PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 8 9 10 11 12 13 [14] 15 16 17 18 19

arnyreny
17-08-2011, 18:14
Forse perchè il collegamento al software in questione è già presente sul tuo Desktop (quindi già installato), la cartella Download lo confermerebbe, pertanto Run as trusted ?

anche con altri software fa la stessa cosa,poi se noti bene l'icona inizialmente e' con il muro,poi dopo l'esecuzione il muro sparisce:cry:

arnyreny
17-08-2011, 18:18
Su DW, non lo sò:
sarà che ho guardato distrattamente il video ma asp. cmq la risp di Ilya.

Certo è che se non c'è un trucco, e io credo onestamente che ci sia, sarebbe incredibile...

Perdonatemi ma se scrivo non lavoro.

A stasera

questa cosa del trucco non l'ho capita...ti ho fatto il video perche' lo sapevo che non credevi a ciò che ti avevo scritto...
tu l'hai provata la nuove versione?
non potrebbe essere un bug...

:stordita:

nV 25
17-08-2011, 18:23
certo, potrebbe essere benissimo un (gravissimo) bug a meno che non sia stato alterato qualcosa nella configurazione di default, ad es. attivare l'expert mode o un'altra opzione di cui evidentemente non sono a conoscenza per il fatto di non aver + utilizzato il programma da quasi 1 anno a questa parte.

Se è un bug, è incredibile, su questo non ci piove

arnyreny
17-08-2011, 18:28
certo, potrebbe essere benissimo un (gravissimo) bug a meno che non sia stato alterato qualcosa nella configurazione di default, ad es. attivare l'expert mode o un'altra opzione di cui evidentemente non sono a conoscenza per il fatto di non aver + utilizzato il programma da quasi 1 anno a questa parte.

Se è un bug, è incredibile, su questo non ci piove

tutto default

nV 25
17-08-2011, 19:35
la risposta è questa:

This file is signed with valid digital signature and it's vendor is known as trusted. "Use whitelisting" option is working this way. I'm very curious why it's installation was still running untrusted. Please, find defensewall_log_file.txt file into the c:\windows folder, zip and send here.


In sostanza, hai la whitelist attiva, il file è firmato digitalmente e il vendor (=chi ha firmato il file) è conosciuto come fornitore affidabile..

Ilya si chiede addirittura perchè parta la 1° volta untrusted quando invece, in accordo con le impostazioni di default, dovrebbe partire da subito TRUSTED, ma cmq...

Anzi, per aiutarlo a capire chiede l'invio di quel file, defensewall_log_file.txt.



Come si è visto, dunque, DW fa il suo lavoro alla grande (io non avevo mai utilizzato la WL e non ricordavo fosse attiva di default)...;)

arnyreny
17-08-2011, 19:54
la risposta è questa:

This file is signed with valid digital signature and it's vendor is known as trusted. "Use whitelisting" option is working this way. I'm very curious why it's installation was still running untrusted. Please, find defensewall_log_file.txt file into the c:\windows folder, zip and send here.


In sostanza, hai la whitelist attiva, il file è firmato digitalmente e il vendor (=chi ha firmato il file) è conosciuto come fornitore affidabile..

Ilya si chiede addirittura perchè parta la 1° volta untrusted quando invece, in accordo con le impostazioni di default, dovrebbe partire da subito TRUSTED, ma cmq...

Anzi, per aiutarlo a capire chiede l'invio di quel file, defensewall_log_file.txt.



Come si è visto, dunque, DW fa il suo lavoro alla grande (io non avevo mai utilizzato la WL e non ricordavo fosse attiva di default)...;)
:mbe: ma ....
adesso sto a lavoro...quando stanotte arrivo a casa...controllo e ti faccio sapere...con un file cattivo:D

se la curiosità e' piu' forte metto su una macchina viruale e controllo adesso

nV 25
17-08-2011, 19:55
poichè nella mail non mi sono limitato alla sola segnalazione del vizio* :D , mi ha detto che stà "raccogliendo informazioni" per il discorso del 64bit.

In sostanza, credo stia monitorando anche lui sistemi semi ufficiali di manipolazione del Kernel per vedere come si comporta Microsoft...



PS: mi dispiace ripeterlo ancora una volta, ma un supporto come quello offerto da questo russo altre software house se lo sognano.
Spero che ne facciano tesoro anche i ns/amici della NVTxs se veramente vogliono realizzare qualcosa di importante con il loro programma...







* che poi abbiamo visto essere il normale comportamento del programma di fronte a file legittimi....

nV 25
17-08-2011, 19:57
:mbe: ma ....
adesso sto a lavoro...quando stanotte arrivo a casa...controllo e ti faccio sapere...con un file cattivo:D

se la curiosità e' piu' forte metto su una macchina viruale e controllo adesso

guarda che è suff. provare con un file non firmato digitalmente, ad es. CLT...

Ora che anche Ilya ha detto la sua (e mi torna), pago la licenza se DW canna...


Se ti vuoi sbizzarrire con un virus, cmq, pago la licenza anche per questo caso...

arnyreny
17-08-2011, 21:08
guarda che è suff. provare con un file non firmato digitalmente, ad es. CLT...

Ora che anche Ilya ha detto la sua (e mi torna), pago la licenza se DW canna...


Se ti vuoi sbizzarrire con un virus, cmq, pago la licenza anche per questo caso...

ho verificato...in default c'e' la whitelist

http://img705.imageshack.us/img705/4869/catturarc.th.jpg (http://imageshack.us/photo/my-images/705/catturarc.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

se un file e' firmato digitalmente si trasforma durante l'esecuzione da untusted ad trusted

mentre se non e' firmato...il programma ti mostra un pop-up che ti avvisa se eseguirlo come trusted oppure untrusted...
http://img571.imageshack.us/img571/3803/cattura2u.th.jpg (http://imageshack.us/photo/my-images/571/cattura2u.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

nV 25
18-08-2011, 13:16
Allora, S.Tommaso?

Sei rimasto basito dal constatare con mano quanto sia strepitosamente più semplice un programma come DefenseWall rispetto agli altri?
E' per questo il silenzio o stai meditando una tua vendetta alla ricerca del malware capace di forare il Sandbox per dimostrarci che si!, nV ha sempre esagerato quando glorificava questo software?


Dopo aver ricordato cmq che sono indicate in uno degli ultimi post le modifiche da apportare al programma per automatizzarne eventualmente il funzionamento nella direzione del "LIMITA TUTTO A PRESCINDERE", resto in attesa di altre impressioni (Roby?)...


:lamer:

arnyreny
18-08-2011, 13:35
Allora, S.Tommaso?

Sei rimasto basito dal constatare con mano quanto sia strepitosamente più semplice un programma come DefenseWall rispetto agli altri?
E' per questo il silenzio o stai meditando una tua vendetta alla ricerca del malware capace di forare il Sandbox per dimostrarci che si!, nV ha sempre esagerato quando glorificava questo software?


Dopo aver ricordato cmq che sono indicate in uno degli ultimi post le modifiche da apportare al programma per automatizzarne eventualmente il funzionamento nella direzione del "LIMITA TUTTO A PRESCINDERE", resto in attesa di altre impressioni (Roby?)...


:lamer:

grazie a S.Tommaso ti sei chiarito le idee su qualche dubbio che ti affliggeva ieri:fiufiu:
adottando la whitelist di default va incontro a tutti i rischi che ha questo tipo di approccio...
suggerisco di disattivare questa funzione

ps non metto mai in dubbio il lavoro degli altri...se rileggi il mio primo post sul funzionamento della nuova versione...avevo intuito che fosse cambiato qualcosa...
sono sempre dell'idea che la sicurezza assoluta non c'e';)

nV 25
18-08-2011, 13:57
ps non metto mai in dubbio il lavoro degli altri...
opinabile, IMO..
sono sempre dell'idea che la sicurezza assoluta non c'e';)
glorificare ho sempre glorificato (vuoi 1 soluzione, vuoi un'altra), ma MAI ho asserito che esiste una sicurezza assoluta che coincide solo col PC spento.

Come dice Ilya (e Tzuk, anche se probabilmente con < insistenza), il fine ultimo dei loro programmi è quello di permettere un'affidabilità il più possibile chiusa intorno al 100% pur utilizzando un approccio totalmente differente rispetto a quanto propinato alle masse "fino a pochi giorni fà".

Quindi, lo sanno benissimo anche loro che è sempre dietro l'angolo un modo per aggirarne la protezione, figuriamoci se mi permetto io di dire (e pensare) il contrario...


Se xò calo questo modello di difesa nel panorama delle soluzioni pensate per difendere un utente dal rischio di potenziali infezioni (e dunque RELATIVIZZO il concetto), bèh, di cosa si stà parlando??
Il quadro che ne emerge è semplicemente impietoso:
DW, con Sbxie, è superiore (ancora oggi...) **A QUALSIASI** altra soluzione [EDIT] SOTTO TUTTI I PUNTI DI VISTA.



Chi asserisce il contrario è in mala fede, non ci sono scusanti**.











**non è ovviamente riferito a te ma vale in generale

arnyreny
18-08-2011, 14:25
la mia opinione e' diversa

per prevenire gli zero day
si stanno percorrendo 2 strade differenti

che se collaudate a dovere possono tendere allo stesso risultato(massima sicurezza per l'utente)

1 quella della sandbox con permessi limitati
2 quella della whitelist e blocco degli eseguibili sconosciuti

oltre alla sicurezza c'e' da guardare l'aspetto usabilità

entrambe hanno pro e contro

un esempio...di default dw mi blocca gli aggiornamenti di chrome
mentre con la soluzione 2 non si ha questo tipo di problematica

un esempio con comodo con opzione blocca gli eseguibili sconosciuti
non parte il filezilla...almeno che non si dica trattalo come sicuro
mentre con la soluzione 1 non si ha questo problema



**non è ovviamente riferito a te ma vale in generale


lo spero... non ho interessi nel dire una o l'altra cosa,...le mie sono modeste opinioni personali

nV 25
18-08-2011, 17:44
la mia opinione e' diversa

per prevenire gli zero day
si stanno percorrendo 2 strade differenti

che se collaudate a dovere possono tendere allo stesso risultato(massima sicurezza per l'utente)

1 quella della sandbox con permessi limitati
2 quella della whitelist e blocco degli eseguibili sconosciuti

oltre alla sicurezza c'e' da guardare l'aspetto usabilità

entrambe hanno pro e contro
2 strade, ok, anche se la tendenza è quella di liberare l'utente da decisioni (e poichè l'utenza già di tipo medio avanzata non sa come rispondere a cose normali, questa politica non può che essere vincente a patto sempre che sia ben disegnata)...

Capitolo usabilità:
ma di cosa stiamo parlando?

1 modello è tradizionalmente rigido (e te lo dice uno che li ha amati profondamente...), l'altro è banale tanto sono flessibili...


un esempio...di default dw mi blocca gli aggiornamenti di chrome
mentre con la soluzione 2 non si ha questo tipo di problematica

a beh, certo:
capisco perfettamente che l'entità del "problema" :asd: lamentato è sicuramente motivo per propendere verso un'altra soluzione...:p

PS: ma di cosa stiamo parlando??

un esempio con comodo con opzione blocca gli eseguibili sconosciuti
non parte il filezilla...almeno che non si dica trattalo come sicuro
mentre con la soluzione 1 non si ha questo problema
e non rientra quindi nel capitolo "usabilità"??

1 è flessibile, l'altro (pur avendolo amato e amandolo tutt'ora) se lo sogna...







Poi?


Basta, dai, che sono annoiato a portare avanti questi discorsi sterili:
concordo che ci siano 2 strade entrambe efficaci, è vero, ma finiamola li' e attendiamo magari interventi di altri utenti...

arnyreny
18-08-2011, 18:16
:winner: 2 strade, ok, anche se la tendenza è quella di liberare l'utente da decisioni (e poichè l'utenza già di tipo medio avanzata non sa come rispondere a cose normali, questa politica non può che essere vincente a patto sempre che sia ben disegnata)...

Capitolo usabilità:
ma di cosa stiamo parlando?

1 modello è tradizionalmente rigido (e te lo dice uno che li ha amati profondamente...), l'altro è banale tanto sono flessibili...




a beh, certo:
capisco perfettamente che l'entità del "problema" :asd: lamentato è sicuramente motivo per propendere verso un'altra soluzione...:p

PS: ma di cosa stiamo parlando??


e non rientra quindi nel capitolo "usabilità"??

1 è flessibile, l'altro (pur avendolo amato e amandolo tutt'ora) se lo sogna...







Poi?


Basta, dai, che sono annoiato a portare avanti questi discorsi sterili:
concordo che ci siano 2 strade entrambe efficaci, è vero, ma finiamola li' e attendiamo magari interventi di altri utenti...


erano solo degli esempi...
infatti volevo arrivare alla conclusione che hanno entrambi dei problemi di usabilità...

(ho eliminato commenti personali verso alcuni soggetti,infatti a malincuore ho capito che servono solo a glorificarli di piu':doh: )

quando riusciranno a fare un soft per i 64 bit ne riparliamo ...:asd:

nV 25
18-08-2011, 18:31
nV 25 santo subito!! :yeah:

arnyreny
19-08-2011, 22:22
con la versione beta 5.1 di onlinearmor sembra risolto il problema di incompatibilità con sandboxie...vediamo:D

nV 25
21-08-2011, 21:42
Interessa 0 ma dopo aver pubblicato la foto di MJ ecc [! (http://www.hwupgrade.it/forum/showpost.php?p=35625308&postcount=3166)], ho trovato anche quella dello sviluppatore di DW in un'intervista che ha rilasciato 2 anni fà:
Foto + intervista (http://content.yudu.com/Library/A1rc8w/Hakin9200905/resources/76.htm) che consiglio di leggere tanto è intuitiva...



PS: mi piace la gnappa anche se sono alla ricerca di foto di questi soggetti, non fraintendete :p...
eraser, inoltre, può confermare di non essere mai stato importunato dal sottoscritto sebbene ne conoscessi il volto... :Prrr:

eraser
23-08-2011, 00:46
eraser, inoltre, può confermare di non essere mai stato importunato dal sottoscritto sebbene ne conoscessi il volto... :Prrr:

Mica vero, le continue chiamate notturne al telefono alle 2 di notte per un mese intero non le ho mandate mica giù ancora

nV 25
23-08-2011, 12:23
Mica vero, le continue chiamate notturne al telefono alle 2 di notte per un mese intero non le ho mandate mica giù ancora

'azz, ora mi arrestano per Stalking...:stordita:


















PS: ma allora è proprio finita? :D

nV 25
23-08-2011, 14:20
Dopo l'esperienza di un altro utente che asseriva di aver trovato un sample ITW capace di bypassare DW...per poi smentirsi poche ore dopo affermando che in realtà il PC risultava già infetto da quello stesso malware prima dell'installazione di DefenseWall [L'allarme gridato da qualcuno sulla base di quello che risultava sul forum in questione... (http://gladiator-antivirus.com/forum/index.php?showtopic=120342) ...e la ritrattazione... (http://www.wilderssecurity.com/showpost.php?p=1924560&postcount=328)]*, un altro caso di un VERO :read: malware (una variante di ZeroAccess) che fora uno dei software più diffusi anche su questo forum, CIS 5 @ default:
perfectly bypass comodo partially limited (http://forums.comodo.com/beta-corner-cis/perfectly-bypass-comodo-partially-limited-t75621.0.html)

Risposta di egemen:

"So it exploits JAVA and drops malware. Then the malware is executed. After the execution, it seems to be copying an executable to adobe plugins folder and
We will need to further anlayze whats going on. It seems it is trying to drop some files to adobe plugins folder and create shell keys. All of these would be blocked by CIS normally.

However there may be something iit is using that we must understand. Once we know what it is doing, i will let you know.

Be assured that if there are any problems in HIPS to lets such an infection, it will be fixed immediately to prevent this threat".
Meno male che almeno assicura di far mettere immediatamente le mani sul codice se riscontra un problema (e non vedo come possa non riscontrarlo visto che lo hanno riscontrato tutti)...

Notare, inoltre (da quello almeno che emerge leggendo alcune dichiarazioni su quello stesso thread), che il trojan in questione utilizza un sistema già visto per altri malware [viene fatto il nome di gpcode, ad es] che alla Comodo si sono rifiutati di contemplare tra le protezioni dell'HIPS in quanto i sample in circolazione di quel tipo sono pochi e tutti intercettati a mezzo firme/euristica:
e lo vedo...:rolleyes:
"Trojan wanted to get list of the files..the same like gpcode and blackday..the same method we are talking about..the same which comodo cannot prevent"...

















*= :mbe: -> :eek: -> :doh: -> :muro:

arnyreny
23-08-2011, 15:44
come ho ripetuto sul forum di kaspersky,questa politica di rincorsa nel rendere i propri prodotti quanto piu' User Friendly,sta portando ad un generale indebolimento della sicurezza.
Ad esempio se la sandbox di comodo in default fosse non in partially limited,ma in qualche livello superiore il prodotto ne guadagnerebbe in sicurezza.

arnyreny
23-08-2011, 15:51
no virusthanks versione 1.3.3


Changelog:

[23-08-2011] v1.3.3.0

+ Added "Hint" on mouse-over in commandline parameter (Alert Dialog)
+ Added right-click "Copy to Clipboard" on commandline parameter (Alert Dialog)
+ Fixed "Rename extension to .ext" for Alert Dialog -> Block and Quarantine
+ Added "Reset Settings to Defaults"
+ Added new detection of Blackhole Exploit Kit and Best Exploit Pack payloads
+ Added "Go in Stealth Mode when Windows Starts"
+ Optimized "Alert if regsvr32 tries to load silently a DLL"
+ Fixed "Alert ONLY for Processes Executed by Specific Caller Processes"
+ Added "Check for Updates" to check if there is available a new product version
+ Added "Menu" -> "Save Settings" -> To save all EXE Radar Pro settings in a
single file
+ Added "Menu" -> "Load Settings" -> To load all EXE Radar Pro settings from a
single file
+ Added "Processes" -> "Terminate Process + BlackList File"
+ Added right-click on "Process" (Alert Dialog) -> "View File Content" (using
notepad.exe)
+ Added "Block Processes that try to Run from USB"
+ Added "Block Processes that try to Run from CD-ROM"
+ Added "Block Processes that try to Run from Network Drives"
+ Fixed "Bad Database Data!" error
+ Added "Allow Digital Signature Owner" + Manage Allowed List
+ Added in the popups an option to add the current digital signature to the
allowed list
+ Added date column on BlackList and WhiteList TABs
+ Added format byte size in the size column
+ Added the ability to order the whitelist and blacklist by added date
+ Added "Beep when Alerted"
+ Added "Block Processes by File Content Using Regex" + Manage List

arnyreny
24-08-2011, 01:22
c'era ancora qualcosa che non andava:D

We have released a new version of NoVirusThanks EXE Radar Pro v1.3.3.1.

