05.21 - -
McAfee-GW-Edition - 2010.1D - 2011.05.20 - -
Microsoft - 1.6903 - 2011.05.21 - -
NOD32 - 6140 - 2011.05.21 - -
Norman - 6.07.07 - 2011.05.20 - -
nProtect - 2011-05-21.01 - 2011.05.21 - -
Panda - 10.0.3.5 - 2011.05.20 - -
PCTools - 7.0.3.5 - 2011.05.19 - -
Prevx - 3.0 - 2011.05.21 - -
Rising - 23.58.05.03 - 2011.05.21 - -
Sophos - 4.65.0 - 2011.05.21 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.05.21 - -
Symantec - 20111.1.0.186 - 2011.05.21 - -
TheHacker - 6.7.0.1.202 - 2011.05.20 - -
TrendMicro - 9.200.0.1012 - 2011.05.21 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.05.21 - -
VBA32 - 3.12.16.0 - 2011.05.20 - -
VIPRE - 9343 - 2011.05.21 - -
ViRobot - 2011.5.21.4472 - 2011.05.21 - -
VirusBuster - 13.6.365.0 - 2011.05.20 - -
File info:

appena posso posto l'analisi dell'Applet che se non vado errato era 9/42

Secondo me il passaggio chiave è il seguente

The attack was made using a malicious applet in such a way as to infect users running old versions of the JRE (Java Runtime Environment) and was prepared to infect users running versions of both 32 and 64 bits systems.



quindi quel file reg verrebbe lanciato senza nessun avviso,al contrario di come aveva precedentemente ipotizzato ENNE?:cry:

Secondo me il passaggio chiave è il seguente [...]


Vero, quello è ovviamente il punto iniziale di tutto il meccanismo di infezione.
Gli exploit in questione hanno infatti il compito di eseguire del codice (remote code execution), in questo caso dei comandi.

E qui, allora, ritorna vero il mio passaggio.

Dal bollettino di sicurezza CVE-2010-0886 (http://blogs.oracle.com/security/entry/security_alert_for_cve-2010-08), si legge chiaramente che questa vulnerabilità "may allow an attacker to run commands on the user's system with the privileges of the user".

Non essendoci dunque alcuna elevazione di privilegi (i comandi, infatti, vengono eseguiti con i privilegi dell'utente), e dato che bcdedit.exe richiede privilegi elevati per poter attivare la modalità TESTSIGNING (che è quella che consente agli sviluppatori di poter caricare driver pur non validati), è necessario che il 1° comando lanciato dall'exploit sia proprio quello che "spazza via" l'UAC cosi' da configurare nuovamente il vecchio modello di sicurezza di Windows XP...


Con l'UAC attivo, infatti, l'utente che si logga sul PC, anche se appartiene effettivamente al gruppo amministrativo, è assimilabile ad un utente standard al quale sono tagliati di default tutta una serie di privilegi inutili per lo svolgimento delle operazioni quotidiane (non a caso, l'utente [pur amministratore!], è chiamato amministratore in modalità Admin Approval Mode perchè sarà sempre chiamato a dare espressamente il suo consenso in presenza di un'operazione che va al di là dell'ordinaria amministrazione).

Ora, se l'UAC è settato al max (che significa sostanzialmente produzione di un popup nel caso in cui un qualsiasi eseguibile cerchi di apportare modifiche al sistema), il comando contemplato nell'elemento add.reg (la disattivazione dell'UAC che passa dalla modifica della chiave HKLM\software\microsoft\windows\currentversion\policies\system impostando il valore EnableLUA su 0) A REGOLA *NON* PASSEREBBE INOSSERVATA dall'UAC stesso...

Questo, a buon senso :D ...


Asp ulteriori conferme :)

Vero, quello è ovviamente il punto iniziale di tutto il meccanismo di infezione.
Gli exploit in questione hanno infatti il compito di eseguire del codice (remote code execution), in questo caso dei comandi.

E qui, allora, ritorna vero il mio passaggio.

Dal bollettino di sicurezza CVE-2010-0886 (http://blogs.oracle.com/security/entry/security_alert_for_cve-2010-08), si legge chiaramente che questa vulnerabilità "may allow an attacker to run commands on the user's system with the privileges of the user".

Non essendoci dunque alcuna elevazione di privilegi (i comandi, infatti, vengono eseguiti con i privilegi dell'utente), e dato che bcdedit.exe richiede privilegi elevati per poter attivare la modalità TESTSIGNING (che è quella che consente agli sviluppatori di poter caricare driver pur non validati), è necessario che il 1° comando lanciato dall'exploit sia proprio quello che "spazza via" l'UAC cosi' da configurare nuovamente il vecchio modello di sicurezza di Windows XP...


Con l'UAC attivo, infatti, l'utente che si logga sul PC, anche se appartiene effettivamente al gruppo amministrativo, è assimilabile ad un utente standard al quale sono tagliati di default tutta una serie di privilegi inutili per lo svolgimento delle operazioni quotidiane (non a caso, l'utente [pur amministratore!], è chiamato amministratore in modalità Admin Approval Mode perchè sarà sempre chiamato a dare espressamente il suo consenso in presenza di un'operazione che va al di là dell'ordinaria amministrazione).

Ora, se l'UAC è settato al max (che significa sostanzialmente produzione di un popup nel caso in cui un qualsiasi eseguibile cerchi di apportare modifiche al sistema), il comando contemplato nell'elemento add.reg (la disattivazione dell'UAC che passa dalla modifica della chiave HKLM\software\microsoft\windows\currentversion\policies\system impostando il valore EnableLUA su 0) A REGOLA *NON* PASSEREBBE INOSSERVATA dall'UAC stesso...

Questo, a buon senso :D ...


Asp ulteriori conferme :)

quindi secondo te se l'uac e' settato al massimo l'infezione viene intercettata?
e' importantissimo chiarire questo punto...

mi piacerebbe sapere come si comportano a riguardo defencewall,comodo,e online armor...ma in rete non ho trovato ancora niente:mc:

SI, con l'UAC attivo e settato al massimo, l'infezione NON dovrebbe riuscire a perfezionarsi...

Credo inoltre che per DefenseWall questo malware non costituisca altro se non un semplice giochino...


Il fatto poi che gli exploit coinvolti nell'inizializzazione del malware siano "semplici" remote code execution fanno si' che QUALISIASI HIPS con il semplice execution control sarebbe in grado di fermare l'infezione sul nascere...

Non utilizzando firewall e hips di terze parti, io l'UAC l'ho settato al massimo sin dal primo giorno ;)

Non utilizzando firewall e hips di terze parti, io l'UAC l'ho settato al massimo sin dal primo giorno ;)

con questa configurazione almeno goderai della fluidità del sistema....:D
anch'io sono tornato a questa configurazione...adesso potrai mettere emet che con l'aggiornamento segnalato da chill ha corretto parecchie cosine;)

con questa configurazione almeno goderai della fluidità del sistema....:D
anch'io sono tornato a questa configurazione...adesso potrai mettere emet che con l'aggiornamento segnalato da chill ha corretto parecchie cosine;)

Non che OA mi desse fastidio o troppi popup, ma almeno ora e' un software in meno da gestire.
Fra UAC al massimo, sandbox e diritti limitati, navigo che e' un piacere :D (oltre al resto)

Per emet ci sto facendo un serio pensierino per xp, per 7 sono ancora indeciso :stordita:

Chiedo scusa per l'OT :fagiano:

...per 7 sono ancora indeciso :stordita:
perché?

E' uno strumento di mitigazione e, pertanto, consigliabile su ogni piattaforma...

perché?

E' uno strumento di mitigazione e, pertanto, consigliabile su ogni piattaforma...

Pensavo (erroneamente) che essendo un sistema a 64 bit fosse meno vulnerabile :rolleyes:

Piu' che altro ho timore di non riuscire a gestirlo, nel senso, anche se e' semplice da utilizzare, ho paura che possa compromettere un software o il sistema e non riuscire a venirne a capo :stordita:

Mah, l'unico pericolo potrebbe venire dai settaggi a livello di sistema, in particolare dall'ASLR, vedi qui: 3031 (http://www.hwupgrade.it/forum/showpost.php?p=35188538&postcount=3031)...

Ma anche questo rischio è facilmente circoscrivibile se non si fa gli sboroni...

Mah, l'unico pericolo potrebbe venire dai settaggi a livello di sistema, in particolare dall'ASLR, vedi qui: 3031 (http://www.hwupgrade.it/forum/showpost.php?p=35188538&postcount=3031)...

Ma anche questo rischio è facilmente circoscrivibile se non si fa gli sboroni...

Non sapendo bene quali siano i miei driver, penso di lasciare tutto di default allora, sbaglio? :stordita:

al di là del fatto che è possibile effettivamente lasciare invariate le impostazioni di default a livello di sistema e passare a "manipolare" le sole protezioni per-process, come fai a non sapere che VGA è installata sul tuo PC? :mbe:

Il rischio, cmq, vale solo per l'ASLR **a livello di sistema** pertanto, anche là dove si dovesse shiftare verso il settaggio massimo, è sufficiente accertarsi che la voce ASLR sia impostata su Opt In indipendentemente quindi dalla VGA in uso (e, parallelamente, dai driver installati sulla macchina)...

@ Kohai la gestibilità è facilissima è un tool che lo configuri e lo dimentichi.

Anche se effettivamente l'aggiunta di alcuni sw possono evidenziare "problemi" dopo un certo tempo ovvio perchè l'utente ci fà caso in modo più attento.
Ma se tu inserisci i sw soliti.......

Analisi di plusdriver.sys

Antivirus results
AhnLab-V3 - 2011.05.23.00 - 2011.05.22 - -
AntiVir - 7.11.8.89 - 2011.05.21 - -
Antiy-AVL - 2.0.3.7 - 2011.05.22 - -
Avast - 4.8.1351.0 - 2011.05.22 - Win32:Banker-HIX
Avast5 - 5.0.677.0 - 2011.05.22 - Win32:Banker-HIX
AVG - 10.0.0.1190 - 2011.05.22 - BackDoor.Generic13.BLBE
BitDefender - 7.2 - 2011.05.22 - Trojan.Generic.5993839
CAT-QuickHeal - 11.00 - 2011.05.22 - -
ClamAV - 0.97.0.0 - 2011.05.22 - BC.Heuristics.Rootkit.B-11.MV
Commtouch - 5.3.2.6 - 2011.05.22 - -
Comodo - 8792 - 2011.05.22 - UnclassifiedMalware
DrWeb - 5.0.2.03300 - 2011.05.22 - Trojan.PWS.Banker.55837
eSafe - 7.0.17.0 - 2011.05.19 - -
eTrust-Vet - 36.1.8339 - 2011.05.20 - -
F-Prot - 4.6.2.117 - 2011.05.22 - -
F-Secure - 9.0.16440.0 - 2011.05.22 - -
Fortinet - 4.2.257.0 - 2011.05.22 - -
GData - 22 - 2011.05.22 - Trojan.Generic.5993839
Ikarus - T3.1.1.104.0 - 2011.05.22 - Rootkit.Win32.Banker
Jiangmin - 13.0.900 - 2011.05.21 - Trojan/Banker.Banbra.hrf
K7AntiVirus - 9.103.4693 - 2011.05.20 - -
Kaspersky - 9.0.0.837 - 2011.05.22 - Rootkit.Win32.Banker.dy
McAfee - 5.400.0.1158 - 2011.05.22 - Artemis!F35107DCEDC8
McAfee-GW-Edition - 2010.1D - 2011.05.21 - Artemis!F35107DCEDC8
Microsoft - 1.6903 - 2011.05.22 - -
NOD32 - 6142 - 2011.05.22 - probably a variant of Win32/Spy.Banker.PRQ
Norman - 6.07.07 - 2011.05.22 - -
nProtect - 2011-05-22.01 - 2011.05.22 - -
Panda - 10.0.3.5 - 2011.05.22 - Trj/CI.A
PCTools - 7.0.3.5 - 2011.05.19 - -
Prevx - 3.0 - 2011.05.22 - -
Rising - 23.58.06.03 - 2011.05.22 - -
Sophos - 4.65.0 - 2011.05.22 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.05.22 - -
Symantec - 20111.1.0.186 - 2011.05.22 - -
TheHacker - 6.7.0.1.202 - 2011.05.20 - -
TrendMicro - 9.200.0.1012 - 2011.05.22 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.05.22 - -
VBA32 - 3.12.16.0 - 2011.05.20 - -
VIPRE - 9354 - 2011.05.22 - Trojan.Win32.Generic!BT
ViRobot - 2011.5.21.4472 - 2011.05.22 - -
VirusBuster - 13.6.367.0 - 2011.05.22 - Rootkit.Banker!aweRsObARXY
File info:

ovviamente se JRE è aggiornata non ci sono problemi.

Analisi di plusdriver.sys



ovviamente se JRE è aggiornata non ci sono problemi.

come mai antivir e' con la definizione 21 maggio?

come mai antivir e' con la definizione 21 maggio?

Anche jangmin e mcafee ma lo vedono ugualmente...

al di là del fatto che è possibile effettivamente lasciare invariate le impostazioni di default a livello di sistema e passare a "manipolare" le sole protezioni per-process, come fai a non sapere che VGA è installata sul tuo PC? :mbe:

Il rischio, cmq, vale solo per l'ASLR **a livello di sistema** pertanto, anche là dove si dovesse shiftare verso il settaggio massimo, è sufficiente accertarsi che la voce ASLR sia impostata su Opt In indipendentemente quindi dalla VGA in uso (e, parallelamente, dai driver installati sulla macchina)...

@ Kohai la gestibilità è facilissima è un tool che lo configuri e lo dimentichi.

Anche se effettivamente l'aggiunta di alcuni sw possono evidenziare "problemi" dopo un certo tempo ovvio perchè l'utente ci fà caso in modo più attento.
Ma se tu inserisci i sw soliti.......

Grazie ad entrambi ragazzi ;)
Buon inizio settimana :)

come mai antivir e' con la definizione 21 maggio?

Semplice, nel momento in cui è stato analizzato le definizioni erano aggiornate al 21 :)

La questione malware in Windows e Linux (http://goo.gl/1xHTS)
Solo per curiosità: http://guiodic.wordpress.com/2011/05/21/sicurezza-e-gnulinux-7-apparmor-il-framework-di-sicurezza-di-ubuntu-e-suse/#more-2467

Mi scuso si da ora se saro' forse OT, ma non sapevo dove postare e comunque in questo topic ci son luminare di alto grado ;)

La mia avversita' ad installare emet e' stata confermata.
A parte l'aver dovuto installare il mastodontico .NET framework, quando sono andato ad utilizzare emet mi appare questa schermata (dopo aver riavviato il pc)

http://img38.imageshack.us/img38/5705/immagineqsx.th.png (http://imageshack.us/photo/my-images/38/immagineqsx.png/)

Prima domanda: ma dove sono i pallini verdi con i quali vengo informato che tutti i processi a video sono emetizzati?
Vedo a malapena qualli aggiunti manualmente e nemmeno tutti :confused:

Se poi cerco di cambiare la configurazione di sicurezza, appare questo errore

http://img220.imageshack.us/img220/5465/immagine2hh.th.png (http://imageshack.us/photo/my-images/220/immagine2hh.png/)

A questo punto, chiederei timide delucidazioni :stordita:

Mi scuso si da ora se saro' forse OT, ma non sapevo dove postare e comunque in questo topic ci son luminare di alto grado ;)

La mia avversita' ad installare emet e' stata confermata.
A parte l'aver dovuto installare il mastodontico .NET framework, quando sono andato ad utilizzare emet mi appare questa schermata (dopo aver riavviato il pc)

http://img38.imageshack.us/img38/5705/immagineqsx.th.png (http://imageshack.us/photo/my-images/38/immagineqsx.png/)

Prima domanda: ma dove sono i pallini verdi con i quali vengo informato che tutti i processi a video sono emetizzati?
Vedo a malapena qualli aggiunti manualmente e nemmeno tutti :confused:

Se poi cerco di cambiare la configurazione di sicurezza, appare questo errore

http://img220.imageshack.us/img220/5465/immagine2hh.th.png (http://imageshack.us/photo/my-images/220/immagine2hh.png/)

A questo punto, chiederei timide delucidazioni :stordita:

c'e' qualcosa che te l'ho blocca...credo che si chiami online armor
mettilo nelle esclusioni e riavvia

c'e' qualcosa che te l'ho blocca...credo che si chiami online armor
mettilo nelle esclusioni e riavvia

Niente da fare. Emet messo nelle esclusioni di OA, Avast e Prevx con nessun risultato: se provo a cambiare la configurazione di sicurezza a max, mi va in crash, se invece metto su racommended, questa scelta non viene accettata e va in automatico su custom.... che sia proprio cosi'?

Un'altra cosa che ho notato e' che i vari programmi emetizzati appaiono nella lista solo dopo averli attivati e comunque premendo il pulsante di refresh oppure attendendo circa 30 secondi, il tempo di refresh automatico di emet.

Ma una cosa non capisco: il pulsante "application opt in" non dovrebbe essere verde invece che giallo? :confused:

Niente da fare. Emet messo nelle esclusioni di OA, Avast e Prevx con nessun risultato: se provo a cambiare la configurazione di sicurezza a max, mi va in crash, se invece metto su racommended, questa scelta non viene accettata e va in automatico su custom.... che sia proprio cosi'?

Un'altra cosa che ho notato e' che i vari programmi emetizzati appaiono nella lista solo dopo averli attivati e comunque premendo il pulsante di refresh oppure attendendo circa 30 secondi, il tempo di refresh automatico di emet.

Ma una cosa non capisco: il pulsante "application opt in" non dovrebbe essere verde invece che giallo? :confused:

non c'e' dubbio ...non sta funzionando a dovere...disinstalla riavvia e rimettilo:sperem:

qui c'e' una piccola guida
http://www.megalab.it/7160/rendere-piu-sicuro-qualsiasi-programma-in-pochi-click-guida-semplificata-ad-emet

leggendomi la guida in pdf....
quelle voci non sono presenti in xp:doh:

leggi qui https://docs.google.com/viewer?url=http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Components-PostAttachments/00-03-35-03-78/Users-Guide.pdf

pagina 10

qui c'e' una piccola guida
http://www.megalab.it/7160/rendere-piu-sicuro-qualsiasi-programma-in-pochi-click-guida-semplificata-ad-emet

leggendomi la guida in pdf....
quelle voci non sono presenti in xp:doh:

leggi qui https://docs.google.com/viewer?url=http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Components-PostAttachments/00-03-35-03-78/Users-Guide.pdf

pagina 10

Me le son lette tutte prima di installarlo, ti ringrazio.
Forse il funzionamento sotto XP e' proprio questo e mi sto fissando per nulla.
Il mettere a maximum come protezione non stava piacendo nemmeno a me, ma non capisco perche' non mi accetta il livello di protezione settato a raccomandato; in automatico mette sempre a custom.

Che qualcosa non va per il verso giusto comunque e' sicuro, perche' se comunque cerco di mettere il settaggio a max, emet va in crash avvisandomi preventivamente con quel log che ho postato poco prima :(

P.s.
Sto cercando la guida fatta da Ilsoftware.it ma non della versione 2.1 ma della precedente; era spiegato tutto per bene.
Insieme a questa versione poi c'e' anche il manuale in PDF, lo stesso linkato da te ;)

Stesso problema nel forum dedicato ad emet -> http://social.technet.microsoft.com/Forums/en/emet/thread/6bc12a58-f767-49d7-b8d5-622a76a77070

Una curiosita': c'e' qualcuno che utilizza emet su win xp home edition?
Se si, va tutto bene? :mbe:

Stesso problema nel forum dedicato ad emet -> http://social.technet.microsoft.com/Forums/en/emet/thread/6bc12a58-f767-49d7-b8d5-622a76a77070

Una curiosita': c'e' qualcuno che utilizza emet su win xp home edition?
Se si, va tutto bene? :mbe:

...sembra che lo abbiano fatto a pennello per seven...infatti sia sul 32 che sul 64 bit,home premium,ultimate basic...neanche un problema...
questa e' la dimostrazione che mamma microsoft abbia abbandonato il proprio figlio xp:stordita:

stesso problema mi pare qui a questo utente con xp Home
http://social.technet.microsoft.com/Forums/en/emet/thread/6bc12a58-f767-49d7-b8d5-622a76a77070
dicono che stanno investigando per capire dove sta l'inghippo quindi dacci una occhiata per i prossimi sviluppi

Premessa:
in un 1° momento dici di aver disinstallato OA (riferimento (http://www.hwupgrade.it/forum/showpost.php?p=35210946&postcount=3044)) ma, successivamente, porti uno screen che attesta una situazione diametralmente opposta,

http://img38.imageshack.us/img38/5705/immagineqsx.th.png (http://imageshack.us/photo/my-images/38/immagineqsx.png/)...

