PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 [4] 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

nV 25
10-03-2007, 13:13
...ti stai riferendo al "System Safety Monitor 2.0 Free Edition", giusto?
yesssss...
Per cui a questo punto mi confermi SSM 2.0 +Active Virus Shield + firewall (forse Comodo) per una protezione adeguata?
+ che adeguata, direi eccellente...

dariuzzz
10-03-2007, 16:29
E se puo' servire ti posso dire che e' la mia configurazione di sicurezza (con Comodo come firewall) e non ci sono incompatibilita' tra questi programmi. ;)

brendon1962
10-03-2007, 17:05
Grazie ragazzi, sempre gentilissimi. Appena assemblato il mio nuovo pc, dopo aver fatto un disco immagine col norton ghost (o simili), provvederò subito ad installare questi 3 software protettivi.
P.S.: Spero siano altrettanto efficienti nel caso di utilizzo (24 su 24) di software di file sharing tipo emule o azureus!
Un saluto a tutti e alla prossima.

cimmy1
11-03-2007, 12:15
scusate ho sbagliato post.
ciao

tonziefed
11-03-2007, 12:53
Per cui a questo punto mi confermi SSM 2.0 +Active Virus Shield + firewall (forse Comodo) per una protezione adeguata?

yesssss...
+ che adeguata, direi eccellente...

Sono nuovo del thread...
anche io ero intenzioanto ad utilizzare una soluzione di quel tipo (come firewall però pensavo di utilizzare unicamente quello hardware integrato nel 3com in sign)! Però ho letto nel primo post che si consiglia di accoppiare a SSM2 anche Winpatrol, mi sono perso qualcosa? Per quanto riguarda i suddetti software (SSM e Win patrol accoppiati con AVS) riescono ad eliminare il problema di AVS ovvero la mancanza dell'euristica, immagino di no...

Jaguar64bit
11-03-2007, 12:54
ma prevX alla fine è un software HIPS ? poi non ho ancora capito se è solo a pagamento oppure parzialmente free.

nV 25
11-03-2007, 13:11
...
anche io ero intenzionato ad utilizzare una soluzione di quel tipo (come firewall però pensavo di utilizzare unicamente quello hardware integrato nel 3com in sign)! Però ho letto nel primo post che si consiglia di accoppiare a SSM2 anche Winpatrol, mi sono perso qualcosa? Per quanto riguarda i suddetti software (SSM e Win patrol accoppiati con AVS) riescono ad eliminare il problema di AVS ovvero la mancanza dell'euristica, immagino di no...

SSM2 free è IL software HIPS che tutti dovrebbero utilizzare visto che è indiscutibilmente il migliore tra tutte le soluzioni freeware...

WinPatrol, se si vuole, non è certo indispensabile.
In 1° pagina non ho fatto altro che segnalare come consigliate 2 soluzioni che si sposano bene tra loro, non appesantiscono il sistema e che forniscono un ECCEZIONALE protezione contro molte (tutte?) le minacce più rognose attuali e probabilmente future....(grazie a SSM, si intende...)

Sulla seconda parte del tuo discorso (AVS [o Kav] e la sua assenza di una vera euristica...), bè:
in parte SI.

Di sicuro i rootkit (e una buona fetta di altre cosette...) sono ricordi del passato se non si scazza ai pop-up....



SSM è invasivo, PrevX, invece, di sicuro moooooolto meno, e cosi' mi aggancio anche alla perplessità di Jaguar (anzi, ciao!:) )
ma prevX alla fine è un software HIPS ? poi non ho ancora capito se è solo a pagamento oppure parzialmente free.

Si, dai:
PrevX è un HIPS, un pò particolare ma molto efficace e "costruito intorno a te" (Vodafone, no?:ciapet: ):
poco invasivo per chi non vuole interpretare messaggi criptici, adatto quindi anche all'utente meno esperto....
Il discorso del parzialmente free non lo conosco (leggi: perde diverse funzionalità? non credo, cmq...)

Visto che ci sono, segnalo anche questo thread in inglese mooolto istruttivo su Process Guard FREE dal titolo
"è robusto abbastanza"??

http://www.wilderssecurity.com/showthread.php?t=163396

Assolutamente una buona lettura con molti commenti interessanti...;)




PS:
presto installo su Virtual Machine SSM/PrevX cosi', se ci fosse qualcosa da sottolineare o far vedere, posto direttamente gli screen....

juninho85
11-03-2007, 17:53
ma prevX alla fine è un software HIPS ? poi non ho ancora capito se è solo a pagamento oppure parzialmente free.
penso sia giusto definirlo shareware,funziona a pieno carico per 21 giorni dopodichè funziona soltanto per rilevare il malware,non per rimuoverlo ;)

nV 25
11-03-2007, 17:57
penso sia giusto definirlo shareware,funziona a pieno carico per 21 giorni dopodichè funziona soltanto per rilevare il malware,non per rimuoverlo ;)

si, infatti, ho dato poco fà un'occhiata alle FAQ e effettivamente risulta quello che hai detto....

Grazie per la precisazione, cmq...
Felice inoltre di rivederti, juni... :ciapet:


Non è poco cmq la sola funzione di rilevazione
Per lo meno, imo....
Per una free ci si può stare....





PS: Presto SSM/PrevX in VM...

juninho85
11-03-2007, 18:06
si, infatti, ho dato poco fà un'occhiata alle FAQ e effettivamente risulta quello che hai detto....

Grazie per la precisazione, cmq...
Felice inoltre di rivederti, juni... :ciapet:


Non è poco cmq la sola funzione di rilevazione
Per lo meno, imo....
Per una free ci si può stare....





PS: Presto SSM/PrevX in VM...
ciao vecchia bertuccia :D
sia mica come si fa a rimuovere un file infetto dalla sezione "jail" a programma scaduto?non mi pare sia possibile!

nV 25
11-03-2007, 18:08
asp che se c'è, si sente eraser...:stordita:

EDIT:
il bimbo riposa...cmq gli ho segnalato il post...e mi son raccomandato di non farmi fare brutta figura....:stordita:

LOLLLL

sampei.nihira
11-03-2007, 20:19
Enne, buonasera !!

Dai un pò un occhio (anche due se ti và ;) ) a questo:

http://www.javvin.com/packet-security.html?gclid=CPT2rdvE7YoCFQIFEAodB2kNmQ

E' in bella mostra su "Antirootkit.com"

nV 25
11-03-2007, 21:22
Enne, buonasera !!
...
ciao anche a te. :)

Domani ci getto un'occhiata....

PS: prova SSM anche te, bye byeeeee :D

sampei.nihira
11-03-2007, 21:46
ciao anche a te. :)

Domani ci getto un'occhiata....

PS: prova SSM anche te, bye byeeeee :D

:D ;) ciaooooo.

tonziefed
12-03-2007, 20:00
SSM2 free è IL software HIPS che tutti dovrebbero utilizzare visto che è indiscutibilmente il migliore tra tutte le soluzioni freeware...

WinPatrol, se si vuole, non è certo indispensabile.
In 1° pagina non ho fatto altro che segnalare come consigliate 2 soluzioni che si sposano bene tra loro, non appesantiscono il sistema e che forniscono un ECCEZIONALE protezione contro molte (tutte?) le minacce più rognose attuali e probabilmente future....(grazie a SSM, si intende...)

Sulla seconda parte del tuo discorso (AVS [o Kav] e la sua assenza di una vera euristica...), bè:
in parte SI.

Di sicuro i rootkit (e una buona fetta di altre cosette...) sono ricordi del passato se non si scazza ai pop-up....


Ti ringrazio per i consigli:ave: , come versione ho visto che oltre a quella free ce n'è anche una full (a pagamento)...tu quale usi? Ci sono grosse differenze, colmabili con altri software o si può essere sufficientemente tranquilli con la free? Calcola che non sono un utonto!:D

nV 25
12-03-2007, 20:32
......a) tu quale usi? b) Ci sono grosse differenze, colmabili con altri software o si può essere sufficientemente tranquilli con la free? Calcola che non sono un utonto!:D

a) Process Guard :ciapet:
b) differenze?
http://www.syssafety.com/product.html :read:

La 1° differenza evidente che si ricava dalla tavola sopra è il Basic Network Firewall e il Targeted Process Protection che caratterizzano la v.full, a seguire il Low level disk access control...

ParlamoSe chiaro:
la free è + che suff per dare una svolta decisiva/definitiva contro una grossa pletora di rischi (rootkit in primis..), però se hai un 30-ino di € per le tasche e NON sei un utonto (come hai fatto notare..), non puoi NON PENSARE ad una delle v.Full di questi programmi...:)

Direi presuntuosamente 3 nomi su tutti* (perdonassero se mi sbilancio...):

Process Guard (appena escono con la nuova versione....;) :winner: ), SSM o ProSecurity...



*= per restare nell'alveo dei behaviour blocker...

nV 25
12-03-2007, 20:46
Per continuare la risposta:

come si fa a consigliare una cosa sulla base di cosi' pochi elementi?
Per es, sui nomi che ho citato poc'anzi mi sono limitato alla sola sfera della ROBUSTEZZA che è (per me, si intende..) la SOLA cosa che mi interessa da un programma del genere.

Se uno NON vuole l'invasività, bè...va da se che cmq un software di questo tipo, per quanto buono, non vada bene costringendoci per forza di cose a ripiegare su altre soluzioni, stile CIPS (=PrevX) o SandBox (sul modello di DefenseWall/Sandboxie)....

Rimanendo invece sui programmi di tipo behaviour blocker (PG, SSM, PS...), ti posso dire che SSM/PS sono molto più ricchi di PG quanto a funzionalità:
ad es, ti serve (oltre al Firewall) che l'HIPS ti faccia, tra le tante cose, anche una sorta di controllo sulle connessioni in uscita?

E qui fai già la prima scremata dalla lista sopra visto che PG lo escludi a priori...
Oppure:
mi serve anche la funzionalità installation mode? (molto interessante, cmq...)
Di nuovo, la selezione ricade su SSM/PS...

Ecc...

nV 25
12-03-2007, 21:19
Ecco qui (per chi usa SSM free/Full) una lista sommaria di avvisi DA TENER ATTENTAMENTE SOTTO CONTOLLO qualora si dovessero presentare:

al 99% sono indicatori di un pericolo GRAVE....

http://img75.imageshack.us/img75/3211/complessivo2xw4.jpg

NB: il discorso indicato con a) nello screen diciamo che si presta a molte interpretazioni:
sulla carta, cmq, è una CHIAMATA inevitabile (e spessissimo benigna..) che ci indica cosa stà per eseguirsi....

Alcuni dettagli, diciamo cosi', li trovate nel link che avevo citato qualche post indietro a proposito di "PG free è sufficientemente sicuro"?
Potrei anche riassumerlo un attimo, ma credo sia cmq già chiaro abbastanza...

L'avviso indicato con a) si presenta OGNI QUAL VOLTA viene eseguito un processo NUOVO ( non "imparato" da SSM nella scheda application rules...)
Spero di non aver creato confusione.
L'ho messo in colore blu apposta....

nV 25
12-03-2007, 21:47
Sempre a proposito di SSM free,poi, è obbligatorio settarlo almeno come in figura:

http://img251.imageshack.us/img251/497/75482429up1.th.jpg (http://img251.imageshack.us/my.php?image=75482429up1.jpg)

Il log personalmente lo terrei cosi':
http://img338.imageshack.us/img338/1172/86486298hb5.th.jpg (http://img338.imageshack.us/my.php?image=86486298hb5.jpg)

E questo, per concludere, è un Leaktest:
http://img75.imageshack.us/img75/5933/48774712ig1.th.jpg (http://img75.imageshack.us/my.php?image=48774712ig1.jpg)






OK, per stasera basta, domani si guarda PrevX (specie l'aspetto del consumo di risorse....:uh:
Vero eraser??
Le vecchie versioni, almeno, impattavano sensibilmente sul sitema....)
:ciapet:

nV 25
13-03-2007, 22:31
ok, ho dato un'occhiata a PrevX ma (aimè, e con buona pace di eraser che probabilmente mi smonterà...) a dir che la parte prevenzione mi abbia lasciato l'amaro in bocca è poca cosa....:(

PrevX è facilmente terminabile sia in User che in Kernel Mode dal tool APT della DiamondCS (la casa di Process Guard):
va bene che APT è un semplice simulatore di tecniche volte a terminare processi in memoria per cui (da un lato) è normale (ed eticamente giusto) che non sia intercettato euristicamente come malware da PrevX, ma se un vero agente virale sfruttasse una di queste tecniche per terminare i software di sicurezza installati da un utente (tra cui il nostro PrevX...), addio protezione....



Simulando una tecnica Kernel mode, il Pc si imballa (o, meglio, la VM...):
http://img402.imageshack.us/img402/6139/aptkmql2.th.jpg (http://img402.imageshack.us/my.php?image=aptkmql2.jpg)

In user, già la 1° fa far festa finita al CIPS...
http://img402.imageshack.us/img402/3204/aptum1fv9.th.jpg (http://img402.imageshack.us/my.php?image=aptum1fv9.jpg)

PrevX si illumina come un albero di natale... http://img402.imageshack.us/img402/6785/aptxz0.th.jpg (http://img402.imageshack.us/my.php?image=aptxz0.jpg)



Fortuna che il Physical memory access è intercettato bene
http://img163.imageshack.us/img163/9141/74449311lj8.th.jpg (http://img163.imageshack.us/my.php?image=74449311lj8.jpg)
in linea con questo,
http://img163.imageshack.us/img163/8006/22045408am9.th.jpg (http://img163.imageshack.us/my.php?image=22045408am9.jpg)
ma per il Dll injection non si sa neppure cosa sia (test 1/2/3)....
http://img411.imageshack.us/img411/4841/48162459kh8.th.jpg (http://img411.imageshack.us/my.php?image=48162459kh8.jpg)
o lo si intercetta a mezzo "stratagemmi" (copycat/thermite = malware...:rolleyes: )

Il Loading/Unloading driver affidato alla sola euristica probabilmente è una decisione eccellente per un prodotto che vuol dire la sua contro vere minacce rimanendo nell'alveo di un prodotto semplice per l'utenza, ma.....

Bang.exe (per carità, assolutamente non pericoloso...), mi fa riavviare la VM in tempo reale appena caricato il suo driverino bang.sys....

juninho85
13-03-2007, 22:41
segnala ad eraser,vediamo cosa ne pensa ;)

BlackDiamond
20-03-2007, 17:05
Finalmente ho trovato qualcuno che parla di Prevx anche su questo forum...

Da quello che leggo NV 25 ha fatto dei test sul funzionamentoe ne sono risultati dei problemi... sono molto contento perchè fino ad ora ero riuscito a sentire solo cose positive :D

Personalmente sonodiventato un grande fan di questo software e mi sono documentato molto sul suo funzionamento... e limitarsi nel dire che è un prodotto che utilizza un sistema euristico non è tutta la verità...

In pratica questi "furboni" della Prevx hanno pensato di creare un due Database su cui far lavorare il software... uno personale e locale sul PC (modificabile da control center dedicato via web) e uno mondiale che risiede nella loro server farm... in pratica ogni qual volta viene segnalato un comportamento "strano" questo viene catalogato sia sul PC in locale che sul DB mondiale... e non serve far partire download per aggiornare il DB in locale ma basta che il client sia in rete per interrogare in tempo reale il DB centralizzato e rendersi conto di avere davanti un virus o un falso positivo.

Molte informazioni su questo software le ho trovate in giro per la rete (visto che in italiano si trova poco) e ho trovato molto interessante questo test effettuato dagli americani:


http://onlypunjab.com/fullstory2k7-insight-Anti+Virus+Dead-status-3-newsID-11782.html


...insomma quando vedi che il tuo antivirus trova i rootkit 10 giorni prima della concorrenza... beh non ho dubbi su cosa acquistare!