Changelog:

[24-08-2011] v1.3.3.1

+ Fixed Alert Dialog -> "View File Content"
+ Fixed Menu -> "Load Settings"
+ Fixed Menu -> "Reset Settings to Defaults"
+ Fixed Alert Dialog -> "Add Certificate Signer"
+ Optimized Settings TAB
+ User can select the logs folder
+ Remove multiple items in "Manage List"
+ Minor fixes

nV 25
24-08-2011, 17:59
*

Draven94
24-08-2011, 18:02
c'era ancora qualcosa che non andava:D

...
Per i 64bit occorre ancora aspettare :cool:

Chill-Out
24-08-2011, 18:09
*

Ribadisco il concetto, evitiamo di spostare/portare eventuali polemiche da un Forum ad un altro, non trovo assolutamente corretto parlare di chi non può rispondere, dacci un taglio.

nV 25
24-08-2011, 18:15
ok, editato...

sono fantastici, cmq...

arnyreny
24-08-2011, 18:28
Per i 64bit occorre ancora aspettare :cool:

si parla di ottobre;)
aspettiamo AndreaAmici per conferme,e' un po che non si vede ...stara' in ferie:ubriachi:

Draven94
25-08-2011, 10:58
si parla di ottobre;)
aspettiamo AndreaAmici per conferme,e' un po che non si vede ...stara' in ferie:ubriachi:
Speriamo :sperem:

nV 25
27-08-2011, 14:45
Antilogger & Browser Security Test August 2011:
Antilogger-Browser-Security-Test.zip (http://malwareresearchgroup.com/wp-content/uploads/2009/01/Antilogger-Browser-Security-Test.zip)


Personalmente rilevo sempre le solite cose....

Contendenti:
1. GesWall
2. GIT Antikeylogger
3. Neo’s SafeKeys
4. Prevx
5. KeyScrambler Personal
6. Quaresso Protect On Q
7. DefenseWall
8. Spyshelter Premium
9. Trusteer Rapport
10. BufferZone Pro
11. Zemana AntiLogger

Slash82
30-08-2011, 09:50
ho disinstallato online armor e vorrei passare a un programma molto semplice da usare... Ho visto i vari sandbox, defensewall ( che differenza c'è tra hips e firewall?),gswall, ecc.
Purtroppo non saprei quale scegliere dato che ci sono molti programmi. Preferibilmente il programma più semplice da usare e meno invasivo ( chiaramente che dia un elevato livello di sicurezza).

arnyreny
30-08-2011, 10:45
ho disinstallato online armor e vorrei passare a un programma molto semplice da usare... Ho visto i vari sandbox, defensewall ( che differenza c'è tra hips e firewall?),gswall, ecc.
Purtroppo non saprei quale scegliere dato che ci sono molti programmi. Preferibilmente il programma più semplice da usare e meno invasivo ( chiaramente che dia un elevato livello di sicurezza).

questa e' la sezione hips...di semplicita' c'e' ne poca....
tuttavia se hai un sistema a 32 bit puoi usare defencewall...
e qualche avviso sempre c'e'

ps aedesso le suite complete tipo kaspersky,norton hanno ridotto i pop-up a zero,pero' come sicurezza stanno un pelino sotto a dw,comodo e online armor

questa e' la sezione giusta per le tue domande
http://www.hwupgrade.it/forum/showthread.php?t=2011681

Slash82
30-08-2011, 11:09
un minimo di avvisi per me va bene. Ho deciso di abbandonare OA, oltre che per un problema di computer lento, ma anche perchè ero stanco dei continui avvisi ( leggittimissimi, per carità), consenti, blocca.... inoltre il pc lo usa anche mio fratello che è ancora più niubbo di me. Semplicemente vorrei usare il pc per svago senza stare dietro alle varie impostazioni, configurazioni, consenti, fidati di questo programma,ecc....Sto provando defense wall firewall, ma è shareware.... poi con tutti questi programmi è difficile scegliere.Ho letto il primo post, ma non spiega tutto riguardo defensewall, inoltre non ho trovato un 3d ufficiale di questo programma.
Defence wall è il programma più semplice da usare e meno invasivo?
In parole estremamente semplici che differenza c'è tra defensewall HIPS e defence wall Firewall? Quale dovrei scegliere?

nV 25
30-08-2011, 11:40
Mi sembra di aver capito che hai un OS a 32bit (anche perchè, altrimenti, non avresti potuto provare la versione trial di DW)...

Se ho capito correttamente, quindi, al 99% DW è proprio il software che fa per te.

Robusto, intuitivo, poco invasivo, relativamente economico.

GUIDA DW -->: LINK ! (http://www.hwupgrade.it/forum/showpost.php?p=35744777&postcount=3229)
[***L'unica fase delicata di tutto il processo, in sostanza, è quella volta ad assicurarsi che tutti i potenziali vettori di infezione siano COPERTI da DefenseWall***]

Se lo proteggi con password, cosa che farei a prescindere specie in questo caso visto che il PC è condiviso con tuo fratello, e se lo configuri come lo avevo configurato io (vedi anche il punto della guida postata poc'anzi in cui dico "Alcuni dettagli su come configuravo DefenseWall"...), gli unici pop-up che ricevi sono relativi a programmi che al 99% hanno comportamenti da keylogger:
il pop-up, di conseguenza, ti da modo di "terminare" immediatamente il processo che tenta di "catturare" la pressione dei tasti ecc...

Con spiegato nei miei post, con i settaggi da me suggeriti [...] "rimarrebbe attivo il whitelisting e, di conseguenza, QUALSIASI file non firmato e di fonte non attendibile scaricato a mezzo threat gateways partirebbe SEMPRE come ISOLATO SENZA rimandare alla scelta all'utente".

In sostanza, tuo fratello non avrebbe la possibilità di intaccare nulla del tuo OS, programmi ecc neppure per errore..

L'unica possibilità che avrebbe di apportare modifiche al sistema, pertanto, sarebbe limitata ai programmi in whitelist che infatti possono essere regolarmente aggiornati...


Anche te, per errore, non potresti alterare nulla.

Se vuoi "liberare dal sandbox" un installer non firmato e di fonte non attendibile, dovresti per forza farlo manualmente (meno intuitivo ma + sicuro) con inserimento password..

Insomma, DW è un programma molto logico che va ovviamente capito un attimo ma credo sia assolutamente alla portata della massa, figuriamoci se vieni da OA....

nV 25
30-08-2011, 11:43
Dimenticavo:

è ovvio che la versione CON Firewall sia preferibile al Sandbox nudo e crudo...

Credo che la differenza di prezzo, peraltro, sia anche molto contenuta (sui 7 €?)...

Slash82
30-08-2011, 11:57
ok grazie, speravo rispondessi dato che a quanto capisco sei un fan di DW :)
avrei qualche domanda:
- tra DW HIPS e DW Firewall, quale dovrei scegliere? Per quale motivo dovrei scegliere uno rispetto l'altro?
- cosa comporta avere un file trusted piuttosto che non trusted? Logicamente si intuisce che un file trusted è considerato sicuro, ma in pratica che differenza di azioni hanno i due tipi? Su quale criterio consigli di basarmi per stabilire se un programma va impostato su trusted non trusted?
- Firefox va considerato come programma fidato? Presumo di no, mentre Steam?
Ricordo che su OA, Steam lo avevo impostato su trusted poichè era un programma dalla provenienza certa... consigli di farlo anche su DW? Il plugin container di firefox?

nV 25
30-08-2011, 12:08
per quanto riguarda la 1° domanda, se mi permetti vorrei passare oltre:
ritengo infatti che i motivi siano troppo palesi al punto da non meritare risposta (ma li voglio accennare lo stesso, guarda te a che punto di "bontà" sono :p :
hai un processo [isolato,o untrusted] che tenta di aprire una comunicazione con l'esterno:
bene, questa comunicazione come sarebbe fermata nella versione priva di firewall?
ecc..)

Firefox, cosi' come qualsiasi altro Browser noto, è riconosciuto di default per cui nessun intervento è richiesto.
In Defensewall Firefox E' 1 PROCESSO ISOLATO proprio perchè potenziale fonte di pericolo per l'utente (drive by, e chi + ne ha...)





Il resto delle tue domande, + tardi:
resta sintonizzato :)

nV 25
30-08-2011, 13:12
Per quanto riguarda Steam, presumo che sia anche questo riconosciuto di default.

Se non vado errato, infatti, consente di scaricare contenuti dalla rete per cui potrebbe essere considerato "canale" di infezione...
In merito a Steam, cmq, sentirei il supporto via mail per dissipare ogni dubbio.


- cosa comporta avere un file trusted piuttosto che non trusted? Logicamente si intuisce che un file trusted è considerato sicuro, ma in pratica che differenza di azioni hanno i due tipi? Su quale criterio consigli di basarmi per stabilire se un programma va impostato su trusted non trusted?

Questa, invece, è la fase più delicata di tutto il ragionamento.

Un processo (o file,..) *TRUSTED* (= sicuro) è, in pochè parole, libero di girare nel sistema senza incontrare alcun tipo di restrizioni.

Viceversa, un file *untrusted* incontra precise restrizioni definite di default dallo sviluppatore (es., tutta la pletora di meccanismi volti a controllare un processo, ecc)...

Idealmente, quindi, la mancanza di libertà attribuita ai processi untrusted permette di realizzare la separazione tra risorse sicure/insicure preservando di conseguenza lo "stato" della macchina, la sua "sanità"...


Su quali processi debbano essere inseriti nella UNTRUSTED LIST (che equivale all'elenco di applicazioni che partiranno SEMPRE isolate), dipende dal fatto che questi interagiscano con internet o meno.

I browser, ad es., sono strumenti che interagiscono con internet.
Quelli + noti sono ovviamente già contemplati nel motore di DW che li considererà automaticamente isolati senza richiedere alcun intervento dell'utente, quelli meno noti invece DOVRANNO ESSERE INSERITI A MANO nella lista (non è pensabile, infatti, che lo sviluppatore possa contemplare qualsiasi programma esistente)...

In linea di massima, dunque, e se sul PC non si hanno programmi sconosciuti, DW non richiede interventi configurando tutto da solo...



Nel tuo caso, cmq, steam può essere realmente motivo di perplessità.

Per il resto, se vedi che nella untrusted list sono materialmente elencati i programmi che usi solitamente per il P2P, IM, ecc, direi che non devi fare nient'altro se non usare il programma...


Fai anche 2 prove provando a scaricare ( e lanciare) CLT (http://www.testmypcsecurity.com/securitytests/firewall_test_suite.html) e Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653) e poi mi dici le tue impressioni....

nV 25
30-08-2011, 13:39
Steam lo avevo impostato su trusted poichè era un programma dalla provenienza certa... consigli di farlo anche su DW? Il plugin container di firefox?
Risposta di Ilya su come trattare Steam:
"It have to be trusted as it do not contact potentially dangerous content".


STEAM, quindi, deve essere considerato SICURO.

Di conseguenza non è richiesto alcun intervento dell'utente in proposito...


Hope this help,
nV

Slash82
30-08-2011, 15:56
per quanto riguarda la 1° domanda, se mi permetti vorrei passare oltre:
ritengo infatti che i motivi siano troppo palesi al punto da non meritare risposta (ma li voglio accennare lo stesso, guarda te a che punto di "bontà" sono :p :
hai un processo [isolato,o untrusted] che tenta di aprire una comunicazione con l'esterno:
bene, questa comunicazione come sarebbe fermata nella versione priva di firewall?
ecc..)

Firefox, cosi' come qualsiasi altro Browser noto, è riconosciuto di default per cui nessun intervento è richiesto.
In Defensewall Firefox E' 1 PROCESSO ISOLATO proprio perchè potenziale fonte di pericolo per l'utente (drive by, e chi + ne ha...)





Il resto delle tue domande, + tardi:
resta sintonizzato :)perdonami ma ho questo dubbio perchè nel sito dice questo:

Personal Firewall edition of DefenseWall=HIPS one + bi-directional network connections control.

e

HIPS edition of DefenseWall=Personal Firewall one - bi-directional network connections control.
Sono un poco confuso... a quanto dici la versione firewall ha sia l'hips che il firewall mentre la versione HIPS ha solo, per l'appunto, l'hips?
Grazie per le altre risposte molto chiare! :)

nV 25
30-08-2011, 16:41
la 1° è quella HIPS + FW e, infatti, nella scheda d'ordine risulta più cara:
https://secure.payproglobal.com/orderpage.aspx?products=57775


La 2°, invece, è la versione "essenziale" o solo Sandbox:
https://secure.payproglobal.com/orderpage.aspx?products=57763

Slash82
30-08-2011, 19:02
da quando ho installato defense wall il mio pc è tremendamente lento. Addirittura 10 minuti ad avviarsi, 5-6 minuti per aprire un programma,ecc...
Ho pulito il registro, mi sono assicurato che non ci siano tracce di OA rimanenti, ho deframmentato, ma nulla sempre lentissimo. Ho disinstallato DW e il pc è tornato veloce. Che faccio?

nV 25
30-08-2011, 19:26
è logico che c'è un problema...

Se vuoi, contattami in pvt e si continua li'...

arnyreny
30-08-2011, 20:34
da quando ho installato defense wall il mio pc è tremendamente lento. Addirittura 10 minuti ad avviarsi, 5-6 minuti per aprire un programma,ecc...
Ho pulito il registro, mi sono assicurato che non ci siano tracce di OA rimanenti, ho deframmentato, ma nulla sempre lentissimo. Ho disinstallato DW e il pc è tornato veloce. Che faccio?

:sofico:

nV 25
30-08-2011, 20:51
:sofico:

La rivincita, come la vendetta, è un piatto che si consuma freddo, vero?

Se sei contento cosi'..

nV 25
30-08-2011, 20:55
Dopo una piccola indagine via pvt, cmq, sono quasi convinto che il problema della lentezza lamentato da Slash82 sia da imputare ad un conflitto tra Avast & DW...

Slash82
30-08-2011, 21:38
Molto strano.... È vero che ogni pc è diverso però moltissime persone usano DW e avast senza problemi... Proverò a installare comodo vediamo come va.

caturen
30-08-2011, 23:48
Molto strano.... È vero che ogni pc è diverso però moltissime persone usano DW e avast senza problemi... Proverò a installare comodo vediamo come va.
Non penso che sia il massimo come decisione, a meno che tu non veglia installare solo l'antivirus (non ho idea se sia possibile):doh: Installare due hips nello stesso tempo può solo portare a conflitti tra di loro.

Slash82
30-08-2011, 23:52
Non penso che sia il massimo come decisione, a meno che tu non veglia installare solo l'antivirus (non ho idea se sia possibile):doh: Installare due hips nello stesso tempo può solo portare a conflitti tra di loro.

ti riferisci ad avast e comodo insieme o avast + DW?

nV 25
31-08-2011, 11:05
Se esiste la volontà di indagare ulteriormente il problema per quanto riguarda DW, rinnovo la mia disponibilità ad aiutarti....

...sempre che, ovviamente, vi sia questo serio interesse (che, aimè, richiede anche un pò di perdita di tempo da parte di entrambi).


In caso contrario, no problem (= si risparmia tempo) :D

Draven94
31-08-2011, 11:38
Se esiste la volontà di indagare ulteriormente il problema per quanto riguarda DW, rinnovo la mia disponibilità ad aiutarti....

...sempre che, ovviamente, vi sia questo serio interesse (che, aimè, richiede anche un pò di perdita di tempo da parte di entrambi).


In caso contrario, no problem (= si risparmia tempo) :D
Non vorrei azzardare la risposta ma secondo me va presa in seria considerazione il fatto che su quel PC precedentemente vi era installato OA che va molto "a fondo" nella sua installazione. Dico questo perchè anch'io in passato avevo OA e la sua disinstallazione non era una disinstallazione vera e propria ma una semplice rimozione e con qualsiasi altro soft di sicurezza installato il mio PC sembrava andare con il freno a mano tirato. Ho risolto il tutto ripristinando un'immagine del sistema pre-installazione OA e solo successivamente installai gli altri softwares di sicurezza.

nV 25
31-08-2011, 11:42
sarà...


Io, cmq, ho già segnalato da ieri il problema allo sviluppatore cosi' che abbia modo di verificare se il malessere segnalato sia reale o imputabile ad un problema localizzato al PC del nostro amico (e cioè, a precedenti residui di qualcosa sulla sua macchina, ecc)...

Slash82
31-08-2011, 11:46
nV 25:
grazie per la tua gentilezza e pazienza, ma al momento ho installato comodo ( lo avevo circa 2 anni fa) e mi sto trovando bene, il pc è di nuovo veloce.
OA l'ho disinstallato completamente, ho usato pulitori di registro, ho cancellato manualmente le sue voci dal regedit... bho non saprei. Chissà magari in futuro darò un'altra possibilità a DW.

Non vorrei azzardare la risposta ma secondo me va presa in seria considerazione il fatto che su quel PC precedentemente vi era installato OA che va molto "a fondo" nella sua installazione. Dico questo perchè anch'io in passato avevo OA e la sua disinstallazione non era una disinstallazione vera e propria ma una semplice rimozione e con qualsiasi altro soft di sicurezza installato il mio PC sembrava andare con il freno a mano tirato. Ho risolto il tutto ripristinando un'immagine del sistema pre-installazione OA e solo successivamente installai gli altri softwares di sicurezza.
ho provato a ripristinare, ma purtroppo ogni punto di ripristino che selezionavo ricevevo l'errore "impossibile ripristinare"....

caturen
31-08-2011, 11:46
ti riferisci ad avast e comodo insieme o avast + DW?

Mi riferivo alla suite di comodo insieme a DW. (Avast non lo conosco)

nV 25
31-08-2011, 11:49
nV 25:
grazie per la tua gentilezza e pazienza, ma al momento ho installato comodo [...]
figurati, vale quello che ho detto poc'anzi,

In caso contrario, no problem (= si risparmia tempo) :D

ciao e alla prox :)

Slash82
31-08-2011, 11:54
figurati, vale quello che ho detto poc'anzi,


ciao e alla prox :)

comunque sto trovando comodo molto meno ostico e invasivo di quanto ricordassi. Forse è grazie alla whitelist più aggiornata, ma ricordo che in passato ricevevo fiumi di richieste ( anche da programmi diffusissimi tipo winrar) mentre ora i messaggi sono molto più limitati. Anche OA aveva tantissime richieste...

caturen
31-08-2011, 11:55
nV 25:
grazie per la tua gentilezza e pazienza, ma al momento ho installato comodo ( lo avevo circa 2 anni fa) e mi sto trovando bene, il pc è di nuovo veloce.
OA l'ho disinstallato completamente, ho usato pulitori di registro, ho cancellato manualmente le sue voci dal regedit... bho non saprei. Chissà magari in futuro darò un'altra possibilità a DW.