Se non si capisce infatti il contesto in cui è calato EMET, è quasi impossibile arrivare ad una qualche conclusione dato che potrebbe benissimo essere un software di terze parti che impedisce la corretta installazione (o funzionamento) di questo tool...
L'indicazione precisa dell'OS in uso (che, a questo punto, abbiamo cmq capito essere XP Home) e di ciò che vi vive d'intorno, è dunque determinante per potersi formare un'idea su ciò che potrebbe causare il problema...

Detto questo, come ti è stato fatto notare anche da altri, è stato aperto proprio un ticket sul forum dedicato ad EMET che segnala un problema analogo al tuo:
l'OS coinvolto, infatti, anche in quel caso è XP Home (riferimento (http://social.technet.microsoft.com/Forums/en/emet/thread/6bc12a58-f767-49d7-b8d5-622a76a77070))...

Ora:
la cosa curiosa è che il tizio della Microsoft dichiara che, in realtà, loro non hanno registrato problemi ("I just tested a clean Windows XP Home edition with no problem.")

Dopo aver posto anche lui al tizio la domanda sul "che tipo di configurazione avesse il suo PC", gli suggerisce di verificare l'esistenza di certe voci necessarie ad EMET per funzionare correttamente...

Queste voci le ricavi lanciando dal command prompt (cmd.exe) il comando dir /S c:\windows\apppatch o, in alternativa, copiando questa stringa nel campo degli indirizzi del browser:file:///C:/WINDOWS/apppatch/


E vediamo dunque se manca effettivamente anche a te qualche elemento...

ES (con lo sviluppo..) nel caso del command prompt:

http://img151.imageshack.us/img151/5913/immagine1so.th.jpg (http://imageshack.us/photo/my-images/151/immagine1so.jpg/)

ehm: :stordita:

i dati di cui sopra si ricavano facilmente anche con una semplice osservazione del contenuto della cartella apppatch in c:\windows....:D :lamer:

Semplicemente, quel comando da "lo sviluppo" che si estende anche alle sottocartelle... :lamer: :tapiro:

Al momento emet l'ho installato su win xp home edition 32 bit con OA installato.
Quest'ultimo non lo e' nel nuovo pc conseven 64 bit.
Basta dare un'occhiata nella mia configurazione di sicurezza posta in firma. :)

P.s.
Effettuati aggiornamenti con windows per .net framework: non mi funziona piu' i.e. e l'estensione keyscrambler per firefox.... appena acceso il pc ed effettuati aggiornamenti automatici.

Provero' a disinstallare emet e i relativi net framework altrimenti dovro' rivolgermi a san macrium reflect :(

Mi scuso per il reiterato OT (probabilmente).

Disinstallato emet su win xp home edition 32 bit file system ntfs con relativo .net framework, tornato tutto alla normalita' :rolleyes:

Credo e penso che l'ultima versione di emet sia stata pensata piu' per vista e seven che per xp.

Ultima considerazione: da quel poco che avevo capito, l'ultima versione di emet su xp prediligeva la messa a punto a manina, ovvero, bisognava mettere uno ad uno i software per i quali si voleva la protezione.
Se oltre all'.exe tale protezione la si voleva estendere alle librerie (.dll), il tutto si trasformava in un lavorone incredibile e certosino... :doh:

No no, sto bene cosi... :D e per sicurezza (:sperem: :tie: ) non voglio nemmeno sputtanarmi (consentitemi la parolina) il nuovo pc....

Un saluto ed un ringraziamento a tutti :)

Fa anzitutto piacere sapere che il PC sia tornato alla normalità...:)

Detto questo, nel post precedente si rilevano scorrettezze che denotano una scarsa conoscenza del fine che si propone il tool in questione ("Se oltre all'.exe tale protezione la si voleva estendere alle librerie..." ??:mbe:??)...

Ma va bene cosi', in fondo nessuno deve forzare nessun altro ad usare qualcosa...:)

Spero non si rilevi nelle parole spese poc'anzi un intento denigratorio:
semplicemente, è risultato molto più facile liquidare in quel modo il discorso che non mettersi li' a spiegare l'errore..

Sicuro della vostra comprensione,
nV ;)

Fa anzitutto piacere sapere che il PC sia tornato alla normalità...:)

Detto questo, nel post precedente si rilevano scorrettezze che denotano una scarsa conoscenza del fine che si propone il tool in questione ("Se oltre all'.exe tale protezione la si voleva estendere alle librerie..." ??:mbe:??)...

Ma va bene cosi', in fondo nessuno deve forzare nessun altro ad usare qualcosa...:)

Spero non si rilevi nelle parole spese poc'anzi un intento denigratorio:
semplicemente, è risultato molto più facile liquidare in quel modo il discorso che non mettersi li' a spiegare l'errore..

Sicuro della vostra comprensione,
nV ;)
In una guida su internet avevo letto che (volendo) si possono anche mettere le librerie a protezione di emet.
Se sia giusto o sbagliato non saprei, pero' mi farebbe piacere sapere il perche' :)

Trovato l'articolo :D

http://www.megalab.it/7160/2/rendere-piu-sicuro-qualsiasi-programma-in-pochi-click-guida-semplificata-ad-emet

Preferisco soprassiedere sul valore qualitativo degli articoli di megalab in tema di sicurezza...


L'errore, cmq, è nel passaggio in cui parli di estendere eventualmente la protezione offerta da EMET anche alle singole librerie...
Se rifletti infatti meglio sugli effetti prodotti dal tool in questione, ti accorgerai sunza dubbio di quanto sia insensata quella strada...

costretto a tornare a Windows, causa un progetto da fare su cui tale piattaforma risulterebbe più agevole, eccomi qua..

per la stessa sensazione di Kohai non ho ancora installato EMET:D
prima o poi lo farò, ma quel giorno sarà quando avrò la predisposizione a far danni (cosa più frequente di quanto si possa pensare:stordita: )

per ora configurazione light che più light non si può

costretto a tornare a Windows, causa un progetto da fare su cui tale piattaforma risulterebbe più agevole, eccomi qua..

per la stessa sensazione di Kohai non ho ancora installato EMET:D
prima o poi lo farò, ma quel giorno sarà quando avrò la predisposizione a far danni (cosa più frequente di quanto si possa pensare:stordita: )

per ora configurazione light che più light non si può

daccordo con te....chissa se esiste un soft leggeo leggero che blocchi tutte le esecuzioni di qualsiasi programma al di fuori di quello che e'gia nel pc...tipo opzione returnil consenti solo programmi e processi che sono gia installati sul pc....
in questo caso si potrebbe lavorare piu' tranquilli...:sofico:

senza offesa, ma secondo me è stato creato un caso sul nulla...

Se da un lato è legittima e rispettabile ogni scelta che vada in direzione opposta rispetto all'invito ad installare il tool in questione, dall'altro però non si portino a giustificazione tesi che, sinceramente, poggiano sulla sabbia...


EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...

Questa serie di operazioni, dunque, NON pregiudicano la stabilità della macchina:
al limite, solo quella del singolo programma protetto (es: la voce EAF per Skype, ecc..)

Non è prescritto dal medico, infatti, che debbano essere necessariamente cambiate le protezioni a livello di sistema (le uniche che potrebbero realmente pregiudicare la stabilità del PC!) che possono dunque rimanere tranquillamente al loro settaggio di default!....


Riassumendo:
se in EMET lascio @ default le protezioni a livello globale e metto mano esclusivamente all'area preposta alle protezioni per-processo, non ho nulla da temere se non il rischio di instabilità di una singola applicazione...

Se invece metto mano ANCHE alle protezioni a livello di sistema, potrei rendere instabile la macchina...
Inputata, in particolare, è la voce ASLR su un sistema con scheda grafica ATI...

Ma, come indicato anche sul manuale e su questo stesso thread, l'inghippo è facilmente risolvibile...

senza offesa, ma secondo me è stato creato un caso sul nulla...

Se da un lato è legittima e rispettabile ogni scelta che vada in direzione opposta rispetto all'invito ad installare il tool in questione, dall'altro però non si portino a giustificazione tesi che, sinceramente, poggiano sulla sabbia...


EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...

Questa serie di operazioni, dunque, NON pregiudicano la stabilità della macchina:
al limite, solo quella del singolo programma protetto (es: la voce EAF per Skype, ecc..)

Non è prescritto dal medico, infatti, che debbano essere necessariamente cambiate le protezioni a livello di sistema (le uniche che potrebbero realmente pregiudicare la stabilità del PC!) che possono dunque rimanere tranquillamente al loro settaggio di default!....


Riassumendo:
se in EMET lascio @ default le protezioni a livello globale e metto mano esclusivamente all'area preposta alle protezioni per-processo, non ho nulla da temere se non il rischio di instabilità di una singola applicazione...

Se invece metto mano ANCHE alle protezioni a livello di sistema, potrei rendere instabile la macchina...
Inputata, in particolare, è la voce ASLR su un sistema con scheda grafica ATI...

Ma, come indicato anche sul manuale e su questo stesso thread, l'inghippo è facilmente risolvibile...

Sono daccordo.
Infatti a Kohai avevo consigliato in MP proprio tale soluzione primaria (configure application) e se tutto fosse andato per il meglio passare anche a quella secondaria (configure system).

Io ho installato EMET proprio sotto XP e non ho nessun particolare problema a parte forse un rallentamento nell'avvio di Opera (forse imputabile a DEP).

Ho anche installato EMET in un pc del figlio di un amico sempre con XP senza nessun problema.

OK, l'ho installato :O

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Configure Apps > ho aggiunto queste app

http://img811.imageshack.us/img811/2518/immaginekob.png (http://imageshack.us/photo/my-images/811/immaginekob.png/)

esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

OK, l'ho installato :O

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Configure Apps > ho aggiunto queste app

http://img811.imageshack.us/img811/2518/immaginekob.png (http://imageshack.us/photo/my-images/811/immaginekob.png/)

esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

Io ho inserito anche Chrome senza alcun problema.
Ho anche inserito Java ed ho fatto l'ultimo aggiornamento senza problemi,solo che io non faccio solitamente l'aggiormamento da sw ma direttamente.

Invece ho inserito emule senza EAF prova a verificare se dopo la chiusura dello stesso permane il processo emetizzato nella GUI.

Ho anche inserito Filehippo Update Checker emetizzato che apre il browser direttamente sandboxato.:D :D

Configure System > Maximum Security Settings
DEP: Always ON
SEHOP: Application Opt Out
ASLR: Application Opt In

Pari pari alle mie (vedi anche qui! (http://www.hwupgrade.it/forum/showpost.php?p=35188538&postcount=3031))...

Configure Apps > ho aggiunto queste app

http://img811.imageshack.us/img811/2518/immaginekob.png (http://imageshack.us/photo/my-images/811/immaginekob.png/)

esclusi:
Chrome - avevo letto di qualche problema (che non voglio avere)
Java - preventivamente senza nessun reale motivo, ha dato problemi a qualcuno?

qualche processo da aggiungere o protezione da disabilitare per quelli inseriti perchè inutile/incompatibile?

Probabilmente è da togliere tutta la parte relativa a 7z ..

Per Chrome è corretta l'osservazione di Sampei...

Non so cosa siano i processi OIS/filezilla pertanto su questi non mi esprimo...

Interessante e corretta la presenza nella scheda dei processi protetti di 2 istanze di IExplorer visto che si riferiscono a 2 versioni diverse, una a 32bit e l'altra a 64....

Nel frattempo vi segnalo delle letture eccezionali sul tema "Vulnerabilità dell'UAC a default".

Sono articoli datati ma, allo stesso tempo, alla portata di persone non tecniche e, dunque, risultano relativamente comprensibili.

Danno oltretutto un'idea abbastanza precisa sulle dinamiche che hanno accompagnato la gestazione dell'UAC in 7 fino a quella che è la sua attuale incarnazione (falle nel frattempo corrette, ecc)...

Chi dovesse avere tempo da perdere, la sequenza sarebbe questa:
1 (http://www.istartedsomething.com/20090130/uac-security-flaw-windows-7-beta-proof/), 2 (http://www.istartedsomething.com/20090204/second-windows-7-uac-flaw-malware-self-elevate/), 3 (http://www.withinwindows.com/2009/02/04/windows-7-auto-elevation-mistake-lets-malware-elevate-freely-easily/) (per il discorso dell'auto-elevazione), 4 (http://www.istartedsomething.com/20090206/microsoft-changes-windows-7-uac-control/) e, per un finale col botto [:D], 5 (http://www.pretentiousname.com/misc/win7_uac_whitelist2.html)...

Un approfondimento della scheda n°5 in questo post di Mark Russinovich, 6 (http://technet.microsoft.com/en-us/magazine/2009.07.uac.aspx).


Buona lettura...:D

EMET, infatti, è installabile anche dal maiale (la sua procedura di installazione, per gente un pò pratica di PC, non può costituire ostacolo...) e richiede, come indicato anche da Megalab che qui sembra avere un gran credito, una "manipolazione" in quelle che sono le protezioni per-processi (che si vada, in sostanza, ad indicare una per una le voci che si vogliono proteggere con EMET, operazione anche questa alla portata del maiale)...



Avro' forse dato la colpa ad emet quando invece forse era di .net framework... oppure altro.. ci sono N possibilita' che la colpa sia imputabile a qualcosaltro...

Quando ho scaricato emet, appare la critta di windows che senza il framework questo tool non puo' lavorare, quindi ho scaricato anche quest'ultimo... mastodontico.

Avvio emet, cerco di apportare qualche modifica ma appare l'errore del quale ho anche scritto precedentemente.

Lascio star comunque tutto cosi, avvio qualche software ed i browser e mi ritrovo con i.e. impallato, firefox che funziona male, oltre che opera rallentato.

Do' la colpa ad emet (o forse al net framework essendo le ultime due installazioni effettuate), disinstallo, e tutto ritorna normale.

La mia e' stata solo un'esperienza nella quale e dalla quale cercavo "compagni d'arme", ossia, se qualcuno aveva i miei stessi problemi.

Scaricare ed installare qualcosa e' capacissimo anche mio figlio di 5 anni; megalab, come altre fonti le utilizzo prima di effettuare qualche operazione, per avere uno sguardo d'insieme piu' vasto e possibilmente ricco di particolari piu' o meno utili....





Quella del maiale devo ancora interpretarla.... :what:

Quella del maiale devo ancora interpretarla.... :what:

qui da noi, dire che una cosa è alla portata anche del maiale significa che può farla anche un infante, ecco...:D
Non è nulla di offensivo...:Prrr:



PS: ora leggo il tuo intevento...

Avro' forse dato la colpa ad emet ...

Alla luce della tua risposta, quello che volevo dire con i miei interventi era questo:
1 sei giustamente libero di non utilizzare questo tool anche perchè, poi, non è che questo di per sè faccia miracoli...
2 hai giustamente portato prove evidenti di malfunzionamento del tool in questione (PS: hai cmq il SP3 installato che sembra essere un requisito per la corretta installazione di EMET su XP?)...


Quindi, nulla da dire...


Non mettere xò in campo motivi come la complessità di gestione o di messa a punto, come sembrava da questo post ( link! (http://www.hwupgrade.it/forum/showpost.php?p=35227036&postcount=3070)) dove si ventilava addirittura l'ipotesi di aggiungere librerie???, perchè cosi' non è...:)

Il tool in se per se è utile e banale da configurare, a meno ovviamente di non farsi prendere la mano aggiungendo tra i processi protetti elementi inverosimili come hanno fatto diversi utenti su wilders che poi, non a caso, si lagnavano perchè il Pc non gli bootava più...:)

cercavo di trovare notizie in rete su questo quesito...ma nulla....

se si configura cosi
http://img20.imageshack.us/img20/7258/catturanp.th.jpg (http://imageshack.us/photo/my-images/20/catturanp.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)


senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

cercavo di trovare notizie in rete su questo quesito...ma nulla....

se si configura cosi
http://img20.imageshack.us/img20/7258/catturanp.th.jpg (http://imageshack.us/photo/my-images/20/catturanp.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)


senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

Opinione altamente personale.......quella sotto.
La funzione primaria di EMET che mi interessa è quella di mitigare le vulnerabilità dei browser web.
E vulnerabilità accessorie come flash da documenti Office.....

Senza la configure application......come fai a mitigare le 2 cose suddette ? :)

Opinione altamente personale.......quella sotto.
La funzione primaria di EMET che mi interessa è quella di mitigare le vulnerabilità dei browser web.
E vulnerabilità accessorie come flash da documenti Office.....

Senza la configure application......come fai a mitigare le 2 cose suddette ? :)

daccordissimo...ma la mia curiosita' mi spingeva a capire cosa serve il dep e perchè in xp non c'e'?:fagiano:

non sempre la curiosità è femmina:sofico:

cercavo di trovare notizie in rete su questo quesito...ma nulla [...]
senza configurare nessuna apps...ci sono dei benefici oppure e' inutile?

ma a logica, no, eh!?! :rolleyes:

Se le mitigazioni operano su 2 piani distinti, una a livello di sistema e l'altra a livello di singola applicazione, mi sembra pacifico che se un piano è fuori gioco l'altro rimanga attivo...:rolleyes:

Inoltre, e per farla corta, le mitigazioni a livello di singola applicazione sono in n° > rispetto a quelle di sistema...

IIo ho inserito anche Chrome senza alcun problema.
Ho anche inserito Java ed ho fatto l'ultimo aggiornamento senza problemi,solo che io non faccio solitamente l'aggiormamento da sw ma direttamente.

Invece ho inserito emule senza EAF prova a verificare se dopo la chiusura dello stesso permane il processo emetizzato nella GUI.

Ho anche inserito Filehippo Update Checker emetizzato che apre il browser direttamente sandboxato.:D :D

Emule con AEF non da nessun problema: se lo chiudo il processo non rimane emetizzato nella GUI (insomma, nessun comportamento anomalo)

chiedevo per chrome perchè ho visto disastri in rete, in particolare (link (http://blog.chromium.org/2010/11/compatibility-issues-with-emet.html)):

because Chrome already uses many of the same techniques (and more), EMET does not provide any additional protection for Chrome. In fact, the current version of EMET interferes with Chrome’s security and prevents Chrome from updating.

da qui il mio scarso interesse nell'emetizzare chrome.
Java lo proverò!:D

Pari pari alle mie (vedi anche qui! (http://www.hwupgrade.it/forum/showpost.php?p=35188538&postcount=3031))...



Probabilmente è da togliere tutta la parte relativa a 7z ..

Per Chrome è corretta l'osservazione di Sampei...

Non so cosa siano i processi OIS/filezilla pertanto su questi non mi esprimo...

Interessante e corretta la presenza nella scheda dei processi protetti di 2 istanze di IExplorer visto che si riferiscono a 2 versioni diverse, una a 32bit e l'altra a 64....

ois.exe è il processo di microsoft office picture manager
filezilla è un FTP client, usato poche volte (forse quanto di iexplorer) ma si sa mai :D

in effetti ho buttato dentro tutto compreso 7zip, e ciò non ha molto senso :what:


let's see:oink:

daccordissimo...ma la mia curiosita' mi spingeva a capire cosa serve il dep e perchè in xp non c'e'?:fagiano:

non sempre la curiosità è femmina:sofico:

Un articolo datato sul DEP che tenevo nei miei preferiti (probabilmente perchè facile da assimilare):

http://www.folblog.it/dep-e-bcd-backward-compatibility-disaster/

Come non c'è ? :confused:
Anzi, a livello sistema, in XP, hai solo la DEP possibilità.;)

Emule con AEF non da nessun problema: se lo chiudo il processo non rimane emetizzato nella GUI (insomma, nessun comportamento anomalo)

chiedevo per chrome perchè ho visto disastri in rete, in particolare (link (http://blog.chromium.org/2010/11/compatibility-issues-with-emet.html)):

because Chrome already uses many of the same techniques (and more), EMET does not provide any additional protection for Chrome. In fact, the current version of EMET interferes with Chrome’s security and prevents Chrome from updating.

da qui il mio scarso interesse nell'emetizzare chrome.
Java lo proverò!:D



ois.exe è il processo di microsoft office picture manager
filezilla è un FTP client, usato poche volte (forse quanto di iexplorer) ma si sa mai :D

in effetti ho buttato dentro tutto compreso 7zip, e ciò non ha molto senso :what:


let's see:oink:

Se non ricordo male quella citazione che hai riportato per Chrome + EMET era riferita alla versione predecente la penultima disponibile.
Già con la penultima non c'erano incompatibilità.