Inoltre si può abbinare al normale antivirus... io personalmente ho tenuto NOD32 fino a quando non è scaduto senza avere problemi.

Ciao a tutti

nV 25
20-03-2007, 18:41
...

Da quello che leggo NV 25 ha fatto dei test sul funzionamentoe ne sono risultati dei problemi... sono molto contento perchè fino ad ora ero riuscito a sentire solo cose positive :D ...
c'è sempre qualche voce fuori dal coro, no? :ciapet:

Mi rendo conto, inoltre, di quanto sia stato poco sensato muovere affermazioni cosi' "importanti" (in particolare, le mie perplessità circa la reazione di PrevX contro APT4...) quando NON si è veramente CERTI di quello che si afferma...:rolleyes:

Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

Per qualche misterioso motivo, xò, il CIPS in questione sulla mia VM non era stato installato a dovere per quanto APPARENTEMENTE non avesse dato nessun segnale di un suo qualche malfunzionamento.

Ecco, quest'ultimo punto, semmai poteva essere di interesse per eraser e soci, ma ormai...:)

Di nuovo, scusa per le ERRATE informazioni.:cry:


EDIT: il mio penultimo post non lo edito giusto per dare modo di vedere come può essere fatta CATTIVA informazione.

BlackDiamond
20-03-2007, 19:13
c'è sempre qualche voce fuori dal coro, no? :ciapet:

Mi rendo conto, inoltre, di quanto sia stato poco sensato muovere affermazioni cosi' "importanti" (in particolare, le mie perplessità circa la reazione di PrevX contro APT4...) quando NON si è veramente CERTI di quello che si afferma...:rolleyes:

Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

Per qualche misterioso motivo, xò, il CIPS in questione sulla mia VM non era stato installato a dovere per quanto APPARENTEMENTE non avesse dato nessun segnale di un suo qualche malfunzionamento.

Ecco, quest'ultimo punto, semmai poteva essere di interesse per eraser e soci, ma ormai...:)

Di nuovo, scusa per le ERRATE informazioni.:cry:


EDIT: il mio penultimo post non lo edito giusto per dare modo di vedere come può essere fatta CATTIVA informazione.

Io personalmente sono contento per le "voci fuori dal coro" soprattutto perchè vedo che parli per esperienza e non per "sentito dire" quindi tutto quello che esce in questo modo è interessante... comunque per il suo funzionamento... avevo letto da qualche parte... che buttare giù la console non basta per fermarlo... ha un eseguibile che lavora a basso livello difficile da fermare... poi è ovvio che prima o poi qualcosa se lo inventeranno... bisogna poi vedere quanto sono veloci gli sviluppatori inglesi :D

juninho85
20-03-2007, 19:23
Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

miseriaccia,non poteva postare qui?!:muro:

Kars
20-03-2007, 21:38
Credo che un antivirus si puo' giustamente definire:
"Applicazione in grado di verificare la presenza di virus nei file memorizzati sui vari supporti (floppy, disco fisso, zip, etc), in memoria, e nel settore di boot. In caso venga trovato un virus conosciuto è normalmente possibile procedere all'eliminazione e/o alla pulizia del file. Gli antivirus hanno anche una funzione preventiva, cioè rimangono sempre attivi per impedire l'accesso dei virus al sistema. Devono essere periodicamente aggiornati per avere una protezione efficace."
Sebbene ho sempre sostenuto quanto l' euristica negli antivirus fosse una barzelletta, sono dell' idea che per un antivirus non sia necessario fare anche da application-protect, cosi' come non e' necessario farlo per un personal firewall. Mi viene in mente le accuse che fecero a Nav sul fatto che si insediasse nel pc come un rootkit, accuse giuste secondo me. In questi 2 ultimi anni abbiamo visto gli antivirus piegati da "banalissimi" application hijack, i cosiddetti pen-test, abbiamo visto i personal firewall passivi quando i worms si auto propagavano dai pc fidati. Se ci mettiamo nella baraonda anche gli anti spyware allora credo proprio che sia molto facile che un normale utente sia alquanto confuso e preso in giro magari. Ma forse non ancora abbastanza, mettiamo che virus e worms usino per nascondersi tecniche che prima si usavano solo nei rootkits, ovvero compromettendo l' intero sistema. Abbiamo un bel casino direi. Cosa vorrei allora come protezione ideale (terrena) per un normale utente in ufficio? Definito il target aspirerei a un applicativo che mi consenta di definire delle regole sull' apertura e il caricamento di applicazioni e drivers, di bloccare silensiosamente accessi a basso livello e di monitorare attivita' di inteprocesso, basta, questo mi e' sufficente.
Trovo che prevx1 sia una valida opzione, anche' se non ho ben chiaro se la sua versione free continua a fare da "application protection rules" e quindi manca solo della funzione signature-analyzer, perche' se cosi' fosse mi andrebbe bene anche se passano le dll-injection, che verrebbero bloccate cmq a monte. Se questo e' quello che fa' prevx1 e da quanto ho visto e' anche abbastanza nob-friendly ci sono allora poche alternative per questo target di utenti.
ciao




_____
Kars2

uno-dei-tanti
22-03-2007, 12:43
gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio

al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso http://img124.imageshack.us/img124/6213/eicar1ig4.png (http://imageshack.us) e dopo il mio allow me ne chiede ancora un 2° prima che si esegua http://img53.imageshack.us/img53/7273/eicar2wd4.png (http://imageshack.us)

uno-dei-tanti
22-03-2007, 12:47
gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio

al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso http://img124.imageshack.us/img124/6213/eicar1ig4.png (http://imageshack.us) e dopo il mio allow once me ne chiede ancora un 2° prima che si esegua http://img53.imageshack.us/img53/7273/eicar2wd4.png (http://imageshack.us)

Kars
22-03-2007, 22:17
gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio
-cut-


Parti dal fatto che eicar e' un test solo per accertarsi che l' antivirus funzioni e magari non sia disabilitato. SSm non e' un antivirus e quel eicar e' un banalissimo file di testo rinominato in .com, il quale contiene una serie di caratteri che dovrebbero allertare l'antivirus.
Il fatto che ssm non ti avverte che ntvdm.exe stia in partenza, deriva dal fatto che esiste gia' una regola che consente al processo di partire, sta' di fatto che ntvdm non centra nulla con l' eicar.
Per provare la bonta' dei 2 programmi puoi iniziare a guardarti questo sito:
www.firewallleaktester com
ciao

uno-dei-tanti
23-03-2007, 16:04
kars c'hai preso in pieno :mano:
ntvdm.exe era trai processi autorizzati e non me ne ero accorto :doh:
ho fatto i leaktest e scaricato qualche schifezza dalla rete, ssm free è un muro invalicabile, (al pari della ghost security suite).

ma quelli che piangono aiuto perchè si sono beccati il solito trojan, dialer o rootkit che sia, perchè non hanno perso mezz'ora del loro preziosissimo tempo a leggere questo thread? ah già dovevano scaricare l'ultima suoneria della signora veronica ciccone.
dice il saggio: "chi è causa del suo mal pianga sè stesso"

orione73
06-04-2007, 10:57
scusate, qualcuno ha gia' provato dynamic security agent (dsa) ?
e' buono?

GogetaSSJ
06-04-2007, 11:28
E' da un pò che non ricado in questo thread. Sapete dirmi se PG e SSM sono compatibili con Vista x64?
Utilizzavo PG ma sul sito viene riportato che non è compatibile con Vista, è vero? Ci sono altri programmi simili che lo sono?

Grazie ;)

nV 25
06-04-2007, 21:41
Attualmente solo pochissimi HIPS sono compatibili con il nuovo SO Microsoft...


Tra questi, sicuramente Cyberhawk (http://www.novatix.com/cyberhawk/) e SandBoxie (http://www.sandboxie.com/index.php?DownloadSandboxie).
Altri invece sono in beta ( http://www.castlecops.com/t180619-Vista_32bit_Beta_version.html) ...

Nulla è dato sapere a proposito degli altri...

pistolino
09-04-2007, 10:39
Mi sono letto l'intero thread e vorrei chiedere un paio di cose riguardo Process Guard

1) Consuma molte risorse di sistema?
2) E' ancora valido anche se discontinuato in attesa della nuova versione?
3) E' adatto come primo approccio al mondo HIPS?

Grazie.

Regards

nV 25
09-04-2007, 13:59
Mi sono letto l'intero thread e vorrei chiedere un paio di cose riguardo Process Guard

1) Consuma molte risorse di sistema?
2) E' ancora valido anche se discontinuato in attesa della nuova versione?
3) E' adatto come primo approccio al mondo HIPS?

Grazie.

Regards

fa piacere che si avvicinino all'universo hips anche i "nonni" del forum (in termini di n° di post, si intende...:p )

Riassumendo in 1 sola parola quello che è PG:
'na bbestia!

Per rispondere ai tuoi punti:
1) consuma + risorse wordpad....
2) avenne....
Chi era dietro il programma DiamondCS era gente con palle cubiche...;)
3) secondo me si....



EDIT:
temendo ben poche smentite e alla luce di TUTTE le innumerevoli discussioni (serie) che ho letto, posso dirti che PG ad oggi ha mantenuto al 100% le promesse in relazione alle protezioni per cui era stato disegnato.
Il tutto, a fronte di una pesantezza RIDICOLA, di una complessità di cfg-zione MODESTA e di una COMPATIBILITA'/STABILITA' pressochè TOTALE.....

pistolino
09-04-2007, 15:33
Innanzitutto grazie per la precisa (e simpatica :D )risposta.

In merito al discorso dei "nonni", devo dire che già la scorsa estate avevo pensato di montare un HIPS ma a seguito della crescita di interesse verso KIS (grazie anche alle tue numerose guide) avevo deciso di apprendere e conoscere il più a fondo possibile tale programma, comprese le sue funzioni avanzate (leggasi: AAA, AIC, Registry Guard etc...), pensando che una conoscenza quantomeno discreta (visto che perfetta non la raggiungerò mai :D ) mi sarebbe stata utile in futuro per avere a che fare con un HIPS. Quel "futuro" è oggi; e la sempre maggior diffusione di rootkits, falle 0 day (cfr: .ani remote execution :rolleyes: etc...) mi ha portato ad approfondire questo thread che comunque giaceva tra i "Preferiti" già da alcuni mesi.

Ritornando alle tue risposte...mi sono dimenticato di chiedere un'altra cosa: la versione 3.150 FREE (che qualche post addietro dici essere la più rodata e stabile) è adatta a essere installata come primo HIPS assoluto insieme a KIS (ultimissima versione 621)?

Grazie ancora. ;)

Regards

nV 25
09-04-2007, 16:49
Innanzitutto grazie per la ... simpatica :D ..risposta.
:D

Quel "futuro" è oggi...

:cincin:

Ritornando alle tue risposte...mi sono dimenticato di chiedere un'altra cosa: la versione 3.150 FREE (che qualche post addietro dici essere la più rodata e stabile) è adatta a essere installata come primo HIPS assoluto insieme a KIS (ultimissima versione 621)?


Attento, xò:
io di PG non ho mai utilizzato la versione Free che oggettivamente è troppo castrata avendo di fatto la sola funzionalità di controllo su ciò che viene eseguito (execution control...), più in verità anche la non indifferente possibilità di proteggere processi da tentativi di modifiche/injection e di "spegnimento" (anche se questa cosa, invero, mi risulta un pò nebulosa per una serie di motivi, tipo:
ma se non blocca ad es. gli hook, ecc, come fa a proteggerne la modifica? :stordita: ).....

Nel corso del thread, poi, mi sono permesso di segnalare una recente discussione in cui sostanzialmente ci si chiedeva quanto segue:
ma allora, se scelgo PG free, è sufficientemente robusto o è meglio guardare altrove?
http://www.wilderssecurity.com/showthread.php?t=163396

La risposta in definitiva è stata SI, visto che tutto (o quasi) parte dal presupposto che un malware, per far danni, richiede necessariamente di essere eseguito...
http://www.wilderssecurity.com/showpost.php?p=536454&postcount=33

PS: stò parlando molto in soldoni,. eh...:)

In PG free, allora, il livello di difesa è tutto sbilanciato verso il momento iniziale (ovverosia quello nel quale si ha materialmente l'attivazione del malware...).

Se xò (arbitrariamente) si dovesse dare l'assenso ad un eseguibile
--> in PG Free = difesa compromessa (per la verità, i processi critici sarebbero protetti ma, come dicevo, non capisco bene come sia possibile...)
--> in PG Commerciale = la difesa passa anche per altri LAYER (blocco driver, hook, accessi alla memoria fisica....)




Conclusione:

Se dovessi scegliere un software FREE, la mia scelta non potrebbe che ricadere su SSM Free in quanto, oltre all'execution control, copre molte più aree consentendo sempre di mettere delle "pezze" alla sicurezza anche là dove si dica si' all'esecuzione di codice...
AppDefend è l'altro nome da non sottovalutare, imo.....

Entrambi, xò, difficili (?) per un "giovane"?

Altimenti, potresti sempre provare PrevX1:
un genere un pò diverso da quello cui io personalmente sono abituato, ma altrettanto valido e SUPER INDICATO *ANCHE* per i "giovani"...

Le lodi da me tessute su PG, invece, si sono SEMPRE riferite alla versione commerciale.....

:(







NOTE:
l'execution control, in definitiva, non è nient'altro che una cosa di questo tipo:
http://img383.imageshack.us/img383/3153/32775779jc1.th.jpg (http://img383.imageshack.us/my.php?image=32775779jc1.jpg)
(explorer.exe vuole eseguire notepad....)
Per la cronaca, visto che usi KAV, abbiamo già una sorta di funzionalità di questo tipo, l'AIC.
http://img160.imageshack.us/img160/1231/84161765ma9.th.jpg (http://img160.imageshack.us/my.php?image=84161765ma9.jpg)

Dicevo:
una sorta di execution control, vuoi perchè di def è tutto su ALLOW:muro: , vuoi perchè il controllo in questione si rivolge SOLO ai processi dell'elenco e NON a tutti indiscriminatamente (al contrario di PG, SSM, PS, AppDefend).....:muro:


scusate, qualcuno ha gia' provato dynamic security agent (dsa) ?
e' buono?

credo di si....
Personalmente non lo ho mai provato ma ne ho sempre sentito parlare, e + che discretamente....;)

Per quello che può valere la mia parola, come sempre....

nV 25
09-04-2007, 17:28
...la versione 3.150 FREE (che qualche post addietro dici essere la più rodata e stabile) è adatta a essere installata come primo HIPS assoluto insieme a KIS (ultimissima versione 621)?

..

pardon, ho riletto meglio la tua domanda e forse con la risposta sopra ho ulteriormente confuso le idee...:stordita:

Fermo restando quello che ho detto, e cioè che a PG FREE preferirei altre soluzioni , la risposta secca alla tua domanda non può che essere SI, nella maniera più assoluta.

0 incompatibilità, STABILISSIMO, semplicissimo (ai a provà: ha pochissime opzioni attivabili e fa tutto il learning mode:D ...)


Ciao ciao!

pistolino
10-04-2007, 08:35
Grazie mille. :D

Ora vedo di procurarmi la versione 3.150...ti faccio sapere. :)

Regards

pistolino
10-04-2007, 17:06
Ok ora ho XP SP2 (fully updated) + KIS 6.0.2.621 + PG 3.150 Full.