Sarà una questione di gusti personale (ma in realtà non è così), ma tra comodo e DW non c'è proprio paragone. Per quel poco che ho potuto usarli (ora sono molto contento di essere passato su linux e di windows sul mio portatile non c'è più traccia) DW era ENORMEMENTE più facile da usare e cosa ancora più importante il suo sviluppatore si adopera personalmente a risponderti in caso di problemi. E questo nel giro di pochissimo tempo. Provato di persona. Se uno ha ancora un sistema a 32 bit quello E' IL PROGRAMMA.
Certo, è a pagamento.

nV 25
31-08-2011, 12:02
Sarà una questione di gusti personale (ma in realtà non è così), ma tra comodo e DW non c'è proprio paragone. Per quel poco che ho potuto usarli (ora sono molto contento di essere passato su linux e di windows sul mio portatile non c'è più traccia) DW era ENORMEMENTE più facile da usare e cosa ancora più importante il suo sviluppatore si adopera personalmente a risponderti in caso di problemi. E questo nel giro di pochissimo tempo. Provato di persona. Se uno ha ancora un sistema a 32 bit quello E' IL PROGRAMMA.
Certo, è a pagamento.

fa piacere leggere un pensiero come questo perchè, al di là della considerazione relativamente al rapporto DW/Comodo che per inciso sposo cmq in pieno, riconosci anche te l'incredibile valore (aggiunto) del supporto che è semplicemente unico al mondo.

Non esistono obiettivamente parole per descriverlo...

E' un valore in qualche modo intangibile (perchè quando si compra il prodotto, la 1° cosa che si guarda è il costo della licenza)...ma quando (e se mai) si dovesse avere il minimo problema (di configurazione, di *bla bla bla*), sapere che lui è presente e ti aiuta materialmente non ha semplicemente valore..

Insomma, quello che hai detto sembra sia uscito dalle mie labbra...

arnyreny
31-08-2011, 12:03
comunque sto trovando comodo molto meno ostico e invasivo di quanto ricordassi. Forse è grazie alla whitelist più aggiornata, ma ricordo che in passato ricevevo fiumi di richieste ( anche da programmi diffusissimi tipo winrar) mentre ora i messaggi sono molto più limitati. Anche OA aveva tantissime richieste...

e' diventato anch'esso user friendly....pero' ti rimando al forum comodo per settarlo a dovere...
almeno per quanto riguarda la sandbox...

infatti per onore di cronaca forse a mio avviso le differenza sostanziale tra dw e comodo
sono 2

1 di default dw e' piu' sicuro di comodo
2 per chi vuole una suite comodo ha il vantaggio di offrirti anche l'av
senza dover aggiungere altri soft

nV 25
31-08-2011, 13:35
ok, dopo un pò di supporto, una notizia molto positiva e semi-fresca (visto che è di ieri):
al contrario di quanto asserito su altri forum dove davano per risolto! un problema lontano in realtà da questa condizione (stò parlando di CIS...), solo nella giornata di ieri è stato trovato rimedio ad un vizio bello grosso che permetteva a determinati malware di bypassare le difese di questo HIPS...

Egemen ieri :read: :
"Verified the bug [...] this malware is bypassing CIS.
This makes it clear now how the other sample also bypassed CIS.
The next BETA will fix this issue [...]".

Il problema, in sostanza (e stando alle parole dello scopritore del bug), nasceva perchè il processo svchost.exe non ereditava le restrizioni del processo padre,
"svchost.exe is not sandboxed by CIS"...

In realtà, il processo figlio (= svchost.exe), pur girando limitato (il log infatti lo mostrava correttamente come "Sandboxed"), era libero di muoversi senza restrizioni visto che l'engine di CIS NON gli applicava le restrizioni previste ereditandole dal processo malevolo che lo aveva generato.

Ecco dunque la conferma di egemen (di ieri, ripeto :read: ):
"While determining the actions of sandboxed svchost.exe, CIS doesnt apply sandbox policy because of a race condition".

Notare il "race condition", determinante per questi programmi...

Personalmente trovo molto grave che una grande software house non testi in profondità un prodotto sensibile come questo ma lasci ai test di persone + o - comuni l'onere di verificare l'esistenza di eventali problemi...


IMO




Fonte (http://forums.comodo.com/beta-corner-cis/perfectly-bypass-cis-sandbox-again-t75830.0.html) ;)




*EDIT*
rivisto tutto il post perchè nella sua 1° stesura faceva pena :read:

cloutz
01-09-2011, 12:17
ok, dopo un pò di supporto, una notizia molto positiva e semi-fresca (visto che è di ieri):
al contrario di quanto asserito su altri forum dove davano per risolto! un problema lontano in realtà da questa condizione (stò parlando di CIS...), solo nella giornata di ieri è stato trovato rimedio ad un vizio bello grosso che permetteva a determinati malware di bypassare le difese di questo HIPS...

Egemen ieri :read: :
"Verified the bug [...] this malware is bypassing CIS.
This makes it clear now how the other sample also bypassed CIS.
The next BETA will fix this issue [...]".

Il problema, in sostanza (e stando alle parole dello scopritore del bug), nasceva perchè il processo svchost.exe non ereditava le restrizioni del processo padre,
"svchost.exe is not sandboxed by CIS"...

In realtà, il processo figlio (= svchost.exe), pur girando limitato (il log infatti lo mostrava correttamente come "Sandboxed"), era libero di muoversi senza restrizioni visto che l'engine di CIS NON gli applicava le restrizioni previste ereditandole dal processo malevolo che lo aveva generato.

Ecco dunque la conferma di egemen (di ieri, ripeto :read: ):
"While determining the actions of sandboxed svchost.exe, CIS doesnt apply sandbox policy because of a race condition".

Notare il "race condition", determinante per questi programmi...

Personalmente trovo molto grave che una grande software house non testi in profondità un prodotto sensibile come questo ma lasci ai test di persone + o - comuni l'onere di verificare l'esistenza di eventali problemi...


IMO




Fonte (http://forums.comodo.com/beta-corner-cis/perfectly-bypass-cis-sandbox-again-t75830.0.html) ;)

:

la cosa più interessante, in tutto ciò, son le prime risposte degli addetti ai lavori :D :

I dont see any bugs. svchost,.exe is SANDBOXED and its actions are limtied whether it is trusted or not.
Can you please clarify what you eman by it bypassed?
I have analyzed the rpevious sample you sent as well and i could not see anything done by malware.

what you see is normal if the malware intends to use svchost.exe. Does the malware start after you restart the Wmware (I assume you're using Wmware)?

poi i problemi li hanno tutti i software e la perfezione, anche per gli esperti, non è di questo mondo..
anche se prevenire il "data race" mi sembra una cosa abbastanza basilare.

nV 25
02-09-2011, 11:29
la cosa più interessante, in tutto ciò, son le prime risposte degli addetti ai lavori :D :
in effetti hanno dimostrato in più occasioni il loro splendore...:asd:
anche se prevenire il "data race" mi sembra una cosa abbastanza basilare.
appunto...

Kohai
04-09-2011, 12:30
Ragazzi buongiorno, una informazione.
Sul mio computer con Seven 64 bit mi affido al solo firewall della microsoft con l'UAC impostato al massimo (oltre che sandboxie, returnil ed avast).
Domanda: questa e' gia una buona protezione (specie in riferimento all'UAC) oppure converrebbe utilizzare un firewall di terze parti con hips?
Non volendo "impegnarmi" troppo stavo pensando a Private Firewall.
Ho scritto "impegnarmi troppo" perche sull'altro pc con XP ho OA ma le ultime versioni non mi piacciono proprio, quindi cercavo qualcosa di semplice ma non impegantivo (appunto) e che mi proteggesse a dovere.

Quindi la domanda di fondo e': firewall microsoft e UAC al massimo sono gia' buoni o meglio direzionarsi altrove? :stordita:

Buona domenica a tutti :)

cloutz
04-09-2011, 12:38
Quindi la domanda di fondo e': firewall microsoft e UAC al massimo sono gia' buoni o meglio direzionarsi altrove? :stordita:

Buona domenica a tutti :)

Buona domenica :)

Rispondo approfittando per fare una pausa dallo studio:
rischiando di essere assalito (ndr..) credo sia più che sufficiente come configurazione.
Qualora volessi migliorare il tutto usa un account limitato, l'integrazione con UAC è ottima :D

Sostanzialmente la penso così per UAC e Sandboxie (non tanto per Avast e Returnil, che non sono molto nel mio stile).


Saluti

arnyreny
04-09-2011, 13:48
Ragazzi buongiorno, una informazione.
Sul mio computer con Seven 64 bit mi affido al solo firewall della microsoft con l'UAC impostato al massimo (oltre che sandboxie, returnil ed avast).
Domanda: questa e' gia una buona protezione (specie in riferimento all'UAC) oppure converrebbe utilizzare un firewall di terze parti con hips?
Non volendo "impegnarmi" troppo stavo pensando a Private Firewall.
Ho scritto "impegnarmi troppo" perche sull'altro pc con XP ho OA ma le ultime versioni non mi piacciono proprio, quindi cercavo qualcosa di semplice ma non impegantivo (appunto) e che mi proteggesse a dovere.

Quindi la domanda di fondo e': firewall microsoft e UAC al massimo sono gia' buoni o meglio direzionarsi altrove? :stordita:

Buona domenica a tutti :)

Buona domenica
Credo che firewall con hips di terze parti siano 2 gradini in su rispetto uac di window e firewall compreso ,

io per far quadrare i conti tra prestazioni e sicurezza ho messo comodo suite,

ho guadagnato in sicurezza perchè il firewall di comodo e' migliore di quello di window,l'hips e' migliore (nel 99 per cento dei casi) del uac di window...e l'antivirus copre i limiti del'hips...

poi ritengo che sia sempre soggettivo
saluti;)

Kohai
04-09-2011, 18:27
Buona domenica :)

Rispondo approfittando per fare una pausa dallo studio:
rischiando di essere assalito (ndr..) credo sia più che sufficiente come configurazione.
Qualora volessi migliorare il tutto usa un account limitato, l'integrazione con UAC è ottima :D

Sostanzialmente la penso così per UAC e Sandboxie (non tanto per Avast e Returnil, che non sono molto nel mio stile).


Saluti
Dimenticavo infatti di dire che ho anche l'account limitato :D
Returnil lo uso raramente, quando ci vuol mettere mani mio figlio :stordita:
Buon fine domenica e grazie come sempre Cloutz :)

Kohai
04-09-2011, 18:34
Buona domenica
Credo che firewall con hips di terze parti siano 2 gradini in su rispetto uac di window e firewall compreso ,

io per far quadrare i conti tra prestazioni e sicurezza ho messo comodo suite,

ho guadagnato in sicurezza perchè il firewall di comodo e' migliore di quello di window,l'hips e' migliore (nel 99 per cento dei casi) del uac di window...e l'antivirus copre i limiti del'hips...

poi ritengo che sia sempre soggettivo
saluti;)

Ciao Arny e grazie anche a te.
Partendo dal presupposto che win 7 64 bit (a detta di molti) e' gia' di per se' sicuro, volevo stare leggero come configurazione.
In genere navigo con firefox e noscript "blindato" di concerto a sandboxie.
Utilizzando UAC al massimo [ci son quelli invece che non sopportando i suoi pop up lo disabilitano completamente (vedasi mia nipote, sigh :( , non ha proprio preso dallo zio)], e diritti molto limitati (il firewall ho smesso di cercare di "capirlo" da molto tempo :stordita: ma lo lascio attivo comunque, ci mancherebbe), pensavo di essere messo abbastanza bene.

Solo che a volte mi viene lo schiribizzo di provare Private Firewall ma ultimamente ho pochissimo tempo da dedicare alle mie passioni :(

Un saluto :)

Kohai
04-09-2011, 18:37
Post di servizio :D

Chiedo scusa se forse saro' stato OT, ma quale miglior posto per chiedere info su hips e firewall in generale se non qui in questo thread? ;)

Ciaoooo :)

nV 25
04-09-2011, 19:46
[...] Sul mio computer con Seven 64 bit mi affido al solo firewall della microsoft con l'UAC impostato al massimo (oltre che sandboxie, returnil ed avast).
Domanda: questa e' gia una buona protezione (specie in riferimento all'UAC) oppure [...] ?
Potrei sicuramente adottare cloutz come mio portavoce vista la sintonia che ci lega,
[...] Qualora volessi migliorare il tutto usa un account limitato, l'integrazione con UAC è ottima :D

Sostanzialmente la penso così per UAC e Sandboxie (non tanto per Avast e Returnil che non sono molto nel mio stile).

...ma, anche qui, si è scoperto qualche minuto dopo che sei già arrivato:
Dimenticavo infatti di dire che ho anche l'account limitato :D

:p


EMET? :mbe:

E' probabilmente l'unica "soluzione" che manca alla tua configurazione...



PS: togli Returnil, crea un nuovo account solo per tuo figlio (anche senza pass), metti una nuova pass al tuo account limitato e, in particolare, *NON* condividere con "la tua eredità" la pass di amministratore cosi' che tu sia l'unico a poter fare interventi "irreversibili" sull'intero sistema...a meno che tuo figlio non si imbatta in codice che sfrutta il meccanismo del privilege-escalation (ma sarebbe il massimo della sfiga, eh)...:D

Kohai
04-09-2011, 20:02
Potrei sicuramente adottare cloutz come mio portavoce vista la sintonia che ci lega,


...ma, anche qui, si è scoperto qualche minuto dopo che sei già arrivato:


:p


EMET? :mbe:

E' probabilmente l'unica "soluzione" che manca alla tua configurazione...


Dopo la disavventura su XP, vade retro.... non mi passa manco per l'anticamera del cervello :D

PS: togli Returnil, crea un nuovo account solo per tuo figlio (anche senza pass), metti una nuova pass al tuo account limitato e, in particolare, *NON* condividere con "la tua eredità" la pass di amministratore cosi' che tu sia l'unico a poter fare interventi "irreversibili" sull'intero sistema...a meno che tuo figlio non si imbatta in codice che sfrutta il meccanismo del privilege-escalation (ma sarebbe il massimo della sfiga, eh)...:D
Seguiro' il tuo consiglio grazie :)
Buon inizio settimana e saluti a tutti :fagiano:

nV 25
04-09-2011, 20:11
Dimenticavo:
solito giochino della password anche per Sandboxie...

Eviterei inoltre di abilitare la protezione sperimentale lasciando attiva la funzionalità "drop right"...

Spendi magari 2 minuti per spiegargli l'importanza di utilizzare sempre (almeno) il browser sandboxato...

Good luck!,
nV :)

sampei.nihira
04-09-2011, 20:20
@ Kohai

Ecco cosa modificherei io nella configurazione del note:

1) Disinstallerei tutti i sw on demand meno che Hitman Pro.

2) Disinstallerei Prevx + Avast in real time.

3) Anche io come nV25 (ma credo sia scontato visto che uso EMET da tempo) installerei EMET.

4) Aggiungerei Traffic Light Bitdefender al browser principale usato.

Kohai
04-09-2011, 20:20
Dimenticavo:
solito giochino della password anche per Sandboxie...

Eviterei inoltre di abilitare la protezione sperimentale lasciando attiva la funzionalità "drop right"...

Spendi magari 2 minuti per spiegargli l'importanza di utilizzare sempre (almeno) il browser sandboxato...

Good luck!,
nV :)
Gia' fatto nV :D , grazie.
In automatico prima di avviare il browser lui avvia (testuali parole, e' un bambino di appena 5 anni) renutil (:read: notare come lo chiama) e il formaggino (vista l'analogia del quadratino giallo coi puntini rossi di sandboxie).

E' tutto suo papa' :bimbo: :kiss:

Kohai
04-09-2011, 20:27
@ Kohai

Ecco cosa modificherei io nella configurazione del note:

1) Disinstallerei tutti i sw on demand meno che Hitman Pro.

2) Disinstallerei Prevx + Avast in real time.

3) Anche io come nV25 (ma credo sia scontato visto che uso EMET da tempo) installerei EMET.

4) Aggiungerei Traffic Light Bitdefender al browser principale usato.

Spero di non andare OT ma anzi credo che io gia' lo sia (tuoneranno i mod :nonsifa: )
Comunque al momento la mia configurazione e' quella riportata in firma.

Emet mi spiace ma non mi fido dopo l'accaduto su XP.

Prevx e' in bilico visto la sua non funzionalita' su Firefox (le versioni beta non mi interessano :stordita: )

TLB mi piacerebbe installarlo ma temo un affollamento di add-ons, decidero' :D

Grazie anche a te e buon inizio settimana :)

Chill-Out
04-09-2011, 20:57
e il formaggino (vista l'analogia del quadratino giallo coi puntini rossi di sandboxie).

E' tutto suo papa' :bimbo: :kiss:

Fantastico, come abbiamo fatto a non pensarci :) ;)

arnyreny
04-09-2011, 21:05
Fantastico, come abbiamo a non pensarci :) ;)

:confused: ti sei mangiato qualche parola...

Chill-Out
04-09-2011, 21:08
:confused: ti sei mangiato qualche parola...

Si :)

nV 25
04-09-2011, 21:48
[...]In automatico prima di avviare il browser lui avvia (testuali parole, e' un bambino di appena 5 anni) renutil (:read: notare come lo chiama) e il formaggino (vista l'analogia del quadratino giallo coi puntini rossi di sandboxie).
Fantastico, come abbiamo fatto a non pensarci :) ;)

+1

Meravigliosi, i bimbi...


Il formaggino, poi, è mondiale...:asd:

Kohai
04-09-2011, 21:52
Grazie a tutti, riferiro' a chi di dovere (mio figlio ;) )

Oh! Ben chiaro, voglio (in quanto genitore e tutore legale) i proventi dei diritti :sofico:

Buonanotte a tutti ragazzi e buon inizio settimana. Siete fantastici.

BEY0ND
05-09-2011, 07:41
Gia' fatto nV :D , grazie.
In automatico prima di avviare il browser lui avvia (testuali parole, e' un bambino di appena 5 anni) renutil (:read: notare come lo chiama) e il formaggino (vista l'analogia del quadratino giallo coi puntini rossi di sandboxie).

E' tutto suo papa' :bimbo: :kiss:

Si potrebbe dire "piccoli nerd crescono" :D

Il post più piacevole letto da quando sono iscritto a questo forum.;)

INGE_FI
05-09-2011, 13:44
Quale è secondo voi la miglio Sandbox free?

Draven94
05-09-2011, 14:51
Quale è secondo voi la miglio Sandbox free?
Sandboxie. Anche se è viene definito programma shareware, il suo funzionamento e la sua protezione continuano anche dopo i 30 giorni pena la comparsa di un avviso e della durata di 5 secondi.