In merito ad EAF con emule io invece avevo qualche problema.

Un articolo datato sul DEP che tenevo nei miei preferiti (probabilmente perchè facile da assimilare):

http://www.folblog.it/dep-e-bcd-backward-compatibility-disaster/

Come non c'è ? :confused:
Anzi, a livello sistema, in XP, hai solo la DEP possibilità.;)

avevo visto uno screen di kohai...magari li non c'era perchè non funzionava a dovere:confused:

Alla luce della tua risposta, quello che volevo dire con i miei interventi era questo:
1 sei giustamente libero di non utilizzare questo tool anche perchè, poi, non è che questo di per sè faccia miracoli...

C'ho provato, ma gia' a pelle mi incuteva "timore"... erano settimane per non dire mesi che volevo far la prova...
Non avendo poi uno stile "sconsiderato" di navigazione, mi sento abbastanza protetto gia' cosi'...

2 hai giustamente portato prove evidenti di malfunzionamento del tool in questione (PS: hai cmq il SP3 installato che sembra essere un requisito per la corretta installazione di EMET su XP?)...

Obviously...

[CRONACA] Dopo aver fatto parlare di se nell'universo x86, il Rootkit ZeroAccess (conosciuto anche come MAX++) sbarca anche sulla piattaforma x64: Securelist (http://www.securelist.com/en/blog/493/MAX_sets_its_sights_on_x64_platforms)

Sfrutta una serie di exploit che coinvolgono tanto Acrobat Reader che Java, elementi che di sicuro non trovano byte liberi sul mio HD (e questo, per chi vuole capire, è un mio personale consiglio)...

[CRONACA] Dopo aver fatto parlare di se nell'universo x86, il Rootkit ZeroAccess (conosciuto anche come MAX++) sbarca anche sulla piattaforma x64: Securelist (http://www.securelist.com/en/blog/493/MAX_sets_its_sights_on_x64_platforms)

Sfrutta una serie di exploit che coinvolgono tanto Acrobat Reader che Java, elementi che di sicuro non trovano byte liberi sul mio HD (e questo, per chi vuole capire, è un mio personale consiglio)...

Certo che posso !!
Et Voilà.....le jeux son fait.

Chi fosse interessato al download la password la ricava, non ti preoccupare:
se puoi, edita il messaggio sopra...




Per caso, poi, ho visto che oggi sembra essere la giornata storta di HitmanPro, sempre che ovviamente il mio PC non si sia buscato il "raffreddore",

http://img849.imageshack.us/img849/4746/immagine1ub.th.jpg (http://imageshack.us/photo/my-images/849/immagine1ub.jpg/)http://img713.imageshack.us/img713/94/immagine2qa.th.jpg (http://imageshack.us/photo/my-images/713/immagine2qa.jpg/)

Le segnalazioni sui file di cui sopra si presentano "a random", prima in una scansione ma non nella successiva, ecc...:mbe:

E' inutile dire che ho messo in pasto i file su VT per un controllo e che ne ho verificato il n° della versione, la data di creazione/modifica ecc...


FP? :stordita:


Nel frattempo, si fanno altre 2 rapide verifiche...:hic::D

Chi fosse interessato al download la password la ricava, non ti preoccupare:
se puoi, edita il messaggio sopra...




Per caso, poi, ho visto che oggi sembra essere la giornata storta di HitmanPro, sempre che ovviamente il mio PC non si sia buscato il "raffreddore",

http://img849.imageshack.us/img849/4746/immagine1ub.th.jpg (http://imageshack.us/photo/my-images/849/immagine1ub.jpg/)http://img713.imageshack.us/img713/94/immagine2qa.th.jpg (http://imageshack.us/photo/my-images/713/immagine2qa.jpg/)

Le segnalazioni sui file di cui sopra si presentano "a random", prima in una scansione ma non nella successiva, ecc...:mbe:

E' inutile dire che ho messo in pasto i file su VT per un controllo e che ne ho verificato il n° della versione, la data di creazione/modifica ecc...


FP? :stordita:


Nel frattempo, si fanno altre 2 rapide verifiche...:hic::D

LOL :D

nV s'è beccato qualcosa, pappappero :ciapet:



scherzi a parte, hai sentito il supporto di Hitman pro?
le azioni e le informazioni fornite in merito alle segnalazioni sembrano assai vaghe :mbe:

nV è infetto...si si si! :ciapet:



In realtà, credendo di trovarmi di fronte a FP al 99.9%, ho lasciato "decantare" la cosa:
dalle successive verifiche sembrerebbe che nV, anche stavolta, non sia stato vittima del caldo di questi giorni...:p


Segnalare?
Bah, sono timido...:ciapet:

-------EDIT------

Ho segnalato il problema al supporto ma, ad ora, 0 risposte (ero abituato male con DefenseWall...:muro: )

Nel frattempo, cmq, HitmanPro non rileva più anomalie (strano, no?)...:Prrr:

-------EDIT------

Ho segnalato il problema al supporto ma, ad ora, 0 risposte (ero abituato male con DefenseWall...:muro: )

Nel frattempo, cmq, HitmanPro non rileva più anomalie (strano, no?)...:Prrr:

Stà a vedè che nV trova moglie on line :oink: :yeah::

pur con mooolta calma, mi ha risposto un'impiegata della Surflight, tale Lisa ecc :Perfido: ...

mi ha rimandato direttamente a questo post [Link (http://www.wilderssecurity.com/showpost.php?p=1853826&postcount=2939)] spiegandomi che, nella modalità EWS (vedi il link di poc'anzi), è possibile che si verifichino quei risultati e mi invita a fare la scansione normale (default mode)...


Il problema è che *ieri* entrambe le modalità di scansione producevano quei risultati...

Non ero stato chiarissimo io nella mail, è vero...



Ora con la scusa di farglielo presente la martello! :D :smack:

ok, risposto:
vi farò cmq sapere se divento papà a breve...:D :asd:

stavolta mi ha risposto subito....e poi le olandesi a me sono sempre piaciute...:D :D

stavolta mi ha risposto subito....e poi le olandesi a me sono sempre piaciute...:D :D

però metti subito le cose in chiaro: mica risponderà a tutti come risponde a te?? :D :D

Per riprendere il discorso sul "perchè sia utile affiancare uno strumento di protezione proattiva ai meccanismi di sicurezza intrinsechi nell'OS (es: UAC, S[L]UA)", ritornando cosi' a quello che il vero tema di questo thread, viene in soccorso un nuovo worm, Win32/Dorkbot.A (http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FDorkbot.A) secondo la nomenclatura Microsoft.

Nello specifico, ha funzionalità di Rootkit ma, più che altro, rispetta pienamente la par condicio :p potendo infatti essere installato tanto su piattaforme x86 che x64 e non discrimina su base geografica :p ("the bot fully supports Unicode characters and will therefore run on Asian and Eastern European systems")....


Perchè, dunque, il riferimento all'utilità dell'affiancamento di cui sopra?

Semplicemente, perchè nella parte relativa alle informazioni che accompagnano il rilascio "al pubblico" di questo nuovo malware è espressamente indicato quanto segue:

http://img821.imageshack.us/img821/5990/immagine2an.jpg (http://imageshack.us/photo/my-images/821/immagine2an.jpg/)

[Dettagli sulle potenzialità offerte da questo worm secondo le dichiarazioni degli autori (http://img19.imageshack.us/img19/4688/31052011215607.png)]
Fonte: il solito KMInfo (http://www.kernelmode.info/forum/viewtopic.php?f=16&t=922)

A favore di coloro (pochi, credo..) che dovessero sintonizzarsi per caso su questa discussione:

per costruire una VALIDA configurazione di sicurezza non è necessario dover installare n soluzioni diverse.

Mi permetto, anzi, di suggerire di nuovo dei nomi che risolvono la quasi totalità dei problemi derivanti da malware senza spendere cifre eccessive o costringere l'utente a chissà quali interventi in fase di settaggio.

Sistemi a 32bit:
senza dubbio DefenseWall.

[costo per il 1° anno: poco meno di 30€, circa 13 per i rinnovi...]
[Difficoltà di configurazione: praticamente inesistente]
[Ha il Firewall! che sostanzialmente NON richiede alcun intervento]
["Più spiazzante per l'utente" in virtù del modello di sicurezza adottato (Policy-Based Sandbox)--> NON PREGIUDICA CMQ la SICUREZZA del PC ma può impattare solo sul piano "psicologico"...]
[La presenza di un eventuale Keylogger è facilmente mostrata via POP-UP]

In subordine, Sandboxie.

[Risulta indiscutibilmente di più semplice comprensione in virtù del modo in cui è concepito il suo SandBox]
[La fase di configurazione richiede un intervento dell'utente leggermente più marcato rispetto a DefenseWall]
[Rimette completamente nelle mani dell'utente la scelta sul cosa "conservare o eliminare" da una sessione Sandboxata:
poichè ciò che è salvato al di fuori del Sandbox non incontrerà più restrizioni da parte del programma, ne discende che la fase di cui sopra rappresenta IL MOMENTO CRITICO di questo programma...]
[Se si opta per la versione a pagamento, si hanno ovviamente diverse limitazioni in meno.
Costo della licenza vitalizia: sui 30€]


Da escludere GesWall principalmente per l'assenza di supporto...

Malware Defender
[HIPS classico "a POP-UP"]
[Richiede una fase di configurazione che, se pur automatizzata (Learning Mode), lo relega per tutta una serie di motivi ad un'utenza avanzata]
[Contempla un'apposita tecnologia che viene in soccorso nel momento in cui si ha di fronte un installer (installing mode)]
[Risulta cmq una soluzione estremamente invasiva in virtù della propria natura: in poche parole, SCONSIGLIABILE per la massa]



Sistemi a 64bit:
Sandboxie [vedi sopra per la sua "descrizione"].

Grazie al suo mandarino fluente, nV è riuscito a rintracciare una notizia che ha il piacere di condividere con la platea specie perchè costituisce un'anteprima assoluta per il mondo occidentale! :eek: :D


Tenetevi forte, dunque:
la software house che ha rilevato MD ha presentato una sua Sandbox (attualmente in fase di beta testing) compatibile con i sistemi x86.


Detto questo, ho poco altro da aggiungere visto che mi sono evidentemente perso sull'ultimo ideogramma...:stordita: :D

E' chiaro cmq che non posso congedarmi prima di fornirvi 2 immagini del prodotto in questione più, ovviamente, la fonte (http://translate.googleusercontent.com/translate_c?ie=UTF8&rurl=translate.google.it&sl=zh-CN&tl=en&u=http://bbs.360.cn/3229787/250014913.html&usg=ALkJrhg8Zooa4BubL5tGbPloO-bu8M2Qow) da cui è stata tratta la notizia...

http://img845.imageshack.us/img845/9188/immagine1eb.jpg (http://imageshack.us/photo/my-images/845/immagine1eb.jpg/)
http://img30.imageshack.us/img30/5785/immagine2cji.jpg (http://imageshack.us/photo/my-images/30/immagine2cji.jpg/)
http://img850.imageshack.us/img850/4950/immagine3s.jpg (http://imageshack.us/photo/my-images/850/immagine3s.jpg/)

http://img195.imageshack.us/img195/364/immagine4m.jpg (http://imageshack.us/photo/my-images/195/immagine4m.jpg/)

..
visto sta 360? :D
anche su av-comparatives niente male l'av: forza Xiaolin, fatti valere con tutto il team :winner:

anche se la bontà di tutto ciò è da esplorare in lungo e in largo, io sono di parte :ciapet:



ps.: grazie per la news, per me e tutti noi sarebbe stata difficilmente raggiungibile altrimenti :)

oggi ho tradotto le nuove stringhe di DW, la nuova versione pare abbia un browser elementare su cui compiere home banking e acquisti;
quindi non sarà più necessario -abilitando la banking mode- chiudere tutti i processi untrusted per fare acquisti, sarà molto più comodo :D

cosa confermata anche qui: http://gladiator-antivirus.com/forum/index.php?showtopic=119551

Saluti

Oggi mi sono deciso ad installare EMET, dopo diverse ore di utilizzo del PC non noto particolari problemi. :sperem:

visto sta 360? :D
anche su av-comparatives niente male l'av: )

104 falsi positivi...:mbe:
è come dire sempre al lupo al lupo...
poi quando arriva il lupo non ci credi:stordita:

104 falsi positivi...:mbe:
è come dire sempre al lupo al lupo...
poi quando arriva il lupo non ci credi:stordita:

premettendo che siamo off topic, 140 in confronto a 400 000 -sample testati- non sono nulla, un infinitesimo contro un infinito (volutamente forzato, ma l'idea è quella).

antivir | 97.5% | 393 000 rilevati
360 | 97.9% | 395 000 rilevati

quello scarto di individuazione dello 0.4% sono circa 2000 sample non riconosciuti.

ora una mente astuta non si porrebbe neanche la domanda, ma noi affrontiamola.
calcolando le rilevazioni totali, sei disposto a (lo so che è dura):
sentire "al lupo al lupo" 1 volta in più ogni 3790 virus correttamente riconosciuti o perdere 2'000 individuazioni (su 400 000 totali, quindi perdere 1 virus ogni 200)??*

ecco... :stordita:



poi nel mondo degli antivirus un tasso di errore simile è da correggere, ma stiamo parlando di un prodotto alla versione 1.1, probabilmente il primo test esterno serio cui si sottopongono.
per ora un ottimo risultato, tanta fiducia, l'anno prossimo o tra 2 anni ne riparliamo percè ci si aspetta che abbiano sistemato qualcosa :p

*conti fatti a occhio, approssimati per comodità di calcolo, se ho fatto errori dimenticate quanto ho sostenuto sopra :D

premettendo che siamo off topic, 140 in confronto a 400 000 -sample testati- non sono nulla, un infinitesimo contro un infinito (volutamente forzato, ma l'idea è quella).

antivir | 97.5% | 393 000 rilevati
360 | 97.9% | 395 000 rilevati

quello scarto di individuazione dello 0.4% sono circa 2000 sample non riconosciuti.

ora una mente astuta non si porrebbe neanche la domanda, ma noi affrontiamola.
calcolando le rilevazioni totali, sei disposto a (lo so che è dura):
sentire "al lupo al lupo" 1 volta in più ogni 3790 virus correttamente riconosciuti o perdere 2'000 individuazioni (su 400 000 totali, quindi perdere 1 virus ogni 200)??*

ecco... :stordita:



poi nel mondo degli antivirus un tasso di errore simile è da correggere, ma stiamo parlando di un prodotto alla versione 1.1, probabilmente il primo test esterno serio cui si sottopongono.
per ora un ottimo risultato, tanta fiducia, l'anno prossimo o tra 2 anni ne riparliamo percè ci si aspetta che abbiano sistemato qualcosa :p

*conti fatti a occhio, approssimati per comodità di calcolo, se ho fatto errori dimenticate quanto ho sostenuto sopra :D
Ot
in quei termini il tuo discorso non fa una piega,ma se confrontiamo i 9 falsi positivi di avira contro i 140,allora i numeri ci danno un altra idea...
e' un prodotto giovane quindi e' normale... fine Ot
visto che la loro forza era nell'hips chissà se nel prodotto av c'e' qualcosa che sfrutta quella tecnologia oppure si basa solo sulle firme:what:

Ot
in quei termini il tuo discorso non fa una piega,ma se confrontiamo i 9 falsi positivi di avira contro i 140,allora i numeri ci danno un altra idea...
e' un prodotto giovane quindi e' normale... fine Ot
visto che la loro forza era nell'hips chissà se nel prodotto av c'e' qualcosa che sfrutta quella tecnologia oppure si basa solo sulle firme:what:

malware defender era una cosa a parte, 360.cn ha rilevato MD e il suo sviluppatore, il quale ha aderito a questo progetto; che io sappia MD non è stato integrato in nessun altro prodotto.

per il resto come leggi sopra, nV ci ha informati che stanno creando una sandbox

Primo inconveniente con EMET: non mi va UltraISO. Se provo a lanciarlo neanche si apre :rolleyes: Probabilmente la lista dei softwares è destinata a crescere :cry:

Primo inconveniente con EMET: non mi va UltraISO. Se provo a lanciarlo neanche si apre :rolleyes: Probabilmente la lista dei softwares è destinata a crescere :cry:
Io ho messo sotto emet solo i programmi che si connettono a internet o potenzialmente vulnerabili (browser pdf java mediaplayer e poco altro)
Con questi nessun problema di sorta
ultraiso credo lo puoi togliere senza pensieri

Primo inconveniente con EMET: non mi va UltraISO. Se provo a lanciarlo neanche si apre :rolleyes: Probabilmente la lista dei softwares è destinata a crescere :cry:

l'incompatibilità con UltraISO è già stata segnalata,
http://social.technet.microsoft.com/Forums/en/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875

La causa sembra essere legata all'abilitazione della tecnologia DEP a livello di sistema...
Credo che allo stato l'unica soluzione sia quella di disinstallarlo per passare ad un'altro programma equivalente...

l'incompatibilità con UltraISO è già stata segnalata,
http://social.technet.microsoft.com/Forums/en/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875

La causa sembra essere legata all'abilitazione della tecnologia DEP a livello di sistema...
Credo che allo stato l'unica soluzione sia quella di disinstallarlo per passare ad un'altro programma equivalente...
Sì, avevo letto quella problematica a seguito di una googlata. Tra l'altro in altre sedi suggeriscono di modificare a livello generale la scheda DEP impostandola su Application Opt Out e poi inserire ultraiso nelle applicazioni e lasciare non spuntata l'opzione riferita al DEP. Non so se ho reso l'idea. A questo punto mi chiedo però se agisco in questo modo per far andare un programma quanto perderei in sicurezza cambiando quelle impostazioni generali del DEP?

Io ho messo sotto emet solo i programmi che si connettono a internet o potenzialmente vulnerabili (browser pdf java mediaplayer e poco altro)
Con questi nessun problema di sorta
ultraiso credo lo puoi togliere senza pensieri
Anch'io agisco in questo modo e difatti ultraiso non è stato aggiunto nella scheda dei programmi ma a quanto pare dipende da un'impostazione generale

Sì, avevo letto quella problematica a seguito di una googlata. Tra l'altro in altre sedi suggeriscono di modificare a livello generale la scheda DEP impostandola su Application Opt Out e poi inserire ultraiso nelle applicazioni e lasciare non spuntata l'opzione riferita al DEP. Non so se ho reso l'idea. A questo punto mi chiedo però se agisco in questo modo per far andare un programma quanto perderei in sicurezza cambiando quelle impostazioni generali del DEP?
Senza starti ad incasinare e sempre che CDburner/ImageBurn svolgano le stesse funzioni di UltraISO, eliminalo a favore degli altri programmi...
Ci fai un piantino una volta, ma poi sfrutti EMET al massimo delle sue potenzialità senza dover rinunciare a qualche settaggio...

per il resto come leggi sopra, nV ci ha informati che stanno creando una sandbox

questo e' molto positivo,visto che erano cosi bravi con gli hips fa ben sperare...chissa la compatibilità con i 64 bit?:boh:

Ne approfitto per segnalare alcune cose che, in un futuro prossimo, potrebbero risultare interessanti.

Anzitutto un Anti-Eseguibile prodotto da una software house italiana:
NoVirusThanks EXE Radar Pro (http://www.novirusthanks.org/product/exe-radar-pro/).

Discusso (timidamente) su WildersSecurity da qualche giorno (link! (http://www.wilderssecurity.com/showthread.php?t=300552)), è allo stato compatibile per i soli sistemi a 32bit...ma, da quello che è dato capire, dovrebbe essere imminentissimo il rilascio della versione @ 64bit (fonte (http://www.wilderssecurity.com/showpost.php?p=1887594&postcount=76))...


In quanto Anti-Eseguibile (e cioè, in qualità di programma che mette in stand-by qualsiasi processo estraneo alla sua whitelist), la sua efficacia è attestabile nell'intorno del 100%...