Adesso qualche domanda:

1) Posso disabilitare l'AIC di KIS che peraltro mi sembra molto più limitato di PG?
2) Devo consentire al taskmanager di terminare i processi protetti? (nella tua miniguida non ne parli mi pare :mc: )
3) Adesso ho impostato le opzioni della schermata principale come suggerisci nella tua miniguida. Ogni volta che lancio un programma legittimo, mi appare la richiesta: faccio bene a dare "Permit" e "Remember this action"? Mi pare in fondo una sorta di UAC con la blacklist.
4) AIC di KIS mi riempiva di avvisi sulle dll da integrare nei processi mentre PG no...è normale?
5) Quando mi verrà in mente. :D

Regards

nV 25
11-04-2007, 20:58
...qualche domanda:

1) Posso disabilitare l'AIC di KIS che peraltro mi sembra molto più limitato di PG?
2) Devo consentire al taskmanager di terminare i processi protetti? ..
3) Adesso ho impostato le opzioni della schermata principale come suggerisci nella tua miniguida. Ogni volta che lancio un programma legittimo, mi appare la richiesta: faccio bene a dare "Permit" e "Remember this action"? ...
4) AIC di KIS mi riempiva di avvisi sulle dll da integrare nei processi mentre PG no...è normale?...

1) l'AIC di KIS è molto più limitato della funzione execution control di PG:
come dicevo infatti nella risposta precedente, l'AIC monitora SOLO gli exe presenti nella sua lista, PG invece estende il suo controllo a QUALSIASI exe (+ altri file con estensione diversa da quella canonica citata poc'anzi, es .scr, .sys,....)
L'unica funzionalita utile dell'AIC, allora, sarebbe il parent/child control assente invece in PG....(la voce "run as a child of")
2) dovere è un parolone:
diciamo che PUOI tranquillamente settarlo come dici...
3) rundll32, svchost, cmd, regsvr32, ntvdm, Iexplorer e pochi altri ancora sono gli unici file da settare su "permit once":
sulla mia guida trovi qualche considerazione su rundll32 che, del lotto, è l'unico file che genera + pop-up dando qualche fastidio all'utilizzatore visto che di volta in volta si *dovrebbe* leggere il "command line" collegato....
Per Iexplore, invece, è semplice capire se autorizzarlo o meno quando hai un pop-up:
gli dai il tuo nulla osta SOLO se sei te a lanciarlo....
4) normalissimo...
PG non ha questa funzionalità ma blocca hooks, injection...
Puoi tenere l'uno e l'altro affiancati (come del resto faccio io, tanto appena hai istruito il kav, per il solito file non avresti più pop-up:
tutto stà è sopportare un pò all'inizio (=in fase di configurazione)...


Enjoy :)

pistolino
12-04-2007, 13:17
Ho visto che PG ha 3 processi: uno è il driver kernel, l'altro è la GUI ma il terzo cos'è (pgaccount)? :confused:

Regards

pistolino
13-04-2007, 13:39
Accodo qualche altra domanda :D :

1) La versione 3.410 la sconsigli perchè ha problemi/bug minori?
2) Potresti indicarmi il nome di qualche leaktest che viene rilevato da PG e non da KIS?
3) E' normale che provando il leaktest di PCflank, PG non nota nulla mentre KIS invece rileva un hidden data sending? Di solito per altri leaktest, PG avvisa sempre di qualcosa e se anche gli dò "permit", subentra subito dopo KIS che ovviamente reagisce come se PG non esistesse giusto?
4) Lasciano a taskmgr.exe il diritto di terminare i processi protetti, non si corre il rischio che eventuali malwares possano sfruttarlo per i loro scopi?
5) Essenzialmente, quali tipi di minacce rileva PG che invece KIS non blocca? Molte volte, ad esempio provando un rootkit, PG blocca l'installazione del driver kernel mode; se faccio in modo che PG consenta al rootkit di installarsi (selezionando "allow install drivers"), mi compare comunque il popup di KIS. Ciò significa che ho un doppio layer di protezione? :stordita:

Sò che certamente saranno domande banali per te, ma per me sono dubbi insolubili fino ad ora. :sofico:

Regards

nV 25
13-04-2007, 18:56
Accodo qualche altra domanda :D :

..
a pistoli' (tanto ormai c'è confidenza, no? :p ):

ma perchè 'un vedi un pò d'annà a ffan..ulo con tutte queste domande? :ciapet:

(prendi il tono goliardico e scherzoso della frase sopra, eh!
Non è certo mia intenzione offenderti, semplicemente sono tornato a casa ora da lavoro e ho voglia di star un pò sereno, meglio se mi faccio anche 2 risate....:) )

1) La versione 3.410 la sconsigli perchè ha problemi/bug minori?
2) Potresti indicarmi il nome di qualche leaktest che viene rilevato da PG e non da KIS?
3) E' normale che provando il leaktest di PCflank, PG non nota nulla mentre KIS invece rileva un hidden data sending? Di solito per altri leaktest, PG avvisa sempre di qualcosa e se anche gli dò "permit", subentra subito dopo KIS che ovviamente reagisce come se PG non esistesse giusto?
4) Lasciano a taskmgr.exe il diritto di terminare i processi protetti, non si corre il rischio che eventuali malwares possano sfruttarlo per i loro scopi?
5) Essenzialmente, quali tipi di minacce rileva PG che invece KIS non blocca? Molte volte, ad esempio provando un rootkit, PG blocca l'installazione del driver kernel mode; se faccio in modo che PG consenta al rootkit di installarsi (selezionando "allow install drivers"), mi compare comunque il popup di KIS. Ciò significa che ho un doppio layer di protezione? :stordita:

Sò che certamente saranno domande banali per te, ma per me sono dubbi insolubili fino ad ora.
Parto dalla parte finale del tuo discorso:
nulla è banale ed io, aimè, ho nozioni non proprio robustissime per continuare a tirare avanti da solo la discussione sugli hips....:(
Se solo qualche volta anche altri dicessero la loro invece di starsene sempre ZITTI...(posto che, ovviamente, si siano accorti del thread in questione... :stordita: )

Detto questo, ad alcune delle tue domande so' rispondere...
1) da quanto ho letto (e visto con i miei occhi..), la 410 apporta sostanzialmente migliorie grafiche all'interfaccia del programma e rende impossibile la cancellazione arbitraria di particolari permessi attribuiti di default ad alcuni processi critici del SO.
Quest'ultimo discorso serve a "tutelare" gli utenti + inesperti dal fare cappellate che potrebbero comprometterne la stabilità della macchina.

E' stata inoltre ridisegnata la scheda di log e altre cazzate varie...
Nulla cmq che "spieghi" il bisogno di dover sostituire la versione 150 con l'altra...

Imo, sia chiaro...





PS: per i punti 2>..>5 la risposta + tardi, ora vado a cena..:)

nV 25
13-04-2007, 20:36
ok, ora si può proseguire...

2-3)

alcune considerazioni di partenza:
un HIPS non è un Firewall.
L'HIPS nasce per "coprire" particolari "comportamenti", non eventuali limiti dei firewall.

Questo per dire una cosa:
è possibilissimo che un behaviour blocker sul modello di PG *NON* intercetti alcuni LeakTests se questi sfruttanto "tecniche" che non rientrano nel disegno di fondo* dell'HIPS stesso (* = comportamenti per i quali gli sviluppatori non hanno rinvenuto rischi per il tipo di integrità del sistema che vogliono perseguire...).
Che poi un HIPS possa essere impiegato anche per coprire vulnerabilità di un altro software (http://www.wilderssecurity.com/showthread.php?t=89284&highlight=injecting) è un altro paio di maniche...

Collegato con quanto detto sopra, quindi, è normale che PG non rilevi il meccanismo di "invio nascosto di dati" visto che questa tecnica sfrutta un sistema che non rientra tra le "protezioni" offerte dal nostro hips..
Se esegui PcFlank Leaktest, cmq, PG ne rileva l'inizializzazione (il 1° Layer, o execution control, opera sempre e comunque...)

Sul nome di LeakTest rilevati da PG e non da KIS6 non ti so dire.
E' più probabile xò il caso opposto (= KIS rileva mentre PG "non vede"...)

Sottolineo cmq un altro aspetto che può apparire secondario:
PG certi comportamenti (che DiamondCS considerava CRITICI :read:) li rileva dal lontano 2003/4, molti altri software, invece, hips compresi, hanno cominciato a rilevarli solo recentemente...) :read:


(per le prove di quanto affermo, basta chiedere...)

5) teoricamente è come se tu avessi un doppio layer....
Cmq sia non hai seguiro i miei consigli (leggi, la mia guida), altrimenti un driver kernel mode (.sys) non riusciresti ad installarlo neppure se tentassi con il martello di ficcarlo sull'HD....

O, meglio, fisicamente il .sys (e le dll del malware) verrebbero ugualmente scritte su disco ma "in stato inattivo" visto che il sys non entra in funzione e le dll non verrebbero caricate/iniettate in processi/memoria....;)

PG, infatti, non offre alcun tipo di protezione contro scritture non desiderate su disco....(file/folder access...)

Chiedere ad eraser se questo discorso non ha creato apprensione anche a me...:sofico:

0 rischi, cmq....:)
Il marcio (inattivo) lo togli con il classico AV.

Sul "quale tipo di altre minacce compre PG bilanciando il PDM", bè..., tutta la pletora di attacchi contro i tentativi di disattivazione/sospensione di processi in memoria....

"Termination - the attacking process attempts to kill the target process. This is the most common attack.

Suspension - the attacking process attempts to suspend the target process (usually by suspending all threads belonging to the target process), leaving it resident but in an inactive, frozen state."


Detto questo, anche là dove PG offrisse le STESSE protezioni del PDM e dovessi scegliere uno solo dei 2, non avrei dubbi su cosa tenere.;)


Detto questo, tienili affiancati e.....

ENJOY YOURSELF! :D


PS:
sul discorso del taskmanager se ne riparla domani...

nV 25
14-04-2007, 13:37
Come scritto anche nel post iniziale che ho provveduto ad aggiornare, vi mostro la "tavola" dei miei esperimenti realtivi alla battaglia ROOTKIT vs PROCESS GUARD:
http://img297.imageshack.us/img297/1597/rootkittestatiqj6.th.jpg (http://img297.imageshack.us/my.php?image=rootkittestatiqj6.jpg)

Lo screen sopra è il frutto di diverse decine di minuti di cazzeggio in Virtual Machine...:D

Ricordo che molti sample testati sono ITW (vedi il caso di huy32 alias Rustock B [ http://www.pcalsicuro.com/main/2007/02/rootkitdialcall-ennesimo-cambio-di-nome/ ], Trojan-Dropper.Win32.Small.avb, Trojan.Pandex alias W32.agent.ady) e non semplici Proof of Concept come Phide_ex, Unreal.A....





Qui, invece, un Test condotto con PG affiancato da RegDefend VS un "derivato" ITW di haxdoor, dal simpaticissimo nome di ajdnjhfo10 (e rintracciato in un thread estero del 14/3/2007):
http://img297.imageshack.us/img297/3159/ajdnjhfo10scorreretemposk9.th.jpg (http://img297.imageshack.us/my.php?image=ajdnjhfo10scorreretemposk9.jpg)

La numerazione (1,2...4)* mostra semplicemente la sequenza a livello temporale di pop-up che i 2 HIPS restituiscono (= le azioni sospette/nocive...)
La barra rossa più spessa posta quasi in fondo allo screen (con task manager aperto, ecc...) fa vedere le come i sys e le dll siano ben visibili e segnalate (poi) da Kav dopo una scansione on-demand.

(inutile dire che la presenza dei suddetti files mi avesse fatto prendere un colpo, chiedere ad eraser se dico cazzate...) :sofico:

Con Gmer si vede infatti che ajdnjhfo10 non è risucito a "mascherarsi" (e Kav, non per niente, vede le diverse componenti del malware...),
http://img296.imageshack.us/img296/4784/gmerax0.th.jpg (http://img296.imageshack.us/my.php?image=gmerax0.jpg)

mentre questo è ciò che accade SENZA alcun HIPS attivo:
http://img297.imageshack.us/img297/7148/gmerconrootkitdw7.th.jpg (http://img297.imageshack.us/my.php?image=gmerconrootkitdw7.jpg)

Nel 1° screen, infatti, non solo non risulta alcun componente hidden ma, come logico, la tavola SSDT risulta hoockata SOLO dagli HIPS mentre nel 2° è ajdnjhfo10 che, libero di muoversi a suo piacimento, "hoocka" funzioni critiche del SO.....

pistolino
14-04-2007, 13:44
Mi sfugge comunque la questione di taskmgr.exe. Se gli lascio l'autorizzazione di terminare i processi protetti, corro il rischio che un malware possa "servirsi" del processo legittimo di Windows per richiamare la API del ProcessTermination?

Mi spiego meglio...da quanto ho capito, PG rileva (tra le altre cose) TUTTE le chiamate all'API di terminazione forzata/sospensione dei processi. Di volta in volta, controlla che la API sia stata invocata da un processo autorizzato (nella lista) a terminare i processi in questione giusto?

Altra cosa: sui forum Kaspersky, sono già giunte molte richieste per inserire il monitoraggio e un controllo antiterminazione su TUTTI i processi, direttamente nel PDM...pensi che verrà inserito in KIS7?

Grazie per le tue preziose, precisissime nonchè utilissime risposte che risultano sempre un pozzo di sapienza. :sofico: ;)

Regards

pistolino
14-04-2007, 13:45
PS: ma questo thread sta diventando una chat tra noi due? :cry: Gli altri dove stanno? :fagiano:

Regards

pistolino
14-04-2007, 13:52
Come scritto anche nel post iniziale che ho provveduto ad aggiornare, vi mostro la "tavola" dei miei esperimenti realtivi alla battaglia


Quindi, se per assurdo consentissi (dalla scheda Protection di PG) di installare i loro bei driver, prima che ci riescano mi apparirebbe comunque prima l'avviso del PDM giusto? :confused:

Regards

nV 25
14-04-2007, 14:00
esco ma ti rispono (se sò...;) ) tra breve...

Sul discorso della chat, bè:
meglio soli che mal accompagnati....:sofico:

E poi, ti assicuro, eraser legge ogni tanto anche il "mio" thread....



:fiufiu:

nV 25
15-04-2007, 13:33
Mi sfugge comunque la questione di taskmgr.exe. Se gli lascio l'autorizzazione di terminare i processi protetti, corro il rischio che un malware possa "servirsi" del processo legittimo di Windows per richiamare la API del ProcessTermination?

Mi spiego meglio...da quanto ho capito, PG rileva (tra le altre cose) TUTTE le chiamate all'API di terminazione forzata/sospensione dei processi. Di volta in volta, controlla che la API sia stata invocata da un processo autorizzato (nella lista) a terminare i processi in questione giusto?
visto che si va troppo sui "tecnicismi" cui io, poi, so rispondere fino ad un certo punto, ti dò una risposta "empirica" e di buon senso....:)

Come giustamente osservavi,
"PG rileva ...le chiamate all'API di terminazione forzata/sospensione dei processi...controllando che la API sia stata invocata da un processo autorizzato ...a terminare i processi in questione"...

(peraltro un'idea [parziale] delle varie tipologie di tecniche finalizzate a "terminare" un processo la puoi rinvenire qui: http://www.diamondcs.com.au/index.php?page=process-termination-methods

Il nuovo APT 4, infatti, ha introdotto altri sistemi in aggiunta a quelli descritti sopra...)

Di conseguenza, niente che sia al di fuori della lista può gedere di questa (pericolosa) "capacità di aggiramento delle regole del gioco"....

OK.

Ma supponiamo che tu voglia flaggare per taskmanager l'autorizzazione a cessare altri programmi nella lista E al contempo tu voglia continuare a tenere il controllo di quello che si chiude (tramite la funzione End Process)...

Come potresti fare?