INGE_FI
05-09-2011, 21:55
Sandboxie funziona bene su win 7 a 64 bit??
Ho letto che è in fase sperimentale dovuta a problemi di kernel patch...
Ho letto sul forum che alcuni utenti hanno avuto conflitti con Avira con conseguenti BSOD .
Esperienze? :mbe:

EDIT
Ho letto questo:
However, because it uses kernel interfaces which are not completely documented and official, the feature is tagged as experimental. There is a small chance that a future update to the Windows kernel could render the feature inoperable and might even cause system crashes.

Note that system crashes related to Kernel Patch Protection do not generally occur immediately upon system start-up, but some minutes later.

arnyreny
06-09-2011, 10:07
We have released a new version of NoVirusThanks EXE Radar Pro v1.3.3.2.

Changelog:

[04-09-2011] v1.3.3.2

+ Added "Block processes by File Extension" + Manage List
+ Added "Remove All" in "Manage List" forms
+ Fixed "Block Processes Using Regular Expressions"
+ Fixed "Remove" in "Manage List" forms
+ Added "Events" -> "Delete File"
+ Minor fixes

Draven94
06-09-2011, 10:11
Sandboxie funziona bene su win 7 a 64 bit??
Ho letto che è in fase sperimentale dovuta a problemi di kernel patch...
Ho letto sul forum che alcuni utenti hanno avuto conflitti con Avira con conseguenti BSOD .
Esperienze? :mbe:

EDIT
Ho letto questo:
However, because it uses kernel interfaces which are not completely documented and official, the feature is tagged as experimental. There is a small chance that a future update to the Windows kernel could render the feature inoperable and might even cause system crashes.

Note that system crashes related to Kernel Patch Protection do not generally occur immediately upon system start-up, but some minutes later.
Su W7 x64 va bene Per garantire una protezione simile ai 32bit è stata recentemente (dalle ultime due builds) introdotta una feature "sperimentale", sta a te se attivarla o meno. Io per il momento non l'ho attivata ma in linea generale il programma mi funziona bene.

marcoesse
06-09-2011, 10:42
Sandboxie funziona bene su win 7 a 64 bit??
Ho letto che è in fase sperimentale dovuta a problemi di kernel patch...
Ho letto sul forum che alcuni utenti hanno avuto conflitti con Avira con conseguenti BSOD

Esperienze?
io sono così per ora tutto ok
http://www.pctunerup.com/up/results/_201109/th_20110906113551_AVSBWin764bit.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110906113551_AVSBWin764bit.jpg)
BSOD mai vista 1 e spero di non vederne mai :)
nemmeno io ho attivato la "sperimentale"
http://www.pctunerup.com/up/results/_201109/th_20110906114012_SB64bit.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110906114012_SB64bit.jpg)
per il resto tutto funziona bene

nV 25
06-09-2011, 15:00
Che dire:
era tanto che non si vedeva un fermento come quello registrato in questi ultimi gg su questo thread...:yeah:

nV 25
06-09-2011, 15:09
La butto li':

Security software can reduce effectiveness of DEP/ASLR (http://www.wilderssecurity.com/showthread.php?t=306932) :read:


Se la cosa interessa (a patto che non si scenda troppo sul tecnico dove i miei limiti sono plateali), se ne può anche riparlare...

sampei.nihira
06-09-2011, 15:47
La butto li':

Security software can reduce effectiveness of DEP/ASLR (http://www.wilderssecurity.com/showthread.php?t=306932) :read:


Se la cosa interessa (a patto che non si scenda troppo sul tecnico dove i miei limiti sono plateali), se ne può anche riparlare...

Interessante,letto veloce......magari stasera (ma ho qualche dubbio perchè anche ieri sera mia moglie.........)
Non vi sposate !!!!! :D :D :D :D
E' in pratica la dimostrazione,concreta, che meno sw di sicurezza sono installati nel pc e meglio è.
Piuttosto che emetizzare i processi incriminati secondo me sarebbe meglio rimuovere il/i sw.

nV 25
06-09-2011, 18:46
in effetti è necessaria una lettura meno distratta per riuscire a digerire meglio i discorsi fatti anche da Didier Stevens nel suo blog...


Dalla lettura frettolosa fatta anche da me, cmq, rilevo cosi' di prim'acchito della malafede da parte delle grandissime software house (Symantec, ecc...) per tutta una lunga serie di ragioni...

flaubert
06-09-2011, 19:23
La necessità di ricorrere a questa nuova classe di software di sicurezza derviva fondamentalmente dall'inadeguatezza degli Antivirus tradizionali a contrastare con le loro tecnologie i malwares più sofisticati e, in generale, i cosi' detti "0 days", virus talmente recenti per i quali cioè non si dispone ancora delle apposite firme di riconoscimento...


Ho fatto qualche test sugli zero-days utilizzando defense wall su macchina virtuale con xp SP3.Mai usato DW prima d'ora.
Installato solo defense wall e nessun altro sw di protezione e DW lasciato settato a default.Scaricati gli zero days sul pc,li ho quindi eseguiti ad uno ad uno.Al primo click su ciascuno di essi,log di defense wall di avviso che mi invita a scegliere un'azione in base a ciò che l'eseguibile sta tentando di fare nel SO.Ovviamente scelgo l'opzione BLOCCA per ciascun trojan avviato.Quindi mi aspetto che,avendo bloccato da subito le azioni di ciascun trojan,il SO risulti pulito ad un successivo controllo con il non plus ultra in materia:ovvero MBAM.Invece,sorpresa,a scansione terminata MBAM trova svariate chiavi di registro infettate dai rispettivi trojan zero-days eseguiti in successione.Nel tempo intercorso tra il click sull'eseguibile e l'azione di BLOCCO scelta in DW i trojan avevano già infettato il pc dunque.

Eress
06-09-2011, 20:23
La butto li':

Security software can reduce effectiveness of DEP/ASLR (http://www.wilderssecurity.com/showthread.php?t=306932) :read:


Se la cosa interessa (a patto che non si scenda troppo sul tecnico dove i miei limiti sono plateali), se ne può anche riparlare...
Segnalazione molto interessante ;)

caturen
06-09-2011, 20:41
Ho fatto qualche test sugli zero-days utilizzando defense wall su macchina virtuale con xp SP3.Mai usato DW prima d'ora.
Installato solo defense wall e nessun altro sw di protezione e DW lasciato settato a default.Scaricati gli zero days sul pc,li ho quindi eseguiti ad uno ad uno.Al primo click su ciascuno di essi,log di defense wall di avviso che mi invita a scegliere un'azione in base a ciò che l'eseguibile sta tentando di fare nel SO.Ovviamente scelgo l'opzione BLOCCA per ciascun trojan avviato.Quindi mi aspetto che,avendo bloccato da subito le azioni di ciascun trojan,il SO risulti pulito ad un successivo controllo con il non plus ultra in materia:ovvero MBAM.Invece,sorpresa,a scansione terminata MBAM trova svariate chiavi di registro infettate dai rispettivi trojan zero-days eseguiti in successione.Nel tempo intercorso tra il click sull'eseguibile e l'azione di BLOCCO scelta in DW i trojan avevano già infettato il pc dunque.
Hai detto che usi DW per la prima volta. E hai fatto l'errore che quasi tutti fanno: non si "studia" prima il programma. Capita anche a me. Bastava che tu andassi alla prima pagina di questo thread e leggessi la parte riguardante DW e avresti capito perchè DW si comporta in questo modo. Oppure potresti dare una occhiata qui: http://www.hwupgrade.it/forum/showpost.php?p=30059527&postcount=2245
Spero di esserti stato di aiuto.

arnyreny
06-09-2011, 20:53
Hai detto che usi DW per la prima volta. E hai fatto l'errore che quasi tutti fanno: non si "studia" prima il programma. Capita anche a me. Bastava che tu andassi alla prima pagina di questo thread e leggessi la parte riguardante DW e avresti capito perchè DW si comporta in questo modo. Oppure potresti dare una occhiata qui: http://www.hwupgrade.it/forum/showpost.php?p=30059527&postcount=2245
Spero di esserti stato di aiuto.

se si risponde su blocca ai pop-up ...non si perde sicurerzza..
la mia teoria e' confermata.non esistono soft infallibili:D

se Flaubert ci farebbe un video...sarei curioso vedere quello che succede

INGE_FI
06-09-2011, 20:56
Interessante,letto veloce......magari stasera (ma ho qualche dubbio perchè anche ieri sera mia moglie.........)
Non vi sposate !!!!! :D :D :D :D
...

Quotone
:D

flaubert
06-09-2011, 20:59
Si mi occorre un pochino di tempo ma prometto di realizzare il video.....lo segnalerò qui quando pronto....;)

sampei.nihira
06-09-2011, 21:12
Da qualche minuto più o meno (ora sono liberoooo :) ) mi stò studiando "le idee" di wat 0114 e devo dire che sono "inconsuete".
Ecco ad esempio la sua configurazione di sicurezza:

http://www.wilderssecurity.com/showpost.php?p=1929690&postcount=18101

interessante la parte riferita a Sandboxie......

p.s. Avete letto come ha utilizzato l'Attack Surface Analyzer beta (che io purtroppo non posso utilizzare).
Ha preso di base la sua configurazione di sicurezza generando un rapporto poi ha aggiunto un solo ulteriore sw (ad esempio Sandboxie....e così via.....) e poi ha comparato le 2 relazioni.

arnyreny
06-09-2011, 21:39
Si mi occorre un pochino di tempo ma prometto di realizzare il video.....lo segnalerò qui quando pronto....;)

ok;)

Romagnolo1973
06-09-2011, 22:02
La butto li':

Security software can reduce effectiveness of DEP/ASLR (http://www.wilderssecurity.com/showthread.php?t=306932) :read:


Se la cosa interessa (a patto che non si scenda troppo sul tecnico dove i miei limiti sono plateali), se ne può anche riparlare...

azz, mi sono scaricato il report su cis, è una mattanza, l'unica consolazione è che non è che gli altri software faranno tanto meglio, e comunque una soluzione no antivirus e no realtime come quella dell'utente che il buon pescatore ha riportato non la vedo facile ai più

sampei.nihira
06-09-2011, 22:09
azz, mi sono scaricato il report su cis, è una mattanza, l'unica consolazione è che non è che gli altri software faranno tanto meglio, e comunque una soluzione no antivirus e no realtime come quella dell'utente che il buon pescatore ha riportato non la vedo facile ai più

SandboxIe fà enormemente meglio.

p.s. Stà facendo proseliti in merito ad una configurazione di sicurezza "ultra-leggera":

http://www.wilderssecurity.com/showpost.php?p=1931565&postcount=18313

Comunque il mio "studio" questa sera finisce quì.
Buona notte.

Romagnolo1973
06-09-2011, 22:38
SandboxIe fà enormemente meglio.

p.s. Stà facendo proseliti in merito ad una configurazione di sicurezza "ultra-leggera":

http://www.wilderssecurity.com/showpost.php?p=1931565&postcount=18313

Comunque il mio "studio" questa sera finisce quì.
Buona notte.


mi riferivo a suite, sandboxie e le suite di sicurezza in questo caso sono ben poco comparabili, già un returnil che incorpora un inutile antivirus penso abbia un impatto ben maggiore di SB

nV 25
07-09-2011, 06:48
Ho fatto qualche test sugli zero-days utilizzando defense wall su macchina virtuale con xp SP3.Mai usato DW prima d'ora.
Installato solo defense wall e nessun altro sw di protezione e DW lasciato settato a default.Scaricati gli zero days sul pc,li ho quindi eseguiti ad uno ad uno.Al primo click su ciascuno di essi,log di defense wall di avviso che mi invita a scegliere un'azione in base a ciò che l'eseguibile sta tentando di fare nel SO.Ovviamente scelgo l'opzione BLOCCA per ciascun trojan avviato.Quindi mi aspetto che,avendo bloccato da subito le azioni di ciascun trojan,il SO risulti pulito ad un successivo controllo con il non plus ultra in materia:ovvero MBAM.Invece,sorpresa,a scansione terminata MBAM trova svariate chiavi di registro infettate dai rispettivi trojan zero-days eseguiti in successione.Nel tempo intercorso tra il click sull'eseguibile e l'azione di BLOCCO scelta in DW i trojan avevano già infettato il pc dunque.
Signore, dammi la forza di restare calmo visto che oggi mi aspetta una giornata di lavoro particolarmente intensa...:D

Eress
07-09-2011, 07:12
http://www.wilderssecurity.com/showpost.php?p=1929690&postcount=18101
Da sottoscrivere totalmente, l'utente WAT0114. Fondamentali i punti 1 e 2.
Anch'io è da più di un anno che sto all'incirca con quella configurazione, ma senza EMET e AppBlocker, però con MBAM per scansioni on demand.
Firewall Windows 7.
IE9 con modalità protetta + adblock.
Sottoscrivo in particolare l'ultima frase:
I despise realtime antivirus programs. They are, for the most part, an antiquated, resource-sucking leech on the system. e aggiungerei, succhia risorse e usurante in specie sull'HW :asd:
Quasi quasi me lo metto in firma :sofico:

Chill-Out
07-09-2011, 08:00
se si risponde su blocca ai pop-up ...non si perde sicurerzza..
la mia teoria e' confermata.non esistono soft infallibili:D


Teoria dell' "acqua calda" ? :sofico:

nV 25
07-09-2011, 09:03
se si risponde su blocca ai pop-up ...non si perde sicurerzza..
la mia teoria e' confermata.non esistono soft infallibili:D

se Flaubert ci farebbe un video...sarei curioso vedere quello che succede

se flaubert ci fa vedere il video, vedrai solo che DW previene tutti i malware che lancia,stai pur tranquillo...


E se vuole evitare i pop-up, è sufficiente che setti il programma seguendo le mie semplici indicazioni di qualche post fà...



La presenza di file, cartelle, chiavi di registro "infette" in DW, non significa nulla visto che il programma castra in automatico gli effetti maliziosi collegati a quegli oggetti che, pertanto, in DW sono interpretabili come R E S I D U I privi di qualsiasi rischiosità.

E se vengono cancellati (manualmente) via RollBack, ha una situazione analoga a Sandboxie.
(PS: in termini di sicurezza, non cambia una cippa)


E ora, torno a lavoro.


Bona

arnyreny
07-09-2011, 09:16
Teoria dell' "acqua calda" ? :sofico:

con precisione...scoperta dell'acqua calda:D

caturen
07-09-2011, 10:47
Signore, dammi la forza di restare calmo visto che oggi mi aspetta una giornata di lavoro particolarmente intensa...:D

Mi aspettavo una tua risposta del genere:ciapet:

caturen
07-09-2011, 10:52
Si mi occorre un pochino di tempo ma prometto di realizzare il video.....lo segnalerò qui quando pronto....;)
Replica:

Hai detto che usi DW per la prima volta. E hai fatto l'errore che quasi tutti fanno: non si "studia" prima il programma. Capita anche a me. Bastava che tu andassi alla prima pagina di questo thread e leggessi la parte riguardante DW e avresti capito perchè DW si comporta in questo modo. Oppure potresti dare una occhiata qui: http://www.hwupgrade.it/forum/showpo...postcount=2245
Spero di esserti stato di aiuto.

Cioè quello che ti ha risposto nv25

Chill-Out
07-09-2011, 11:00
con precisione...scoperta dell'acqua calda:D

Teoria - Pratica - Scoperta :O

nV 25
07-09-2011, 11:05
Mi aspettavo una tua risposta del genere:ciapet:

:D



Cmq il video sarà interessante xè permetterà ancora una volta di osservare meglio il programma "sotto pressione" per cui, ben venga! :)

Chill-Out
07-09-2011, 23:24
BMW Virus

http://translate.google.it/translate?hl=it&sl=auto&tl=it&u=http%3A%2F%2Fbbs.360.cn%2F4005462%2F251096134.html

"reinstallare il sistema, indipendentemente dal computer vittima, formattare il disco rigido, o sostituire il disco rigido non è possibile rimuovere completamente il virus."

in base all'analisi tecnica tradotta automaticamente (il cinese non è il mio forte :D ) infetta il BIOS - MBR e file di sistema.........

VT http://www.virustotal.com/file-scan/report.html?id=8802ad7f2d267b754afef8fd81fe8e5f0ecc13e7f69b82e89e980922d94291ba-1315417669

ThreatExpert http://www.threatexpert.com/report.aspx?md5=bb5511a6586ba04335712e6c65e83671

arnyreny
08-09-2011, 12:48
in questi video e' spiegato un po' il funzionamento di novirusthanks... alcune sfaccettature...
non male
http://www.youtube.com/watch?v=WpnF7J0YEyk
http://www.youtube.com/watch?v=MElxkjr6_1A-
http://www.youtube.com/watch?v=ttHWQm4iEbM-

nV 25
08-09-2011, 18:27
BMW Virus

"reinstallare il sistema, indipendentemente dal computer vittima, formattare il disco rigido, o sostituire il disco rigido non è possibile rimuovere completamente il virus."


Aspettiamo che le cose maturino un attimo (KMinfo, eraser, ecc) visto che allo stato non mi sembra ci siano discussioni aperte a riguardo in occidente...e la traduzione mi sembra non offra alcun tipo di aiuto...

Mi sembra cmq di capire che, infettando in 1° luogo il BIOS e, a cascata, MBR con conseguente alterazione dell'OS, sia un malware hardware-dipendente, da qui l'inutilità della formattazione o il cambio HD per averne ragione?

BIOS aggredito:
UEFI (di recente introduzione come quello presente nella mia mb) o "classico"?

Baah, aspettiamo eraser...

eraser
08-09-2011, 18:28
Aspettiamo che le cose maturino un attimo (KMinfo, eraser, ecc) visto che allo stato non mi sembra ci siano discussioni aperte a riguardo in occidente...e la traduzione mi sembra non offra alcun tipo di aiuto...

Mi sembra cmq di capire che, infettando in 1° luogo il BIOS e, a cascata, MBR con conseguente alterazione dell'OS, sia un malware hardware-dipendente, da qui l'inutilità della formattazione o il cambio HD per averne ragione?

BIOS aggredito:
UEFI (di recente introduzione come quello presente nella mia mb) o "classico"?

Baah, aspettiamo eraser...

Non mi espongo più di tanto a riguardo ancora, sto monitorando la situazione anche io da alcuni giorni

nV 25
08-09-2011, 18:29
@ eraser:

se leggi il post sopra e decidi di rispondere, per cortesia che la risposta sia di tenore "mangia come parli" (dunque, comprensibile)...:Prrr:

nV 25
08-09-2011, 18:30
Non mi espongo più di tanto a riguardo ancora, sto monitorando la situazione anche io da alcuni giorni

vedi che ci sei? :D


Monitora e, se riesci, 2 righe comprensibili anche per questo thread...:D

eraser
08-09-2011, 18:35
Visto? Io sono sempre presente :D Anche se in silenzio :D

arnyreny
08-09-2011, 18:37
BIOS aggredito:
UEFI (di recente introduzione come quello presente nella mia mb) o "classico"?