[Se l'utente infatti blocca sul nascere ogni nuovo elemento, oltre all'osmosi :D restano ben pochi altri canali aperti perchè un malware riesca a inocularsi nel sistema...
Il lato negativo di quest'approccio, eventualmente, potrebbe essere l'eccessiva "rigidità" visto che configura una sorta di Software Restriction Policy aggirabile cmq dando l'assenso all'esecuzione del processo sospeso...
In sostanza, NoVirusThanks EXE Radar è una sorta di Process Guard in forma "essenziale", un anti eseguibile privo cioè di "orpelli" come meccanismi volti ad intercettare il caricamento di driver, ecc...


L'ultima notizia, anche questa cmq parecchio stantia :D per chi frequenta con una certa assiduità WildersSecurity, è legata a Nod32 che, nella sua ultima beta, ha incorporato un HIPS classico...


Buona giornata...

Leggo che hanno implementato da poco il behavioral scan engine e noto che lo sviluppo procede piuttosto celermente.
Anche se mi sembra di capire che le richieste degli utenti cozzano con la politica del team di sviluppo che vorrebbe mantenere il prodotto più leggero possibile.

..anzi, da FUGGIRE...:read:


Un approccio di questa natura (vedi immagine sotto)

http://img13.imageshack.us/img13/2718/immagine1er.jpg (http://imageshack.us/photo/my-images/13/immagine1er.jpg/)

denota,

senza neppure dover chiamare in causa uno psichiatra,

un atteggiamento che è, semplicemente, di disturbo mentale...


Il soggetto in questione (immagine ripresa da un canale straniero) si sente "sicuro" dietro la mole di programmi di sicurezza installati e "questa sicurezza fatta di programmi" la sbandiera a destra e a manca reclamizzando ogni 3x2 la sua tray bar...

In realtà, l'individuo è talmente cretino da non rendersi conto di quanto è ridicolo...:read:



Perchè la sicurezza non è, anzitutto, un accozzaglia di nomi ma (fondamentalmente) un uso consapevole della macchina...
[è chiaro, cmq, che questa consapevolezza da sola non è sufficiente per configurare una buona sicurezza...]


Il messaggio di questo post, dunque, è il seguente:

scommettete che la sua probabilità di infettarsi sarà di gran lunga superiore alla mia?






...o, meglio, alla nostra visto che chi frequenta il thread, ormai, certe consapevolezze dovrebbe averle assimilate? ;)

avrà un 8 core con 32giga di ram e anche così per fare lo screen della sua traybar avrà aspettato 2 minuti che si aprisse paint, sempre che non debba anche dare 10 ok ai vari popup a video dei vari programmi che ha :D :doh:
Contento lui contenti tutti

...e poi...aggiungo io...utilizza ancora XP SP3...l'OS più buggato e meno sicuro della storia dell'Umanità. :O

...e poi...aggiungo io...utilizza ancora XP SP3...l'OS più buggato e meno sicuro della storia dell'Umanità. :O
bè, insomma, millennium è difficile da battere :D

@ sampei:
su una domanda che hai posto in un altro canale,
"Se un HIPS può essere bypassato e/o mal interpretato dall'utente [...], sarebbe più efficiente lo stesso, oppure un antieseguibile?"
mi permetto di rispondere io...

Al di là del fatto che non è chiaro il concetto di efficienza cui fai riferimento, un anti-eseguibile non è altro che una versione semplificata di un HIPS classico (es, MD, PG, ProSecurity,..):
semplicemente, invece di controllare tot elementi si limita a controllare l'elemento da cui poi derivano a cascata tutti gli altri comportamenti tracciati dall'HIPS classico.
Quest'elemento, dunque, è la PRIMA esecuzione (di un qualcosa di nuovo, che non è cioè nella whitelist dell'HIPS)...


Se prendi ad es la spiegazione del concetto di DLL injection da wikipedia (in italiano, link! (http://it.wikipedia.org/wiki/Dll_injection)), vedi che nell'es. che è portato il punto di partenza (da cui discendono poi tutta una serie di azioni) muove da un presupposto, e cioè che hack.exe sia anzitutto lanciato.

Ora, se questo lo inibisci...;)

L'HIPS classico, invece, OLTRE A QUESTO, monitora (ad es.) ANCHE le fasi successive (come l'apertura del processo-vittima per la creazione dell'handle all'interno del suo spazio di memoria, il tentativo di iniezione vero e proprio operato richiamando la funzione WriteProcessMemory, ecc)...


Spero di essere stato chiaro,
ciao :)

@ sampei:
su una domanda che hai posto in un altro canale,
"Se un HIPS può essere bypassato e/o mal interpretato dall'utente [...], sarebbe più efficiente lo stesso, oppure un antieseguibile?"
mi permetto di rispondere io...

Al di là del fatto che non è chiaro il concetto di efficienza cui fai riferimento, un anti-eseguibile non è altro che una versione semplificata di un HIPS classico (es, MD, PG, ProSecurity,..):
semplicemente, invece di controllare tot elementi si limita a controllare l'elemento da cui poi derivano a cascata tutti gli altri comportamenti tracciati dall'HIPS classico.
Quest'elemento, dunque, è la PRIMA esecuzione (di un qualcosa di nuovo, che non è cioè nella whitelist dell'HIPS)...


Se prendi ad es la spiegazione del concetto di DLL injection da wikipedia (in italiano, link! (http://it.wikipedia.org/wiki/Dll_injection)), vedi che nell'es. che è portato il punto di partenza (da cui discendono poi tutta una serie di azioni) muove da un presupposto, e cioè che hack.exe sia anzitutto lanciato.

Ora, se questo lo inibisci...;)

L'HIPS classico, invece, OLTRE A QUESTO, monitora (ad es.) ANCHE le fasi successive (come l'apertura del processo-vittima per la creazione dell'handle all'interno del suo spazio di memoria, il tentativo di iniezione vero e proprio operato richiamando la funzione WriteProcessMemory, ecc)...


Spero di essere stato chiaro,
ciao :)

un pò come fà la sandbox di comodo impostata su block...
il problema nasce nel distinguere cio' da bloccare o meno...

secondo me l'approccio migliore e' quello di defencewall che bene o male rende invisibile il suo lavoro all'utente finale ...limitando al massimo il range per i processi untrusted...peccato che sia solo per 32 bit:cry:

..anzi, da FUGGIRE...:read:


Un approccio di questa natura (vedi immagine sotto)

http://img13.imageshack.us/img13/2718/immagine1er.jpg (http://imageshack.us/photo/my-images/13/immagine1er.jpg/)

denota,

senza neppure dover chiamare in causa uno psichiatra,

un atteggiamento che è, semplicemente, di disturbo mentale...


Il soggetto in questione (immagine ripresa da un canale straniero) si sente "sicuro" dietro la mole di programmi di sicurezza installati e "questa sicurezza fatta di programmi" la sbandiera a destra e a manca reclamizzando ogni 3x2 la sua tray bar...

In realtà, l'individuo è talmente cretino da non rendersi conto di quanto è ridicolo...:read:



Perchè la sicurezza non è, anzitutto, un accozzaglia di nomi ma (fondamentalmente) un uso consapevole della macchina...
[è chiaro, cmq, che questa consapevolezza da sola non è sufficiente per configurare una buona sicurezza...]


Il messaggio di questo post, dunque, è il seguente:

scommettete che la sua probabilità di infettarsi sarà di gran lunga superiore alla mia?






...o, meglio, alla nostra visto che chi frequenta il thread, ormai, certe consapevolezze dovrebbe averle assimilate? ;)

questo conferma che il concetto di sicurezza e' relativo...
c'e' chi si sente sicuro con il solo firewall di window e chi invece deve riempire tutta la barra sotto:ciapet: :ciapet:

questo conferma che il concetto di sicurezza e' relativo...
c'e' chi si sente sicuro con il solo firewall di window e chi invece deve riempire tutta la barra sotto:ciapet: :ciapet:
No, nessuna relatività:
se da un lato è vero che ciascuno a casa sua è assolutamente libero di installare cosa cavolo gli pare, dall'altro è anche vero che esistono motivazioni TECNICHE che vorrebbero che NON SI PERCORRA quella strada.


Chi opta dunque per l'irrazionalità, quanto meno deve esserne consapevole...




E' inutile che qualcuno, anche qui, continui ad interpretare il concetto di libertà (ad utilizzare la macchina come più ci aggrada) come impostazione corretta, perchè cosi' non è. ;)

.

Puoi eseguire del codice iniettandolo direttamente nella memoria di un processo che è in whitelist [...]

mi fa immensamente piacere rileggerti su questo thread! :)




PS: non mi è possibile nessuna prova [vedi la mia firma per la motivazione]...
Sarebbe cmq da segnalare direttamente alla NoVirusTxs per conoscere il loro punto di vista al riguardo...

Grazie del contributo, riazzi :flower:

Quindi rimango della mia idea nè HIPS nè antiexecutable.

up!...

per dare visibilità ad una canzone che, pur malinconica, parla semplicemente al cuore:
Crying (http://www.youtube.com/watch?v=9Josp4pNWVk)...



Scusate l'OT e buona serata,

nV

Parzialmente scorrelato dall'oggetto del thread ma estremamente interessante:
è di eraser il 1° (?) tool standalone pensato specificamente per la rimozione del malware Popureb (Bootkit di recente concezione criticato [se non erro] per non essere lo stato dell'arte del coding generando di conseguenza seri problemi sui PC infetti):
Anti-Popureb Tool (http://blog.webroot.com/2011/07/08/free-anti-popureb-tool-released/) :read:



Sempre di eraser, poi, uno splendido articolo (me lo consenti, cancellino?) su una nuova variante del Rootkit ZeroAccess (Maxx++):
Articolo (http://blog.webroot.com/2011/07/08/zeroaccess-rootkit-guards-itself-with-a-tripwire/)

Oltre alla meccanica di impianto, Marco traccia anche una breve storia del malware in questione:
"Until May 2011, the rootkit was hitting only 32-bit versions of Windows. Normally, it’s much more difficult to infect 64-bit Windows in kernel mode, due to two technologies: the driver’s digital signature verification check, and PatchGuard, the built-in Kernel Patch Protection technology. But recent changes to the rootkit’s architecture extended its spread into 64-bit world, though it doesn’t infect 64-bit systems using a kernel mode driver. Instead, it uses a more compatible user mode rootkit technique.
And then in June, the team behind ZeroAccess mixed up its infection techniques yet again. The way most people become infected with this rootkit today is through exploit kits hosted on drive-by download Web sites. The exploit kits push a dropper to the victim PC and executes it. The dropper attempts to evade UAC by executing a new, code-injected instance of explorer.exe".

In sostanza, fino a Maggio questo malware esisteva solo in versione 32bit.
Successivamente è comparsa la variante x64 compatibile che, per aggirare i problemi imposti dalle versioni a 64bit degli ultimi OS Microsoft [e cioè, PatchGuard/Firme digitali], ha adottato il canale User mode...
In giugno, poi, vengono nuovamente mescolate le carte in tavola sfruttando siti infetti che, utilizzando un exploit, scaricano silenziosamente codice che aggirerà l'UAC (se settato a default!) dando inizio al processo di infezione vero e proprio (dettagli sul blog)...


Grande Marco. :)


-----------------------
ZeroAccess – an advanced kernel mode rootkit (http://www.prevxresearch.com/zeroaccess_analysis.pdf) [Pdf, rev 1.1]

Autore:
Marco Giuliani
Head of Prevx Advanced Malware Research Team

scusate non leggo sto post da anni,
anni fa usavo prosecurity che poi divenne mi pare realtime defender...esiste ancora?se è chiuso,che mi consigliate di usare?

finalmente un intervento di un utente che si legge meno su questo thread! :)


Se vieni da ProSecurity e vuoi rimanere su un software analogo, l'unico sostituto naturale è Malware Defender (gratuito, peraltro, e a patto sempre che il tuo OS sia a 32bit)...


Credo che ti troverai benissimo... :)


PS: c'è anche il thread ufficiale su HW!

A proposito dei
dettagli sul blog...

cui rimandavo qualche gg fà parlando del Rootkit ZeroAccess (e che son sicuro nessuno abbia letto :D), è on line un nuovo video che mostra in maniera estremamente chiara ed intuitiva sia il discorso relativo alla sua rimozione da parte dell'eccellente Hitman Pro sia tutto il capitolo del trucco che questo malware adotta per prevenire l'esecuzione di programmi antimalware (dall'articolo di eraser, "The most interesting development is ZeroAccess’ use of another, second rootkit driver as a weapon to kill, without mercy, every kind of security software. Not only does the security scanner call its own ExitProcess(), but after the software has been killed, the rootkit ratchets up the nuisance level to 11: It resets the ACL setting of the process’s file, rendering the file unusable unless the user manually sets back the correct ACL").

VIDEO n° 1: ZeroAccess "uccide" i programmi antimalware... (http://www.youtube.com/watch?v=aoplNh3kT2Y&feature=iv&annotation_id=annotation_434645)

VIDEO n° 2: HITMAN Pro [build127] VS ZeroAccess + procedura per ripristino ACL dei programmi danneggiati (http://www.youtube.com/watch?v=61f7Kp18mbk&feature=player_embedded)

Impressionante....

Impressionante....

come tutte le infezioni...una volta entrata nelle firme viene bloccata da qualsiasi av,la cosa curiosa sarebbe ,poter conoscere quale programma sarebbe stato in grado di bloccare l'infezione prima di entrare nelle firme...comodo,online armor,malware defender,defence wall,l'uac di window ...questo e' un test interessante...

Impressionante....
vero:
alle spalle di questi malware c'è sicuramente gente con °° cubitali che maneggia la materia con assoluta destrezza...

...la cosa curiosa sarebbe ,poter conoscere quale programma sarebbe stato in grado di bloccare l'infezione prima di entrare nelle firme...comodo,online armor,malware defender,defence wall,l'uac di window ...questo e' un test interessante...
o è un errore dettato dalla fretta, o (più probabile) mi sa che come al solito le notizie vengono lette con estrema superficialità:
il capitolo UAC, infatti, in relazione a quest'ultima variante è stato precedentemente affrontato in questo post [3135 (http://www.hwupgrade.it/forum/showpost.php?p=35540124&postcount=3135)], in particolare nella parte in cui si dice che "in giugno [...] vengono nuovamente mescolate le carte in tavola sfruttando siti infetti che, utilizzando un exploit, scaricano silenziosamente codice che aggirerà l'UAC (se settato a default!) dando inizio al processo di infezione vero e proprio (dettagli sul blog)".

A default, dunque, l'UAC è aggirabile.



Sui nomi (di software) che hai portato, invece, una distinzione:
DefenseWall -> non scherziamo:
anche solo un'osservazione distratta di questo report [MRG Flash Test Result (http://malwareresearchgroup.com/malware-tests/flash-test-results/)] dovrebbe dare un'idea di che pasta è fatto questo programma...

MD -> è praticamente certa l'intercettazione delle fasi critiche del processo di infezione...

Come tutti gli HIPS classici dotati di controllo sulla 1° esecuzione, infatti, MD è in grado di "vedere" che un nuovo processo (quello del malware) tenta di partire (e questo, già di per sè, è sufficiente per impedire l'infezione)...
Sono sicuro, inoltre, che anche là dove un utente (disgraziatamente) dovesse dare l'OK al pop-up che si genera nella fase di cui sopra, MD sarebbe "a conoscenza" del trucco usato da questo Rootkit per caricare la propria componente Kernel mode (e che è responsabile materialmente dell'infezione vera e propria portando al Subverting dell'OS)...

Dal lavoro di eraser, infatti, Analisi di ZeroAccess.pdf (http://www.prevxresearch.com/zeroaccess_analysis.pdf), questo passaggio dovrebbe essere quello incriminato per spiegare la meccanica del caricamento del driver:

(non appena il rootkit ha individuato il driver da "aggredire"), "the rootkit creates a new section, called \.<name of the driver that will be infected> (e.g. \.NdProxy), where it temporarily stores a copy of the clean driver 4 body.
Then the rootkit creates a new service registry key under HKLM\SYSTEM\CurrentControlSet\Services\ with the value .<name of the driver that will be infected> (e.g. .NdProxy).
Inside this registry key, the ImagePath value is set to \*.
This is an obfuscation trick to avoid security software from intercepting the file which is going to be loaded.
By passing the value \*, security software will be fooled because it apparently doesn’t point to any real file.
Actually the rootkit’s dropper sets a new symbolic link by calling ZwCreateSymbolicLinkObject API, pointing \* to the real file.
The dropper infects the target driver by fully overwriting the code with its own kernel mode driver and then loads it by calling ZwLoadDriver...

OA -> altissima probabilità di bloccare il malware
Comodo -> Questo fa onestamente storia a sè e personalmente non me la sento di sbilanciarmi per quanto ritenga molto probabile l'esito positivo...

o è un errore dettato dalla fretta, o (più probabile) mi sa che come al solito le notizie vengono lette con estrema superficialità:
il capitolo UAC, infatti, in relazione a quest'ultima variante è stato precedentemente affrontato in questo post [3135 (http://www.hwupgrade.it/forum/showpost.php?p=35540124&postcount=3135)], in particolare nella parte in cui si dice che "in giugno [...] vengono nuovamente mescolate le carte in tavola sfruttando siti infetti che, utilizzando un exploit, scaricano silenziosamente codice che aggirerà l'UAC (se settato a default!) dando inizio al processo di infezione vero e proprio (dettagli sul blog)".

A default, dunque, l'UAC è aggirabile.



Sui nomi (di software) che hai portato, invece, una distinzione:
DefenseWall -> non scherziamo:
anche solo un'osservazione distratta di questo report [MRG Flash Test Result (http://malwareresearchgroup.com/malware-tests/flash-test-results/)] dovrebbe dare un'idea di che pasta è fatto questo programma...

MD -> è praticamente certa l'intercettazione delle fasi critiche del processo di infezione...

Come tutti gli HIPS classici dotati di controllo sulla 1° esecuzione, infatti, MD è in grado di "vedere" che un nuovo processo (quello del malware) tenta di partire (e questo, già di per sè, è sufficiente per impedire l'infezione)...
Sono sicuro, inoltre, che anche là dove un utente (disgraziatamente) dovesse dare l'OK al pop-up che si genera nella fase di cui sopra, MD sarebbe "a conoscenza" del trucco usato da questo Rootkit per caricare la propria componente Kernel mode (e che è responsabile materialmente dell'infezione vera e propria portando al Subverting dell'OS)...

Dal lavoro di eraser, infatti, Analisi di ZeroAccess.pdf (http://www.prevxresearch.com/zeroaccess_analysis.pdf), questo passaggio dovrebbe essere quello incriminato per spiegare la meccanica del caricamento del driver:

(non appena il rootkit ha individuato il driver da "aggredire"), "the rootkit creates a new section, called \.<name of the driver that will be infected> (e.g. \.NdProxy), where it temporarily stores a copy of the clean driver 4 body.
Then the rootkit creates a new service registry key under HKLM\SYSTEM\CurrentControlSet\Services\ with the value .<name of the driver that will be infected> (e.g. .NdProxy).
Inside this registry key, the ImagePath value is set to \*.
This is an obfuscation trick to avoid security software from intercepting the file which is going to be loaded.
By passing the value \*, security software will be fooled because it apparently doesn’t point to any real file.
Actually the rootkit’s dropper sets a new symbolic link by calling ZwCreateSymbolicLinkObject API, pointing \* to the real file.
The dropper infects the target driver by fully overwriting the code with its own kernel mode driver and then loads it by calling ZwLoadDriver...

OA -> altissima probabilità di bloccare il malware
Comodo -> Questo fa onestamente storia a sè e personalmente non me la sento di sbilanciarmi per quanto ritenga molto probabile l'esito positivo...

quando mi riferisco all'uac considero solo quello alla max protezione....
quello a default non lo considero proprio....

il test e' stato fatto sotto virtualbox con xp...quindi e' da prendere con le pinze.

per il resto non ho dubbi che gli altri programmi avrebbero intercettato l'infezione visto il gran lavoro che deve fare per portare a termine il suo compito:D

quando mi riferisco all'uac considero solo quello alla max protezione....
quello a default non lo considero proprio....
ok, basta saperlo, cosi' la prox volta evito di scrivere tanto...


il test e' stato fatto sotto virtualbox con xp...quindi e' da prendere con le pinze.

:mbe:

XP ha un modello di sicurezza totalmente diverso dagli ultimi OS Microsoft (in sostanza, è profondamente più insicuro, ma questo ormai è pacifico da anni)...