Risposta:
"giocare" con il Secure Message Handling (SMH)....

Lo setti per i processi che ritieni siano "+ critici" per il grado di sicurezza che vuoi perseguire sul tuo sistema.


La strada che ho personalmente adottato, cmq, è la + radicale:
NADA autorizzazione a terminare per taskmanager e, se un programma mi dovesse crashare (raro a casa mia :D ), disattivi PG->termini il processo imballato->riattivi PG....:fiufiu:


Altra cosa: sui forum Kaspersky, sono già giunte molte richieste per inserire il monitoraggio e un controllo antiterminazione su TUTTI i processi, direttamente nel PDM...pensi che verrà inserito in KIS7?


non ne avevo mai sentito parlare...

Cmq sia, meglio tardi che mai visto che questo discorso in molte software house è assodato dal 2002....


A proposito poi di pgaccount.exe e di dcsuserprot.exe:
...You will see one pgaccount.exe for every active account on your system. For instance if you logged in as administrator, then fast user switched to another account, there will be two pgaccount.exe running. Both (dcsuserprot.exe and pgaccount.exe) of these applications need to be running for ProcessGuard to work to it's full extent.

nV 25
15-04-2007, 13:45
.. Gli altri dove stanno? :fagiano:



a disinfettare i loro Pc....:ciapet:
:sofico:

juninho85
15-04-2007, 13:55
a disinfettare i loro Pc....:ciapet:
:sofico:
:D

per ora la mia esperienza di ferma a safen'sec e SSM free....spero prima o poi di riuscire a passarmeli tutti :O

nV 25
15-04-2007, 14:23
:D

per ora la mia esperienza di ferma a safen'sec e SSM free....spero prima o poi di riuscire a passarmeli tutti :O

sono ottime soluzioni...

Impressioni?

:)

juninho85
15-04-2007, 14:34
sono ottime soluzioni...

Impressioni?

:)

buone per safen'sec e ancora meglio riguardo SSM...anche se per l'utilizzo che faccio io del pc è veramente difficile prendermi qualche zozzeria ;)

devo però farmi ancora una cultura su questo tipo di soluzioni per poterle sfruttare al meglio ;)

wizard1993
18-04-2007, 16:35
sto provando ora il niovo appdefend; e devo dire che mi trovo molto bene; che ne pensate

leolas
21-04-2007, 16:15
dato che non so se ne avete già parlato (mi tira leggere 15 pagine), volevo fare una domanda... anche prevx1 è un HIPS???

pistolino
22-04-2007, 14:20
Dopo aver effettuato diversi test, ho notato che utilizzando Process Guard per concedere a Internet Explorer (volendo si può fare anche con Firefox e con qualsiasi altro programma) il solo diritto di leggere dalle altre applicazioni critiche protette, si ottiene un risultato molto simile alla "modalità protetta" di Vista...molto interessante questa cosa. :D

Regards

TROPPO_silviun
23-04-2007, 08:30
Avendo letto qualcosa sulle capacità di questi software, e che sono comunque il futuro per la prevenzione da "porcherie varie", avendo quali programmi continuamente avviato per protezione Spyware Terminator che ha nelle opzioni per rilevare la madalità Hips che di default è disattivata, mi stavo chiedendo se questa possa servire a qualcosa, diversamente se qualcuno mi può consigliare un software hips fra tutti quelli che sono elencati in prima pagina, uno semplice e che a livello di risorse non sia proprio un mangione .. byez ..

pistolino
23-04-2007, 15:43
Process Guard è in assoluto il più semplice da utilizzare IMHO. Interfaccia a dir poco essenziale e spartana ma fà tutto quello che rientra nei suoi compiti, con un consumo di risorse paragonabile a quello del Blocco note (per usare le parole di nv 25 :D ). Se vuoi qualcosa di più avanzato, prova SSM ma non ti sò dire nulla al riguardo in quanto uso solo Process Guard e per ora non ho intenzione di cambiarlo, considerato anche il fatto che finalmente sono riuscito a configurarlo alla perfezione. ;)

Regards

Kars
23-04-2007, 20:23
Avendo letto qualcosa sulle capacità di questi software, e che sono comunque il futuro per la prevenzione da
-cut-

Se ti trovi bene con Spyware terminator continua ad usare quello, anche se non e' linkato nella prima pagina. Con gli Hips si ha il vataggio di controllare tutti i file, anche quelli buoni, per intenderci. La sfiducia verso gli AV deve spingere quante piu' persone a migliorare le conoscenze sulla propria macchina, a poter padroneggiare l'ambiente secondo le proprie esigenze...
Come proteggono gli Hips?
Dandoti maggior controllo sulle attività del sistema operativo. Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace.
Fondamentalente fanno tutti le stesse cose, quindi basta capirne almeno uno. :stordita:
ciao




_____
Kars2

nV 25
23-04-2007, 21:08
...appdefend..che ne pensate?
il plurale, caro wizard, non si addice a questo thread....

Qui o parlo io o tutto latita... (PS: in relazione a questo punto ho scambiato anche qualche parola in pvt con eraser per cercare di capirne i motivi, ma questo è un altro discorso....)



Per rientrare in tema, AppDefend è un OTTIMO prodotto....

Non sò dirti se migliore o lievemente peggiore di altri, ma di sicuro validissimo contro reali minacce....

Matousec lo ha anche recensito assieme a System Safety Monitor FULL (2.4.0.617 beta) e Dynamic Security Agent (FREE, v1.0.8.8) per vedere come si comporta con i leaktests.
I risultati sono questi:
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

http://img252.imageshack.us/img252/4752/30588826wv8.jpg

PS: personalmente trovo sbagliato misurare gli HIPS Vs strumenti come i Leaktests se quest'analisi è finalizzata a definire un indice di efficacia degli stessi, ma anche questo è un altro discorso....
Gli Hips, infatti, se proprio si vogliono mettere sotto torchio, vanno misurati VS ROOTKIT/Trojan e company...
Che poi, come dicevo anche a Pistolino, un HIPS copra certe lacune di Firewall e affini tanto meglio (vedi qualche post indietro)....
.... anche prevx1 è un HIPS???

Prevx1 si allontana dal concetto classico di HIPS dato che "è più un CIPS (Community Based Intrusion Prevention System) con funzioni di rimozione delle infezioni dal pc" che non un HIPS in senso stretto....
http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_4.html

Differenze sostanziali rispetto all'HIPS tradizionale:
1) funzionalità di rimozione di virus....
2) il discorso della "comunità" da cui prende il nome:
per i dettagli, http://forum.pcalsicuro.com/index.php/topic,38.0.html
3) software "intelligente":
ha algoritmi di analisi euristica che *dovrebbero* aiutarlo a discernere di volta in volta quando un determinato comportamento può essere pericoloso....
L'HIPS tradizionale, invece, è di tipo "anelastico" (= rigido = se settato in modo stringente, blocca certe azioni e festa finita mentre qui si discrimina caso per caso...)
4) adattissimo anche per utenti noob....
"Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili."





Per ora questo, agli altri rispondo dopo....

TROPPO_silviun
23-04-2007, 21:11
Process Guard è in assoluto il più semplice da utilizzare IMHO. Interfaccia a dir poco essenziale e spartana ma fà tutto quello che rientra nei suoi compiti, con un consumo di risorse paragonabile a quello del Blocco note (per usare le parole di nv 25 :D ). Se vuoi qualcosa di più avanzato, prova SSM ma non ti sò dire nulla al riguardo in quanto uso solo Process Guard e per ora non ho intenzione di cambiarlo, considerato anche il fatto che finalmente sono riuscito a configurarlo alla perfezione. ;)

Regards

Perfetto .. daro' un' occhiata a questo processguard per capire come agisce .. byez

nV 25
23-04-2007, 21:46
...
Come proteggono gli Hips?
Dandoti maggior controllo sulle attività del sistema operativo.
perfetto....
...Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace.

:mbe: ?

TROPPO_silviun
24-04-2007, 07:20
Ispirato dalla recensione dei tre prodotti richiamati sopra, sono andato a vedermi il sito del primo classificato system safety monitor e sono stato colpito da cosa controlla e da tutte le configurazioni; ora vorrei chiedervi, ipotizzando che lo volessi provare, al momento ho in real time avviati avast e spyware terminator (questo con hips disattivati) non diventa eccessivo aggiungere a questi anche system safety monitor?? E' consigliabile lasciare solo avast, mentre spyware terminator lo disattivo dall'avvio automatico e lo rimpiazzo con system safety monitor?A voi un parere ..

pistolino
24-04-2007, 09:01
Da quanto leggo in giro per la rete, SSM è talmente avanzato che, di fatto, se l'utente sa configurarlo a dovere, potrebbe rimpiazzare completamente l'antivirus. Avast comunque non mi ha mai convinto molto...ormai sono affezionato a Kaspersky mentre invece sono indeciso tra Process Guard e SSM 2.0... (per quest'ultimo dubbio ho già invocato nv 25 in un altro thread. :D )

Regards

TROPPO_silviun
24-04-2007, 09:21
Ma l'appena uscito Comodo Boclean può rientrare nei software hips per il suo lavoro? Sono intenzionato a provarlo, da affiancare a spyware terminator .. se non mi soddisferà passerò ad altro .. anche se sinceramente dall'unione di comodo + avast + spyware terminator (hips disable) non mi sono mai sentito in pericolo e mai ho rischiato .. byez

pistolino
24-04-2007, 09:37
Da quanto ho capito, BOClean è un semplice pulitore di file temporanei, cookie, file hosts etc...non ha nulla a che vedere con un HIPS. :confused:

Regards

nV 25
24-04-2007, 19:32
...

Passando dalla combinazione KIS + Process Guard full 3.150 a --> KIS + SSM 2.0.xxx Beta, avrei vantaggi dal punto di vista della sicurezza? .... non ho trovato una panoramica delle features...

Se il problema è:

a) conoscere le features di SSM (free e full), si risolve subito il "dilemma":
http://www.syssafety.com/product.html

b) COMPARARE le features dei diversi HIPS, si RI-RIsolve facilmente il problema:
http://wiki.castlecops.com/HIPS/IDP_programs/services (PS: era indicata in 1° pagina!!!!)

c) dire se sia meglio PG o SSM ( o ProSecurity, o Sempronio...), la faccenda è più delicata visto che

c1) NON esiste un indice di riferimento
c2) si entra nell'ambito del soggettivo (es: facilità di settaggio/interfaccia/scheda di Log...)



Posto che tutti siano ugualmente maturi (=collaudati/stabili/compatibili con altri software...), ad aiutare semmai nella scelta di un prodotto cosi' delicato potrebbe essere un ragionamento di questo tipo:

CHI LO SVILUPPA?

Un pò come quando si va da un medico specialista:
ci si affida al 1° venuto (per quanto specialista...) o, se si può, si cerca qualcosa di meglio "in barba ai quatrini"?:mbe:

A ruota, terrei in gran considerazione il SUPPORTO di cui gode il prodotto (supporto che, tradotto, significa sia ASCOLTO sia VELOCITA' nel risolvere eventuali bug segnalati...).


;)



Attenti xò alle premesse del ragionamento di cui sopra,
"Posto che tutti siano ugualmente maturi (=collaudati/stabili/compatibili)..."

;)

Kars
25-04-2007, 18:50
-cut-
"Immaginate un'anziana signora che ha appena comprato un pc e non sa minimamente cosa rispondere ad una domanda del tipo: "XZY123GH.DLL vuole modificare il processo WINLOGON.EXE. Vuoi dare il consenso?". Il pensiero della signora sarà probabilmente: "Sì, ovviamente....oppure no?". La maggior parte degli utenti dice Sì - ecco secondo me una grossa falla in un sistema che in realtà dovrebbe proteggerti. L'utilizzo di un database centralizzato è la chiave per il successo di un software HIPS perché permette di condividere esperienze già vissute per prendere decisioni più facili."
....


"Originariamente inviato da Kars
...Un Hips lavora secondo le tue esigenze, piu' e' semplice e meno e' efficace."
:mbe: ?

Hai presente la modalita' avanzata di Spybot? La modalita' semplice e' priva di funzionalita', di opzioni, features ecc. In questo caso, come in quasi tutti i casi che ho riscontrato, la semplicita' va' ad indicare, piu' che le caratteristiche software, le caratteristiche del TARGET, cioe' a colui a cui e' rivolto il software. Cio' spiega grossomodo anche quali sono i sistemi operativi piu' insicuri.
Se prendiamo come TARGET, un anziana signora, avremo ben pochi utenti da poter analizzare e misurare. Prendiamo, ad esempio, un utente, cosiddetto avanzato.
"Quando si trovera' un applicazione, un giochino, che vuole accedere in Internet usando metodi non consoni e si trovera' a rispondere No alla fatidica domanda, otterra' ,immagino, l'impossibilita' a continuare l' applicazione o il giochino, magari di dubbia provenienza. La maggior parte degli utenti "avanzati" a questo punto e' in grado di rimuovere la regola restrittiva, se presente, e rispondere Si alla successiva richiesta."
Kazaa docet.
Il database centralizzato e' indubbiamente un valido metodo di protezione, ma ahimè a livello generale ha le stesse garanzie e peculiarita' degli AV, anche se usa sistemi piu' sofosticati e ingegnosi. Se si parla di mercato, di commercio e di chiavi di successo, secondo me, potevano benissimo integrare le funzionalita' Ips negli AV, gli lasciavono cosi' anche lo stesso nome.
Preferirei, oggi piu' che mai, meno giri di soldi e piu' di sapere, il tanto per non farsi fregare da chi dice di volerti proteggere, mia banalissima e sviscerata opinione. :D
ciao

TROPPO_silviun
26-04-2007, 07:17
Ma leggendo le features di SSM, linkate in qualche post sopra, features del sito dello sviluppatore, mi viene un dubbio? Ma molte di queste non sono già presenti in un firewall come Comodo, oppure mi sbaglio di brutto?? .. mi riferisco soprattuto a controlli su dll esecutivi processi! Sono di conseguenza due sistemi di protezione molto simili?? Se non ricordo male qualche post addietro un conoscitore di questi software hips disse che un software quale SSM può sostituire firewall antivirus e altro .. che mi dite?

Menkaiser
29-04-2007, 11:30
Scusate l'intromissione ho appena installato SSM e mi consuma circa 13 mb è normale? lo chiedo perchè nella pagina linkata da nv25 come guida alla configurazione vedo che ne occupa 7...
ciaoz

nV 25
09-05-2007, 20:16
Acquistata la licenza di ProSecurity:

Davvero un grandissimo HIPS...:yeah:


Lati negativi?
Seriamente difficilotto....:(

wizard1993
10-05-2007, 17:08
Acquistata la licenza di ProSecurity:

Davvero un grandissimo HIPS...:yeah:


Lati negativi?
Seriamente difficilotto....:(

l'ho provato anche io; ma non è assolutamente in grado di proteggere il registro di sistema, inoltre devo dire che fa quello che farebbe ssm a pagamento, così me ne sono ritornato alla mia ghost security suite

nV 25
10-05-2007, 18:46
l'ho provato anche io; ma non è assolutamente in grado di proteggere il registro di sistema, inoltre devo dire che fa quello che farebbe ssm a pagamento, così me ne sono ritornato alla mia ghost security suite

Non offre protezione del registro?:mbe:

http://img58.imageshack.us/img58/3776/95140429op6.th.jpg (http://img58.imageshack.us/my.php?image=95140429op6.jpg)

Sull'essere simile a SSM Pro, vero...