Baah, aspettiamo eraser...

la domanda che mi verrebbe...
l'uac intercetta la richiesta...oppure seven e' immune ...
credo che ci vogliano elevati privilegi per fare questo tipo di lavoro

Chill-Out
08-09-2011, 19:34
Non mi espongo più di tanto a riguardo ancora, sto monitorando la situazione anche io da alcuni giorni

vedi che ci sei? :D


Monitora e, se riesci, 2 righe comprensibili anche per questo thread...:D

Mi aggiungo alla richiesta di ulteriori info, thx.

Per il momento http://camas.comodo.com/cgi-bin/submit?file=8802ad7f2d267b754afef8fd81fe8e5f0ecc13e7f69b82e89e980922d94291ba

flaubert
08-09-2011, 20:30
In questo forum quando qualcuno scrive qualcosa che va leggermente contro-corrente al "mostro sacro" di turno scattano le solite e scontate risposte ironiche...del tipo:

Signore, dammi la forza di restare calmo visto che oggi mi aspetta una giornata di lavoro particolarmente intensa...

Mi sorprende che lo staff dia libero spazio a simili elucubrazioni che niente a hanno a che fare con l'argomento del thread:o meglio, soltanto il tono di sfottò ha a che fare con l'oggetto del topic..Di conseguenza,reputandomi persona seria e senz'altro al di sopra di queste sciocchezze,saluto cordialmente e auguro buon defense wall a tutti voi...! Ah ah ah....chi si accontenta gode dice il saggio....:D

nV 25
08-09-2011, 21:14
personalmente non credo sia questione di andare contro corrente al mostro sacro di turno (che in questo caso sarei io), ma semplicemente che abbiamo le palle piene di vedere sempre le solite domande/osservazioni che si presentano ciclicamente.


Imparate a scorrere i post invece di porre le solite domande e probabilmente non vedrete più neppure esternazioni come le mie...

nV 25
08-09-2011, 21:20
e ora, che mi sospendano pure (non sarebbe neppure la 1° volta, peraltro)...;)


Quello che dovevo dire, l'ho detto...





A tra qualche giorno

flaubert
08-09-2011, 21:23
Ma di che domande-osservazioni parli?????

Hai letto il mio post o sei così strafottente da rispondere alle "osservazioni" in maniera "automatizzata" quando si parla di DW???:D Io non ho posto alcuna domanda-osservazione scontata infatti...ho solo eseguito dei test su diversi zero-days ed ho pubblicato quanto accaduto sulla mia macchina virtuale con installato DW.Inoltre,usi un linguaggio che ti si addice proprio("abbiamo le palle piene": peraltro evidenziato in grassetto ed in non sò che dimensione!)...complimenti.....:sofico:
Passo e chiudo definitivamente.Argomento esaurito per quanto mi concerne.

nV 25
08-09-2011, 21:32
Fammi stare zitto per non aggravare la sospensione che entro domani mi sarà comminata...:D


PS:
megalab cerca a braccia aperte tester come te, iscriviti al loro forum, dammi retta :D

xcdegasp
08-09-2011, 22:01
dovvrei sospendere entrambi perchè se è vero che NV25 ha usato un linguaggio un po' colorito è altrettanto vero che flaubert abbia cercato la reazione di NV25.
noi moderatori che dovremmo fare? rincorrere i bambini che si fanno dispetti e dare le botte sul sederino?
semplicemente sono problemi vostri e siete invitati a risolverli per conto vostro fuori dal forum prchè alla community noninteressano i vostri battibecchi.

traduzione sottotitolata: non ci saranno altri richiami o cartellini vari perchè si transiterà direttamente per il traguardo :)

eraser
08-09-2011, 22:22
vedi che ci sei? :D


Monitora e, se riesci, 2 righe comprensibili anche per questo thread...:D

A prima vista confermo l'infezione, che colpisce BIOS Award. Sto analizzando il codice comunque, mi ci vorrà un po di tempo

caturen
09-09-2011, 10:27
Ma di che domande-osservazioni parli?????

Hai letto il mio post o sei così strafottente da rispondere alle "osservazioni" in maniera "automatizzata" quando si parla di DW???:D Io non ho posto alcuna domanda-osservazione scontata infatti...ho solo eseguito dei test su diversi zero-days ed ho pubblicato quanto accaduto sulla mia macchina virtuale con installato DW.Inoltre,usi un linguaggio che ti si addice proprio("abbiamo le palle piene": peraltro evidenziato in grassetto ed in non sò che dimensione!)...complimenti.....:sofico:
Passo e chiudo definitivamente.Argomento esaurito per quanto mi concerne.
Ma almeno hai letto quello che ti avevo indicato? Perchè se non lo avessi fatto i tuoi test sono totalmente inutili se non sai come funziona DW

nV 25
09-09-2011, 12:31
ok, lezione imparata.


Prometto di essere più gentile e meno arrogante in futuro.

In particolare, cercherò di limitare ai minimi termini la "goliardia" (perchè credevo cmq che lo spirito scherzoso trasparisse anche nel mio post-religioso...) che, evidentemente, non viene sempre colta.


Certo è che non nego il fastidio personale derivante dal dover ritornar sempre sulle stesse cose (basterebbe scorrere almeno le ultime pagine di un thread per accertarsi di NON riscrivere cose già ampiamente dibattute).


IMO...


Cmq promesso, nV cambierà regime perchè non vuole essere bannato.

Saluti

Romagnolo1973
09-09-2011, 13:06
a me viene in mente questa
All we need is just a little patience:D
http://www.youtube.com/watch?v=pEzuC5UoM8g

nV 25
09-09-2011, 13:19
http://img191.imageshack.us/img191/1867/immagine1qdg.jpg (http://imageshack.us/photo/my-images/191/immagine1qdg.jpg/)



E con questa, torniamo (se si vuole) a parlare di cose serie.


Ciao

sampei.nihira
09-09-2011, 14:23
Boni,state boni, (io che ho ancora il taglio dei capelli a 3 mm.......:rolleyes: :rolleyes: )

http://blogs.norman.com/2011/malware-detection-team/mebromi-a-bios-flashing-trojan

cloutz
09-09-2011, 14:42
Io non ho posto alcuna domanda-osservazione scontata infatti...ho solo eseguito dei test su diversi zero-days ed ho pubblicato quanto accaduto sulla mia macchina virtuale con installato DW.

Mettendo da parte le polemiche, penso sia costruttivo spiegare una volta per tutte come funzioni DW e perchè, quindi, il tuo test non era corretto.
Altrimenti si sfocia nella polemica per ogni discussione, nessuno ci capisce nulla e non si va da nessuna parte..


Più in generale:
Non era corretto perchè non ti eri informato su come funzionasse DW, nè hai letto dove se n'è parlato, nè hai letto/capito il manuale.
Banalmente hai pensato di poterlo testare senza averlo studiato.

Più nello specifico:
Nel test che hai svolto è evidente, date le conclusioni da te tratte, che ti sei limitato a installare Dw, avviare l'infezione, negare gli avvisi, e fare una scansione di controllo con MalwareBytes.

Poi, al termine della scansione, questo è stato il tuo ragionamento:
> Se malwarebytes non rileva nulla, allora DW funziona.
> Se malwarebytes rileva dei file infetti, allora DW fallisce in quanto è stato bucato.

Ma la rilevazione di malwarebytes non vale nulla se fatta così, in quanto DW non nega al malware di creare/modificare file/chiavi di registro!

Infatti, in termini molto semplicistici, questo è il funzionamento di DW:
> Se il processo avviato è Trusted, allora è sicuro e potrà applicare modifiche, creare file e avviare processi figli, che saranno anch'essi Trusted.
> Se il processo è Untrusted, allora sarà soggetto a restrizioni. Potrà comunque svolgere delle azioni, come avviare processi, creare file e chiavi di registro, ma saranno marcati come Untrusted, e saranno eliminabili in qualunque momento tramite la scheda di Rollback (mentre i processi Untrusted saranno terminabili schiacciando il bottone rosso "Stop Attach").
Inoltre, un file Untrusted può modificare solo file Untrusted, non può in alcun modo modificare/eliminare file Trusted.


Quindi:
> MalwareBytes trova dei file infetti semplicemente perchè ci sono, ma sono controllati e non pericolosi (essendo Untrusted non possono in alcun modo interagire con tutti i file Trusted presenti, sistema incluso). A prova dell'innocuità di tali file, puoi eliminarli tranquillamente tramite la scheda di Rollback.
> Una volta avviato il malware come Untrusted devi riportare tutto come prima di avviare il malware, per fare questo usa la Rollback (credo che il nome della funzione fosse Rollback to). A questo punto ha senso fare la scansione con mbam, ma non troverai nulla..


Alla luce di ciò, se ne hai voglia, ci fai sapere cosa viene fuori svolgendo il test in maniera corretta?

Grazie

Chill-Out
09-09-2011, 15:48
Boni,state boni, (io che ho ancora il taglio dei capelli a 3 mm.......:rolleyes: :rolleyes: )

http://blogs.norman.com/2011/malware-detection-team/mebromi-a-bios-flashing-trojan

http://www.symantec.com/connect/blogs/bios-threat-showing-again

nV 25
09-09-2011, 16:16
Prenderò in prestito il post di cloutz per inserirlo in 1° pagina (poi vedrò come) cosi' che sia facilmente reperibile a tutti:
la spiegazione, infatti, credo sia assolutamente limpida.


In questo modo, coloro che anche in futuro volessero avvicinarsi a DW troveranno una risorsa importante per capirne meglio la logica, cosa che evidentemente non sono mai riuscito a fare neppure con la nuova stesura del 1° post di circa 1 anno fà....:muro:


Sui link del mod e di sampei, txs:
gli si darà un occhiata il prima possibile.




Senza cmq aver letto nulla della meccanica di funzionamento del malware in questione, credo che, al solito, chi usa buon senso e una protezione "proattiva" (che sia HIPS/Sandbox) possa ritenersi ragionevolmente sicuro anche contro questa minaccia visto che, al 99%:
- non funzionerà sotto account limitato a meno che non sfrutti un meccanismo di elevazione dei privilegi non ancora patchato...
- vivrà attorno ad un kernel mode driver che qualsiasi HIPS degno di questo nome sarà tranquillamente in grado di "intercettare" in fase di installazione/caricamento...


Ecc...

+ il buon senso (che vuole che non si installino le cose a casaccio), e la tutela dovrebbe essere assicurata.


Alla fine della fiera, cmq, ritengo che una qualche forma di valido AV sarà sempre necessario* per lavare via ogni dubbio bollando come "sicuramente pulito" qualsiasi file entrato nel PC.









*specie se usato come intendo io:
1 file nuovo entra nel PC -> sarebbe opportuno fosse "isolato" con uno dei software trattati nel corso di questo thread (anche perchè, sennò, di cosa starei parlando da 6 anni a questa parte? :D ) -> 1° scansione dell'AV sul file isolato (che non necessariamente rileverà con sicurezza matematica il buono/cattivo)--> si resiste alla tentazione di eseguirlo immediatamente--> lasciato decantare il file (isolato) per 2/3 gg al max, si riesegue la scansione e, a quel punto, la probabilità che l'engine dell'AV "conosca" l'eseguibile e lo bolli correttamente come buono/cattivo è praticamente certa....
Il presupposto di partenza, infatti, in questa "visione" dell'AV, è che l'AV stesso sia di quelli tradizionalmente buoni...


IMO

nV 25
09-09-2011, 16:21
spiegazione del concetto di "isolato" di cui al post sopra:

nella mia visione può voler dire
- untrusted (o chiamatelo come volete...) se si usa un Sandbox...

- che genererà quantomeno un pop-up di 1° esecuzione se lanciato inavvertitamente (ipotesi dell'HIPS puro)...

nV 25
09-09-2011, 16:23
http://www.kernelmode.info/forum/viewtopic.php?f=16&t=1125


"No VM Escape", dall'italianissimo Evilcry. :)

nV 25
09-09-2011, 16:35
si, ho dato un'occhiata rapidissima al blog di Symantec e sembra proprio che il mio buon senso abbia fatto centro.




The threat will drop a driver to %system%\drivers\bios.sys, then stop the beep service and replace %system%\beep.sys with the dropped one. After that it restarts beep service to load the dropped driver.


Siamo infatti in ambito OS funzionante.
Eseguito il malware, e a meno che l'operazione che a momenti descrivo non avvenga in qualche modo atipico, il malware *DEVE* caricare un driver.

In 1° luogo stopperà un servizio di sistema per riavviarlo in un 2° momento puntando xò al driver maligno, operazioni abbondantemente intercettate/impedite di default in MD, DW, Sbxie,...


Insomma, noi siamo sicuramente al sicuro. :D

sampei.nihira
09-09-2011, 17:24
Prenderò in prestito il post di cloutz per inserirlo in 1° pagina (poi vedrò come) cosi' che sia facilmente reperibile a tutti:
la spiegazione, infatti, credo sia assolutamente limpida.


In questo modo, coloro che anche in futuro volessero avvicinarsi a DW troveranno una risorsa importante per capirne meglio la logica, cosa che evidentemente non sono mai riuscito a fare neppure con la nuova stesura del 1° post di circa 1 anno fà....:muro:


Sui link del mod e di sampei, txs:
gli si darà un occhiata il prima possibile.




Senza cmq aver letto nulla della meccanica di funzionamento del malware in questione, credo che, al solito, chi usa buon senso e una protezione "proattiva" (che sia HIPS/Sandbox) possa ritenersi ragionevolmente sicuro anche contro questa minaccia visto che, al 99%:
- non funzionerà sotto account limitato a meno che non sfrutti un meccanismo di elevazione dei privilegi non ancora patchato...
- vivrà attorno ad un kernel mode driver che qualsiasi HIPS degno di questo nome sarà tranquillamente in grado di "intercettare" in fase di installazione/caricamento...


Ecc...

+ il buon senso (che vuole che non si installino le cose a casaccio), e la tutela dovrebbe essere assicurata.


Alla fine della fiera, cmq, ritengo che una qualche forma di valido AV sarà sempre necessario* per lavare via ogni dubbio bollando come "sicuramente pulito" qualsiasi file entrato nel PC.









*specie se usato come intendo io:
1 file nuovo entra nel PC -> sarebbe opportuno fosse "isolato" con uno dei software trattati nel corso di questo thread (anche perchè, sennò, di cosa starei parlando da 6 anni a questa parte? :D ) -> 1° scansione dell'AV sul file isolato (che non necessariamente rileverà con sicurezza matematica il buono/cattivo)--> si resiste alla tentazione di eseguirlo immediatamente--> lasciato decantare il file (isolato) per 2/3 gg al max, si riesegue la scansione e, a quel punto, la probabilità che l'engine dell'AV "conosca" l'eseguibile e lo bolli correttamente come buono/cattivo è praticamente certa....
Il presupposto di partenza, infatti, in questa "visione" dell'AV, è che l'AV stesso sia di quelli tradizionalmente buoni...


IMO

Prendo in esame il test sottolineato per "lanciare un sasso".
Gli utenti che vorranno rinunciare "al controllo" di un AV classico in real time installato potranno anche prendere in considerazione l'installazione di:

1) Hitman Pro (on demand multiscan).

+

2) Traffic Light Bitdefender versione completa che in più rispetto agli add-on (Firefox e Chrome) esamina anche i files downloadati.

Senza contare che la versione completa può essere usata anche con Opera che manca,rispetto agli altri browser, di tale estensione.

Secondo me una modifica che risulterebbe certamente più leggera rispetto ad ogni AV.....anche se ovviamente sarebbe da verificare.;) ;)

Eress
09-09-2011, 18:09
[COLOR="Navy"]1) Hitman Pro (on demand multiscan)
Secondo te Hitman Pro è migliore di Mbam per scansioni on demand?

nV 25
09-09-2011, 21:18
Segnalo che Comodo ha rilasciato l'ultima beta (o 1° RC?, non ho capito benissimo..) della v5.8 che, praticamente, porta con se importanti migliorie alla componente HIPS, probabilmente troppo trascurata ultimamente...

Queste migliorie sono frutto dei "giochi" di un utente quaunque come potremmo essere noi, un cinesino equivalente al nostro Aigle di Wilders, tale a256886572008...

Cmq:
FIXED! HIPS can be bypassed by certain malware by exploiting trusted applications
FIXED! HIPS doesn't catch certain screen capturing techniques
FIXED! HIPS doesn't catch windows service modifications

E' ovvio che questa release sarà *FONDAMENTALE* per tutti gli utenti di CIS...


Meglio cosi'...

flaubert
09-09-2011, 21:20
passiamo alle cose serie.....come scrisse qualcuno.;)

Ovviamente continuo a sorvolare sui post poco seri seguiti al mio ultimo da parte di alcuni utenti.

E' chiaro che un utente avveduto legge la guida al primo post prima di intervenire sull'argomento.Quindi risparmiatevi le raccomandazioni sulla configurazione di DW.:D

Ed ecco nei fatti dove fallisce l'hips di DW.Fallimento a dir poco clamoroso.:D

Non ho il tempo materiale,al momento, per realizzare un video :ergo,seguiranno degli screen logici tratti da macchina virtuale con su Xp Sp3 e DW installato:DW versione di prova 3.15.per regolamento del forum non allego il download dei vari trojan zero-days testati.Leggerete i loro nomi negli screen allegati.Al termine della prova sarà eseguita una scansione con mbam su xp per verificare se effettivamente dw abbia bloccato o meno l'infezione dei vari trojan sul SO.Ovviamente,inutile sottolinearlo,i vari trojan son stati bloccati da DW -selezionando UNTRUSTED- al primo tentativo di avvio seguito dalla scelta ESEGUI di windows.Trojan testati in numero di 3 complessivamente.

nV 25
09-09-2011, 21:30
Secondo te Hitman Pro è migliore di Mbam per scansioni on demand?

IMO, proprio perchè on demand nulla vieta che tu possa utilizzarli entrambi.

HP lo conosco personalmente ed è una bomba in velocità di scansione (+ porta con se altre chicche con l'EWS, es. il concetto del cloud-assisted-miniport-hook-bypass/ (http://hitmanpro.wordpress.com/2011/06/16/cloud-assisted-miniport-hook-bypass/) che può rivelarsi utilissimo in certe situazioni), MB lo conosciamo tutti di fama...


Insomma, in questo caso la regola-dei-gelati :read: che vuole che "2 sia meglio che 1" può essere praticata senza problemi...














PS: (in generale), mi trovate più buono da ieri? :D

nV 25
09-09-2011, 21:34
Fallimento a dir poco clamoroso.:D

se sei cosi' sicuro del fallimento di questa soluzione, posta cortesemente anche gli MD5 e sarà mia cura segnalare la cosa allo sviluppatore perchè possa verificare.



Continuo a pensare che se il test lo facessi io non ci sarebbe nessun bypass (e non perchè sia il mago dei vini), ma cmq...