Non capisco xò perchè ci vedi un problema:
se eraser (e erikloman per la HitmanPro, che non sono propriamente dei chiunque nel loro campo) si limitano a mostrare delle cose sotto XP, è perchè probabilmente lo trovano più pratico per far vedere le cose che vogliono dimostrare, o proprio perchè hanno preso il 1° OS che avevano sotto mano...


Gente cosi' non è che fa le cose "a caso" come potrebbe farle la maggioranza delle persone in questo campo (in sostanza, non è nv 25 "il regista", non so se è chiaro quello che voglio dire)...

Conoscendo a menadito questi OS e avendo analizzato precedentemente i sample, sanno a priori che (anche utilizzando per i loro filmini OS + moderni) i risultati sarebbero stati i medesimi (a patto chiaramente di utilizzare 7 & Vista a default!)...


Spero in un intervento di eraser in proposito...

ok, basta saperlo, cosi' la prox volta evito di scrivere tanto...




:mbe:




secondo me parecchie volte si scrive che l'infezione ha aggirato l'uac
senza specificare che l'uac e' stato testato a default,oppure viene scritto talmente in minuscolo0 che chi legge sottovaluta il valore di tale protezione....
era solo un mio pensiero...non vedo perchè bisogna essere cosi' permalosi






:mbe:

XP ha un modello di sicurezza totalmente diverso dagli ultimi OS Microsoft (in sostanza, è profondamente più insicuro, ma questo ormai è pacifico da anni)...

Non capisco xò perchè ci vedi un problema:



non vedo nessun problema ho solo detto che il test bisogna prenderlo con le pinze....
molti programmi di sicurezza anche su sistemi operativi puliti non girano a dovere sotto virtualbox,....vedi norton e' scoppiato come un palloncino in fase di installazione.....a me capita per esempio che kis si pianti mentre lo installo ....quindi virtualbox non essendo un sistema reale e' da prendere con le pinze....
l'hai scritto proprio tu in passato che alcune infezioni fanno il controllo per vedere se l'ambiente e' virtualizzato per comportarsi in modo differente

per carità, c'è del vero (in particolare quando dici che su OS virtualizzato un malware può comportarsi diversamente)...ma vuoi che gente come eraser/erikloman non lo sappiano in relazione al particolare sample di cui fanno il video sotto macchina virtuale?


Non credo di essere permaloso, semplicemente cerco di essere preciso...



Sono sicuro, cmq, che eraser dirà la sua in proposito (= perchè usiamo XP invece del più moderno 7? // è vero che scriviamo in maniera poco trasparente che quando l'UAC fallisce è settato su default e non al massimo?)

quando mi riferisco all'uac considero solo quello alla max protezione....
quello a default non lo considero proprio....

il test e' stato fatto sotto virtualbox con xp...quindi e' da prendere con le pinze.


Sbagli a non considerarlo proprio. Tu non lo consideri proprio, ma la maggior parte delle persone ha lo UAC configurato a livello di default - ammesso e non concesso che ce l'abbia ancora attivato.

Quando si parla di bypassare lo UAC si parla di falle di design ben conosciute e che possono essere utilizzate per evitare di incappare nelle maglie della sicurezza di Windows Vista/7. Nell'articolo è ben specificato che il problema è lo UAC a livello di default, ed è anche spiegato il perché esista il problema.

Lo UAC configurato al livello più alto non verrà automaticamente bypassato, sempre che l'utente stesso non sia ingannato e dia volontariamente il consenso alla finestra di avviso (opzione tutt'altro che remota).

Test da prendere con le pinze? Statistiche NetMarketShare alla mano, a Giugno 2011 la percentuale di sistemi basati su Windows XP era del 51%, Windows 7 era del 27%.

Perché ho fatto il test con Windows XP e non con Windows 7? Semplicemente avevo a disposizione quella macchina virtuale.

Perché spesso si fanno vedere i test sotto Windows XP? Semplicemente perché è più semplice analizzare il sistema operativo ed il comportamento del malware lì, mancando totalmente di misure di sicurezza quali l'ASLR, che potrebbero rallentare l'analisi del codice (in realtà è uguale, si può fare tranquillamente anche su Windows 7, sono pigro io sinceramente).

Ma se viene scritto che quel malware riesce tranquillamente ad infettare anche Windows 7 con UAC configurato di default, evidentemente ho le prove per dire ciò.

Test da prendere con le pinze: perché?

molti programmi di sicurezza anche su sistemi operativi puliti non girano a dovere sotto virtualbox,....vedi norton e' scoppiato come un palloncino in fase di installazione.....a me capita per esempio che kis si pianti mentre lo installo ....quindi virtualbox non essendo un sistema reale e' da prendere con le pinze....
l'hai scritto proprio tu in passato che alcune infezioni fanno il controllo per vedere se l'ambiente e' virtualizzato per comportarsi in modo differente

Ok che in fondo, alla fine dei conti, sono un novellino nel settore della sicurezza informatica, ma non sono proprio così ingenuo :fagiano: :D

capitolo chiuso, dunque, visto che come era logico supporre "il regista non era nV 25 "...:D

Sbagli a non considerarlo proprio. Tu non lo consideri proprio, ma la maggior parte delle persone ha lo UAC configurato a livello di default - ammesso e non concesso che ce l'abbia ancora attivato.

Quando si parla di bypassare lo UAC si parla di falle di design ben conosciute e che possono essere utilizzate per evitare di incappare nelle maglie della sicurezza di Windows Vista/7. Nell'articolo è ben specificato che il problema è lo UAC a livello di default, ed è anche spiegato il perché esista il problema.

Lo UAC configurato al livello più alto non verrà automaticamente bypassato, sempre che l'utente stesso non sia ingannato e dia volontariamente il consenso alla finestra di avviso (opzione tutt'altro che remota).

Test da prendere con le pinze? Statistiche NetMarketShare alla mano, a Giugno 2011 la percentuale di sistemi basati su Windows XP era del 51%, Windows 7 era del 27%.

Perché ho fatto il test con Windows XP e non con Windows 7? Semplicemente avevo a disposizione quella macchina virtuale.

Perché spesso si fanno vedere i test sotto Windows XP? Semplicemente perché è più semplice analizzare il sistema operativo ed il comportamento del malware lì, mancando totalmente di misure di sicurezza quali l'ASLR, che potrebbero rallentare l'analisi del codice (in realtà è uguale, si può fare tranquillamente anche su Windows 7, sono pigro io sinceramente).

Ma se viene scritto che quel malware riesce tranquillamente ad infettare anche Windows 7 con UAC configurato di default, evidentemente ho le prove per dire ciò.

Test da prendere con le pinze: perché?

Ok che in fondo, alla fine dei conti, sono un novellino nel settore della sicurezza informatica, ma non sono proprio così ingenuo :fagiano: :D

Ciao forse mi sono espresso male o c'e' qualcuno che tenta di manipolare cio' che dico .....

e' surreale vedere norton che si spegne come un palloncino...mi riferisco a quella parte li...e' capitata anche a me su virtualbox come detto precedentemente con sistema pulito fallire l'installazione

l'unico riferimento che mi sono permesso di fare al tuo test si riferisce alla conclusione ....che viene manipolata da qualcuno che afferma che l'infezione bypassa l'uac...cosa imprecisa"infatti bypassa l'uac in default oppure se qualcuno come dici tu acconsente ....
per il resto non ho mai messo in dubbio che sei un professionista serio che fa il suo lavoro in maniera eccellente.....

capitolo chiuso, dunque, visto che come era logico supporre "il regista non era nV 25 "...:D

come assalito non riesci a capire i miei interventi....

dici che gli altri sono superficiali...


o è un errore dettato dalla fretta, o (più probabile) mi sa che come al solito le notizie vengono lette con estrema superficialità:
[/LIST]
rileggi bene ciò che ho scritto ,e impara prima a riflettere su cio' che gli altri dicono e poi rispondi,

hai tirato in ballo Eraser,quando la mia non era una critica ma una costatazione

del test di eraser avevo detto una verita' e nessuna imprecisione infatti
dire che l'uac viene bypassato dall'infezione non e' esatto....
infatti bisogna far coincidere una delle due condizioni,o che sia a default o che l'utente acconsenti a far entrare l'infezione,cosa che un utente medio non fà:D

Stavo seguendo un pò il discorso inerente quel test e la domanda sorge spontanea: a fronte del mio costante e fisso utilizzo di sandboxie, dovrei sentirmi protetto adeguatemente? (considerate che alla fine di ogni sessione svuoto sempre la SB). Inoltre la prima cosa che ho fatto quando ho installato W7 è l'"adeguamento" dell'UAC al livello massimo :stordita:
Inoltre dando uno sguardo ai softwares oggetto di questo thread ho notato che Geswall non ne vuole sapere di tirar fuori la versione x64 compatibile...sul sito ormai la dicitura "coming soon" è lì da diversi mesi e mi sa tanto di presa per i fondelli :D

Stavo seguendo un pò il discorso inerente quel test e la domanda sorge spontanea: a fronte del mio costante e fisso utilizzo di sandboxie, dovrei sentirmi protetto adeguatemente? (considerate che alla fine di ogni sessione svuoto sempre la SB). Inoltre la prima cosa che ho fatto quando ho installato W7 è l'"adeguamento" dell'UAC al livello massimo :stordita:
Inoltre dando uno sguardo ai softwares oggetto di questo thread ho notato che Geswall non ne vuole sapere di tirar fuori la versione x64 compatibile...sul sito ormai la dicitura "coming soon" è lì da diversi mesi e mi sa tanto di presa per i fondelli :D

come dicevo precedentemente il test letto nella maniera sbagliata far nascere dei dubbi a tutti...

io metto le mani sul fuoco...che con l'uac al massimo il test fallisce;)

e' surreale vedere norton che si spegne come un palloncino...mi riferisco a quella parte li...e' capitata anche a me su virtualbox come detto precedentemente con sistema pulito fallire l'installazione


Sì, è surreale, vero. Ma è reale, non è assolutamente un problema di VirtualBox. Chiunque abbia possibilità di utilizzare un debugger può verificare egli stesso che il problema è il malware, non VirtualBox


dire che l'uac viene bypassato dall'infezione non e' esatto....
infatti bisogna far coincidere una delle due condizioni,o che sia a default o che l'utente acconsenti a far entrare l'infezione,cosa che un utente medio non fà


Il problema è che l'utente medio che intendi tu non è il vero utente medio :) L'utente medio reale non ha la minima idea di che siano quelle finestre che appaiono all'improvviso, e da tranquillamente l'ok :fagiano:

io metto le mani sul fuoco...che con l'uac al massimo il test fallisce;)

Te lo confermo: con l'UAC al massimo, se l'utente non si lascia ingannare, il malware non può ottenere i privilegi necessari per funzionare.

(Comunque, giusto per dovere di cronaca, esistono anche quei malware che ti chiedono ripetutamente i privilegi di amministratore, in un ciclo infinito fino a quando l'utente non da il consenso :) )

Te lo confermo: con l'UAC al massimo, se l'utente non si lascia ingannare, il malware non può ottenere i privilegi necessari per funzionare.

(Comunque, giusto per dovere di cronaca, esistono anche quei malware che ti chiedono ripetutamente i privilegi di amministratore, in un ciclo infinito fino a quando l'utente non da il consenso :) )

ok grazie ....visto che ci sei ...
potresti darmi una risposta su questo
http://www.hwupgrade.it/forum/showpost.php?p=35583957&postcount=121



grazie saluti

come assalito non riesci a capire i miei interventi....

dici che gli altri sono superficiali...

rileggi bene ciò che ho scritto ,e impara prima a riflettere su cio' che gli altri dicono e poi rispondi,

hai tirato in ballo Eraser,quando la mia non era una critica ma una costatazione

del test di eraser avevo detto una verita' e nessuna imprecisione infatti
dire che l'uac viene bypassato dall'infezione non e' esatto....
infatti bisogna far coincidere una delle due condizioni,o che sia a default o che l'utente acconsenti a far entrare l'infezione,cosa che un utente medio non fà:D

rispondo dicendo semplicemente che è meglio passar oltre visto che essere sospeso per causa tua proprio non vale la pena.

rispondo dicendo semplicemente che è meglio passar oltre visto che essere sospeso per causa tua proprio non vale la pena.

non ti arrabbiare nv...stai continuando ad usare un atteggiamento sbagliato...
ti sto solo dicendo di leggere bene prima di rispondere,non e' mia intenzione offenderti;) :friend:

Ne approfitto per segnalare alcune cose che, in un futuro prossimo, potrebbero risultare interessanti.

Anzitutto un Anti-Eseguibile prodotto da una software house italiana:
NoVirusThanks EXE Radar Pro (http://www.novirusthanks.org/product/exe-radar-pro/).

Discusso (timidamente) su WildersSecurity da qualche giorno (link! (http://www.wilderssecurity.com/showthread.php?t=300552)), è allo stato compatibile per i soli sistemi a 32bit...ma, da quello che è dato capire, dovrebbe essere imminentissimo il rilascio della versione @ 64bit (fonte (http://www.wilderssecurity.com/showpost.php?p=1887594&postcount=76))...


Molti se ne saranno accorti leggendo l'apposito thread su WS, fatto stà che l'impressione che ricavo è quella di un interesse sempre più marcato da parte del pubblico:
visto che la software house è italiana e che, dunque, anche il problema della lingua non dovrebbe porsi nel momento in cui uno debba mandargli una mail per segnalazioni o altro, possibile che a nessuno sia venuta la voglia di provarlo?? (le chiavi per una prova, infatti, le mandano senza problemi)...


Quasi quasi, anzi, li invito a partecipare a questo thread :p ...

Contattati...

Adesso non resta che aspettare una loro risposta...:sperem:

come dicevo precedentemente il test letto nella maniera sbagliata far nascere dei dubbi a tutti...

io metto le mani sul fuoco...che con l'uac al massimo il test fallisce;)

Beh se viene letto in maniera sbagliata mi pare ovvio che possa generare dubbi.

Contattati...

Adesso non resta che aspettare una loro risposta...:sperem:

la cosa che mi consola è che, per par-condicio, sono "spariti" anche da WS...

E' molto probabile che siano al lavoro sulla nuova build (da qui il "periodo sabbatico"...) e che, non appena pronta, comunichino la notizia anche su WS e si accorgano del mio pvt...

Che non considerino neppure di striscio, infatti, è un'ipotesi che non voglio prendere neppure in considerazione...

E se mi sbaglio, invece.......pax vobiscum :D

E' molto probabile che siano al lavoro sulla nuova build [...] e che, non appena pronta, comunichino la notizia anche su WS e si accorgano del mio pvt...
Giusto a titolo di cronaca, vi informo che hanno accettato il mio invito a partecipare a questa discussione non appena hanno pronta la nuova build (1.3.2)...

Credo saranno sicuramente loro a ritornare sul punto sollevato da riazzituoi [Link! (http://www.hwupgrade.it/forum/showpost.php?p=35427375&postcount=3131)] per quanto in privato mi sia già stata fornita una pronta risposta.

Credo saranno sicuramente loro a ritornare sul punto sollevato da riazzituoi [Link! (http://www.hwupgrade.it/forum/showpost.php?p=35427375&postcount=3131)] per quanto in privato mi sia già stata fornita una pronta risposta.

È il problema da sempre esistente per quanto riguarda i software "puri whitelist". Premetto che non ho guardato il software comunque, non so come sia implementato :)

È il problema da sempre esistente per quanto riguarda i software "puri whitelist". Premetto che non ho guardato il software comunque, non so come sia implementato :)

e noi attendiamo una loro risposta:
da quello che ho capito, infatti, il rilascio della v1.3.2 dovrebbe essere imminente e, di conseguenza, la loro risposta ufficiale non dovrebbe tardare a farsi sentire...







Che dire, infine?
eraser, [a suo tempo] Kareldjag, ora (forse) questi sviluppatori italiani, riazzituoi,...:
insomma, io mi sento solamente onorato di aver avuto la fortuna di vedervi anche su questo canale... :ave:

OT:


avete visto lo spettacolo della nuova veste grafica di process explorer 15?
Oltre alle marcate migliorie grafiche, infatti, monitora anche il consumo della GPU...:D

http://img828.imageshack.us/img828/7155/testjbz.th.jpg (http://imageshack.us/photo/my-images/828/testjbz.jpg/)

Nell'attesa che dalla NoVirusThanks si decidano a considerare anche i loro compatrioti, vi segnalo che ai seminari Hacks In Taiwan (HIT2011) mj0011 ha presentato un lavoro sulle debolezze dei meccanismi di auto-Sandbox implementati in 4 software di uso molto comune:
Avast, Comodo, Kaspersky, Kingston.

Chi avesse il desiderio di gettare uno sguardo alle slide pubblicate, questo è il link anche se di fatto risultano prive di significato a causa della lingua utilizzata:
http://www.hitcon.org/hit2011/downloads/02_bypass_sandbox_bg.pdf




E' stata inoltre finalmente soddisfatta la mia curiosità di vedere il volto di questo tizio, figura che ha fatto parlare di se anche in occidente non molto tempo fà...
La posto, per quello che può valere (= nulla).. :D


http://img830.imageshack.us/img830/411/immagine2pi.jpg (http://imageshack.us/photo/my-images/830/immagine2pi.jpg/)




PS: volete mettere il fascino tutto latino che sprigiona un certo eraser? :ciapet:

PS: volete mettere il fascino tutto latino che sprigiona un certo eraser? :ciapet:

E potrebbe essere probabile che mi vedrai in una di queste conferenze :sofico:

come no...:D

come no...:D

Mi sa che ti dovrai ricredere :D

Giusto a titolo di cronaca, vi informo che hanno accettato il mio invito a partecipare a questa discussione non appena hanno pronta la nuova build (1.3.2)...

Credo saranno sicuramente loro a ritornare sul punto sollevato da riazzituoi [Link! (http://www.hwupgrade.it/forum/showpost.php?p=35427375&postcount=3131)] per quanto in privato mi sia già stata fornita una pronta risposta.

http://www.novirusthanks.org/news/article/novirusthanks-exe-radar-pro-v1-3-2/

http://www.novirusthanks.org/news/article/novirusthanks-exe-radar-pro-v1-3-2/

+ Added “Alert when regsvr32 tries to silently load a DLL”

Mi vengono in mente, così ad occhio, almeno altri 3 modi (di cui 2 impossibili da individuare con quest'architettura) :)

Comunque stanno veramente facendo un ottimo lavoro, bravi conterranei :D

:D Ciao ho dato un occhiata al link e vorrei info in merito a questo software,penso serva a piu' cose,,anche perche' la nuova variante del virus segnalato ed in grado di rilevare viene gia' bloccata dai software tradizionali.

http://img593.imageshack.us/img593/2198/20110725132524.th.jpg (http://imageshack.us/photo/my-images/593/20110725132524.jpg/) Uploaded with ImageShack.us (http://imageshack.us)

Nell'attesa che dalla NoVirusThanks si decidano a considerare anche i loro compatrioti, vi segnalo che ai seminari Hacks In Taiwan (HIT2011) mj0011 ha presentato un lavoro sulle debolezze dei meccanismi di auto-Sandbox implementati in 4 software di uso molto comune:
Avast, Comodo, Kaspersky, Kingston.

Chi avesse il desiderio di gettare uno sguardo alle slide pubblicate, questo è il link anche se di fatto risultano prive di significato a causa della lingua utilizzata:
http://www.hitcon.org/hit2011/downloads/02_bypass_sandbox_bg.pdf




E' stata inoltre finalmente soddisfatta la mia curiosità di vedere il volto di questo tizio, figura che ha fatto parlare di se anche in occidente non molto tempo fà...
La posto, per quello che può valere (= nulla).. :D


http://img830.imageshack.us/img830/411/immagine2pi.jpg (http://imageshack.us/photo/my-images/830/immagine2pi.jpg/)




PS: volete mettere il fascino tutto latino che sprigiona un certo eraser? :ciapet:

Questo il lavoro esteso:

http://www.hitcon.org/hit2011/downloads/en/02_bypass_sandbox_bg.pdf

**********************

Può essere d'aiuto per gli utenti che non comprendono l'inglese la barra di traduzione di Opera dal cinese all'italiano.

si, ok:

si capisce 0 cosi' come si capiva 0 dal pdf che avevo messo io...:D

Vediamo cmq se eraser è venuto a sapere qualcosa in proposito grazie al lavoro che svolge...