L'unica protezione ESCLUSIVA vantata da ProSecurity rispetto alla concorrenza (SSM Pro, per l'appunto...) è la cosi' detta File (folder) protection....
Imo, un valore aggiunto NON secondario visto che sposta ancora più a monte il grado di protezione....

http://img513.imageshack.us/img513/9492/91584087be1.th.jpg (http://img513.imageshack.us/my.php?image=91584087be1.jpg)

Detto questo, ProSecurity è troppo difficile per poter essere consigliato...

gavel
10-05-2007, 20:41
Congratulazioni per acquisto!
(felice come con primo pattino a rotelle..?)
Detto questo, ProSecurity è troppo difficile per poter essere consigliato...

Ma daiiiii.. :sofico:

f250gto
11-05-2007, 23:17
Vi pongo un quesito relativo a SSM ma prima però vi racconto cosa mi è accaduto...Circa due giorni fa Antivir Pe ha scaricato l'aggiornamento e durante l'installazione del pacchetto il pc è andato in crash con schermo blu.
Il file responsabile del crash è quello relativo al modulo antirootkit di antivir.
Leggendo sul forum ufficiale di antivir ho scoperto che il crash è causato da un conflitto tra l'antirootkit e SSM free.
Sul forum dicono che SSM è incompatibile e che va disinstallato e che è errato togliere l'antirootkit di Antivir.
Tale consiglio mi sembra troppo di parte perché SSM controllando le applicazioni a livello di kernel svolge un'azione antirootkit.
Quindi non è meglio lasciare SSM e disattivare l'antirootkit di Antivir?

nV 25
12-05-2007, 09:38
@ gavel:

LOL, sono stra-felice!
27€ investiti, NON spesi!:)

(PS: attendo cmq con ansia il nuovo Process Guard perchè il 1° amore non si scorda mai!:cry:
Gli dedico anche un fiore, và...:flower: )

@ f250gto:
tra le 2, sicuramente disattivi il modulo antirootkit di Antivir...;)

@ Menkaiser:
vivi tranquillo la tua "esperienza" con SSM e non badare al fatto se a me consumava 5 mb in meno....
In fondo, 13 mb totali credo che siano "ben spesi" alla luce del ritorno in sicurezza che ne ricavi...

nV 25
12-05-2007, 12:10
un velocissimo sguardo a ProSecurity "sul campo" è possibile darlo qui:
http://forum.pcalsicuro.com/index.php/topic,113.0.html

:)

f250gto
12-05-2007, 19:23
Purtroppo la nuova versione 2.0.8.584 ha qualche problema indipendentemente dal conflitto con l'antirootkit di antivir, perché quando lo apro per cambiare qualche impostazione si blocca, mi chiede di inviare un rapporto e si chiude da solo.
Voi avete avuto lo stesso problema?

pistolino
12-05-2007, 19:33
un velocissimo sguardo a ProSecurity "sul campo" è possibile darlo qui:
http://forum.pcalsicuro.com/index.php/topic,113.0.html

:)

Interessantissima "recensione" e altrettanto interessante il forum... ;) Grazie per la segnalazione.

Ah colgo l'occasione per chiederti una conferma: provando a lungo SSM 2.0 Free in Virtual Machine, ho notato che, pur essendo meno "dotato" della versione full, è comunque alla pari o addirittura superiore a Process Guard per quanto riguarda le funzionalità e quindi la protezione offerta...puoi confermare? :)

L'unica feature "unica" di Process Guard mi pare sia il Secure Message Handling...molto carina come funzionalità ma in fondo, almeno IMHO, poco sfruttata dai virus per dirottare il mouse.

Per il resto, mi pare che le 6 funzioni fondamentali di Process Guard Full 3.150 (ossia: controllo processi, execution control, global hooks, drivers, physical memory e registry dll injection) siano presenti anche in SSM 2.0 free...in definitiva, la mia impressione è che la coppia KIS 6 MP2 + SSM 2.0 offra una migliore protezione. Attendo conferme o smentite, entrambre gradite allo stesso modo. ;)

Regards

Joker80
15-05-2007, 20:07
Ciao a tutti, pure io mi sono imbattuto su questo 3d per sbaglio:D e per provare ho istallato processguard full, per ora tutto ok mi sembra semplice e intuitivo ora però vorrei sapere se posso eliminare qualche opzione dal kis 2006 precisamente nella sezione riguardante la difesa proattiva...

Ora ho su:

KIS 2006
AVG Antispyware 7.5.0.50
Spybot - Search & Destroy
Processguard 3.4100 Ful


E' ok oppure manca qualcosa?

nV 25
15-05-2007, 21:13
E' ok oppure manca qualcosa?
parto dalla parte finale del tuo post.
Se tutti utilizzassero programmi come Process Guard (o, più in generale, un qualsiasi HIPS tra quelli segnalati in questo thread....) stai sicuro che a giro per i vari forum vedremmo molte meno sezioni dedicate esclusivamente a richieste d'aiuto...

Per commentare la tua "suite", tienitela stretta e (semmai..) impara a sfruttare a fondo quello di cui disponi, che proprio poco non è ... ;)

Sul disabilitare qualcosa in KIS:
e perchè?
0 conflitti, 0 rallentamenti....;)

....
provando a lungo SSM 2.0 Free in Virtual Machine, ho notato che, pur essendo meno "dotato" della versione full, è comunque alla pari o addirittura superiore a Process Guard per quanto riguarda le funzionalità e quindi la protezione offerta...puoi confermare?
SSM Free è sostanzialmente equivalente a PG FULL quanto a funzionalità.
Anzi, SSM Free ha qualcosa in più visto che ha anche un modulo per la protezione del registro di sistema....

Ecco perchè io fino a circa 1 settimana fà utilizzavo RegDefend in affiancamento a Process Guard....


L'unica feature "unica" di Process Guard mi pare sia il Secure Message Handling...
vero...

pistolino
17-05-2007, 20:12
(...)
SSM Free è sostanzialmente equivalente a PG FULL quanto a funzionalità.
Anzi, SSM Free ha qualcosa in più visto che ha anche un modulo per la protezione del registro di sistema....

Ecco perchè io fino a circa 1 settimana fà utilizzavo RegDefend in affiancamento a Process Guard....
(...)



Ora, come saprai, sono passato alla versione completa di SSM 2.3 quindi la mia "configurazione" di sicurezza attuale è KIS6 MP2 (in attesa di KIS 7 che sembra essere un portento :D ) + SSM 2.3. :)

Regards

codaxo
17-05-2007, 23:03
ciao ragazzi, ho appena installato ssm free e subito dopo per sfida ho scaricato dal loro sito ufficile il leaktest per il keylogger.
Il kis me lo ha rilevato ma nell'avviso che ha generato posso solo selezionare consenti e non termina. Quindi cosa dovrei capire con questo che Kav è davvero forte e lo rileva o magari ho settato SSM male. mi ritengo sempre un nubbio...

nV 25
19-05-2007, 13:26
ciao ragazzi, ho appena installato ssm free e subito dopo per sfida ho scaricato dal loro sito ufficile il leaktest per il keylogger.
Il kis me lo ha rilevato ma nell'avviso che ha generato posso solo selezionare consenti e non termina. Quindi cosa dovrei capire con questo che Kav è davvero forte e lo rileva o magari ho settato SSM male...

anzitutto grazie per avermi aiutato nella traduzione di quel passo in inglese sull'altro thread di SSM...:stordita:





KIS 6 MP2, come hai potuto notare, rileva quei meccanismi in accordo con quanto scritto anche qui,
"....I have contacted and given a version of AKLT the December 31 2006 to the following security vendors : ... Kaspersky (KIS 6.0),...
Kaspersky should release a beta soon fixing this issue, probably next week (quindi, abbondantemente prima dell'uscita dell'MP2..)".

http://www.firewallleaktester.com/news.htm , scorri alla news del 13/1/07.


=> (per usare le tue parole), KIS è davvero forte...

Ora, onestamente non sò se SSM Free sia davvero in grado di rilevare queste tipologie di API (GetKeyState/GetAsyncKeyState/DirectX...):
lo puoi scoprire solo disattivando *temporaneamente* la funzione "keylogger detection" nel PDM di KIS6 e osservando se SSM restituisce un qualche tipo di avviso...
Anche là dove SSM free fallisse, cmq, c'è KIS 6, no? :p



Per quanto riguarda la mia esperienza con ProSecurity, posso dire che tutte e 3 le tipologie di API sono filtrate:
anche nel mio caso, cmq, devo disabilitare temporaneamente il keylogger detection in KIS visto che a livello temporale quest'ultimo sembra "agire in anticipo" rispetto a ProSecurity stesso ad eccezione del 3° test (quello chiamato directx) dove PS rileva l'installazione di un global hook...

Ora, come saprai, sono passato alla versione completa di SSM 2.3 ...

ma va?
LOL!

codaxo
19-05-2007, 15:31
@ NV25. Ti chiedo solo un'altra precisazione riguardo a prima.Perchè Kav quando ha rilevato il keylogger che ho scaricato per prova non mi ha dato la possibilità di terminarlo. Quando ha prodotto l'avviso L'unica cosa che potevo fare era cliccare su continua visto che il pulsante termina non era cliccabile.Quindi alla fine lo ha si rilevato ma alla fine ho dovuto consentire il keylogger.Qundi alla fine si è installato in ogni caso....
Quindi ora dovrei avere il keylogger di prova installato nel pc, no?
Sono confuso...
Grazie

nV 25
19-05-2007, 15:48
che versione hai?

MP1?
MP2?

se hai l'mp2, c'è la possibilità di settare anche termina...

http://img263.imageshack.us/img263/7872/33457454dl8.th.jpg (http://img263.imageshack.us/my.php?image=33457454dl8.jpg)

Cmq non corri nessun rischio visto che è un semplice test!

meolag
25-05-2007, 13:40
Salve desideravo avere un consiglio in merito ai software HIPS.

Io ho attualmente Arovax shield, pero' consigliate anche di installazre SSM (mi riferisco alla versione free).

Come mai?
Non sono entrambi software HIPS.
Grazie

pcì
26-05-2007, 08:48
Salve desideravo avere un consiglio in merito ai software HIPS.

Io ho attualmente Arovax shield, pero' consigliate anche di installazre SSM (mi riferisco alla versione free).

Come mai?
Non sono entrambi software HIPS.
Grazie

la protezione offerta da ssm è decisamente più completa.

anna2
26-05-2007, 09:17
Salve, qualcuno conosce un software hips in italiano compatibile con vista?

Grazie

nV 25
27-05-2007, 19:24
Ebbro di felicità :hic: per la Champions League :yeah: , 2 notiziUole veloci. :stordita:

Premetto che prendo interamente spunto da un thread su Wilders che stò monitorando con grande interesse già da un pò, per la precisione, questo: http://www.wilderssecurity.com/showthread.php?t=174012 dal titolo "il sistema di prevenzione VS i Rootkit implementato in Process Guard ha bisogno di un REFRESH?".


E' un thread molto istruttivo (almeno per me, si intende...) sotto molteplici punti di vista:

in 1° luogo perchè, pur partendo dal "comportamento" di un HIPS specifico, per l'appunto PG, finisce per estendere le sue considerazioni anche su altri HIPS, free e/o commerciali, behaviour blocker puri e/o SandBox nelle sue svariate implementazioni, configurando quindi una sorta di comparazione di effettività tra questi....

Ma è interessante anche perchè (punto 2..) quello che inizialmente sembrava essere un sistema "farlocco" per testare la robustezza di PG (venivano infatti escluse buona parte delle sue protezioni...) è stato poi modificato in modo tale da sfruttare l'intero set di funzionalità offerte dal software in questione cosi' da valutarne il "comportamento" tanto in in condizioni di massima efficacia quanto di "efficacia limitata" alla sola funzionalità "blocco driver/services"....

A chi, come me, aveva infatti storto il naso sul senso del primo test (quello dalle funzionalità ridotte, per intendersi, anche se, in verità, la lamentela era sul senso di dare l'ok all'esecuzione di tutto (leggi, i file dalle estensioni più strane e dai nomi + assurdi, sicuro segnale di un qualche problema in essere...)), nicM (che, per la cronaca, è anche spalla di un certo Kareldjag...), ha risposto cosi':

"....from a "testing" perspective, it wouldn't make sense at all to pretend rootkits are blocked by preventing files from starting, I think it's obvious. Tests would be quick and very easy to do , but I think such tests would not be interesting for readers. When testing a program on its ability to stop rootkits, you have to let the file run, to see how the rootkit is blocked - or not. A rootkit has "special actions" to make, in order to hide on the system, and that's what needs to be checked, when doing a test : Did these actions work, or were they blocked?..."

Queste "azioni speciali", infatti, dovrebbero essere contemplate dalla singola funzionalità costruita espressamente per identificare questi meccanismi....



Per stringere:
oltre che consigliarvi la lettura del thread, emerge quanto segue:
con il Trojan.Win32.Pakes.n che, ovviamente, ha abilità di Rootkit,
falliscono
- PG
- SSM free/full
- EqSecure (nuovo player, sempre dalla Cina...)

Ok, invece, per
- ProSecurity Full
- Dynamic Security Agent
- GeSWall (sandbox..)
- DefenseWall (sandbox..)
- Sandboxie (sandbox..)




Conclusioni:

- i software di virtualizzazione sono realmente molto efficaci...
- i Behaviour Blocker hanno bisogno di qualche risistemata visto che SOLO ProSecurity & DSA superano l'esame (il 1°, a pieni voti...)

In particolare, colpisce la cannata di SSM full mentre che PG stesse cominciando a scricchiolare lo si era invece intuito dal silenzio della DiamonCS che dura ormai dal Natale 06...:(





LEZIONE che se ne trae?

SONO SEMPRE COSI' NUOVE LE TECNICHE DI INFILTRAZIONE NEI SISTEMI CHE ANCHE I SOFTWARE DI TIPO H.I.P.S. DEVONO ESSERE TENUTI COSTANTEMENTE AGGIORNATI PERCHE' POSSANO TENER FEDE ALLE LORO PROMESSE identificando EX-ANTE nuovi vettori/meccanismi....


PS:
se ci sono errori o osservazioni da fare, segnalatemelo!
Grazie :)

PS 2: il tempo stringe altrimenti postavo anche gli screen...

pistolino
27-05-2007, 20:20
@ nV 25: mi sono letto tutto il tuo post e alcune pagine del thread su Wilders Sec.

Sapendo che sono un "felice" utilizzatore di SSM 2.3, magari pensi che io disperi di fronte a queste notizie. :fagiano: :sofico:

Ma sostanzialmente me ne frego. :cool: :ciapet: Ti spiego in due parole il motivo: ho scelto di avvalermi di un software HIPS, senza la pretesa di affidargli tutta la protezione del mio sistema.

Per quanto ho capito leggendo il thread, il rootkit deve comunque essere avviato da un eseguibile. In un test atto a verificare l'efficacia di un HIPS, l'execution protection viene giustamente esclusa ma nella "vita reale", penso che rappresenti lo strato più efficace in assoluto. Avviando solo applicazioni conosciute, la vedo dura beccare un virus o un rootkit. Se anche lo si lanciasse poi, l'antivirus (che in quei test mi pare non sia stato preso in considerazione) farebbe comunque il suo lavoro.

Alla luce di ciò, ritengo che si tratti di vulnerabilità reali ed esistenti ma che non compromettono assolutamente la sicurezza per le ragioni sopra esposte.
Ovviamente se ho capito male qualcosa, sei pregato di farmelo notare, anche con riferimenti al thread di Wilders visto che l'inglese lo capisco abbastanza. :D

E comunque, riprendendo un post dell'interessantissimo thread che hai segnalato...

no 100% secure app in this world ;)

Regards

wizard1993
27-05-2007, 20:34
ma possibile mai nessuno testi appdefend?

f250gto
27-05-2007, 22:31
Secondo voi è possibile affiancare a SSM free un software sandboxie come Geswall per colmare le lacune di SSM in certi settori?

meolag
28-05-2007, 10:22
la protezione offerta da ssm è decisamente più completa.