Attendiamo tuoi sviluppi.

flaubert
09-09-2011, 21:40
edit

flaubert
09-09-2011, 21:41
1-Versione di DW installa su XP sp3 macchina virtuale:

http://www.pctunerup.com/up/results/_201109/th_20110909225002_Snap1.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909225002_Snap1.jpg)

2-Trojan zero day s testati:

http://www.pctunerup.com/up/results/_201109/th_20110909225303_Snap3.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909225303_Snap3.jpg)

A)Primo trojan testato:boot exe:

http://www.pctunerup.com/up/results/_201109/th_20110909225513_Snap5.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909225513_Snap5.jpg)

A1)Selezionata l'opzione untrusted al primo avviso di DW seguito al lancio del trojan sopra:

http://www.pctunerup.com/up/results/_201109/th_20110909225704_Snap6.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909225704_Snap6.jpg)

B) secondo trojan testato:worm exe:

B1)Selezionata l'opzione untrusted al primo avviso di DW seguito al lancio del trojan sopra:

http://www.pctunerup.com/up/results/_201109/th_20110909225953_Snap9.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909225953_Snap9.jpg)

B2)secondo avviso di DW sullo stesso trojan e selezionata l'opzione "block":

http://www.pctunerup.com/up/results/_201109/th_20110909230141_Snap10.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909230141_Snap10.jpg)

C) Terzo trojan testato:xxx_video.exe

http://www.pctunerup.com/up/results/_201109/th_20110909230507_Snap12.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909230507_Snap12.jpg)

C1)il trojan xxx_video.exe bypassa tranquillamente DW ed ecco la sua azione sul desktop del pc:

http://www.pctunerup.com/up/results/_201109/th_20110909230800_Snap13.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909230800_Snap13.jpg)

Il SO risulta chiaramente infetto ed è come bloccato!

D) Scansione del SO con malwarebytes antimalware alla ricerca di infezioni:

http://www.pctunerup.com/up/results/_201109/th_20110909230934_Snap14.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909230934_Snap14.jpg)

E) Risulati della scansione con MBAM sul pc protetto da DW:

http://www.pctunerup.com/up/results/_201109/th_20110909231131_Snap15.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909231131_Snap15.jpg)

nV 25
09-09-2011, 21:47
Curioso, peraltro, che su 3 sample testati (su 3?, addirittura l'intero...) DW sia incapace di dire la sua...quando altri test (se mi permetti, un pochettino più professionali dei nostri...) rilevano questa situazione:

http://malwareresearchgroup.com/malware-tests/flash-test-results/#comment-262

In sostanza, di un progetto partito il 27.01.2011, su 68 campioni testati (non cazzate, si parla di TDL3/4, Spyeye, Ransom e compagnia) DW risulta l' **U N I C O** software che ne previene...68! (PS: il size è 5, visto che lo chiedevi)




C'è di che pensare....

nV 25
09-09-2011, 22:07
*** sto seguendo praticamente in tempo reale gli aggiornamenti del tuo post***

Ok.
Fino qui giusto.




PS:
personalmente credo sia inutile postare i soliti popup degli altri sample e passerei alle conclusioni, dove osservi cioè il bypass.

Romagnolo1973
09-09-2011, 22:11
beh oddio non è che quelli di MRG siano poi tanto considerati nell'ambiente per fatti passati e pure presenti ma sempre meglio di noi con i test cantucci e vinsanto caserecci
però non male Microsoft MSE:D 9 passati su 68, un figurone :Prrr:

Grazie del link ho scoperto così che dopo anni il loro sito mi riconosce come umano, anticamente non so perchè pensava fossi una botnet

Aggiornato CIS , son dei dilettanti però, problemi in cose elementari che pure un hips casereccio non tralascerebbe. Per fortuna ho anche altro a proteggere il pc

nV 25
09-09-2011, 22:14
Sono arrivato finalmente qui,


C1)il trojan xxx_video.exe bypassa tranquillamente DW ed ecco la sua azione sul desktop del pc:

http://www.pctunerup.com/up/results/_201109/th_20110909230800_Snap13.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110909230800_Snap13.jpg)


Che dire?

WinLock/ScreenLocker (http://www.hwupgrade.it/forum/showpost.php?p=32869142&postcount=2756) testati da me nel lontano 19/8/2010...

flaubert
09-09-2011, 22:16
Il bypass è dato dalla scanasione con MBAM:il pc risulta chiaramente infetto.

I trojan si evolvono:io ho testato zero-days.

nV 25
09-09-2011, 22:17
Sai una cosa, flaubert?

Ti suggerirei di rileggere con maggior attenzione il post di cloutz di qualche ora fà...

Se hai tempo, poi, butta un'occhiata anche al link che ho messo nel mio post di 1 minuto fà...e vedrai come uscire da quella situazione di impasse...

flaubert
09-09-2011, 22:23
Purtroppo ora sarò etichettato come di parte.
Ho testato quegli stessi trojan con l'hips di KIS 2012 impostato al massimo.
A parte che l'antivirus l'ho disattivato perche subito mi segnala che tutti e tre sono virus...tuttavia....a AV disattivato(bypassata quindi proteziona da virus) e con uso del solo hips vengono bloccati tutti e 3 e a scansione successiva di MBAM il pc risulta pulito.

nV 25
09-09-2011, 22:26
Guarda, anche in virtù della mia nuova politica del ramoscello d'ulivo, ti dico che sei sempre il benvenuto su questo thread...


L'unica cosa che mi permetto però di ripeterti è questa:
rileggi con > attenzione il post di cloutz...


Per quanto mi riguarda, non hai nessuna etichetta.

Rifletti però su quello che ti ho detto.

Ciao

nV 25
09-09-2011, 22:31
PS:
puoi per cortesia allegare una foto @ dimensioni più umane del report di MBAM che mi sforma tutto il thread?

Tanto abbiamo capito...

flaubert
09-09-2011, 22:33
Ok nV 25...ci siamo chiariti....:)

Resta il fatto che per colpa tua ho dovuto rieseguire i test e che ho fatto le 23e30....quindi come minimo mi devi una cena....Anche perchè se domani faccio tardi a lavoro faccio inviare a te una mail dal capo....:D

flaubert
09-09-2011, 22:35
PS:
puoi per cortesia allegare una foto @ dimensioni più umane del report di MBAM che mi sforma tutto il thread?


Ho eliminato l'immagine direttamente.Scusa per l'inconveniente.;)

nV 25
09-09-2011, 23:00
Premesso che si vede lontano un miglio che il 1° post è stato tirato giù da un amatore, mi sono preso la briga di rileggerlo e, personalmente, lo continuo a trovare sufficientemente chiaro.

Certo, l'argomento non è banalissimo e quindi Topolino risulterà per forza di cose sempre più "fluido" nella lettura.


Ma una soluzione la devo cmq trovare sia per rendere giustizia ad un programma eccellente sia perchè, evidentemente, nella stesura del tutto non ho messo al centro chi avrebbe dovuto leggere i miei* pensieri.

Apparentemente, infatti, direi che quello che ho scritto sia stato scritto per me...:mbe:

A meno che non tenga pubblicamente un diario, nel qual caso....


Bah, è meglio che vada a letto e ci rifletta sopra...













* in realtà, mie sono solo le rielaborazioni:
le fonti, ovviamente, sono frutto di anni di letture a dx e a manca per cui io non ho alcun merito se non il tentativo maldestro di sintesi del tutto...

eraser
10-09-2011, 00:57
Se interessa ho completato l'analisi del BIOS rootkit, domani se riesco pubblico il blog post con l'analisi tecnica completa.

Comunque tecnicamente è un bel codice, ma è incompleto sotto molte parti. E si, prima che me lo chiediate, DefenseWall e qualsiasi altro software di sandboxing riuscirà tranquillamente a contenere l'infezione - che peraltro ad oggi non è neanche studiata per un sistema a 64 bit

arnyreny
10-09-2011, 01:31
Se interessa ho completato l'analisi del BIOS rootkit, domani se riesco pubblico il blog post con l'analisi tecnica completa.

Comunque tecnicamente è un bel codice, ma è incompleto sotto molte parti. E si, prima che me lo chiediate, DefenseWall e qualsiasi altro software di sandboxing riuscirà tranquillamente a contenere l'infezione - che peraltro ad oggi non è neanche studiata per un sistema a 64 bit

Grazie ...hai chiarito i miei dubbi;)

la domanda che mi verrebbe...
l'uac intercetta la richiesta...oppure seven e' immune ...
credo che ci vogliano elevati privilegi per fare questo tipo di lavoro

nV 25
10-09-2011, 07:26
Se interessa ho completato l'analisi del BIOS rootkit, domani se riesco pubblico il blog post con l'analisi tecnica completa.

Comunque tecnicamente è un bel codice, ma è incompleto sotto molte parti. E si, prima che me lo chiediate, DefenseWall e qualsiasi altro software di sandboxing riuscirà tranquillamente a contenere l'infezione - che peraltro ad oggi non è neanche studiata per un sistema a 64 bit

secondo te interesserà? :ciapet:

Chill-Out
10-09-2011, 08:17
Se interessa ho completato l'analisi del BIOS rootkit, domani se riesco pubblico il blog post con l'analisi tecnica completa.

Certo che si :)


Comunque tecnicamente è un bel codice, ma è incompleto sotto molte parti. E si, prima che me lo chiediate, DefenseWall e qualsiasi altro software di sandboxing riuscirà tranquillamente a contenere l'infezione - che peraltro ad oggi non è neanche studiata per un sistema a 64 bit

Domanda: Tecnicamente corretto definirlo una copia di IceLord ?

cloutz
10-09-2011, 08:27
Ok nV 25...ci siamo chiariti....:)

Resta il fatto che per colpa tua ho dovuto rieseguire i test e che ho fatto le 23e30....quindi come minimo mi devi una cena....Anche perchè se domani faccio tardi a lavoro faccio inviare a te una mail dal capo....:D

come vedi quando ti viene suggerita una lettura (o maggiore attenzione) non è per superiorità, polemica, o per principio di autorità, ma semplice necessità per capire le cose.


Ovviamente continuo a sorvolare sui post poco seri seguiti al mio ultimo da parte di alcuni utenti.

E' chiaro che un utente avveduto legge la guida al primo post prima di intervenire sull'argomento.Quindi risparmiatevi le raccomandazioni sulla configurazione di DW.

Ci siamo capiti, stop ;)

Buona giornata!

Chill-Out
10-09-2011, 08:44
Il bypass è dato dalla scanasione con MBAM:il pc risulta chiaramente infetto.

I trojan si evolvono:io ho testato zero-days.

Purtroppo ora sarò etichettato come di parte.
Ho testato quegli stessi trojan con l'hips di KIS 2012 impostato al massimo.
A parte che l'antivirus l'ho disattivato perche subito mi segnala che tutti e tre sono virus...tuttavia....a AV disattivato(bypassata quindi proteziona da virus) e con uso del solo hips vengono bloccati tutti e 3 e a scansione successiva di MBAM il pc risulta pulito.

http://www.pctunerup.com/up/results/_201109/20110909231131_Snap15.jpg

Cosa intendi per 0-day ?

eraser
10-09-2011, 10:03
Domanda: Tecnicamente corretto definirlo una copia di IceLord ?

È fortemente inspirato da IceLord, anche se ci sono delle differenze ma concettualmente parlando siamo lì

nV 25
10-09-2011, 11:25
Ho tirato giù un buon 50% della guida di DW:
a regola, nel 1° pom. è pronta e vi chiederò di verificarla per vedere se è sufficientemente chiara e, + che altro, se risulta effettivamente rivolta al "pubblico" :asd:...


La sua attuale locazione è segreta...:ciapet:

nV 25
10-09-2011, 13:04
ta-dààà,

L I N K ! (http://www.hwupgrade.it/forum/showpost.php?p=10260172&postcount=33)


Ora resta la parte realmente più ostica, far capire che paradossalmente se Malwarebyte o HP rilevano malware non c'è (solitamente) di che stupirsi o allarmarsi...

WORK IN PROGRESS...in locazione segreta! :ciapet:

nV 25
10-09-2011, 14:05
fase 2:

sempre troppo difficile?
Uso quotidiano di DW...con uno sguardo al "dietro le quinte"... (http://www.hwupgrade.it/forum/showpost.php?p=10714415&postcount=142)

caturen
10-09-2011, 14:34
ta-dààà,

L I N K ! (http://www.hwupgrade.it/forum/showpost.php?p=10260172&postcount=33)


Ora resta la parte realmente più ostica, far capire che paradossalmente se Malwarebyte o HP rilevano malware non c'è (solitamente) di che stupirsi o allarmarsi...

WORK IN PROGRESS...in locazione segreta! :ciapet:
Piccolo appunto: hai usato la verione in inglese del programma. Ma non c'è la localizzazione in italiano? Sarebbe di ancora più facile comprensione :stordita:

nV 25
10-09-2011, 15:10
in realtà, sono andato a memoria copiando/incollando da vecchi post perchè non dispongo di OS a 32bit...

Se qualcuno vuole postarmi le stesse immagini di una versione in italiano, ben venga..

Ma il senso?
Credi risulti sufficientemente chiaro?

flaubert
10-09-2011, 15:53
Cosa intendi per 0-day ?

Da wikipedia...definizione di zero-day(0-day):

Lo 0-day è un tipo di attacco informatico che inizia nel "giorno zero", cioè nel momento in cui è scoperta una falla di sicurezza in un sistema. Questo tipo di attacco può mietere molte vittime, proprio perché è lanciato quando ancora non è stata distribuita alcuna patch e quindi i sistemi non sono ancora protetti.

Tipologie di 0-day possono essere Exploit, Remote File Inclusion, XSS o SQL injection, tutti attacchi molto pericolosi per l'integrità di un sito web.

Molti 0-day sono scoperti da cracker, e non vengono rivelati pubblicamente; perciò il cracker può facilmente "bucare" il sistema, perché nessuno oltre a lui è a conoscenza del bug. Ci sono cracker che si riuniscono in piccole organizzazioni (blog privati, mailing list...) in modo da scambiarsi informazioni e 0-day; questi gruppi sono molto pericolosi.

Gli 0-day sono tra i peggiori pericoli del web, in quanto sono noti solo a una ristretta cerchia di cracker, e possono causare moltissimi danni prima di essere scoperti.

Rimane il fatto che il pc con XP SP3 protetto da DW risulta infetto in seguito a successiva scansione con MBAM.Segno evidente che l'HIPS ha fallito.Stesso pc,stesso OS, stesse infezioni testate con KIS 2012 senza peraltro intervenire(come invece ho scritto erroneamente qualche post addietro)sulle impostazioni della suite se non l'aver variato la protezione file e web al massimo livello....ed il pc risulta pulito a seguito di scansione con MBAM.Posso anche qui allegare screen di prova.

flaubert
10-09-2011, 15:54
Ovviamente non è una crociata personale contro DW:infatti,posso confermare,per esempio, che sugli stessi files fallsisce anche la protezione di online armor latest version.Il che è tutto dire.

nV 25
10-09-2011, 16:06
[...]

fai una cosa realmente utile per la comunità:
testa KIS contro quel sample di Winlocker che ti bloccava lo schermo e poi mi fai risapere.


Per DW, dai una lettura MOLTO attenta a questo post:
http://www.hwupgrade.it/forum/showpost.php?p=10714415&postcount=142


In particolare, la scommessa.


Se io ti devo pagare cena perchè sei stato stanco a lavoro, aggiungo anche una settimana bianca a Cortina se DW non previene quei sample.

flaubert
10-09-2011, 16:59
Sorry..ma dopo la prova di ieri sono uscito dallo shadow mode sulla partizione D impostata con shadow defender ed ho perduto tutti gli zero-day in oggetto:quindi non posso ripetere la prova su KIS 2012.Forse riesco a ritrovare il trojan di cui parli comunque....e nel caso rieseguo il test e ti faccio sapere qui.:)

caturen
10-09-2011, 17:47
Da wikipedia...definizione di zero-day(0-day):



Rimane il fatto che il pc con XP SP3 protetto da DW risulta infetto in seguito a successiva scansione con MBAM.Segno evidente che l'HIPS ha fallito.Stesso pc,stesso OS, stesse infezioni testate con KIS 2012 senza peraltro intervenire(come invece ho scritto erroneamente qualche post addietro)sulle impostazioni della suite se non l'aver variato la protezione file e web al massimo livello....ed il pc risulta pulito a seguito di scansione con MBAM.Posso anche qui allegare screen di prova.

:muro: :read: :cry:

nV 25
10-09-2011, 18:02
Non per niente le licenze vendute in Italia, da quello che mi è stato detto, sono in misura molto marginale...

Fortuna per lo sviluppatore che nel mondo non ci sono solo italiani, sennò si trovava a fare arselle sul lago Balaton dopo 1 settimana...

cloutz
10-09-2011, 18:33
La presenza di file, cartelle, chiavi di registro "infette" in DW, non significa nulla visto che il programma castra in automatico gli effetti maliziosi collegati a quegli oggetti che, pertanto, in DW sono interpretabili come R E S I D U I privi di qualsiasi rischiosità.

E se vengono cancellati (manualmente) via RollBack, ha una situazione analoga a Sandboxie.
(PS: in termini di sicurezza, non cambia una cippa)


Replica:

Hai detto che usi DW per la prima volta. E hai fatto l'errore che quasi tutti fanno: non si "studia" prima il programma. Capita anche a me. Bastava che tu andassi alla prima pagina di questo thread e leggessi la parte riguardante DW e avresti capito perchè DW si comporta in questo modo. Oppure potresti dare una occhiata qui: http://www.hwupgrade.it/forum/showpo...postcount=2245
Spero di esserti stato di aiuto.

Cioè quello che ti ha risposto nv25

Ma almeno hai letto quello che ti avevo indicato? Perchè se non lo avessi fatto i tuoi test sono totalmente inutili se non sai come funziona DW



[..]

Quindi:
> MalwareBytes trova dei file infetti semplicemente perchè ci sono, ma sono controllati e non pericolosi (essendo Untrusted non possono in alcun modo interagire con tutti i file Trusted presenti, sistema incluso). A prova dell'innocuità di tali file, puoi eliminarli tranquillamente tramite la scheda di Rollback.
> Una volta avviato il malware come Untrusted devi riportare tutto come prima di avviare il malware, per fare questo usa la Rollback (credo che il nome della funzione fosse Rollback to). A questo punto ha senso fare la scansione con mbam, ma non troverai nulla..



Ti suggerirei di rileggere con maggior attenzione il post di cloutz di qualche ora fà...

Se hai tempo, poi, butta un'occhiata anche al link che ho messo nel mio post di 1 minuto fà...e vedrai come uscire da quella situazione di impasse...

[..]

L'unica cosa che mi permetto però di ripeterti è questa:
rileggi con > attenzione il post di cloutz...