Anche se non sarà passato inosservato ai più per quanto nessuna segnalazione a riguard sia presente nell'apposito thread, segnalo che Comodo ha rilasciato una nuova beta del proprio prodotto:
la novità sicuramente più apprezzabile è questa,

NEW! Strengtened HIPS on 64 Bit operating systems: HIPS has been architected in such a way that now many parts of it are as strong as 32 bit operating systems. Previously, it was possible to bypass some of the protections such as COM interface access etc.



Finalmente anche su 64bit comincia a muoversi qualcosa...

Anche se non sarà passato inosservato ai più per quanto nessuna segnalazione a riguard sia presente nell'apposito thread, segnalo che Comodo ha rilasciato una nuova beta del proprio prodotto:
la novità sicuramente più apprezzabile è questa,

NEW! Strengtened HIPS on 64 Bit operating systems: HIPS has been architected in such a way that now many parts of it are as strong as 32 bit operating systems. Previously, it was possible to bypass some of the protections such as COM interface access etc.



Finalmente anche su 64bit comincia a muoversi qualcosa...
Speriamo sia da monito per altre software house :cool:

Speriamo sia da monito per altre software house :cool:

nel bene e nel male comodo e' stato tra i primi a rendere compatibile il suo hips con il 64 bit...prima che mi date addosso...con una protezione limitata rispetto al 32 bit(certo:D )...ma almeno compatibile...
online armor ci ha messo almeno un anno ...una beta mi sembra che sia durata mesi...
gli altri chissa quando arriveranno ...mi sa che esce prima window 8 con 128 bit:D
e risiamo punto e a capo:asd:

Per gli amanti di Comodo ho trovato questo su uno dei soliti canali cinesi: :D

http://img811.imageshack.us/img811/8006/immagine1rno.jpg (http://imageshack.us/photo/my-images/811/immagine1rno.jpg/)

ZeroAccess Sandbox Analysis http://joesecurity.org/resources/zeroaccess.html

e removal tool (http://anywhere.webrootcloudav.com/antizeroaccess.exe) :D

e removal tool (http://anywhere.webrootcloudav.com/antizeroaccess.exe) :D

Ottimo :)

e removal tool (http://anywhere.webrootcloudav.com/antizeroaccess.exe) :D

chiedo scusa
cos'è il tool per rimuovere Webroot Cloud Antivirus?

chiedo scusa
cos'è il tool per rimuovere Webroot Cloud Antivirus?

non ti fa sentire da eraser:D

e' il tool per rimuovere il malware zeroacess

e removal tool (http://anywhere.webrootcloudav.com/antizeroaccess.exe) :D

Giusto per sfizio ho provato a lanciarlo sul PC di lavoro (7 Home Premium 64bit SP1) ma dice che l'OS non è supportato...:mbe:
E' normale?


Mi sono accorto giusto ora, cmq, che anche la Surflight ha rilasciato una nuova beta per sistemi a 32bit (v.128) del suo HitmanPro capace di rimuovere anch'esso l'ultima variante di ZeroAccess (che poi dovrebbe essere questa (http://blog.webroot.com/2011/07/19/zeroaccess-gets-another-update/), giusto?), link (http://www.wilderssecurity.com/showpost.php?p=1911818&postcount=3421)...




Sia come sia, cmq, (tentare di) PREVENIRE (una potenziale infezione...) è oggi più che mai DETERMINANTE specie alla luce della "raffinatezza tecnologica" cui sono giunti questi malware....

Paradossalmente, dunque, se questo thread poteva essere considerato per certi versi eccessivo quando fu aperto nel lontano 2005 (la sofisticazione delle minacce, infatti, era probabilmente ancora blanda fatto salvo qualche caso sporadico), oggi (credo) risulti sicuramente più attuale per i motivi citati...

2 soluzioni per tentare di arginare questi rischi, infatti, li abbiamo tirati giu'...

Giusto per sfizio ho provato a lanciarlo sul PC di lavoro (7 Home Premium 64bit SP1) ma dice che l'OS non è supportato...:mbe:
E' normale?

Sì, anche perché l'attuale infezione kernel mode di ZeroAccess è compatibile solo con i sistemi a 32 bit

Sì, anche perché l'attuale infezione kernel mode di ZeroAccess è compatibile solo con i sistemi a 32 bit

Perfetto.

Al di là cmq della differente tecnica di impianto in base all'architettura dell'OS, credevo xò che il tool fosse in grado di girare indistintamente su tutti gli OS proprio per il fatto che ZeroAccess è genericamente compatibile con le piattaforme x86/x64...

PS: l'ultima variante è quella descritta sul vs/blog, vedi il post che hai quotato solo parzialmente?
Ciao, eraser, e grazie ancora...:)

non ti fa sentire da eraser:D

e' il tool per rimuovere il malware zeroacess

rosso per la vergogna :doh::D

Adesso non resta che aspettare una loro risposta...


Eccomi :)

Faccio parte del supporto di NoVirusThanks e vedrò di rispondere a tutte le domande degli utenti inerenti al prodotto EXE Radar Pro. Prima di tutto volevo ringraziare l'utente nV 25 per averci contattato e per aver inserito il nostro prodotto in questo thread.


Puoi eseguire del codice iniettandolo direttamente nella memoria di un processo che è in whitelist

esempio blocca cmd o regedit e prova questo (basato sul poc di Didier Stevens):
http://ikat.ha.cked.net/Windows/files/officekat.zip


Ho scaricato e testato "officekat.zip" ma è in formato XLS, quindi richiede che l'utente abbia installato Excel. Personalmente non ho Excel installato e non posso provarlo a pieno. Comunque, rispondendo a:


Puoi eseguire del codice iniettandolo direttamente nella memoria di un processo che è in whitelist



Per iniettare del codice in un'altro processo è comunque necessario che un nuovo processo venga eseguito (malware) e in questo caso verrebbe rilevato da EXE Radar, se un utente prova a caricare una DLL (per iniettare del codice in un'altro processo) viene comunque rilevato da EXE Radar perchè necessita di eseguire un nuovo processo (malware), anche se un utente usa un processo della Microsoft (regsvr32.exe) per caricare una DLL maligna, è comunque possibile fare in modo che EXE Radar rilevi questa azione, mettendo ad esempio il processo regsvr32.exe nella lista delle esclusioni in "Allow Microsoft System Files". E' anche possibile mettere in whitelist regsvr32.exe e tramite l'opzione "Alert when regsvr32 tries to silently load a DLL" è possibile ricevere un alert ogni volta che viene usato regsvr32.exe per caricare DLLs in maniera invisible/silenziosa (parametro /s o -s). Ci tengo inoltre a dire che il nostro prodotto monitora l'esecuzione anche dei processi a 16-bit.

Alcuni video che potrebbero essere interessanti per gli utenti:

EXE Radar Pro vs Infected Website with Hidden Iframe
http://www.youtube.com/watch?v=ZkHwLvf2FqY

Password Protect Task Manager Execution
http://www.youtube.com/watch?v=zXcIjrn2SeY

Block Execution of New Processes Started by IEXPLORE.EXE
http://www.youtube.com/watch?v=Lt3MJoTYGy8

Block Processes Using Regular Expressions
http://www.youtube.com/watch?v=jAtNGOnTilU

EXE Radar Pro: Behavioral Analysis vs Blackhole Exploit Kit
http://www.youtube.com/watch?v=Lv5_QS9sHpk

NoVirusThanks EXE Radar Pro 1.2 vs Blackhole exploit
http://www.youtube.com/watch?v=b4m0-6s9U_A

@eraser


Comunque stanno veramente facendo un ottimo lavoro, bravi conterranei


Grazie :D

Edit

Edit

eccomi,interessante....adesso ti contatto grazie;)

Eccomi :)
:flower:

ho installato novirusthanx exe radar pro...
la prima impressione e' molto positiva...
leggerissimo...poco invasivo...interfaccia gradevole senza molti fronzoli...
anche se e' dotato di molte sfaccettature...che risiedono nelle opzioni... i pop-up sono fatti in maniera chira e dettagliati,all'utente la scelta di mettere o meno nella white-list l'exe che viene intercettato..

esiste una beta per i 64 bit?

@andreaamici grazie per il supporto;)

Per il discorso della versione x64 di NoVirusTxs, mi è stato risposto che dovrebbe essere pronta in 1/max 2 mesi (quindi si va a settembre in concomitanza con l'uscita delle nuove CPU Bulldozer)...:D

Anch'io, nel frattempo, sono costretto a tener parcheggiata la licenza che mi è stata regalata in attesa della versione X64...:stordita:

Per iniettare del codice in un'altro processo è comunque necessario che un nuovo processo venga eseguito (malware) e in questo caso verrebbe rilevato da EXE Radar, se un utente prova a caricare una DLL (per iniettare del codice in un'altro processo) viene comunque rilevato da EXE Radar perchè necessita di eseguire un nuovo processo (malware), anche se un utente usa un processo della Microsoft (regsvr32.exe) per caricare una DLL maligna, è comunque possibile fare in modo che EXE Radar rilevi questa azione, mettendo ad esempio il processo regsvr32.exe nella lista delle esclusioni in "Allow Microsoft System Files". E' anche possibile mettere in whitelist regsvr32.exe e tramite l'opzione "Alert when regsvr32 tries to silently load a DLL" è possibile ricevere un alert ogni volta che viene usato regsvr32.exe per caricare DLLs in maniera invisible/silenziosa (parametro /s o -s).


Non è del tutto esatto. Basti ricordare Slammer, CodeRed e tutti quei malware bodyless che possono essere eseguiti esclusivamente in memoria senza mai dover scrivere un file o eseguire un processo reale.

Riguardo agli script come si comporta EXE Radar Pro? Ad esempio i visual basic script e i batch file. Si potrebbe far danni anche con quelli.



@eraser

Grazie :D


Grazie a voi :) Benvenuti nel forum :)

OK:

visto che accettate suggerimenti (mi riferisco alla NoVirusThanks), il 1° che mi balza all'occhio è sicuramente la struttura del pop-up.

E' sicuramente un aspetto soggettivo (tant'è vero che qualcuno anche in questa sede ha promosso a pieni voti il popup di warning per chiarezza ecc) ma a me, nella sua attuale incarnazione, proprio non piace...:stordita:


Partirei infatti sempre dal caller per arrivare al target utilizzando, in sostanza, una struttura analoga a quella utilizzata da Malware Defender.

ES:
attuale incarnazione del popup

http://img153.imageshack.us/img153/2994/99358449.th.jpg (http://imageshack.us/photo/my-images/153/99358449.jpg/)

Modello di riferimento:
MD
http://img692.imageshack.us/img692/2251/41260152.th.jpg (http://imageshack.us/photo/my-images/692/41260152.jpg/)

(in subordine, OA 5:
http://img832.imageshack.us/img832/9430/20003581.th.jpg (http://imageshack.us/photo/my-images/832/20003581.jpg/))


E' necessario in 1° luogo dare un taglio estetico più gradevole al popup e, in 2° luogo, strutturarlo in questo modo:

(in testa,) [ALERT]: UNKNOWN PROCESS EXECUTION
(e, nel popup vero e proprio:)
the process [123]
wants to START an UNKNOWN [MODULE/PROCESS]
(e qui, il target o nome del modulo/processo che stà per essere inizializzato, es)
[ABC]
Cmd line




e basta, senza tanti fronzoli come l'MD5, il publisher, elementi che nessuno si ferma mai a controllare....

Attenzione!!
mi viene in mente ora una cosa in relazione al popup:


Non si è mai visto nell'universo di questi programmi un unico pulsante dal quale selezionare la "reazione" desiderata.

Sono necessari, dunque, 2 pulsanti separati (ALLOW/DENY) e, visto che avete inserito varie opzioni che regolano il modo in cui deve essere trattato il modulo/processo in esecuzione, raggruppare tutte le azioni che rientrano in un gruppo all'interno del proprio macrogruppo di appartenenza.


es:
il pulsante allow (che potrebbe essere, allow once di default), potrebbe avere una specie di tastino che apre una tendina comprendente "whitelist";
di converso, il pulsante DENY (=deny once di default) che ha come sottomenù "blocklist, deny & quarantine, ecc"...

.

Mi associo anch'io al ringraziamento ad andreamci.
Presto installerò anch'io questo software sul desktop (Windows XP) in quanto sul notebook ho un OS x64 :stordita: (a dire il vero aspetto con trepidazione l'uscita della versione compatibile per i 64bit).
Detto questo ed in considerazione del fatto che ancora posso pronunciarmi su questo software, volevo porre un problema che mi è accaduto con il notebook ed in particolare mi riferisco a coloro che fanno uso di EMET. A seguito del ripristino di un'immagine di W7 il driver synaptics non vuole più installarsi. Per quanto ne sappiate, la mancata installazione del driver potrebbe essere imputato alla preventiva installazione di EMET? :rolleyes:

se può essere utile segnalo questo piccolo bug

http://img706.imageshack.us/img706/2745/catturahq.th.jpg (http://imageshack.us/photo/my-images/706/catturahq.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

Volevo segnalare quello che secondo me è un buon test su CIS:
TEST CIS 5.8 by Whoop-dee-doo (http://forums.comodo.com/beta-corner-cis/test-of-cis-58-beta-t74973.0.html) [per la visualizzazione è richiesta l'iscrizione al forum Comodo!]

Il tester, dopo aver spiegato perchè la sua analisi non è focalizzata esclusivamente attorno allo strumento delle firme (modulo di cui fornisce peraltro anche i dati di rilevazione), traccia complessivamente un giudizio estremamente positivo del software il cui unico limite rilevato è l'incapacità di gestire quei malware che mettono se stessi come focus (=a tutto schermo) impedendo qualsiasi azione dell'utente che non sia il reboot della macchina.
[PS: l'unico HIPS capace peraltro di impedire questo comportamento tra quelli da me testati è DefenseWall -- le prove sono peraltro in questo stesso thread in un post in cui ebbi modo di parlare di un sample di "Winlock/Screenlock"]


La politica di gestione delle voci inserite nella whitelist, inoltre, è vista (per ovvi motivi) fase delicata;
complessivamente, xò, il software fa bene il proprio lavoro. :)

[PS: l'unico HIPS capace peraltro di impedire questo comportamento tra quelli da me testati è DefenseWall -- le prove sono peraltro in questo stesso thread in un post in cui ebbi modo di parlare di un sample di "Winlock/Screenlock"]


La politica di gestione delle voci inserite nella whitelist, inoltre, è vista (per ovvi motivi) fase delicata;
complessivamente, xò, il software fa bene il proprio lavoro. :)

forse anche novirusthanks riesce a bloccare questa minaccia...
infatti usa la white list solo in fase di installazione poi successivamente ti avvisa quando parte qualsiasi nuovo exe....

forse anche novirusthanks riesce a bloccare questa minaccia...
infatti usa la white list solo in fase di installazione poi successivamente ti avvisa quando parte qualsiasi nuovo exe....
certo:
NoVirusTxs, cosi come qualsiasi altro HIPS dotato di controllo sulla 1° esecuzione, è in grado di prevenire l'infezione sul nascere (è explorer.exe, infatti, che inizializza l'esecuzione del malware).

Il problema, xò, è la gestione delle fasi successive:
l'unico hips in grado di tenere a bada questo comportamento (= PC inutilizzabile xchè si rende necessario un reboot forzoso della macchina per riprendere possesso del PC stesso, con conseguente perdita di eventuali dati non salvati) è DefenseWall visto che neppure Sandboxie castra questo tentativo (sebbene sia in grado di gestire ovviamente qualsiasi altro effetto dell'infezione)...

certo:
NoVirusTxs, cosi come qualsiasi altro HIPS dotato di controllo sulla 1° esecuzione, è in grado di prevenire l'infezione sul nascere (è explorer.exe, infatti, che inizializza l'esecuzione del malware).

Il problema, xò, è la gestione delle fasi successive:
e[/SIZE])...

la fase successiva che intendi e' quella che se maldestramente si acconsente alla prima esecuzione,infatti se si blocca quella non dovrebbe esserci una fase successiva giusto?

spiego meglio:
se si blocca la 1° esecuzione, è ovvio che il processo termina e non succeda una mazza.
E questo, a prescindere dal nome di HIPS utilizzato visto che *tutti* hanno il controllo sulla 1° esecuzione...


Se invece, come si è sempre ipotizzato nel corso del thread per motivi di simulazione, si ammette la prima esecuzione, il nocciolo diventa vedere se l'HIPS in questione è in grado o meno di rilevare le fasi successive.


L'unico HIPS che previene tutti gli effetti del malware in questione, quindi (che ricordo è un winlock!) è DefenseWall.

la fase successiva che intendi e' quella che se maldestramente si acconsente alla prima esecuzione,infatti se si blocca quella non dovrebbe esserci una fase successiva giusto?

esatto.

Nel thread, xò, è sempre stato ammesso il contrario (= cioè, si è sempre proseguito per vedere cosa succedeva) altrimenti non sarebbe esistita la simulazione (che in definitiva non è altro che una forzatura se si conosce bene il senso di fondo di un HIPS "puro")...

esatto.

Nel thread, xò, è sempre stato ammesso il contrario (= cioè, si è sempre proseguito per vedere cosa succedeva) altrimenti non sarebbe esistita la simulazione (che in definitiva non è altro che una forzatura se si conosce bene il senso di fondo di un HIPS "puro")...

daccordissimo...

anche se forse programmi tipo novirusthanks...sono un po piu' lontani dagli hips...sono creati per far bene la prima fase...ed e' giusto cosi

defencewall riesce dove gli altri falliscono perche' adotta una sua architettura che impone ai programm idi lavorare in uno spazio ristretto dove non possono far danni
questa e' la genialità,peccato che non sia compatibile con i 64 bit...
:cry:

arnyreny, grazie per i feedbacks :)


esiste una beta per i 64 bit?


Non ancora, spero presto di poter offrire una beta per i sistemi a 64-bit.


Non è del tutto esatto. Basti ricordare Slammer, CodeRed e tutti quei malware bodyless che possono essere eseguiti esclusivamente in memoria senza mai dover scrivere un file o eseguire un processo reale.


Esatto, se ad esempio un utente abilita l'esecuzione del processo "aaa.exe", e dopo il processo "aaa.exe" carica ed esegue un nuovo PE in memoria, quest'ultimo non verrebbe rilevato da EXE Radar. Va comunque tenuto conto che in questo caso è l'utente che abilita il processo "aaa.exe", quindi dovrebbe essere considerato come un errore dell'utente che abilita un processo sconosciuto, in quanto codice non può eseguire se stesso ed EXE Radar può bloccare il "loader".


Riguardo agli script come si comporta EXE Radar Pro? Ad esempio i visual basic script e i batch file. Si potrebbe far danni anche con quelli.


Nella mia configurazione di EXE Radar ho messo nella lista delle esclusioni questi processi della Microsoft:

C:\WINDOWS\system32\cmd.exe (per monitorare batch files e linee di comando)
C:\WINDOWS\system32\regsvr32.exe (per monitorare caricamento di DLLs)
C:\WINDOWS\system32\wscript.exe (per monitorare scripts)
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe (usato da exploits per eseguire codice maligno)

In questo modo, mettendo nella lista delle esclusioni i processi Microsoft che possono essere "sfruttati" dai malware per eseguire del codice, è possibile avere un ottimo controllo del sistema e dei processi che vengono eseguiti.


Partirei infatti sempre dal caller per arrivare al target utilizzando, in sostanza, una struttura analoga a quella utilizzata da Malware Defender.


Grazie per il suggerimento, nelle prossime versioni dovrebbe esserci una nuova UI per la finestra di popup che è simile a ciò che hai proposto.


es:
il pulsante allow (che potrebbe essere, allow once di default), potrebbe avere una specie di tastino che apre una tendina comprendente "whitelist";
di converso, il pulsante DENY (=deny once di default) che ha come sottomenù "blocklist, deny & quarantine, ecc"...


Ottima idea :)
Vedremo di implementare questa nuova struttura al più presto.


Poi, chi interessato, potrebbe valutare il comportamento di EXE Radar Pro per quanto concerne l'esecuzione di codice da una risorsa di rete (in windows vi è, di default, un accesso "trasparente" alle risorse UNC), sia locale (SMB) che remota attraverso WebClient (protocollo WebDav).


EXE Radar monitora ogni processo eseguito in ambiente Windows.


se può essere utile segnalo questo piccolo bug


Grazie per la segnalazione, il probelma verrà fixato e sarà disponibile nella prossima versione 1.3.3 (disponibile in qualche settimana).


forse anche novirusthanks riesce a bloccare questa minaccia...
infatti usa la white list solo in fase di installazione poi successivamente ti avvisa quando parte qualsiasi nuovo exe....