Quindi vanno tenuti insieme o basta solo SSM.

nV 25
28-05-2007, 20:05
....ho scelto di avvalermi di un software HIPS, senza la pretesa di affidargli tutta la protezione del mio sistema.
Giusta osservazione:
anch'io non affido TUTTA la protezione all'HIPS, e non per niente utilizzo anche il KIS in affiancamento, MA per certe AREE che ritengo particolarmente CRITICHE (es: tutte quelle legate all'installazione di driver o servizi, alla modifica dello spazio di memoria dei processi attivi, ecc..) *PRETENDO* la massima GARANZIA di EFFETTIVITA'....

Per la loro protezione, infatti, NON considero nemmeno l'AV che assimilo davvero alla stregua di un orpello inutile...

Ma questo modo di vedere è solo una descrizione di "come funziono io":
non posso certo pretendere di estendere anche agli altri questo mio modo di essere &/o di percepire la sicurezza....:)

...
Per quanto ho capito leggendo il thread, il rootkit deve comunque essere avviato da un eseguibile. In un test atto a verificare l'efficacia di un HIPS, l'execution protection viene giustamente esclusa ma nella "vita reale", penso che rappresenti lo strato più efficace in assoluto..... Se anche lo si lanciasse poi, l'antivirus (che in quei test mi pare non sia stato preso in considerazione) farebbe comunque il suo lavoro.
...


si, il punto di partenza (contestato per i motivi chiaramente esposti nel thread in inglese) è proprio quello:

ho un .exe -> lo eseguo (qui inizia la parte contestata visto che, a ruota all'OK necessario per avviare il tutto, ovvero il 1° .exe) si da indiscriminatamente l'OK ad una marea di altri eseguibile, nel caso specifico file temporanei...) -> l'exe ha al suo interno il .sys -> iniziano i dolori... :D

Carino il movie dal titolo:

Process Guard VS Trojan.Win32.Pakes.n,
http://rapidshare.com/files/32374564/rootkit.avi.html

PS:
visto che il post lo ho affastellato in fretta e furia, giusto un'ultima considerazione per completare realmente il discorso:
non dimentichiamoci di un particolare che può sembrare marginale ma che, in realtà, è estremamente importante, e cioè:
1) oggi, 28 maggio 07, PG è risultato essere vulnerabile.
OGGI.
Ma ieri?
Ieri (da intendersi xò in senso ampio, non come 27/05/07...) ti assicuro (ma non solo io...) che PG *NON* era vulnerabile a questo tipo di discorso.
Indi?
indi, se un prodotto è BEN sviluppato e COSTANTEMENTE AGGIORATO, il 100% forse no, ma ci avviciniamo a questa soglia....

2°) Già tempo fà PG fù vulnerabile al discorso del Physical memory access....e la vulnrabilità fu sanata (quasi...) prontamente, segno che quando c'è volontà, certe cose si possono sanare....

supermario00
29-05-2007, 18:33
mumble mumble...uh? ma che roba è? hisp? :confused:

non capiscoooooooooooooooooooooooooooooooooooooooooo :cry: :cry: :cry: :cry: :cry:
nienteeeeeeeeeeeeeeeeeeeeeeeeeeee :cry: :cry: :cry: :cry:

aiutoooooooooooooooooooooooo :cry: :cry: :cry:

juninho85
29-05-2007, 19:09
leggi tutto il primo post

supermario00
29-05-2007, 20:00
ho letto tutte le pagine a dire il vero ma non ci ho capito nulla....il fatto è ke ho il pc da poco e devo ancora metterci un antivirus e un muro di fuoco (non chiedermi cosa siano :fagiano: ) poi mi hanno suggerito anche questo hips ma ci ho capito ancora meno :mc:

:cry:

nV 25
29-05-2007, 20:19
ho letto tutte le pagine a dire il vero ma non ci ho capito nulla....il fatto è ke ho il pc da poco e devo ancora metterci un antivirus e un muro di fuoco (non chiedermi cosa siano :fagiano: ) poi mi hanno suggerito anche questo hips ma ci ho capito ancora meno :mc:

:cry:

ciao! :)

Lascia perdere almeno per ora queste soluzioni...
Visto il tuo attuale stato di utente molto "giovane" nel mondo Pc, rischieresti di complicarti ulteriormente la vita per nulla....:)

NON scaricare QUALSIASI COSA, NON visitare siti :oink: ...al limite, prenditi un buon DVD... :D

lancetta
29-05-2007, 23:42
ciao! :)

NON scaricare QUALSIASI COSA, NON visitare siti :oink: ...al limite, prenditi un buon DVD... :D

..non respirare :D :D e non accendere neanche il pc:D :D :Prrr: :ciapet:

...scherzavo... non ho resistito:D :D :D :sofico:

skonvols2k
07-06-2007, 11:15
salve, non so se qlc mi può aiutare...cerco un programma con il quale rilevare il comportamento di altri programmi, in particolare ho bisogno di soprire con quali parametri un programma ne esegue un secondo.

Grazie


EDIT: niente ci sono riuscito con Process Explorer della sysinternals

*Eleonora*
07-06-2007, 18:50
Domanda secca da una principiante nonché neofita di questo forum :p : con KIS6 + SSM 2.3 + Firefox + Noscript ho un buon livello di protezione contro rootkit e company?

Grazie. :flower:

nispo
07-06-2007, 19:08
Domanda secca da una principiante nonché neofita di questo forum :p : con KIS6 + SSM 2.3 + Firefox + Noscript ho un buon livello di protezione contro rootkit e company?

Grazie. :flower:

direi proprio di si, sei superprotetta

kareldjag
17-06-2007, 14:15
Buongiorno,

Sorry but i don't speak italian.
Just to congratulate this site for efforts done in user's education and information.Bravo;) .

A team of volunteers was created for security software testing, and the first test published is Kaspersky antivirus.
We guess that the only way to distinguish real value and efficiency from pure marketing and advertisiing is a real life approach testing methodology, far and different from classical testing organizations.

The official test pages are here: http://ssta.over-blog.fr/article-10792223.html

The pages provide also various resources related to security.
And i have no doubt that the funny football links will be appreciated by Materazzi fans :D

Regards,

nV 25
17-06-2007, 20:15
...



:eek:

Kareldjag?????? :eek:

:ave: :ave: :ave: :ave:

I LOVE YOU! :D

:ave: :ave: :ave: :ave:





Il link corretto per l'articolo sul Kaspersky è cmq questo:
http://ssta.over-blog.fr/article-10792223.html

BEY0ND
18-06-2007, 23:20
salve forum,:)
ho appena installato sandboxie,una info:come si fà per rimuovere un profilo?:wtf:
Ho dato un'occhiata nel menù...:stordita: ma non riesco a capire da dove si cancellano i profili...:boh:
Grazie in anticipo...

pistolino
20-06-2007, 17:42
Buongiorno,

Sorry but i don't speak italian.
Just to congratulate this site for efforts done in user's education and information.Bravo;) .

A team of volunteers was created for security software testing, and the first test published is Kaspersky antivirus.
We guess that the only way to distinguish real value and efficiency from pure marketing and advertisiing is a real life approach testing methodology, far and different from classical testing organizations.

The official test pages are here: http://ssta.over-blog.fr/article-10792223.html

The pages provide also various resources related to security.
And i have no doubt that the funny football links will be appreciated by Materazzi fans :D

Regards,

Hi! :)

The site you reported is extremely interesting and I added it to my favorites.

Thanks. :cool:

Regards

nV 25
20-06-2007, 18:01
Hi! :)

The site you reported is extremely interesting and I added it to my favorites.

Thanks. :cool:

Regards

ciao, Pistolino.

Hai a provà che il suo sito sia interessante:

è di un certo Kareldjag :ave: , NON di nV .... :D


Un'altra carellata di suoi lavori importanti è possibile rintracciarla qui:

http://kareldjag.over-blog.com/


I link erano anche nel 1° post, ma poi, a suon di modificare tutto.... :rolleyes: :muro:

BEY0ND
22-06-2007, 11:44
Salve forum,
Quando utilizzo sandboxie al successivo riavvio del portatile mi appare questo:
http://img523.imageshack.us/img523/3667/sandboxieay0.th.png (http://img523.imageshack.us/my.php?image=sandboxieay0.png)
Nell'area di notifica alla voce sandboxie trovo "nascondi se inattivo",se lo cambio con "mostra sempre" pensate possa risolvere l'apertura della finestra in avvio?o il problema è un altro?
Grazie in anticipo...

nV 25
22-06-2007, 12:21
@ BEY0ND:

per tutta una serie di motivi che non stò a spiegare visto che in parte sarebbero inopportuni per il livello di questa platea (=si finirebbe per tediare la gente...:stordita: ) , ti consiglio di sostituire Sandboxie con GesWall 2.6 FREE...

Quest'ultimo, infatti, nella sua ultima versione ( 2.6 ) , è davvero un bel pezzo di software.. :)

Robusto, efficace, maturo (= - rischi di incorrere in problemi quali queli da te lamentati con Sandboxie)...

Semmai 1 cosa:
se decidi di switchare verso GesWall e conosci qualche parola di inglese, posta le immagini del tuo problema sul forum uff di sandboxie cosi' che lo sviluppatore possa prenderne visione, corredando peraltro il post con informazioni sulla tua attuale configurazione software...;)


http://www.gentlesecurity.com/desktop.html

http://www.download.com/GeSWall-Freeware/3000-2239-10462492.html?part=dl-GeSWallFr&subj=uo&tag=button

BEY0ND
22-06-2007, 14:43
@ nV 25
ok grazie,prima provo a cambiare l'area di notifica,nel caso dovesse ripresentarsi seguirò il tuo suggerimento...;)

lancetta
23-06-2007, 16:24
Mi sembra che non sia stato segnalato il suddetto in questione,da quello che ho capito dovrebbe virtualizzare l'intero S.O però in pratica non contemporaneamente al sistema operativo vero e proprio,(come VMWare ad esempio)quindi senza perdita di prestazione del pc!!!.Sarebbero 2 modalità:la shadow per l'appunto(quindi S.O interamenta virtualizzato)e la real(ovvero S.O normale),per alternarsi tra le 2 modalità basta un reboot.Dunque qualsiasi cosa si faccia o si becca in shadow mode,una volta tornati in real mode,è come se non sia mai successo nulla.....(sarebbe la figata del secolo:D ).Se effettivamente è come promette(non l'ho testato) il soft in questione,penso a tutti gli utilizzi possibli e immaginabili: provare trial,testare virus (nonchè dirgli anche addio per sempre)ecc..(nV25 che ne pensi?)
Il soft è a pagamento (shareware) il sito è qui (http://powershadowsecurity.com/default.aspx)
Spero di non aver detto str...hem castronerie:D ....e di aver fatto cosa gradita per tutto il forum.:)

Saluti

nV 25
24-06-2007, 19:55
@ lancetta:

che ne penso?
http://forum.pcalsicuro.com/index.php/topic,105.0.html :D


Altre opinioni (+ guida in ITA):
http://www.pianetapc.it/articoli.php?id=92 :read:

juninho85
24-06-2007, 20:04
orca boia :eek:
se dovesse essere così inizio finalmente a raccattare un pò di sample's e a darmi da fare :oink:

juninho85
24-06-2007, 20:27
avete provato a prendere il language pack della 2.6 e piazzarlo sulla 2.82?funziona?

lancetta
24-06-2007, 20:41
hem come non detto....:muro: non avevo visto gli altri articoli dei link....sorry
(così risparmiavo anche il mio inglese scolastmaccheronicotraduzautomatico:D )c'ero arrivato per puro caso attraverso siti inlgesi quando in pratica c'è l'avevo sotto il naso:mc: ,e dire che seguo pure pc al sicuro:rolleyes: (sò un pò rincoglionz).Comunque il soft in questione sembra la figata del millennio!!!!!!

nV 25
25-06-2007, 12:46
hem come non detto....:muro: non avevo visto gli altri articoli dei link....sorry
..

embè?

Qual'è il problema?

Hai ravvivato il thread con una tua segnalazione, e questa è l'unica cosa importante... ;)

lancetta
25-06-2007, 12:56
embè?

Qual'è il problema?

Hai ravvivato il thread con una tua segnalazione, e questa è l'unica cosa importante... ;)

Grazie:D tra l'altro mi sono letto la tua recensione di là;) da fonte autorevole come te:read: aspetto altre info se ce ne saranno:)

Saluti

Fabio_B
25-06-2007, 20:40
Vi volevo chiedere se avendo installato come software HIPS winpatrol e system safety monitor posso utilizzare anche spyware terminator con funzione HIPS attiva o può causare conflitti?
Qualcuno utilizza gia questa configurazione?
Di antivirus ho Nod32 in caso possa interessare..
grazie

pistolino
25-06-2007, 21:09
Vi volevo chiedere se avendo installato come software HIPS winpatrol e system safety monitor posso utilizzare anche spyware terminator con funzione HIPS attiva o può causare conflitti?
Qualcuno utilizza gia questa configurazione?
Di antivirus ho Nod32 in caso possa interessare..
grazie

Come HIPS, System Safety Monitor è più che sufficiente. Piuttosto sostituirei NOD32 con un antivirus migliore, magari Kaspersky. ;)

Regards

Fabio_B
25-06-2007, 21:33
Scusa se approfitto della tua gentilezza ed esperienza...
vuoi dire che non ho bisogno di winpatrol se uso ssm? e riguardo spyware terminator l'HIPS lo tengo attivo o no?
grazie

pistolino
26-06-2007, 08:49
Scusa se approfitto della tua gentilezza ed esperienza...
vuoi dire che non ho bisogno di winpatrol se uso ssm? e riguardo spyware terminator l'HIPS lo tengo attivo o no?
grazie

Dunque...secondo me la cosa migliore sarebbe lasciar perdere NOD32, e affidarsi a Kaspersky + SSM. Con solo due prodotti, e un consumo relativamente basso di risorse, avresti un livello di protezione assolutamente buono.
In ogni caso, non affiancherei Winpatrol a SSM, per il semplice fatto che non servirebbe a nulla se SSM è configurato correttamente.

Non dimenticare che la funzione più banale di SSM, ossia la richiesta di consenso per l'avvio di ogni processo sconosciuto, è anche la barriera di difesa più importante IMHO, in quanto hai la possibilità di avviare solamente i processi che conosci, respingendo quindi quelli sconosciuti. ;)
Se serve altro, chiedi pure. :)

Regards

pistolino
26-06-2007, 08:51
Aggiungo che anche Spyware Terminator avrebbe un ruolo di scarsa utilità, nel caso decidessi di mettere Kaspersky. ;)

Regards

d.gordon
26-06-2007, 12:53
Grazie ai vostri interventi ho scoperto l'esistenza di questi nuovi software per la sicurezza del mio pc.

Ora ne ho provati diversi tra quelli segnali nella discussione e tra questi mi è sembrato interessante DefenseWall oltre al Ghost security.

Ho deciso di acquistare defensewall ieri, bene mi arriva la mail di conferma ma ho problemi nel visualizzare i codici nell'allegato file.rdf -
Avete consigli in merito?

Un'ultima domanda come hips free oltre a SSM c'è altro? forse Prosecurity free
oppure?

I miei programmi sono questi: Nod32,Comodo,Spy terminator+real time no hips, Ad-aware 2007, AVG antispy, Pro security free, DefenseWall
Sophos antirootikit

Accetto consigli.

Un saluto particolare a nV 25 e a pistolino per i loro preziosi consigli.