Per DW, dai una lettura MOLTO attenta a questo post:
http://www.hwupgrade.it/forum/showpost.php?p=10714415&postcount=142
.

mai visto una cosa del genere, tutti post neanche letti (e neanche i primi post della discussione) alla luce di quanto affermi.
inizio a pensare che si tratti di trolling onestamente.


ti abbiamo detto che devi usare la Rollback!!

Altrimenti è come voler testare la VirtualMachine senza ripristinare la snapshot, ovvio che se avii il sample e fai la scansione trova tracce dell'infezione, ma non vuol dire che la VM viene bucata, eddaii :D

caturen
10-09-2011, 18:51
mai visto una cosa del genere, tutti post neanche letti (e neanche i primi post della discussione) alla luce di quanto affermi.
inizio a pensare che si tratti di trolling onestamente.


ti abbiamo detto che devi usare la Rollback!!

Altrimenti è come voler testare la VirtualMachine senza ripristinare la snapshot, ovvio che se avii il sample e fai la scansione trova tracce dell'infezione, ma non vuol dire che la VM viene bucata, eddaii :D
E' un troll :stordita: (o è proprio duro di comprendonio) quindi inutile rispondere :ciapet:

flaubert
10-09-2011, 18:54
Sinceramente mi son stufato di certi post:specie l'ultimo ad opera di cloutz e dell'altro utente.

Quindi,a questo punto potete anche scrivere che l'asino vola che non mi cambia proprio niente.:D

Per quanto mi riguarda(e con questo passo e chiudo definitivamente):

Online armor e Defense wall bucati dai trojan zero-day negli screen precedenti su macchina virtuale con xp pro SP3.Sulla stessa macchina virtuale(a questo punto cloutz mi deve spiegare l'arcano:secondo lui infatti è logico che la virtual machine risulti infetta mentre caso strano KIS non la fa infettare...:..:D ) con test sugli stessi trojan,kis 2012 con impostazioni di protezione ed euristica al massimo non fa penetrare i trojan:ciò si evince dalla scansione con malwarebytes:infatti,sempre su virtual machine,MBAM trova infezioni nel SO(vedere screen precedenti) protetto da DW mentre il SO risulta pulito a seguito di scansione con MBAM su stessa macchina virtuale con xp sp3 protetto da KIS 2012.

Questo è il mio ultimo post sull'argomento.Buon DW a tutti e grazie per lattenzione.:read: :D ;)

Chill-Out
10-09-2011, 19:07
Da wikipedia...definizione di zero-day(0-day):



Rimane il fatto che il pc con XP SP3 protetto da DW risulta infetto in seguito a successiva scansione con MBAM.Segno evidente che l'HIPS ha fallito.Stesso pc,stesso OS, stesse infezioni testate con KIS 2012 senza peraltro intervenire(come invece ho scritto erroneamente qualche post addietro)sulle impostazioni della suite se non l'aver variato la protezione file e web al massimo livello....ed il pc risulta pulito a seguito di scansione con MBAM.Posso anche qui allegare screen di prova.

Hai copiato ed incollato la definizione errata, al massimo

http://en.wikipedia.org/wiki/Zero-day_virus

ma non è questo il caso in quanto sia MBAM che KAV rilevano l'infezione, precisazione a parte il discorso non vale per DW in quanto lavora tutti i file e relativi processi allo stesso modo.

PS: adesso mi leggo il resto

flaubert
10-09-2011, 19:15
Ciao Chill....grazie per la precisazione.;)

Rispondo solo a te per dirti e ribadire che comunque ho chiuso l'argomento in maniera definitiva.:)
Questo per serietà.....se fossi un troll a quest'ora avrei risposto per le rime.

Chill-Out
10-09-2011, 19:27
@ Tutti

Purtroppo devo constatare che non riuscite a confrontavi senza prendere gli spini per la punta, non è mia intenzione scendere nel merito della questione, a questo punto mi sembra inutile.

Sarebbe stato interessante ed utile per la community definire la "querelle" , la soluzione più semplice poteva essere quella di fornire gli MD5 dei sample, così da dare la possibilità a qualcun'altro di verificare e mettere a confronto eventuali risultati diversi.

Detto questo, concludo con un dateci un taglio, che significa voltate pagina !

caturen
10-09-2011, 19:54
Non c'è più sordo di chi non vuol sentire

Chill-Out
10-09-2011, 22:20
Non c'è più sordo di chi non vuol sentire

Forse volevi scrivere:

"Non c'è peggior sordo di chi non vuol sentire"

in questo caso il richiamo del sottoscritto, pertanto sono 3GG di pausa.

nV 25
11-09-2011, 09:38
Al fine di migliorare le 2 righe che ho tirato giù ieri (Guida a DW3 (http://www.hwupgrade.it/forum/showpost.php?p=10260172&postcount=33) e 1 sguardo al "dietro le quinte" (http://www.hwupgrade.it/forum/showpost.php?p=10714415&postcount=142)), avrei bisogno del vostro aiuto per sistemare alcune cosette (magari rispondetemi pure via PVT cosi' evitiamo di appesantire il thread).


In 1° luogo, vorrei sapere se i pensieri vi risultano chiari e, più che altro, se li ritenete espressi in una forma abbastanza semplice (accetto qualsiasi tipo di critica/suggerimento).

In 2° luogo, avrei necessità che fosse rieseguito il test CLT della Comodo.
La foto che ho inserito infatti nella 2° parte fa vedere troppe cose tutte assieme mentre a me piaceva una cosa di questo tipo:

scaricate il file e ne fate vedere i "mattoncini".
Lanciate CLT e, alla fine, fate vedere esclusivamente quello che risulta all'interno della RollBack list.

La mia foto, a quel punto, e con qualche rimanipolazione, potrebbe essere utilizzata per far vedere la fase successiva, ovverosia il processo di rimozione dei detriti...

Certo, se qualcuno poi fosse cosi' buono da girare un video di 1 minuto...:)


Grazie in anticipo per la collaborazione.

nV 25
12-09-2011, 09:44
Rivista pesantemente la 1° e la 2° parte della "guida" per renderla ancora più intuitiva (ho quindi rimosso tutti quei fronzoli che, per natura, sono portato a scivere finendo per appesantire inutilmente i ragionamenti).

RI-accetto critiche, consigli e quant'altro.

Tengo a precisare, cmq, che il "taglio di basso profilo" (= la necessità di non stare a stressare il lettore con "tecnicismi" :asd: inutili) mi ha portato a commettere diversi errori che potrei chiamare "di semplificazione".

I puristi, quindi, sono avvisati. :ciapet:

1 esempio lampante di questo tipo di errore:
quando parlo degli effetti prodotti da un'esecuzione untrusted, dico che questi sono



L I M I T A T I grazie alle restrizioni imposte dal programma [...] ad eccezione delle operazioni sui file, cartelle & chiavi di registro che vengono regolarmente portate a termine

In realtà, alcune operazioni (quelle non virtualizzabili o "simulabili") verranno scartate a priori e non risulteranno MAI tracciate nella scheda di Rollback (si veda il post n°1 di questo thread)...


@ romagnolo:
bellissimo il suggerimento che mi hai dato ma mi è impossibile portarlo a termine perchè non ho la disponibilità materiale di un OS a 32bit...:cry:




------------------------

Le guide, allo stato, rimangono temporaneamente nella posizione attuale....

nV 25
12-09-2011, 11:22
ai S.Tommasi :D, un test del 9/2011:

http://img821.imageshack.us/img821/7982/immagine4ki.jpg (http://imageshack.us/photo/my-images/821/immagine4ki.jpg/)



http://img545.imageshack.us/img545/3812/immagine2y.jpg (http://imageshack.us/photo/my-images/545/immagine2y.jpg/)



http://img560.imageshack.us/img560/1806/immagine3fk.jpg (http://imageshack.us/photo/my-images/560/immagine3fk.jpg/)


F O N T E (http://translate.google.it/translate?u=http%3A%2F%2Fwww.anti-malware.ru%2Ffirewall_test_outbound_protection_2011&sl=ru&tl=en&hl=&ie=UTF-8)




Metodologia di test:

http://img202.imageshack.us/img202/6208/immagine1yq.th.jpg (http://imageshack.us/photo/my-images/202/immagine1yq.jpg/) http://img51.imageshack.us/img51/4142/immagine2hn.th.jpg (http://imageshack.us/photo/my-images/51/immagine2hn.jpg/) http://img560.imageshack.us/img560/6554/immagine3ra.th.jpg (http://imageshack.us/photo/my-images/560/immagine3ra.jpg/) http://img831.imageshack.us/img831/8743/immagine4hr.th.jpg (http://imageshack.us/photo/my-images/831/immagine4hr.jpg/) http://img838.imageshack.us/img838/7429/immagine5z.th.jpg (http://imageshack.us/photo/my-images/838/immagine5z.jpg/)











PS: cambiano le fonti ma non cambiano le conclusioni...;)

Evidentemente i tester italiani saranno sfigati a registrare sistematicamente score dello 0%...:asd:

Romagnolo1973
12-09-2011, 12:40
Ahhh vero che non puoi provarlo.
Grazie del link (lo vado a mettere sul 3d CIS pure)

Il mio "Comodino" se la cava splendidamente e anche a default, che io non terrei mai ma che per un principiante sembra offrire già adeguate garanzie e senza tanti avvisi (a default saranno 3 in tutto in una settimana)

Il vero problema di DW è appunto che ormai siamo tutti con sistemi a 64bit e quindi è quanto mai urgente che Ilya ci si metta o il destino è bello che segnato. Altrimenti mi sembra come ricordare quanto andavano Conti Tardelli e Rossi nell'82 .. insomma se Ilya non inventa qualcosa si vive di ricordi, quest'anno i Seven 32bit saranno stati il 10% scarso del mercato e quasi tutti Starter su netbook, il resto è a 64bit

arnyreny
12-09-2011, 12:55
Ahhh vero che non puoi provarlo.
Grazie del link (lo vado a mettere sul 3d CIS pure)

Il mio "Comodino" se la cava splendidamente e anche a default, che io non terrei mai ma che per un principiante sembra offrire già adeguate garanzie e senza tanti avvisi (a default saranno 3 in tutto in una settimana)

Il vero problema di DW è appunto che ormai siamo tutti con sistemi a 64bit e quindi è quanto mai urgente che Ilya ci si metta o il destino è bello che segnato. Altrimenti mi sembra come ricordare quanto andavano Conti Tardelli e Rossi nell'82 .. insomma se Ilya non inventa qualcosa si vive di ricordi, quest'anno i Seven 32bit saranno stati il 10% scarso del mercato e quasi tutti Starter su netbook, il resto è a 64bit

ripetiamo sempre le stesse cose ....
@nv
a che serve avere una macchina bella se non la posso guidare?
mi tengo quindi una macchina altrettanto bella"comodo:D "...che oltre a guardarla la posso anche guidare

nV 25
12-09-2011, 14:10
ripetiamo sempre le stesse cose ....
@nv
a che serve avere una macchina bella se non la posso guidare?
questa parte di pensiero la trovo assolutamente condivisibile.

Le macchine a 32 bit in giro, cmq, sono sempre numerose...


PS: se qualcuno vuole, le mie cartelline dei pvt sono sempre libere ad accogliere idee.

nV 25
12-09-2011, 15:19
Che bello veder lavorare certa gente, :cry:


Pwning pornorolik ransomware in 3mins (http://www.youtube.com/watch?v=PXK7R3Q0agg&feature=feedlik)


Da KMinfo...

Chill-Out
12-09-2011, 15:47
Che bello veder lavorare certa gente, :cry:


Pwning pornorolik ransomware in 3mins (http://www.youtube.com/watch?v=PXK7R3Q0agg&feature=feedlik)


Da KMinfo...

Si, Steven ha un certo talento.

sampei.nihira
12-09-2011, 16:46
***

nV 25
12-09-2011, 16:51
Cmq dai, è vero ma non parliamo + di DW che a questo punto mi viene l' "aonco" :asd: solamente a sentirlo nominare (e pensare che la colpa è mia!...:( ) .

Da un lato sarebbe realmente da aprire un TU cosi' almeno gli potrei dare un pò più di visibilità ma, + che altro, si concentrerebbero li' tutti i post...

flaubert
12-09-2011, 19:28
Circa i risultati del test pubblicati da nV 25:

non sono attendibili:si tratta del solito e ormai noto sito russo che elargisce più o meno i soliti risultati.

Aspettiamo test seri perlomeno da AV-comparatives....:)

Sia detto senza polemica ma è la realtà: perfino da noi sostenitori di KIS 2012 quel sito risulta inattendibile:anche quando a vincere è KIS.

nV 25
12-09-2011, 19:35
No, via:
non c'è dialogo...

flaubert
12-09-2011, 20:05
Non vedo problemi al dialogo:ho spesso pubblicato i test di quel sito sia qui che su forum esteri ma il riscontro degli utenti è stato sempre negativo:generalmente mettevano sempre KIS come vincitore e da qui i sospetti dei più....correlati appunto al fatto che trattavasi di giudizio di parte viste le origini(russe):ora cambiano un pochino ma l'attendibilità rimane invariata perlomeno per me.
Poi è chiaro che sia tu che altri potete prendere come oro colato quei risultati.Io ho solo voluto sottolineare che qualche dubbio esiste.Tutto qui.:)
P.S.:ti dirò di più,alcuni forum esteri del settore al momento non pubblicizzano quei test.Vedi,per esempio,wilders security.Se invece fosse stato rilasciato un test da AV comparatives a quest'ora ne sarebbe pieno il mondo....:-)

nV 25
12-09-2011, 20:47
Ascolta, flaubert:

sei il benvenuto come tutti su questo thread se dici cose sensate.

Se invece, come in questi ultimi tuoi interventi, parli esclusivamente a vanvera, spostati su altri thread (meglio su Megalab) e non inquinare più il thread con le tue sparate.


Firewall Test - AntiMalware.ru (http://www.wilderssecurity.com/showthread.php?t=307381)
E' di stamattina, tant'è vero che la notizia l'ho appresa da li'.


AV Comparatives (http://gladiator-antivirus.com/forum/index.php?showtopic=89397), che in questo momento sembra essere giù.


Di cosa stai parlando?

KIS, poi, 1° su Antimalware.ru?

Per cortesia, come la penso è all'inizio di questo post.


Grazie

flaubert
12-09-2011, 20:58
Se invece, come in questi ultimi tuoi interventi, parli esclusivamente a vanvera, spostati su altri thread (meglio su Megalab) e non inquinare più il thread con le tue sparate.

Noblesse oblige!:D

Confermo,seriamente parlando, la mia opinione:il sito che citi per i test non gode di attendibilità:idem l'altro che linki.
Purtroppo è così.....:)

Saluti a te!

Chiudo così definitivamente la mia reply.

Romagnolo1973
12-09-2011, 21:01
quel sito è russo e nonostante la metodologia sia rigorosa i campioni che sono zeroday per un prodotto USA non lo sono per Kaspy o DrWeb:D
Il loro problema sta lì, e hanno una antipatia di parte per NOD che se lo testano gli danno in genere 0% (non è uno scherzo è successo:D )

Però in questo caso a macchina già infetta poco importa se siano sample russi o pure di zanzibar, si testa il reagire dei FW (con aiuto di hips e av e sb o bb...) per evitare che esca in rete; in questo caso quindi la mancata internazionalità del test un po' è diluita
Inoltre per come funziona DW che non si basa su firme, il fatto che siano virus russi non incide, notevole il dato di CIS che è americana e penso proprio che per loro siano davvero zerodays, non ci metto la mano sul fuoco che lo siano per Kaspy o DrWeb che in genere su quel sito vince e in realtà è appena sufficiente come prodotto

I valori sono quindi da prendere con le molle ma visto quanti pochi provano Comodo (mi son ridotto a mettere i test di computerfree e MagaLab:doh: ) per me sono i più rigorosi che hanno testato CIS

PS @ flaubert: AvComparatives linkato da ENNE è l'unico davvero indipendente e che quando le ditte glielo permettono, pubblica i dati senza sotterfugi e i test li fa con 100.000 sample e più mica bau bau micio micio

flaubert
12-09-2011, 21:06
KIS, poi, 1° su Antimalware.ru?

Un esempio:

http://www.anti-malware-test.com/

In ogni caso,non discuto comodo firewall(@ romagnolo):

si sa che è il non plus ultra.Quindi c'è poco da dire....;)
Eh vabbè....qualcosa da ridire la si trova sempre....in ogni caso per me rimane il number one AV-comparatives:dai non puoi avvicinargli quel sito russo quanto a attendibilità.....Ricordo che tu stesso lo hai criticato più volte......ehm ehm ehm.....:D

Romagnolo1973
12-09-2011, 21:24
Noblesse oblige!:D

Confermo,seriamente parlando, la mia opinione:il sito che citi per i test non gode di attendibilità:idem l'altro che linki.
Purtroppo è così.....:)

Saluti a te!

Chiudo così definitivamente la mia reply.

intendo dire che visto che NV ha messo il link di un sito dove c'era la classifica AV-Comparatives (il sito loro è off quindi ti ha messo quello sostitutivo) hai criticato pure AVC:D Magari prima leggi senza fermarti alla barra indirizzi quello che ti viene indicato.
Mi tocca indicarlo perchè Comodo lo testano solo gli amatori, questo è già meglio, ho infatti indicato sopra le critiche che penso ho sempre avuto per quel sito russo
CIS è un buon prodotto, per i 64bit poi direi discreto in genere e ottimo se si pensa che è free, però io non ne sono un fan, mi limito ad usarlo e se riesco anche a spiegarlo ad altri visto che lo uso dalla v2 quindi secoli.
Quando però ha le magagne, perchè ne ha anche adesso a decine, lo critico e parecchio, tipo sta beta che l'hanno scritta dopo un rave party e si erano dimenticati pezzi di codice basilari:muro: per fortuna non è successo un casotto ma ne hanno fatte anche di peggio. Altri prodotti magari più sconosciuti e gestiti da un solo uomo (DW o MD per esempio) sono superiori a CIS, però causa il limite di risorse hanno lo scoglio del 64bit

xcdegasp
12-09-2011, 21:51
concordo con quanto detto da romagnolo, inoltre un paio d'anni fa' c'era il reale sospetto che comodo firewall fosse appositamente scritto per superare i test che circolavano in rete e3 che venivano usati da http://www.matousec.com/

non è mai stato considerato il prodotto veramente di punta tra i firewall per questo motivo, era invece visto come il prodotto da battere nelle classifiche.



comunque flaubert non puoi ogni volta attaccare attaccare e continuare ad attaccare per ogni cosa che ti si dice, ti hanno dato due link perchè uno era momentaneamente non accessibile e ti hanno fatto la dovuta premessa. non ti sta bene? non scrivere 10 messaggi di lamentela e cambia forum. rimani a ppolemizzare? è evidente che il tuo scopo è solo questo con tutto cio che ne deriva come conseguenze ;)

flaubert
13-09-2011, 06:32
intendo dire che visto che NV ha messo il link di un sito dove c'era la classifica AV-Comparatives (il sito loro è off quindi ti ha messo quello sostitutivo) hai criticato pure AVC Magari prima leggi senza fermarti alla barra indirizzi quello che ti viene indicato.