Esatto, se ad esempio un utente visita un sito che è infetto, EXE Radar avverte l'utente che il payload "load.exe" (esempio) sta per essere eseguito e da la possibilità all'utente di bloccarlo.

Nella mia configurazione di EXE Radar ho messo nella lista delle esclusioni questi processi della Microsoft:

C:\WINDOWS\system32\cmd.exe (per monitorare batch files e linee di comando)
C:\WINDOWS\system32\regsvr32.exe (per monitorare caricamento di DLLs)
C:\WINDOWS\system32\wscript.exe (per monitorare scripts)
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe (usato da exploits per eseguire codice maligno)

In questo modo, mettendo nella lista delle esclusioni i processi Microsoft che possono essere "sfruttati" dai malware per eseguire del codice, è possibile avere un ottimo controllo del sistema e dei processi che vengono eseguiti.


Permettimi, ma se questo è il modo in cui voi (tecnici) avete configurato il programma per avere un controllo il + possibile a 360° sul "quotidiano", dovreste allo stesso tempo contemplare queste impostazioni come impostazioni di default:
in questo modo, gli utenti (che sono ovviamente meno preparati di voi,) potrebbero beneficiare di una configurazione "robusta" fin da subito a tutto vantaggio della sicurezza della macchina...


Perchè va bene che un programma come questo si presti alla massima flessibilità in termini di libertà lasciata agli utenti al fine di consentirgli di realizzare la propria configurazione ideale, xò questo non dovrebbe mai lasciare dei "vuoti di sicurezza" colmabili solo a patto di essere utenti "esperti".


IMHO, ovviamente...

Esatto, se ad esempio un utente abilita l'esecuzione del processo "aaa.exe", e dopo il processo "aaa.exe" carica ed esegue un nuovo PE in memoria, quest'ultimo non verrebbe rilevato da EXE Radar. Va comunque tenuto conto che in questo caso è l'utente che abilita il processo "aaa.exe", quindi dovrebbe essere considerato come un errore dell'utente che abilita un processo sconosciuto, in quanto codice non può eseguire se stesso ed EXE Radar può bloccare il "loader".

Discorso valido in teoria, in pratica se si tratta di una falla in un browser (vedi Internet Explorer ad esempio) o in un programma già abilitato nella white-list, la sicurezza del prodotto finisce lì :)

Permettimi, ma se questo è il modo in cui voi (tecnici) avete configurato il programma per avere un controllo il + possibile a 360° sul "quotidiano", dovreste allo stesso tempo contemplare queste impostazioni come impostazioni di default:
in questo modo, gli utenti (che sono ovviamente meno preparati di voi,) potrebbero beneficiare di una configurazione "robusta" fin da subito a tutto vantaggio della sicurezza della macchina...

Però più robusta significa anche più rumorosa, e....benvenuto nel grande dilemma dei produttori di software di sicurezza :D

Però più robusta significa anche più rumorosa, e....benvenuto nel grande dilemma dei produttori di software di sicurezza :D

Ok, però (statisticamente parlando) quanti sono i popup *in più* che si produrrebbero in una macchina non infetta a seguito di questi settaggi?

A meno di non essere di fronte ad un update di Windows o al lancio di un set-up, credo siano numericamente pochi (forse nessuno?).


Ne vale la pena, quindi?
A fiuto, direi di si'...

A meno di non essere di fronte ad un update di Windows o al lancio di un set-up, credo siano numericamente pochi (forse nessuno?).


Situazione abbastanza comune :D

Senza considerare che, comunque, un approccio white-list non tiene in conto delle possibili alterazioni presenti all'interno del codice stesso che si sta per eseguire - vedi file infector ad esempio. E il tutto è ovviamente rimandato alle certezze dell'utente, alle certezze che ha lui della fonte del file che si sta per eseguire e della bontà del file stesso.

Però più robusta significa anche più rumorosa, e....benvenuto nel grande dilemma dei produttori di software di sicurezza :D

mi viene in mente a proposito una cosa:
ProSecurity, ad es (anche se quello di cui vado a parlare tra 1 secondo non era tra le impostazioni di default, e quindi si ritorna li' col conto a proposito di NVTxs), ammetteva la possibilità (opzionale, dunque) di "gestire" svchost.exe "ramo-per-ramo":
potevano essere quindi disposte regole tal dei tali per il ramo netsvcs, altre per il ramo LocalService ecc...

Ora:
questo quanto impattava in termini di > pop up nell'uso quotidiano?

0....



Nuovi "rami" di svchost, infatti (quindi legati a cmd line assurdi) li vedevo nascere solo in fase di testing (chiamiamola cosi', per quello che poteva valere...:D ) perchè creati appunto da processi maligni (ed estranei di conseguenza a quella che è la normale struttura dell'OS)...



Quindi:
o sono rimasto indietro (ed è probabile, visto che fondamentalmente non gioco più :stordita: ) o, in effetti, settaggi più stringenti non impattano molto nell'uso quotidiano ma solo in determinate circostanze collegate solitamente ad anomalie in essere...

Situazione abbastanza comune :D

ho capito Marco, ma anche qui si ritorna li' col conto:
CHI dedice (liberamente :p) di usare questi programmi, non solo accetta di pagare un prezzo ma (cosa + importante) dovrebbe essere anche in grado di CAPIRE da solo se l'evento che si produce può essere anomalo o meno...

Tutti, infatti, NON possono usare TUTTO (anzi, ritengo proprio che molti dovrebbero usare solo l'XBOX, pensa un pò come sono rigido...:ciapet:).




Senza considerare che, comunque, un approccio white-list non tiene in conto delle possibili alterazioni presenti all'interno del codice stesso che si sta per eseguire - vedi file infector ad esempio. E il tutto è ovviamente rimandato alle certezze dell'utente, alle certezze che ha lui della fonte del file che si sta per eseguire e della bontà del file stesso.

La 1° parte del ragionamento non l'ho capita.
La 2°, invece, non fa una piega...

Chi usa questi software, gira e rigira, deve avere una "sensibilità" diversa rispetto alla massa, c'è poco da fare...

La 1° parte del ragionamento non l'ho capita.
La 2°, invece, non fa una piega...

Chi usa questi software, gira e rigira, deve avere una "sensibilità" diversa rispetto alla massa, c'è poco da fare...

La prima parte sta a significare questo: quando tu esegui un software, non puoi sapere se quel file è realmente quello che dice di essere, oppure se lo è ma include anche un virus file infector. Né, ovviamente, lo può sapere un software che utilizza un approccio esclusivo di white-listing, per il quale l'unico dilemma è: eseguire o non eseguire?

chiaro :)

Tutti, infatti, NON possono usare TUTTO (anzi, ritengo proprio che molti dovrebbero usare solo l'XBOX, pensa un pò come sono rigido...:ciapet:)

La pensiamo uguale :D

Nella mia configurazione di EXE Radar ho messo nella lista delle esclusioni questi processi della Microsoft:

C:\WINDOWS\system32\cmd.exe (per monitorare batch files e linee di comando)
C:\WINDOWS\system32\regsvr32.exe (per monitorare caricamento di DLLs)
C:\WINDOWS\system32\wscript.exe (per monitorare scripts)
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe (usato da exploits per eseguire codice maligno)

.
grazie farò anchio cosi'.....

ps sarebbe comodo una modalità installazione...che non dia pop-up e che limiti
ovviamente lo spazio di esecuzione del programma in oggetto...
:D

riporto su il thread per ricordare per l'ennesima volta che esiste un software per piattaforme @ 32bit (in particolare, 7 & XP) di classe Sandbox (policy based per la precisione, anche se riconosco da solo che la categorizzazione dello stesso sia piuttosto fine a se stessa) che consente (praticamente DI DEFAULT) di ottenere un livello di sicurezza della macchina SBALORDITIVO, di sicuro non inferiore rispetto al più noto Sandboxie che a me, personalmente, piace cmq di gran lunga meno rispetto al programma che stò reclamizzando in questo post (se solo esistesse la versione a 64 bit :muro: ):
ok, il nome risponde dunque a DefenseWall...


Sinceramente non riesco a spiegarmi perchè non riscuota il successo che merita...:mbe:


Vorrei tanto che qualcuno lo provasse, magari anche solo in VM, per avere la sua impressione e essere quindi smentito là dove la mia reclame a questo software fosse esagerata...



Proprio non capisco*...:muro:





* e pensare che c'è gente che spende annualmente fior di denari per dei programmi che non servono a nulla in confronto a questo, muah!

... (se solo esistesse la versione a 64 bit :muro: ) ...

Dici poco... :rolleyes:

riporto su il thread per ricordare per l'ennesima volta che esiste un software per piattaforme @ 32bit (in particolare, 7 & XP) di classe Sandbox (policy based per la precisione, anche se riconosco da solo che la categorizzazione dello stesso sia piuttosto fine a se stessa) che consente (praticamente DI DEFAULT) di ottenere un livello di sicurezza della macchina SBALORDITIVO, di sicuro non inferiore rispetto al più noto Sandboxie che a me, personalmente, piace cmq di gran lunga meno rispetto al programma che stò reclamizzando in questo post (se solo esistesse la versione a 64 bit :muro: ):
ok, il nome risponde dunque a DefenseWall...


Sinceramente non riesco a spiegarmi perchè non riscuota il successo che merita...:mbe:


Vorrei tanto che qualcuno lo provasse, magari anche solo in VM, per avere la sua impressione e essere quindi smentito là dove la mia reclame a questo software fosse esagerata...



Proprio non capisco*...:muro:





* e pensare che c'è gente che spende annualmente fior di denari per dei programmi che non servono a nulla in confronto a questo, muah!

non discuto la sicurezza...
a me non piace provare su macchina virtuale...io ho anche un sistema a 32 bit su una macchinacon processore q6600 non e' un i7 comunque e' un quadcore...
ho fatto questa premessa perche' con defence wall il sistema diventa molto lento,a confronto comodo e' una scheggia...
quindi anch'esso ha un difetto non da poco...

Dici poco... :rolleyes:
vero, il fatto di non essere compatibile con i sistemi a 64bit gli taglia una fetta di utenza potenziale, è indubbio (ma credo che questa situazione non perdurerà se non fino alla fine dell'anno)...


Resta il fatto che fino alla fine del 2010, quando le piattaforme a 64 bit erano meno diffuse (in particolare, 7), questo programma non se lo caG*va nessuno se non giusto il n° minimo di utenti che consentono di tener vivo il progetto...

E' il mercato, dirà qualcuno...

In realtà, sono convinto che la causa sia esclusivamente da ascrivere al modello policy-based adottato da questo programma e che, a conti fatti, è risultato INGIUSTIFICATAMENTE meno capito dalle masse rispetto ad altre soluzioni concorrenti "più intuitive"...
E' un concetto che ho peraltro già espresso nel corso del thread:
Sandboxie (programma altrettanto eccellente) è fondamentalmente identificato dai più con il "contenitore virtuale" che è svuotabile a fine sessione, dunque eventuali residui di malware vengono eliminati in quella sede.

Con DefenseWall, che sotto questo aspetto è molto più flessibile essendo sintetizzata tutta la dinamica di eventi sul FS/Registro all'interno della scheda di Rollback, i residui (NB: RESIDUI!!) restano (per tutta una serie di ragioni) nella loro locazione naturale dell'HD e poco importa che non costituiscano pericolo, che siano cioè in stato DISARMATO o INNOCUO.

La massa questo non lo capisce, c'è poco da fare:
ti fanno la scansioncina periodica che rileva (se va bene) i residui in questione, e automaticamente tacciano la soluzione in oggetto come ineffettiva sulla base del nulla...


Ecco, questa è la causa, sarei pronto a giocarci le °°...


In sostanza, sulla base del nulla la vita di un programma estremamente efficace è messa a repentaglio (esagerazione mode on)...


Bah...

a me non piace provare su macchina virtuale...io ho anche un sistema a 32 bit su una macchinacon processore q6600 non e' un i7 comunque e' un quadcore...
ho fatto questa premessa perche' con defence wall il sistema diventa molto lento,a confronto comodo e' una scheggia...
quindi anch'esso ha un difetto non da poco...
su un sistema REALE dici che DW ti rallenta il PC (un Quad Core, per giunta), al cui confronto COMODO sulla stessa macchina risulta una scheggia??

Ne prendo atto ma credimi, è la 1° volta nella mia vita che sento una dichiarazione come la tua:
in tutte le sedi, infatti (prendo WS come fonte) non ho mai sentito nessuno affermarlo tanto, appunto, risulta impercettibile sulle risorse di sistema...


Hai modo di dirmi il resto della configurazione di quel PC?

su un sistema REALE dici che DW ti rallenta il PC (un Quad Core, per giunta), al cui confronto COMODO sulla stessa macchina risulta una scheggia??

Ne prendo atto ma credimi, è la 1° volta nella mia vita che sento una dichiarazione come la tua:
in tutte le sedi, infatti (prendo WS come fonte) non ho mai sentito nessuno affermarlo tanto, appunto, risulta impercettibile sulle risorse di sistema...


Hai modo di dirmi il resto della configurazione di quel PC?

Nv ...io sono un po un paranoico...sulla reattività del sistema...
quindi sto sempre a provare e riprovare


credo che ci sia qualcosa che rende macchinoso il sistema
ho provato sia con
q6600 ati4850 5 giga di ram
che con notebook i7 nvidia230 4 giga di ram

da premettere che tutti gli hips provati riscontrano un rallentamento nella reattività del sistema
comodo,online armor,defence wall
l'unico che intacca di meno su questo lato e' no virusthanks.

Mi ripeto:
rispetto la tua osservazione anche perchè, sicuramente, avrai dei riscontri concreti per affermarlo...


Poichè xò la cosa è alquanto anomala (DW, infatti, come qualsiasi altro programma in real time, un qualcosa pesa sul consumo di risorse, è indubbio...), mi viene da pensare che la causa possa essere un'altra, ad es:

hai operato un mix di programmi simili in real time? (tipo, hai installato CONTEMPORANEAMENTE DW + qualche altra cosa,...)
usi l'ultima versione?




L'impatto di DW sulle risorse di sistema, infatti, è all'incirca pari a quello di Sandboxie:
in sostanza, è impercettibile oltretutto se su un sistema moderno (Quad Core, 2 GB + di RAM,...)


PS: considera che se la risposta è negativa ad entrambe le domande (= il sistema è rallentato pur avendo installato in real time il solo DW, usi la versione 3.15), hai sempre la possibilità di aprire un ticket di segnalazione problemi ad Ilya Rabinovich che, pur il giorno di ferragosto e da S.Pietroburgo nell'EX URSS, ti risponderà praticamente in real-time girandoti degli appositi driver che gli servono per identificare potenziali problemi...
Sempre che tu sia interessato a provare seriamente il suo software, ovvio...

Mi ripeto:
rispetto la tua osservazione anche perchè, sicuramente, avrai dei riscontri concreti per affermarlo...


Poichè xò la cosa è alquanto anomala (DW, infatti, come qualsiasi altro programma in real time, un qualcosa pesa sul consumo di risorse, è indubbio...), mi viene da pensare che la causa possa essere un'altra, ad es:

hai operato un mix di programmi simili in real time? (tipo, hai installato CONTEMPORANEAMENTE DW + qualche altra cosa,...)
usi l'ultima versione?




L'impatto di DW sulle risorse di sistema, infatti, è all'incirca pari a quello di Sandboxie:
in sostanza, è impercettibile oltretutto se su un sistema moderno (Quad Core, 2 GB + di RAM,...)


PS: considera che se la risposta è negativa ad entrambe le domande (= il sistema è rallentato pur avendo installato in real time il solo DW, usi la versione 3.15), hai sempre la possibilità di aprire un ticket di segnalazione problemi ad Ilya Rabinovich che, pur il giorno di ferragosto e da S.Pietroburgo nell'EX URSS, ti risponderà praticamente in real-time girandoti degli appositi driver che gli servono per identificare potenziali problemi...
Sempre che tu sia interessato a provare seriamente il suo software, ovvio...
le prove sono state fatte con
l'ultima versione scaricata da sito http://softsphere.com/
altro strumento di difesa
solo l'uac al massimo...:D

Non c'è una guida a DefenseWall su questo forum? L'ho cercata in sezione, ma non l'ho trovata :stordita:
Se c'è, potreste essere così gentili da passarmi il link, perché vorrei capire come funziona questo programma ed in cosa differisce dall'HIPS di Comodo

Grazie

Non c'è una guida a DefenseWall su questo forum? L'ho cercata in sezione, ma non l'ho trovata...
Se c'è, potreste essere così gentili da passarmi il link, perché vorrei capire come funziona questo programma ed in cosa differisce dall'HIPS di Comodo

Grazie

Come spiegato piu' volte da Nv non c'e' una guida perche' il software e' semplicissimo....

in parole povere e' un programma in stile sandbox
che fa uso di una scheda untrusted per i programmi vettori di infezioni browser,p2p ect ect...quindi considerati non attendibili...
tutti i figli di questi programmi saranno considerati alloro volta untrusted...
untrusted e' una modalità che adotta il programma ,che fa si che i programmi che girino sotto questa modalità abbiano dei privilegi limitati e' vengono eseguiti in una area virtuale in modo che facciano il loro lavoro correttamente ma senza far danni.

tutto questo al costo di quasi zero pop-up

DW lento e Comodo una scheggia? :D LOL

io avevo lentezza di DW, ma era una macchina obsoleta e avevo probabilmente residui di installazione di altri sw (formattando ho risolto).
se la macchina è recente e potente, il problema difficilmente è DW

e poi, si sa, il peso di comodo bisogna valutarlo nel lungo periodo, dopo mesi di utilizzo diventa un macigno e rallenta x2 o x3 anche solo l'apertura di risorse del computer o l'avvio di un eseguibile (provato su macchine recenti).
che poi sia poco percettibile con l'abitudine è vero, proprio perchè il calo di prestazioni è lento

buon ferragosto!

Non c'è una guida a DefenseWall su questo forum? L'ho cercata in sezione, ma non l'ho trovata :stordita:

Come spiegato piu' volte da Nv non c'e' una guida perche' il software e' semplicissimo....


Guida DefenseWall 3 (http://www.hwupgrade.it/forum/showpost.php?p=27327423&postcount=2)

Roba veramente alla portata di un qualsiasi nonnetto, permettetemi...

(La procedura di installazione è riassunta peraltro step by step nelle immagini postate dal suo stesso sviluppatore sul forum ufficiale:
http://gladiator-antivirus.com/forum/index.php?showtopic=71682 ...)


L'unica fase delicata di tutto il processo, in sostanza, è quella volta ad assicurarsi che tutti i potenziali vettori di infezione siano COPERTI da DefenseWall.

In soldoni:
1 - si porta a termine la procedura di setup (che dura + o - 5 secondi visto che è necessario rispondere sempre NEXT/YES alle varie richieste dell'installer)
2 - si riavvia il PC
3 - non appena "ritorna" il desktop, si apre DW dall'iconcina vicino all'orologio
4 - ci si sposta sulla scheda dal nome "Untrusted List" (PS: esiste anche la versione in ITALIANO!!, http://softsphere.com/localizations/)
5 - si passa in rassegna il contenuto di questa scheda:
infatti, tutte le voci elencate li' dentro sono quelle che PARTIRANNO **ISOLATE** DI DEFAULT.

http://img836.imageshack.us/img836/8582/immagine1go.th.jpg (http://imageshack.us/photo/my-images/836/immagine1go.jpg/)

E' ovvio che se nel ns/PC è installato un programma NON RICONOSCIUTO DI DEFAULT DA DefenseWall E CHE AL CONTEMPO SAPPIAMO ESSERE UN POTENZIALE VETTORE DI INFEZIONE (ad es, un browser meno noto, ecc..), lo dobbiamo inserire all'interno di quella lista!! per far si che in futuro parta SEMPRE come ISOLATO senza nessun altro intervento manuale da parte dell'utente.

Fondamentalmente, dunque, FINE della fase di setup.

Difficile?

Resta solo l'XBOX, allora...:Prrr:














Personalmente, cmq, mi sono sempre discostato dalle impostazioni di default cosi' da avere una "risposta del programma personalizzata attorno alle mie esigenze":
ad es., il capitolo del Whitelist è sempre stato piallato via, ecc...