Ciao.

juninho85
26-06-2007, 14:51
il file .rfd dovrebbe essere il file della licenza,non dovresti leggerlo come un file di testo ma fare in modo che il programma lo acquisisca

d.gordon
26-06-2007, 15:04
il file .rfd dovrebbe essere il file della licenza,non dovresti leggerlo come un file di testo ma fare in modo che il programma lo acquisisca


Grande juninho ho risolto è come dici tu.

Che mi dici in merito all'altra domanda circa i software hips free c'è qualcuno interessante?

O potrebbe anche essere sufficiente spyTerminator +hips?
Attualmente ho installato prosecurity free.

juninho85
26-06-2007, 15:14
come alternative HIPS ne trovi diverse indicate nel primo post,accertati soltanto di non installare doppioni,per il resto se hai tempo e voglia penso valga la pena provarli un pò tutti ;)

*Eleonora*
26-06-2007, 20:13
Ciao :flower:

Vorrei chiedere a voi, e in particolare a nV 25 e pistolino - che, da quanto leggo, mi sembrano essere estremamente ferrati sul tema sicurezza - se KIS 6 + SSM 2.3 completo rappresentano un adeguato sistema di protezione per il sistema, o se mi convenga invece passare ad altri prodotti.

Utilizzo Windows XP Professional Service Pack 2 e Firefox + Noscript.

Grazie. :flower:
Ciao :) :)

pistolino
26-06-2007, 20:30
Innanzitutto benvenuta Ele! (bel nome! :D ) :)

Venendo alla tua domanda...direi che utilizzando quei due prodotti correttamente configurati sei dentro una botte di ferro *...e te lo posso dire con relativa certezza visto che utilizzo una identica soluzione di protezione. :D

Se ti servono info su funzioni o altro, relativamente a quei programmi, chiedi pure senza esitazione. ;)

* tenendo comunque conto del fatto che la sicurezza al 100% non esiste mai, per natura. ;)

Regards

PS: non prendere le mie parole come oro colato...ti conviene attendere il verdetto del "profeta nV 25"

:sofico: :sofico: :sofico:

nV 25
26-06-2007, 20:57
profeta, poi....


Chiamami eccellenza, è sufficiente, dai! :D


Scherzi a parte:


premesso che mentre Pistolino scriveva io ho cestinato completamente la risposta per tutta una serie di motivi (in sostanza, temevo che, con la mia risposta iniziale, più che avvicinare agli HIPS avrei sortito l'effetto opposto, e cioè allontanare...:( ), di quella risposta riporto solo la 1° parte,

< I "nomi" per una protezione realmente efficace li hai tutti... > :)




@ d.gordon:
se poi ci riporti la tua esperienza, sarebbe supergradita...

Ottima scelta, cmq.
Oltretutto, a fronte di un investimento UNA TANTUM ridicolo (sui 30 €?)...

pistolino
26-06-2007, 21:18
Voglio sapere la seconda parte della tua risposta. :D :cool:

Regards

nV 25
26-06-2007, 21:26
non ha nulla a che vedere con la qualità degli stessi, sicuramente ECCELLENTE... :)

La parte tagliata verteva in sostanza solo sul tipo di ambiente in cui veniva installato e sul modo con cui si era usato il Learning mode...

:)

Non ho dubbi, xò, che la ns nuova adepta (a proposito, CIAOOO! :p ) abbia seguito buon senso nel fare il tutto...

:)

manga81
27-06-2007, 08:28
profeta, poi....


Chiamami eccellenza, è sufficiente, dai! :D


Scherzi a parte:


premesso che mentre Pistolino scriveva io ho cestinato completamente la risposta per tutta una serie di motivi (in sostanza, temevo che, con la mia risposta iniziale, più che avvicinare agli HIPS avrei sortito l'effetto opposto, e cioè allontanare...:( ), di quella risposta riporto solo la 1° parte,

< I "nomi" per una protezione realmente efficace li hai tutti... > :)




@ d.gordon:
se poi ci riporti la tua esperienza, sarebbe supergradita...

Ottima scelta, cmq.
Oltretutto, a fronte di un investimento UNA TANTUM ridicolo (sui 30 €?)...

posso chiamarti maestro?:sofico:

ho letto la tua firma.....non hai resistito ai nuovi conroe :D

pistolino
27-06-2007, 11:57
non ha nulla a che vedere con la qualità degli stessi, sicuramente ECCELLENTE... :)

La parte tagliata verteva in sostanza solo sul tipo di ambiente in cui veniva installato e sul modo con cui si era usato il Learning mode...

:)

Non ho dubbi, xò, che la ns nuova adepta (a proposito, CIAOOO! :p ) abbia seguito buon senso nel fare il tutto...

:)


Beh lo spero...lasciare un HIPS sempre in learning mode è praticamente come non averlo. :eek: :ops:

:sofico:

Regards

*Eleonora*
27-06-2007, 18:47
:flower: L'ambiente era un PC libero da malware (prima di mettere SSM avevo sempre avuto KIS) e non ho mai usato la modalità apprendimento, preferendo invece creare le regole mano a mano che mi si presentavano i popup. :) Va bene?

Grazie. :) :flower:

supermario00
27-06-2007, 19:01
:flower: L'ambiente era un PC libero da malware (prima di mettere SSM avevo sempre avuto KIS) e non ho mai usato la modalità apprendimento, preferendo invece creare le regole mano a mano che mi si presentavano i popup. :) Va bene?

Grazie. :) :flower:

apprendimento? ma è un programma didattico? :confused: :confused: :confused: non capisco. nienteeeeeeeee. :cry:

SONO PRINCIPIANTE E CHIEDO AIUTO. GRAZIE.

fatto stà che mi sono procurato un muro di fuoco (che si chiama windows firewal mi pare :) ) come antivirus ho il centro sicurezza pc che mi sta proteggendo il pc con lo scudo rosso in basso a destra, vicino all'orologio e alla data del calcolatore. :) adesso mi serve l'HISP che mi pare essere importante da quanto leggo solo che non capisco dove li trovate questi programmi :( e soprattutto non so che cosa fanno bene. apprendimento è importante? è una tecnica di protezione del pc?

oltre all'antivirus e all'hisp, devo mettere anche degli altri scudi al pc, per proteggerlo a fondo? cmq mi servirebbe un bloccaggio messaggi pubblicitari perchè quasi sempre mi si aprono delle pagine a caso sul pc, tipo siti di lotterie, casino e altri ancora. poi il pc è lentissimo e spesso si blocca. a partire ci impiega 5-6 minuti e non riesce mai a spegnersi.....si blocca alla chiusura in corso e quindi devo staccare la spina. :mc:

se metto un hisp risolvo tutto? da dove lo prendo? come si carica?


GRAZIE PER L'AIUTO CHE SPERO VORRETE DEDICARMI. CHIEDO HELP SOPRATTUTTO A NV25 CHE HA APERTO IL TOPIC E NE SA DI SICURO PIù DI ME.

GRAZIE ANCORA A TUTTI!!!!!!!!!!!!!!!!!! :) :) :)

*Eleonora*
27-06-2007, 19:06
Supermario, secondo me usi il PC da poco tempo, e conseguentemente non sei molto esperto. Io mi sono avvicinata da poco al mondo degli HIPS, quindi lascio, almeno per il momento, ad utenti più esperti l'invito a spiegarti il funzionamento dei sistemi di sicurezza per Windows. :)

Rivolgiti in particolare ai batuffolini nV 25 e pistolino, che ne sanno davvero tanto su questo argomento. :flower:

Ciao. :)

pistolino
27-06-2007, 19:12
(...)

Rivolgiti in particolare ai batuffolini nV 25 e pistolino, che ne sanno davvero tanto su questo argomento. :flower:

Ciao. :)

:eek: :eek: :eek: nV 25, mi sa che abbiamo fatto colpo. :stordita: :fagiano: :sofico:

OK OK non vado oltre, altrimenti faccio scappare la tipa dal forum. :D :)

Regards

PS: la questione supermario, per quanto mi riguarda, viene dirottata a nV 25. :D :sofico: :sofico: E' più bravo di me a spiegare le cose a un principiante (considerato che è stato lui ad avvicinarmi al mondo HIPS ;))

nV 25
27-06-2007, 20:39
apprendimento? ma è un programma didattico? ....
mi sono procurato un muro di fuoco ....
come antivirus ho il centro sicurezza...
quando non si è molto pratici di Pc MA si vuole ugualmente avere un programma di questa classe, l'unica soluzione praticabile è questa:


GesWall (gratuito!!) che scarichi da qui:
http://www.download.com/GeSWall-Freeware/3000-2239-10462492.html?part=dl-GeSWallFr&subj=uo&tag=button

o DefenseWall (commerciale, sui 30€ di prezzo..) reperibile a questo link:
http://www.softsphere.com/programs/


Per entrambi, una volta installati, si fa il reboot e fine.

Si naviga, si scarica...:blah: :blah: SENZA dover mettere mano a nessun tipo di settaggio (a meno che non si ricerchino configurazioni particolari...)


@ *Eleonora*:
ottimo :)

nV 25
27-06-2007, 20:44
...
ho letto la tua firma.....non hai resistito ai nuovi conroe :D
in attesa di un Quad a prezzi umani, un 6420 @ 6700 ci poteva rientrare agile agile...:D

PS:
Bellissima anche la P5K-Dx e facile facile da oc-are...:fiufiu:

pistolino
27-06-2007, 21:21
Visto il precedente OT sui processori, mi permetto di farne uno anch'io, riguardante però KIS.

Attualmente utilizzo KIS6 + SSM 2.3. Preferirei attendere ancora almeno un mesetto prima di mettere su la versione 7 di KIS, sperando che il tempo contribuisca a renderlo un prodotto più "rodato".
Ritieni sia una scelta "ragionevole" oppure le novità della versione 7 sono tali da giustificare un immediato upgrade? Oltretutto con SSM che mi para il :ciapet: dovrei stare ancora più tranquillo... :sofico:

Regards

nV 25
27-06-2007, 21:43
Visto il precedente OT sui processori, mi permetto di farne uno anch'io, riguardante però KIS.

Attualmente utilizzo KIS6 + SSM 2.3. Preferirei attendere ancora almeno un mesetto prima di mettere su la versione 7 di KIS, sperando che il tempo contribuisca a renderlo un prodotto più "rodato".
Ritieni sia una scelta "ragionevole" oppure le novità della versione 7 sono tali da giustificare un immediato upgrade? Oltretutto con SSM che mi para il :ciapet: dovrei stare ancora più tranquillo... :sofico:

Regards
KIS 7 (anzi, 7.0.0.119 TR...) è ampiamente stabile.
In più, ha la benedetta euristica...

Se è per l'hips, poi, anch'io ho ProSecurity ma mi sono guardato bene dal NON mettere il KIS 7...


Se cmq vuoi vedere nel dettaglio le novità della v.7, guardati questo file direttamente da grnic:
ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.119%20tr/NG_Moscow_18may07_public.ppt

manga81
28-06-2007, 08:26
in attesa di un Quad a prezzi umani, un 6420 @ 6700 ci poteva rientrare agile agile...:D

PS:
Bellissima anche la P5K-Dx e facile facile da oc-are...:fiufiu:

da fine luglio il q6600 dovrebbe scendere a circa 220euro...
anche la 1950gt si occa a pro tramite atitool senza problema...
bella scheda madre io ho una gigabyte ds3+e4300 occato a 2.7ghz con contemporanea diminuzione del vcore da 1.325 a 1.275 :sofico:

il kav 7 è invasivo come il 6 che ti fa un miliardo di domande manco fosse il kis???
mandami il tuo contatto di msn via mp che ogni tanto ti rompo le palle :sofico:

meolag
28-06-2007, 08:47
quando non si è molto pratici di Pc MA si vuole ugualmente avere un programma di questa classe, l'unica soluzione praticabile è questa:


GesWall (gratuito!!) che scarichi da qui:
http://www.download.com/GeSWall-Freeware/3000-2239-10462492.html?part=dl-GeSWallFr&subj=uo&tag=button

o DefenseWall (commerciale, sui 30€ di prezzo..) reperibile a questo link:
http://www.softsphere.com/programs/


Per entrambi, una volta installati, si fa il reboot e fine.

Si naviga, si scarica...:blah: :blah: SENZA dover mettere mano a nessun tipo di settaggio (a meno che non si ricerchino configurazioni particolari...)


@ *Eleonora*:
ottimo :)

Scusa, ma tra SSM free e GSwall quale consigli. Io attualmente uso Arovax shield, ma mi hanno detto che non e' il massimo.

pistolino
28-06-2007, 11:02
KIS 7 (anzi, 7.0.0.119 TR...) è ampiamente stabile.
In più, ha la benedetta euristica...

Se è per l'hips, poi, anch'io ho ProSecurity ma mi sono guardato bene dal NON mettere il KIS 7...


Se cmq vuoi vedere nel dettaglio le novità della v.7, guardati questo file direttamente da grnic:
ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/7.0.0.119%20tr/NG_Moscow_18may07_public.ppt

Grazie per il link, anche se ho visto quella presentazione, quando il thread relativo ad essa sui forum di Kaspersky aveva ancora una sola risposta. :D
Prendo allora atto dell'importanza di effettuare l'upgrade, e aggiornerò appena mi sarà possibile. ;)

Regards

d.gordon
28-06-2007, 11:27
Scusa, ma tra SSM free e GSwall quale consigli. Io attualmente uso Arovax shield, ma mi hanno detto che non e' il massimo.

Sono software diversi.

1) SSM free è hips mentre GSwall è sandbox.

2) leggi i vari consigli del post.

2) visto che hai già arovax puoi abbinarlo a GSwall.



Provali.

meolag
28-06-2007, 13:04
Sono software diversi.

1) SSM free è hips mentre GSwall è sandbox.

2) leggi i vari consigli del post.

2) visto che hai già arovax puoi abbinarlo a GSwall.



Provali.

Quindi l'abbinamento SSM free+GSwall, dovrebbe essere migliore. Allora non basta usare solo un software HIPS, ma un HIPS+sandbox per avere una sicurezza migliore.

pistolino
28-06-2007, 19:49
quando non si è molto pratici di Pc MA si vuole ugualmente avere un programma di questa classe, l'unica soluzione praticabile è questa:


GesWall (gratuito!!) che scarichi da qui:
http://www.download.com/GeSWall-Freeware/3000-2239-10462492.html?part=dl-GeSWallFr&subj=uo&tag=button

o DefenseWall (commerciale, sui 30€ di prezzo..) reperibile a questo link:
http://www.softsphere.com/programs/


Per entrambi, una volta installati, si fa il reboot e fine.

Si naviga, si scarica...:blah: :blah: SENZA dover mettere mano a nessun tipo di settaggio (a meno che non si ricerchino configurazioni particolari...)


@ *Eleonora*:
ottimo :)

Non era forse il caso di spiegargli che il centro sicurezza NON è un antivirus, che Windows Firewall non è un buon firewall perchè non controlla il traffico in uscita, che i popup che gli si aprono dipendono da spyware/virus/altro che ha sul PC, che...che...che...?

Temo che smanettando per mettere GesWall rischierà di ammazzare quel sistema, che mi pare peraltro già abbastanza "sputta**to" ora. :mc: :(
Già il fatto che non si sia più fatto sentire, mi fa pensare che il suo PC non ce l'abbia fatta. :fagiano:

Regards

nV 25
28-06-2007, 19:54
@ manga81:

- x il Q6600:
so, so...
La lezione di prendermi un componente per Pc a prezzo pieno (=quello praticato ai baccelli come me....) per poi vederselo ribassare del 70% dopo pochissimi mesi l'ho già avuta per l'A64 X2 lo scorso anno....:muro:

Stavolta invece si segue l'onda invece di cavalcarla...