Direi che siete poco attenti: non ho criticato AVC era sottinteso che avessi letto e che avessi ritenuto comunque troppo vecchi quei test:infatti risalgono all'anno 2009.:D

comunque flaubert non puoi ogni volta attaccare attaccare e continuare ad attaccare per ogni cosa che ti si dice

Attaccare? Ho semplicemente espresso un opinione personale.Ed ho attaccato,semmai,un sito russo poco attendibile quanto a test sugli AV.

Saluti e buon lavoro a tutti!!!

Chill-Out
13-09-2011, 08:36
Ascolta, flaubert:

sei il benvenuto come tutti su questo thread se dici cose sensate.

Se invece, come in questi ultimi tuoi interventi, parli esclusivamente a vanvera, spostati su altri thread (meglio su *****) e non inquinare più il thread con le tue sparate.


http://www.hwupgrade.it/forum/showpost.php?p=35792492&postcount=3293

Direi che siete poco attenti: non ho criticato AVC era sottinteso che avessi letto e che avessi ritenuto comunque troppo vecchi quei test:infatti risalgono all'anno 2009.:D



Attaccare? Ho semplicemente espresso un opinione personale.Ed ho attaccato,semmai,un sito russo poco attendibile quanto a test sugli AV.

Saluti e buon lavoro a tutti!!!

Noblesse oblige!:D
Confermo,seriamente parlando, la mia opinione:il sito che citi per i test non gode di attendibilità:idem l'altro che linki.
Purtroppo è così.....:)


Lo so che leggere è impegnativo , ma serve, serve sempre.

Vi avevo chiesto di voltare pagina, ma dal momento che avete declinato l'invito 3GG di pausa per entrambi.

Draven94
13-09-2011, 12:59
A che punto è NVT Exe Radar Pro con i 64bit?

Romagnolo1973
13-09-2011, 14:50
ancora nulla
stessi problemi di DW e MD, sono 2 programmatori e vedere come proteggere il kernel a 64bit non è cosa facile
tutti i programmi di sicurezza a 64bit NON offrono le stesse solidità di quelli a 32 per la stessa ragione, poi alcuni lo ammettono, altri raccontano frottole dicendo che stanno allo stesso livello nei 2 sistemi:D

Chill-Out
13-09-2011, 15:05
Adesso che vedo l'errore

http://social.technet.microsoft.com/Forums/en/emet/thread/6bc12a58-f767-49d7-b8d5-622a76a77070

eraser
13-09-2011, 15:08
Riguardo il BIOS rootkit, ecco l'analisi: http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/

Romagnolo1973
13-09-2011, 15:09
@claudio: tieni presente che emet su xp e su 7 è come fossero 2 programmi differenti stante le enormi differenze tra i 2 in tema sicurezza intrinseca del sistema, poco di emet si può applicare in xp, anche se meglio di nulla
io ho avuto problemi con EMET1 su seven, diciamo che quando devi aggiornare qualcosa devi prima porti la domanda: è emetizzato? se sì allora sproteggilo prima di aggiornare
Ho sudato 7 camice per ripristinare i casini fatti dopo un aggiornamento java che era emetizzato

Quindi occhio, qui comunque una guida utente (in inglese) che è il top in materia Emet IMHO poi mi piace pure il sito e il suo nome quasi ossimoro
http://rationallyparanoid.com/articles/microsoft-emet-2.html
tieni presente cosa scrive in una immagine analoga alla tua in guida
On Windows XP, setting System Configuration to Maximum will set DEP to Always On, however the recommendation for stability is Application Opt In.

@ eraser: grazie mille, mitico e anche tempestivo come sempre

Romagnolo1973
13-09-2011, 15:47
io mi "farei le ossa" com emet prima su xp e dopo un mesetto lo proverei su 7 che è il pc "buono" che hai, su 7 le opzioni sono maggiori ma almeno ti sei rodato prima

Flash come indicato in quella guida è un po' sfuggente visto che lui di suo non compare, ma qualcosa si può fare. Devi emetizzare i programmi che si interfacciano con internet e con i file che scarichi da lì (chrome però potrebbe dare problemi essendo sandboxato di suo) quindi office, browser, mail, java, flash come si può, lettore mulltimediale, pdf ...

arnyreny
13-09-2011, 15:53
Riguardo il BIOS rootkit, ecco l'analisi: http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/
la domanda che mi verrebbe...
l'uac intercetta la richiesta...oppure seven e' immune ...
credo che ci vogliano elevati privilegi per fare questo tipo di lavoro



grazie...come pensavo

Mebromi non è progettato per infettare i sistemi operativi 64 bit e non è in grado di infettare il sistema, se eseguito con privilegi limitati.

arnyreny
13-09-2011, 15:55
A che punto è NVT Exe Radar Pro con i 64bit?

bella domanda:eek:

mi sa che non rispetteranno i tempi

sampei.nihira
13-09-2011, 16:37
Riguardo il BIOS rootkit, ecco l'analisi: http://blog.webroot.com/2011/09/13/mebromi-the-first-bios-rootkit-in-the-wild/

Ottimo come sempre.;) :)
Non avevo fatto caso che c'era un pre-controllo sugli antivirus con gli occhi a mandorla.

Kohai
13-09-2011, 21:24
@ [claudio]

Occhio all'utilizzo di emet... a me su XP (fortunatamente su seven non lo avevo ancora installato, lo volevo prima provare) ha fatto solo casini....

A prova di quanto dico, puoi leggere questo post -> http://www.hwupgrade.it/forum/showpost.php?p=35218903&postcount=3057
e successivi :(

Quindi ripeto, occhio.....

rizzotti91
16-09-2011, 01:34
Su windows 7 x64 non posso installare nessun software che monitorizza ogni modifica effettuata quando installo o eseguo un programma?
Sto provando Winpatrol ma non mi sembra un gran che, grazie :)

nV 25
16-09-2011, 10:00
son tornato dalla sospensione...:sofico:

nV 25
16-09-2011, 10:19
Da KMInfo, un link interessante su "cosa aspettarci da Windows 8" in relazione alla lotta contro i malwares.

Protecting you from malware (http://blogs.msdn.com/b/b8/archive/2011/09/15/protecting-you-from-malware.aspx)


Come tutti questi articoli, sono da leggere con la dovuta tranquillità e attenzione ma non dovrebbe risultare cmq di difficilissima comprensione.

Ciao

nV 25
16-09-2011, 12:03
Su windows 7 x64 non posso installare nessun software che monitorizza ogni modifica effettuata quando installo o eseguo un programma?
Sto provando Winpatrol ma non mi sembra un gran che, grazie :)

come no?

Comodo, OA, KIS, Nod v5,...

nV 25
16-09-2011, 12:05
Su windows 7 x64 non posso installare nessun software che monitorizza ogni modifica effettuata quando installo o eseguo un programma?
Sto provando Winpatrol ma non mi sembra un gran che, grazie :)
---------EDIT-----------

forse ho capito il senso della tua domanda:
non cerchi un HIPS vero e proprio ma un programma che faccia fondamentalmente da monitor di sistema?

mmm, ci penso 1 attimo..


OK.
Al punto 6.10 di questa lista (http://www.techsupportalert.com/content/probably-best-free-security-list-world.htm) sono elencarti alcuni nomi di software che sembrerebbero fare al caso tuo.

Non li conosco assolutamente, cmq sembra carino questo:
http://www.blueproject.ro/systracer

rizzotti91
16-09-2011, 13:02
---------EDIT-----------

forse ho capito il senso della tua domanda:
non cerchi un HIPS vero e proprio ma un programma che faccia fondamentalmente da monitor di sistema?

mmm, ci penso 1 attimo..


OK.
Al punto 6.10 di questa lista (http://www.techsupportalert.com/content/probably-best-free-security-list-world.htm) sono elencarti alcuni nomi di software che sembrerebbero fare al caso tuo.

Non li conosco assolutamente, cmq sembra carino questo:
http://www.blueproject.ro/systracer

Ti ringrazio per la cortese risposta, in pratica cerco un software come lo era ad-watch del pacchetto ad-aware, a me interessa vedere se quando apro un software o installo un programma, mi crea strane chiavi nel registro, o qualcosa in avvio... non so come si chiama questo tipo di software :D

nV 25
16-09-2011, 18:11
Una bella tesi di laurea di un ragazzo italiano (aall86) che, nello sviluppare il suo progetto di ricerca teso alla costruzione di un Rootkit X64 compatibile, affronta per ovvi motivi una buona parte dei meccanismi di sicurezza implementati da Microsoft per mettere in sicurezza questo OS...

X64_MBR_Rootkits.pdf (http://www.aall86.altervista.org/guide/X64_MBR_Rootkits.pdf)

BRAVO!

sampei.nihira
16-09-2011, 21:42
***

eraser
17-09-2011, 01:28
Una bella tesi di laurea di un ragazzo italiano (aall86) che, nello sviluppare il suo progetto di ricerca teso alla costruzione di un Rootkit X64 compatibile, affronta per ovvi motivi una buona parte dei meccanismi di sicurezza implementati da Microsoft per mettere in sicurezza questo OS...

X64_MBR_Rootkits.pdf (http://www.aall86.altervista.org/guide/X64_MBR_Rootkits.pdf)

BRAVO!

Da Febbraio è dipendente Prevx, lavora nel mio team :) Ottimo ragazzo ;)

cloutz
17-09-2011, 08:05
Ha frequentato la mia università!

Sono ancora alla triennale ma..
sapere che qualcuno con le mie stesse aspettative (sostanzialmente anche io vorrei fare Comunicazione e Sicurezza), e che probabilmente ha ricevuto la mia stessa formazione, ce l'abbia fatta davvero.. mi riempie il cuore di speranze!! :D

:mano:

Chill-Out
17-09-2011, 08:48
Ha frequentato la mia università!

Sono ancora alla triennale ma..
sapere che qualcuno con le mie stesse aspettative (sostanzialmente anche io vorrei fare Comunicazione e Sicurezza), e che probabilmente ha ricevuto la mia stessa formazione, ce l'abbia fatta davvero.. mi riempie il cuore di speranze!! :D

:mano:

Crederci sempre, arrendersi mai :O ;)

arnyreny
17-09-2011, 09:14
Da Febbraio è dipendente Prevx, lavora nel mio team :) Ottimo ragazzo ;)

Ha frequentato la mia università!

Sono ancora alla triennale ma..
sapere che qualcuno con le mie stesse aspettative (sostanzialmente anche io vorrei fare Comunicazione e Sicurezza), e che probabilmente ha ricevuto la mia stessa formazione, ce l'abbia fatta davvero.. mi riempie il cuore di speranze!! :D

:mano:
Ot
la passione e la perseveranza sono le armi vincenti....
un grande in bocca al lupo a questi ragazzi...bravi;)

forse in questi casi sarebbe piu' appropriato nel di dietro del virus...come augurio:sofico:
fine Ot

nV 25
17-09-2011, 10:36
Da Febbraio è dipendente Prevx, lavora nel mio team :) Ottimo ragazzo ;)
digli che a regola il nick aaLl86 è ancora libero qui su Hw....:fiufiu:

Qui, infatti, si parla "in amicizia" :asd: di cose un pò diverse rispetto a quelle più tradizionali legate al vs/lavoro...

forse in questi casi sarebbe piu' appropriato nel di dietro del virus...come augurio:sofico:

questa non è male

nV 25
17-09-2011, 11:56
Puzza probabilmente già un pò di rancido :asd: visto che la notizia ha qualche gg (e, dunque, molti ne saranno abbondantemente a conoscenza), ma volevo segnalare cmq che la partneship Intel-McAfee ha partorito una nuova tecnologia capace di neutralizzare in tempo reale i Rootkit.

Per funzionare, fa leva sulla tecnologia Intel VTx presente sulle CPU Intel Core i3, i5, i7 e funzionerà su 7 nonchè sul futuro OS di casa Microsoft, 8.

Come si vede anche dall'immagine seguente, questa tecnologia si interpone tra "il silicio" (la CPU) e l'OS,

http://img27.imageshack.us/img27/1125/immagine1tui.jpg (http://imageshack.us/photo/my-images/27/immagine1tui.jpg/)


Alla domanda "Quali Rootkit è in grado di neutralizzare", McAfee porta come esempi i nomi che più hanno fatto parlare di se in questi ultimi anni:
• Stuxnet
• SpyEye
• TDSS
• NTRootkit


[Riflessione personale] Se questa tecnologia fosse stand-alone, potrei anche farci più di un serio pensiero non appena saranno rese disponibili più informazioni che ne attestino la validità (ovvio)...
Là dove, invece, sia richiesta la contestuale installazione di altre soluzioni di casa McAfee, è molto probabile che si esaurisca immediatamente il mio interesse...:D

Tutte le info, cmq, sono qui:
McAfee DeepSAFE (http://www.mcafee.com/us/solutions/mcafee-deepsafe.aspx)

EP_X0FF, in proposito, rimanda il suo giudizio "di bontà" a quando avrà per le mani la possibilità di verificare sul campo questa tecnologia,
"Effectiveness of this technology only can be proved after various tests against something more fresh in all meaning of this word".

Video McAfee DeepSAFE vs Agony 2007 (http://www.youtube.com/watch?v=iHiKjGhv9no).


Saluti

eraser
17-09-2011, 13:24
digli che a regola il nick aaLl86 è ancora libero qui su Hw....:fiufiu:

Ve lo mando, ve lo mando :D

Slash82
17-09-2011, 18:54
sto cercando un firewall free molto semplice da configurare, leggero, ma ovviamente efficace. Avete qualcosa da consigliare? Comodo lo trovo trovo complesso da configurare e Defense Wall mi fa piantare il pc... al momento ho online armor free.

lupin 3rd
17-09-2011, 19:09
sto cercando un firewall free molto semplice da configurare, leggero, ma ovviamente efficace. Avete qualcosa da consigliare? Comodo lo trovo trovo complesso da configurare e Defense Wall mi fa piantare il pc... al momento ho online armor free.

comodo complesso da configurare?considera che tutti i firewall hanno lo stesso scopo e tutti richiedono una conoscenza almeno basilare sul funzionamento del tcp/ip e dei servizi client/server più comuni (web browser,posta....)

Chill-Out
17-09-2011, 19:46
sto cercando un firewall free molto semplice da configurare, leggero, ma ovviamente efficace. Avete qualcosa da consigliare? Comodo lo trovo trovo complesso da configurare e Defense Wall mi fa piantare il pc... al momento ho online armor free.

3D dedicato http://www.hwupgrade.it/forum/showthread.php?t=1559488

Slash82
17-09-2011, 19:58
comodo complesso da configurare?considera che tutti i firewall hanno lo stesso scopo e tutti richiedono una conoscenza almeno basilare sul funzionamento del tcp/ip e dei servizi client/server più comuni (web browser,posta....)

è più complesso da configurare di online armor.

Chill-Out
17-09-2011, 20:02
è più complesso da configurare di online armor.

http://www.hwupgrade.it/forum/showpost.php?p=35950282&postcount=3503 :read:

sampei.nihira
19-09-2011, 20:35
***

arnyreny
19-09-2011, 21:08
E' notoria la mia difficoltà a reperire le cose più semplici.
Quindi avrei una richiesta che potrà apparire un pò assurda.

Come lo trovo (in 7 64 bit) il percorso di Chrome in EMET ?

Cioè io lo sò dov'è il file eseguibile, ma dall' ADD APP di EMET non riesco a visualizzare le cartelle nascoste.

Sarà un bug oppure è questo pescatore che si cimenta.........:muro: :muro:

sta in una cartella nascosta...utenti tuo nome utente appdata(cartella nascosta)
local google chrome

sampei.nihira
19-09-2011, 21:12
***

arnyreny
19-09-2011, 21:19
Si Arny lo sò benissimo qual'è il percorso di chrome ed infatti l'ho anche scritto di saperlo.;)
Il problema è che da EMET non riesco a visualizzare le cartelle nascoste !! :muro:
Mentre nel mio XP ho aggiunto da lustri, Chrome, alla lista applicazioni.

Non sò se mi sono spiegato disse il lenzuolo.:D

a me si visualizza benissimo...per questo avevo capito male:doh:

hai abilitato le cartelle nascoste...

http://img705.imageshack.us/img705/9623/catturahpv.th.jpg (http://imageshack.us/photo/my-images/705/catturahpv.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

sampei.nihira
19-09-2011, 21:24
***

arnyreny
19-09-2011, 21:27
Sì,lo avevo fatto prima di scrivere il topic iniziale dall'aria "imbecille".:D :D
Dovrò venirne a capo di questo mistero,oggi ho fatto anche troppo, sono stanco.
Buona notte.:) ;) ;)

da buon pescatore credo che domattina non avrai problemi...

sampei.nihira
20-09-2011, 13:54
***

arnyreny
20-09-2011, 15:08
Tu dici ?

http://www.pctunerup.com/up/results/_201109/th_20110920145238_Emet.jpg (http://www.pctunerup.com/up/image.php?src=_201109/20110920145238_Emet.jpg)

*****************************************

@ nV25....e gli altri colleghi

Siccome il mio Q.I. nel tempo sarà sceso a valori inferiori alla norma,se a questa anomalia non troverò soluzione, avrei pensato
di EMETizzare un collegamento.
Ho visto che la cosa è possibile ho provato (da XP) con Paint inviato al desktop.

Qualche consiglio che prenda in esame altre soluzioni ?

puoi benissimo emettizare un collegamento...

questo e' chrome emettizzato tramite collegamento dal desktop
http://img819.imageshack.us/img819/5875/catturadv.th.jpg (http://imageshack.us/photo/my-images/819/catturadv.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)



io però proverei a disinstallare e a reinstallare emet...magari funziona
le cose rappezzate non mi piacciono:D

sampei.nihira
20-09-2011, 15:36
***

Biffo_The_Cat
20-09-2011, 15:47
@sampei.nihira
Hai provato a usare la funzione di ricerca da dentro EMET? Mettendo il nome dell'eseguibile di Chrome? Tentar non nuoce ...

Saluti

sampei.nihira
20-09-2011, 16:55
***

sampei.nihira
20-09-2011, 22:43
***

nV 25
21-09-2011, 11:52
@ sampei:
visto che gli input (per fortuna..) arrivano anche dagli altri?

Un thread troppo nV 25 dipendente, infatti, non è molto produttivo perchè è quanto mai necessario l' "ossigeno" proveniente anche da altri..

Speriamo sia l'inizio di una nuova stagione...:sperem:

sampei.nihira
21-09-2011, 14:21
***

sampei.nihira
22-09-2011, 15:01
***