Alcuni dettagli su come configuravo DefenseWall sono rintracciabili qui:
1 (http://www.hwupgrade.it/forum/showpost.php?p=30036729&postcount=2226) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=34945312&postcount=2910)





PS x arnyremy:
sai cosa potrebbe essere che consuma effettivamente + cicli di CPU del dovuto??
Prova a rimuovere il plugin dell'interfaccia cosi' da averla solo "nuda e cruda"...;)

PS x arnyremy:
sai cosa potrebbe essere che consuma effettivamente + cicli di CPU del dovuto??
Prova a rimuovere il plugin dell'interfaccia cosi' da averla solo "nuda e cruda"...;)

io non credo che sia un consumo eccessivo di cpu...
non so come spiegarti tipo un effetto ritardo ...

con calma ripeto il test .perche' per adesso su qiella macchina ho messo novirusthanks...
pero' ti ripeto,quel ritardo l'ho noto con tutti gli hips,,,in special modo con dw...
:boh:

Grazie per tutte le spiegazioni :)

Grazie per tutte le spiegazioni :)

guarda che aspetto tue impressioni, non dimenticarlo! :)

Anzi, + persone hanno la possibilità di provarlo e di lasciare la loro impressione a caldo, credo faccia solo bene a questo software!


Pago anzi la licenza (via ricarica postepay) a chi, dietro test importanti, dovesse infettare la macchina...;)

Fatevi avanti, dunque....:fiufiu:

guarda che aspetto tue impressioni, non dimenticarlo! :)

Anzi, + persone hanno la possibilità di provarlo e di lasciare la loro impressione a caldo, credo faccia solo bene a questo software!


Pago anzi la licenza (via ricarica postepay) a chi, dietro test importanti, dovesse infettare la macchina...;)

Fatevi avanti, dunque....:fiufiu:

Sei un Grande , lasciatelo dire:ave:
Mi piacerebbe provarlo ma il mio pc da test è a 64 bit, quindi niente da fare :doh:
Per pura curiosità ho scaricato l'installer è ho letto che riporta anche la parola "Firewall" :eek: dunque fa anche da firewall ???

Sei un Grande , lasciatelo dire:ave:
Mi piacerebbe provarlo ma il mio pc da test è a 64 bit, quindi niente da fare :doh:
Per pura curiosità ho scaricato l'installer è ho letto che riporta anche la parola "Firewall" :eek: dunque fa anche da firewall ???

esiste in 2 versioni:
la + economica (credo sui 20€) per il solo Sandbox, sui 30€ scarsi invece per la versione Sandbox+Firewall...

Non male per un software incredibilmente efficace e configurato di default per dare il massimo della protezione, a prezzo inoltre di (praticamente) 0 pop-up...



PS: grazie per il complimento! :)
Sulla base di cosa mi attribuisci cmq queste belle parole?

Ciao!

esiste in 2 versioni:
la + economica (credo sui 20€) per il solo Sandbox, sui 30€ scarsi invece per la versione Sandbox+Firewall...

Non male per un software incredibilmente efficace e configurato di default per dare il massimo della protezione, a prezzo inoltre di (praticamente) 0 pop-up...



PS: grazie per il complimento! :)
Sulla base di cosa mi haifatto questo riconoscimento? :mbe:

Ciao!
Perchè leggo i tuoi post e come ti ho già detto sono di uno che la sa lunga anche se a volte sei un pò duro con gli utenti e li bacchetti ,ma questo non è un difetto anzi..:D hai il giusto equilibrio di durezza e umiltà, parere personale, scusa l'O.T.

Allora se trovo una macchina 32 bit lo provo con i seguenti accorgimenti, correggimi dove sbaglio maestro:
-Comodo firewall e questo non si tocca !!! con moduli def+ e sandbox disattivati per evitare eventuali conflitti con DW.
-Antivurus potrei mettere Bitdefender visto che mi avanza una licenza ( protezione comportamento attiva o disattiva?)
-sandboxie che uso da una vita credo che non vada daccordo con DW credo che svolgano più o meno la stessa funzione, quindi niente-
Basta , sono a posto?

Perchè leggo i tuoi post e come ti ho già detto sono di uno che la sa lunga anche se a volte sei un pò duro con gli utenti e li bacchetti ,ma questo non è un difetto anzi..:D hai il giusto equilibrio di durezza e umiltà, parere personale, scusa l'O.T.

Allora se trovo una macchina 32 bit lo provo con i seguenti accorgimenti, correggimi dove sbaglio maestro:
-Comodo firewall e questo non si tocca !!! con moduli def+ e sandbox disattivati per evitare eventuali conflitti con DW.
-Antivurus potrei mettere Bitdefender visto che mi avanza una licenza ( protezione comportamento attiva o disattiva?)
-sandboxie che uso da una vita credo che non vada daccordo con DW credo che svolgano più o meno la stessa funzione, quindi niente-
Basta , sono a posto?

il FW presente in DW se la cava ottimamente col Matousec Test quindi .... installa solo DW completo senza nulla d'altro che non servirebbero a nulla se non ad appesantire la macchina

Il buon Ilyia farà la versione 64 quando riuscirà a proteggere quanto quella a 32, lo ha ribadito ieri http://www.wilderssecurity.com/showpost.php?p=1920333&postcount=14
La cosa non è certo facile ... anzi

Allora se trovo una macchina 32 bit lo provo con i seguenti accorgimenti, correggimi dove sbaglio [...]:
dici giustamente che a volte sono duro :p per cui perchè smentirsi proprio adesso? :ciapet:

Se mai dovessi provare DefenseWall, il mio consiglio è sempre e solo quello di affiancarlo eventualmente ad un modulo Antivirus che può essere ad es. Prevx, ecc...

Qualsiasi altra combinazione, per me, non dovrebbe neppure essere presa in considerazione per gli ormai noti motivi (=rischio conflitti)...

La cosa non è certo facile anzi direi impossibile
il tizio è tutto (ad es, anche arrogante in certi momenti...) fuorchè un bischero nel fare i suoi affari: :D
io credo che appena constata con > evidenza che 1 n° sempre più elevato di vecchi utenti muove verso soluzioni @ 64bit, troverà il modo di mettere una pezza (che credo, cmq, richieda il dover mettere mano all'intera struttura di fondo del programma)...

E' indubbio cmq che sia parecchio scocciato anch'io in primis...

@NV perdonami :doh: volevo scrivere sei uno che la sa lunga cioè sei molto preparato....pardon e chiudo qui l'o.t
@Romagnolo grazie per i consigli, vediamo cosa riesco a fare.;)

come anti eseguibile...c'e' anche da considerare returnil
settato in questo modo

http://img685.imageshack.us/img685/7008/catturanpc.th.jpg (http://imageshack.us/photo/my-images/685/catturanpc.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

l'unica pecca funziona solo attivando il virtualmode:muro:

guarda che aspetto tue impressioni, non dimenticarlo! :)
Lo provo sul pc di mia suocera :asd:
A parte gli scherzi ho tutti 64 bit, ma un pc su cui provarlo lo trovo :D

Lo provo sul pc di mia suocera :asd:
A parte gli scherzi ho tutti 64 bit, ma un pc su cui provarlo lo trovo :D

non e' un peccato avere tutto a 64 bit...anzi
lo affermo da una vita che i 64 bit sono piu' sicuri dei 32...
infatti per creare un rootkit sui 64 bit hanno dovuto lavorare piu' del solito...

non e' un caso che gli hips per i 64 bit si contano sulle dita di una mano,e non danno la stessa garanzia di quando girano sui 32 bit:muro:

@Nv
a proposito di dw
nella nuova versioni...i file scaricati dalla rete solo al primo click sono untrusted?

in quelle precedenti mi sembra che restavano untrusted finche' non lo decideva l'utente o mi sbaglio?

Ragazzi, sto "studiando" EMET (più per curiosità visto che sono circa 8 anni che non mi infetto), ho messo firefox tra i programmi ma orbit non parte, è effettivamente un problema di firefox (mi pare strano) o di qualche altro programma? Direte voi, toglilo dai file da emetizzare e prova, lo farei solo che non ho il pc per il momento e mi è venuto il sospetto che sia "colpa" di mozilla :)

Avete notato problemi con altri programmi emetizzati?
Un soft noto con cui si hanno problemi con EMET installato è UltraISO.

non e' un peccato avere tutto a 64 bit...anzi
lo affermo da una vita che i 64 bit sono piu' sicuri dei 32...
infatti per creare un rootkit sui 64 bit hanno dovuto lavorare piu' del solito...

non e' un caso che gli hips per i 64 bit si contano sulle dita di una mano,e non danno la stessa garanzia di quando girano sui 32 bit:muro:
In effetti ho preso tutti SO a 64bit, perché me lo avete consigliato voi :)
@Nv
a proposito di dw
nella nuova versioni...i file scaricati dalla rete solo al primo click sono untrusted?

in quelle precedenti mi sembra che restavano untrusted finche' non lo decideva l'utente o mi sbaglio?
Questo interessa anche me...
Scusate se faccio così tante domande su un programma che non ho ancora installato, ma non amo le soluzioni Sandbox, non mi rimangono intuitive nel loro funzionamento e finisce sempre che ci litigo :asd:
Ho disabilitato anche quella di Comodo, perché mi costringeva sempre ad andare a consultare la guida di Romagnolo :stordita:
Però ormai nV mi ha incuriosita su questo programma e lo voglio provare...

lo affermo da una vita che i 64 bit sono piu' sicuri dei 32...

senza offesa, ma più che altro lo ha sempre affermato eraser e chi come lui fa della sicurezza informatica il proprio lavoro... :fiufiu:
Se poi anche te condividi, tanto meglio per tutti, credo...:ciapet:


Al di là dei malware che sul 64bit hanno trovato sicuramente vita meno facile per tutta una lunga serie di ragioni, poi, è innegabile che il 64bit rappresenti il futuro considerando aspetti più palpabili dalle masse come ad es. la capacità dei nuovi OS di supportare quantitativi di memoria superiori ai 3GB (= riflessi tangibili sia per il pubblico dei giocatori, decisamente più numeroso di quell'utenza più sensibile ai problemi relativi alla sicurezza informatica, sia per tutto il discorso del videoediting che coinvolge anche qui un parco d'utenza corposo)...

La via maestra, dunque, è ormai tracciata e chi non si adegua prima o poi esce dal mercato...

non e' un caso che gli hips per i 64 bit si contano sulle dita di una mano,e non danno la stessa garanzia di quando girano sui 32 bit:muro:
per me non hanno dato la stessa "garanzia" dell'equivalente @ 32 bit per il semplice fatto che non sono stati sviluppati *da subito* programmi nativi per la nuova architettura ma sono stati adattati in qualche maniera al 64bit "disegni costruiti attorno ad un altra piattaforma", il 32 bit, appunto...

O non era infatti economicamente conveniente impiegare risorse sulla nuova architettura che stava gradualmente crescendo ma che, cmq, spiegava una % minuscola dell'intero mercato, o siamo di fronte a professionisti "limitati" che sono stati "colti di sorpresa" dalle nuove tecnologie...

Ciò non toglie che tu abbia ragione:
gli HIPS (Sandbox) che fanno seriamente il loro lavoro su entrambe le piattaforme stanno cominciando solo in quest'ultimo periodo a fare (timidamente) la loro comparsa sul mercato (es, Comodo con l'ultima beta, idem per OA con la v5 anche se non nativa per il 64bit, Sandboxie da poco, ecc)...
Credo peraltro che anche per il software di eraser (Webroot ecc) valga il solito discorso con l'attuale beta...

@Nv
a proposito di dw
nella nuova versioni...i file scaricati dalla rete solo al primo click sono untrusted?

in quelle precedenti mi sembra che restavano untrusted finche' non lo decideva l'utente o mi sbaglio?
non ne ho idea visto che ormai sono + di 10 mesi che non l'ho più sottomano ma quello che dici mi sembra semplicemente assurdo:
perchè dovrebbero mutare status nelle versioni + recenti?? :mbe:


Però ormai nV mi ha incuriosita su questo programma e lo voglio provare...
rimarrai impressionata ;) ...

Ragazzi, sto "studiando" EMET [...], ho messo firefox tra i programmi ma orbit non parte, è effettivamente un problema di firefox (mi pare strano) o di qualche altro programma? Direte voi, toglilo dai file da emetizzare e prova, lo farei solo che non ho il pc per il momento e mi è venuto il sospetto che sia "colpa" di mozilla :)

Avete notato problemi con altri programmi emetizzati?

Per il discorso "Problemi che da EMET", resta fermo (credo) quello che è riportato sul forum ufficiale:
Application Compatibility Issues (http://social.technet.microsoft.com/Forums/en/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875)


Sulla 1° parte del tuo post, invece, condivido la parte conclusiva: "Direte voi ecc".
Togli firefox dalle protezioni per-process e vedi...:Prrr:

PS: che è orbit?? :mbe:

non ne ho idea visto che ormai sono + di 10 mesi che non l'ho più sottomano ma quello che dici mi sembra semplicemente assurdo:
perchè dovrebbero mutare status nelle versioni + recenti?? :mbe:


a ;) ...

infatti sono rimasto di marmo...:muro:
potrebbe essere una limitazione della trial

infatti sono rimasto di marmo...:muro:
potrebbe essere una limitazione della trial

descrivi meglio il problema che hai notato (con il > n° di dettagli possibili) e provo a vedere se riesco a capire meglio il vizio, grazie.


Detto cosi', infatti, sembra che tu lanci il tuo browser, scarichi x es process explorer...e solo alla 1° esecuzione parta untrusted mentre dalle esecuzioni successive il file sia libero di muoversi nel sistema...

Impossibile...

descrivi meglio il problema che hai notato (con il > n° di dettagli possibili) e provo a vedere se riesco a capire meglio il vizio, grazie.


Detto cosi', infatti, sembra che tu lanci il tuo browser, scarichi x es process explorer...e solo alla 1° esecuzione parta untrusted mentre dalle esecuzioni successive il file sia libero di muoversi nel sistema...

Impossibile...

proprio cosi'...
non e' che per renderlo userfriendly abbiano introdotto questa cosa:mbe:

come anti eseguibile...c'e' anche da considerare returnil
settato in questo modo

http://img685.imageshack.us/img685/7008/catturanpc.th.jpg (http://imageshack.us/photo/my-images/685/catturanpc.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

l'unica pecca funziona solo attivando il virtualmode:muro:

Scusa una domanda arnyreny
Uso returnil da tempo ormai, anzi più che altro ce l'ho installato e lo attivo quelle rare volte che voglio andare su siti pericolosi o fare esperimenti particolari.
Non ricordo dove e quando, avevo trovato una mini guida che diceva di selezionare la prima casella " Allow programs to run normally" e così è rimasto da allora, quindi non ricordo neanche il motivo.
Tu invece consigli di selezionare l'ultima "Trust programs from real disck only".
Mi spiegheresti gentilmente il motivo ? grazie :D

Scusa una domanda arnyreny
Uso returnil da tempo ormai, anzi più che altro ce l'ho installato e lo attivo quelle rare volte che voglio andare su siti pericolosi o fare esperimenti particolari.
Non ricordo dove e quando, avevo trovato una mini guida che diceva di selezionare la prima casella " Allow programs to run normally" e così è rimasto da allora, quindi non ricordo neanche il motivo.
Tu invece consigli di selezionare l'ultima "Trust programs from real disck only".
Mi spiegheresti gentilmente il motivo ? grazie :D

semplicissimo,,,questa e' una restrizione superiore, serve a non far partire nessun eseguibile che non sia stato già installato...quindi se sto navigando uso quella restrizione in modo che se qualcosa si vuole installare a mia insaputa ,viene negato senza pietà...

n.b. con questa opzione non si installano neanche gli aggiornamenti di window

Scusa una domanda arnyreny
Uso returnil da tempo ormai, anzi più che altro ce l'ho installato e lo attivo quelle rare volte che voglio andare su siti pericolosi o fare esperimenti particolari.
Non ricordo dove e quando, avevo trovato una mini guida che diceva di selezionare la prima casella " Allow programs to run normally" e così è rimasto da allora, quindi non ricordo neanche il motivo.
Tu invece consigli di selezionare l'ultima "Trust programs from real disck only".
Mi spiegheresti gentilmente il motivo ? grazie :D

Ciao, esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1509314

semplicissimo,,,questa e' una restrizione superiore, serve a non far partire nessun eseguibile che non sia stato già installato...quindi se sto navigando uso quella restrizione in modo che se qualcosa si vuole installare a mia insaputa ,viene negato senza pietà...

n.b. con questa opzione non si installano neanche gli aggiornamenti di window

ricordo come sempre

***ATTENZIONE : THREAD IMPORTANTI***
Qui ci sono i thread importanti di questa sezione CERCATE QUI PRIMA DI POSTARE O DI APRIRE UN NUOVO THREAD (http://www.hwupgrade.it/forum/showthread.php?t=1559053)

Chiedo umilmente perdono :doh:
@arnyreny mi sposto sul 3D dedicato perchè ho bisogno di un altro chiarimento. Grazie:D

Ciao, esiste un 3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1509314



ricordo come sempre

***ATTENZIONE : THREAD IMPORTANTI***
Qui ci sono i thread importanti di questa sezione CERCATE QUI PRIMA DI POSTARE O DI APRIRE UN NUOVO THREAD (http://www.hwupgrade.it/forum/showthread.php?t=1559053)

stiamo parlando del hips di returnil...come a volte si parla di quello di comodo oppure oa,non vedo dove sia l'ot:mbe:

stiamo parlando del hips di returnil...come a volte si parla di quello di comodo oppure oa,non vedo dove sia l'ot:mbe:

Ed in funzione di questo ragionamento discutiamo del modulo Anti-malware/spyware di Returnil in quale sezione del Forum?

Domanda:

Esiste un 3D dedicato a Returnil?

Risposta:

Si

Allora perchè seminare info in ogni dove? Facendo un semplicissimo ragionamento logico anche un utente non iscritto cercherebbe info nel 3D di competenza.

@nv :nulla e' impossibile

http://www.youtube.com/watch?v=2j2oLMlKkJw

@nv :nulla e' impossibile

http://www.youtube.com/watch?v=2j2oLMlKkJw
cosi' su 2 piedi direi incredibile...

Stasera mando una mail al supporto e sento cosa dice...
Sicuro di non aver modificato qualche impostazione tipo attivare l'expert mode?

mail invita anche se sono sul posto di lavoro vista l'assurdità del problema...

Vediamo cosa dice...

mail invita anche se sono sul posto di lavoro vista l'assurdità del problema...

Vediamo cosa dice...

suno curioso;)

@nv :nulla e' impossibile

http://www.youtube.com/watch?v=2j2oLMlKkJw

cosi' su 2 piedi direi incredibile...

Stasera mando una mail al supporto e sento cosa dice...
Sicuro di non aver modificato qualche impostazione tipo attivare l'expert mode?

Forse perchè il collegamento al software in questione è già presente sul tuo Desktop (quindi già installato), la cartella Download lo confermerebbe, pertanto Run as trusted ?

Per il discorso "Problemi che da EMET", resta fermo (credo) quello che è riportato sul forum ufficiale:
Application Compatibility Issues (http://social.technet.microsoft.com/Forums/en/emet/thread/1e70c72b-67b2-43c4-bd36-a0edd1857875)


Sulla 1° parte del tuo post, invece, condivido la parte conclusiva: "Direte voi ecc".
Togli firefox dalle protezioni per-process e vedi...:Prrr:

PS: che è orbit?? :mbe:
Per quanto riguarda quella lista credo sia un pò "trascurata". A mio avviso l'unico modo per esserne sicuri è "testarlo" sulla propria macchina. Io a suo tempo arrivai a tale conclusione con il fatidico problema UltraISO-EMET (per la precisione il modulo DEP), poi giustamente il forum ufficiale è quello che deve essere preso a riferimento ma non vedere appunto UltraISO nella lista mi fa storcere un pò il naso...non è per caso che sia uscita una nuova versione ed abbiano risolto? O_o Appena tornerò a W7 dovrò verificare

ultra iso è cmq segnalato dagli utenti per cui ne avranno sicuramente preso atto anche alla Microsoft:
non credo, infatti, che sia umanamente possibile pretendere che siano a conoscenza di tutti i conflitti con software di 3 parti data l'enorme quantità degli stessi...:)


Su DW, non lo sò:
sarà che ho guardato distrattamente il video ma asp. cmq la risp di Ilya.

Certo è che se non c'è un trucco, e io credo onestamente che ci sia, sarebbe incredibile...

Perdonatemi ma se scrivo non lavoro.

A stasera