- x le differenze di intrusività (del PDM) di KIS 6/7:
tara baralla....
Anzi, capito il meccanismo di fondo del 6, la gestione del 7 diventa una cazzata... :)




@ meolag:

"ma tra SSM free e GeSwall quale consigli. Io attualmente uso Arovax shield, ma mi hanno detto che non e' il massimo"...

Come ti ha detto anche d.gordon, SSM e GesWall sono 2 cose diverse.

E' possibile, peraltro, che sia effettivamente il caso di accoppiare un HIPS sul modello di SSM ad un Sandbox in una delle sue varie implementazioni ( i Sandbox, infatti, non sono tutti =...)

Ma al di là di questo:
SSM è una tipologia di HIPS che richiede una qualche consocenza, un SandBox, invece, lo può utilizzare anche il RE dei NIUBBI...
Senza rinunciare alla protezione, si intende...

E questo risultato (= 0 iterazione dell'utente & max efficacia...) è possibile grazie al loro particolare DISEGNO....





Attenzione:
anche nel caso del Sandbox, tutto E' RELATIVO.
iO NON ho parlato INFATTI di INVULNERABILITA':
è possibile proprio che in un futuro + o - breve sia escogitato un nuovo sistema atto a bypassare il sandbox...
O che non sia filtrata GIA' OGGI una API importante del Sistema Operativo....

In linea di max, cmq, se si scelgono Sandbox BUONI ( e i nomi li ho fatti...), si può stare PIU' CHE RAGIONEVOLMENTE SICURI. ;)



A proposito di "Sandbox che (in certi casi...) falliscono", ecco ad es la prova di Sandboxie tratta da Wilders:

"I did get another one of these rootkit, which is able to escape from Sandboxie although it was able to block the precedent one.."

In sostanza, un rootkit era riuscita a passare dal Sandbox.

E perchè?
"this rootkit uses a API call which isn't hooked by Sandboxie"...




Ora:
perchè (ad es.) io non uso Sandbox?

Se un motivo c'è è il fatto che un HIPS come quello che ho sotto il cofano :D mi permette di stare STRA-ragionevolmente sicuro anche contro le nuove minacce lasciandomi al contempo la possibilità di vedere in REAL TIME cosa accade sul mio sistema...
Con un Sandbox, tutto sarebbe silenzioso (il niubbo, infatti, si "spiazzerebbe" di fronte ad un qualsiasi pop-up perciò deve essere il programma a fare tutto automaticamente...)

nV 25
28-06-2007, 20:00
Non era forse il caso di spiegargli che...


non sono ancora santo...:)

Chi è veramente alle prime armi e vuole usare a tutti i costi un hips perchè magari glielo hanno consigliato o che sè io, DEVE usare SOLO un sandbox proprio perchè garantisce sicurezza A FRONTE di un disturbo pari a 0...


Poi (col tempo...) dovrebbe anche aggiornarlo, ma qui si va sul difficile :ciapet: ...

pistolino
28-06-2007, 20:00
A proposito di HIPS...che fine ha fatto Process Guard? Non doveva rinascere sotto un nuovo nome? O forse il suo successore è già ProSecurity?

Regards

pistolino
28-06-2007, 20:03
non sono ancora santo...:)

Chi è veramente alle prime armi e vuole usare a tutti i costi un hips perchè magari glielo hanno consigliato o che sè io, DEVE usare SOLO un sandbox proprio perchè garantisce sicurezza A FRONTE di un disturbo pari a 0...


Poi (col tempo...) dovrebbe anche aggiornarlo, ma qui si va sul difficile :ciapet: ...

Secondo me il tipo è ancora lì a sforzarsi di capire come avviare il download di Geswall, tra un bombardamento e l'altro dei popup che tormentano il suo sistema. Tu che dici? :sofico:

Regards

nV 25
28-06-2007, 20:09
A proposito di HIPS...che fine ha fatto Process Guard? Non doveva rinascere sotto un nuovo nome? O forse il suo successore è già ProSecurity?


PS è attualmente il miglior HIPS di tipo behaviour blocker in circolazione.
Paga però lo scotto in termini di difficoltà di configurazione visto che davvero consente di intervenire anche sul più piccolo dei settaggi....

Il vecchio RE, quindi, è stato ampiamente detronizzato...:(
Cosa succeda domani, xò, onestamente, non posso dirlo...

In cuor mio, cmq, auguro davvero ogni bene alla DiamondCS e, anzi, son sicuro che ne verranno fuori...

Quello che davvero ha pagato la DiamondCS è, imo, l'essere rimasta troppo ferma dando poco ascolto ai clienti, specie quelli + avanzati.

Case come quella di ProSecurity, ad es., non hanno fatto altro che riprendere (probabilmente dal forum uff di PG stesso..) i suggerimenti che venivano dai clienti TRADUCENDOLI però in fatti, oltre che, ovviamente, avere sani testicoli come conoscitori della programmazione di basso livello..




Sono d'accordo infatti con Castlecops:
http://img262.imageshack.us/img262/2517/11464499io2.png

pistolino
28-06-2007, 20:20
Se un giorno la casa di ProSecurity offrirà una licenza gratuita per la versione completa di questo HIPS su Givewayoftheday ( LINK (http://it.giveawayoftheday.com/)), come peraltro fece tempo fa la SysSafety per il buon SSM (LINK (http://www.giveawayoftheday.com/system-safety-monitor/)), sicuramente lo proverò. :)

SSM è un buon HIPS a quanto pare, in particolare nella sua versione 2.3 Full, pertanto non mi va di pagare (seppure un prezzo onesto) ProSecurity. Una mossa simile a quella della SysSafety, oltre che gradita per noi utenti, sarebbe anche un buon mezzo pubblicitario per la casa. :)

Regards

d.gordon
28-06-2007, 20:32
Chiedo scusa ho una DOMANDINA:

SOPHOS ANTI-ROOTKIT mi rileva questo
(mentre in modalità provvisoria niente);

unknown hidden file C:\WINDOWS\system32\PS_PRule.dat

e non è possibile eliminarlo.....

trattasi di prosecurity.

Altri software non rilevano nulla.

nV 25
28-06-2007, 20:41
...
SOPHOS ANTI-ROOTKIT mi rileva questo


unknown hidden file C:\WINDOWS\system32\PS_PRule.dat

e non è possibile eliminarlo.....

trattasi di prosecurity.

Altri software non rilevano nulla.
la dom. dovrebbe essere fatta sul forum uff di PS...

cosi' a pelle direi che, visto che PS protegge i suoi file (ma va?..:D ), evidentemente la protezione si estende anche a quei file in cui vengono immagazzinate dati circa la sua configurazione, e PS_PRule.dat sembrerebbe essere uno di quelli....(hidden file, in questo caso contro la cancellazione accidentale?)

Bisognerebbe sentire eraser in proposito...:stordita:


EDIT:
ma al di là di quelo che ho scritto sopra, se davvero è un file di PS, bè, stai pure sereno...

PS: non è un pò prematuro cimentarsi subito con PS?

nispo
28-06-2007, 20:45
ragazzi, io da un pò di giorni sto provando l'accoppiata antivir e dynamic security agent, insieme ovviamente al fedele a-squared free. Volevo sapere come è secondo voi, se è da ritenersy un buon prodotto free, questo Dynamic security Agent. Su internet se ne parla abbastanza bene, anche come firewall. Secondo voi??

nV 25
28-06-2007, 20:51
ragazzi, io da un pò di giorni sto provando l'accoppiata antivir e dynamic security agent, insieme ovviamente al fedele a-squared free. Volevo sapere come è secondo voi, se è da ritenersy un buon prodotto free, questo Dynamic security Agent. Su internet se ne parla abbastanza bene, anche come firewall. Secondo voi??

ne ho sempre sentito parlare su canali inglesi...

Bisognerebbe approfondire, ma credo propio tu abbia di fronte un discretissimo pezzo di software...:)

d.gordon
28-06-2007, 20:53
OK! aspettiamo Eraser.

non vorrei dire cavolate ma a me sembra:

Arovax scarso ma buono per iniziare a capire

Ghost security commento eccellente + defensewall nessun rallentamento del PC

DSA sufficiente ma non mi ispira fiducia anzi a volte andava in conflitto

prosecurity free invece è leggero si integra bene con nod32 e defensewall nessun rallentamento

prevx2 buono rallenta in maniera notevole il mio pc ma sicuramente è efficace

nispo
28-06-2007, 20:57
ne ho sempre sentito parlare su canali inglesi...

Bisognerebbe approfondire, ma credo propio tu abbia di fronte un discretissimo pezzo di software...:)

guarda, lo ho conosciuto tramite il forum wildersecurity, lì ne parlavano bene. Non solo per il fatto che è free, ma più che altro perchè è leggerissimo e molto efficace. Almeno io sul sistema nn lo sento per niente. Come firewall i test sono:
http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

si posiziona subito dietro la ghost suite. Più che altro è comodo il controllo dei processi che fa, antivir ad esempio nn ha la self defense come kav, se killi il processo smette di funzionare, con Dynamic security agent è impossibile killare i processi di sistema. Raccoglie insomma molte funzioni, in una leggerezza incredibile. Mi sembra solo strano che nessuno ne parli

nV 25
28-06-2007, 21:23
e chi ne deve parlare?

Se c'è qualcuno che sà, in Italia, stai sicuro che se ne stà bello zitto, custode geloso del suo segreto.:rolleyes:






Personalmente, invece, non ho mai avuto la possibilità di provarlo il che significa che non sono titolato a parlarne...
Per fortuna, cmq, il GAP lo puoi colmare te.

Il senso di questo thread era anche quello:
vivere cioè ANCHE grazie al VS/contributo.

Mi aspetto foto ecc, eventualmente (perchè no..) un thread a se...;)

PS: forse gli amici di http://www.pianetapc.it/ ne hanno parlato?



PS 2:
DSA pare abbia anche ottime capacità AntiRootkit:

http://img508.imageshack.us/img508/4171/11104088dh8.th.png (http://img508.imageshack.us/my.php?image=11104088dh8.png)

(fonte, http://www.wilderssecurity.com/showthread.php?t=174012)

http://www.privacyware.com/dynamic_security_agent2.html

nispo
28-06-2007, 21:39
e chi ne deve parlare?

Se c'è qualcuno che sà, in Italia, stai sicuro che se ne stà bello zitto, custode geloso del suo segreto.:rolleyes:






Personalmente, invece, non ho mai avuto la possibilità di provarlo il che significa che non sono titolato a parlarne...
Per fortuna, cmq, il GAP lo puoi colmare te.

Il senso di questo thread era anche quello:
vivere cioè ANCHE grazie al VS/contributo.

Mi aspetto foto ecc, eventualmente (perchè no..) un thread a se...;)

PS: forse gli amici di http://www.pianetapc.it/ ne hanno parlato?



PS 2:
DSA pare abbia anche ottime capacità AntiRootkit:

http://img508.imageshack.us/img508/4171/11104088dh8.th.png (http://img508.imageshack.us/my.php?image=11104088dh8.png)

(fonte, http://www.wilderssecurity.com/showthread.php?t=174012)

http://www.privacyware.com/dynamic_security_agent2.html

grazie del consiglio, proverò ad aprire un topic ufficiale, il prob è che nn ho i diritti per farlo, almeno da quanto cè scritto. Come mai?? ci vuole qualche permesso particolare??

nispo
28-06-2007, 22:19
Visto che nn ho i privilegi per aprire un thread ufficiale, scrivo qua la mia recensione su Dynamic System Agent, che secondo me è un ottimo prodotto.

L'installazione nn presenta nessuna difficoltà, quindi passo oltre.
http://img339.imageshack.us/img339/3375/dsascreenshotmb3.th.gif (http://img339.imageshack.us/my.php?image=dsascreenshotmb3.gif)
Per la prima settimana, addestrate il DSA facendo funzionare tutti i programmi che usate normalmente, nel senso li usate normalmente. Persino durante addestramento, il DSA li avviserà ad attività di programma che coinvolge le zone protette del sistema, quale le cartelle di sistema di Windows, i files di programma e il registro di sistema. Vi allarte con un popup che dura 15sec, se nn prendete una decisione bloccherà automaticamente il processo.
Il DSA nota che cosa usate durante il periodo di addestramento e se li aggiunge nella trusted zone per funzionare nell' avvenire, in modo da il vostro sistema in perfette condizioni prima che cominciaste ad addestrare.
http://img265.imageshack.us/img265/7895/01425sz1i14148400fs2.th.jpg (http://img265.imageshack.us/my.php?image=01425sz1i14148400fs2.jpg)
http://img526.imageshack.us/img526/9636/01425sz1i14149800bb4.th.jpg (http://img526.imageshack.us/my.php?image=01425sz1i14149800bb4.jpg)
http://img411.imageshack.us/img411/8655/01425sz1i14150100uf1.th.jpg (http://img411.imageshack.us/my.php?image=01425sz1i14150100uf1.jpg)
Inoltre misura i particolari qual e la quantità di alimentazione della CPU richiesta da ogni processo e dal numero di task che usa internamente. Prende nota delle E-mail mittenti, numero, quanti destinatari e così via. Quando il periodo di addestramento è finito, il comportamento che è differisce dalla linea di base da una percentuale user-specified (60 per cento, per difetto). Inoltre ostruisce l'accesso del Internet per le nontrusted applicazioni. Dopo l'addestramento, il DSA avvisa al lancio di tutto il programma che già non conosce, molto come Anti-Eseguibile.
http://img113.imageshack.us/img113/3264/01425sz1i14149100xd0.th.jpg (http://img113.imageshack.us/my.php?image=01425sz1i14149100xd0.jpg)
Ma diverso da Anti-Eseguibile, lascia scegliere di permettere il programma. Se il malware attacca il vostro browser in modo che cominci ad usare molti più i cicli della CPU, il DSA rileverà l'anomalia, benchè non possa identificare il motivo. Se eliminate un programma di cui lui ha memorizzato una certa regola, alsuccessivo avvio di win vimostrerà un avviso di cosa voleta fare delle impostazione relative, o se magari cè il sospetto che nn è stato l'utente a cancellare il file, vi dice cosa è meglio fare.
http://img411.imageshack.us/img411/4600/01425sz1i14150200tc2.th.jpg (http://img411.imageshack.us/my.php?image=01425sz1i14150200tc2.jpg)
E se un virus o altro comincia fare saltare fuori i messaggi dal vostro calcolatore, il DSA rileverà ancora questo come anomalia. Si può selezionare di ostruire tutto il E-mail outbound (ed allora fare funzionare un'esplorazione completa con il vostro programma di utilità di antivirus). Oltre a ciò DSA offre una protezione contro i rootkit, e agisce da firewall, come dimostra l'ottimo risultato conseguito ai leak-test. Controlla se per caso un processo si chiude in maniera anomala, avverte e in caso, blocca il processo. E' insomma una protezione tipo self defense. Si può comodamente interagire con DSA direttamente dalla barra delle applicazioni di windows:
http://img126.imageshack.us/img126/7667/iconafz7.th.jpg (http://img126.imageshack.us/my.php?image=iconafz7.jpg)
Ora, alla fine di tutto magari uno pensa che DSA sia pesante o che cmq si faccia sentire sul sistema, e invece no! Sembra di nn aver nulla, nn a caso l'installer è 1mb, e il processo in corso d'opera è 10mb. Difetti??? ogni tanto va in conflitto con applicazioni che nn sono nella trusted zone, basta aggiungerle a mano, e si risolve tutto. Più semplice di così!!!!

thebol
29-06-2007, 08:07
domanda n00b

è sensato avere un sandboxie, su cui far girare il proprio browser per navigare su siti bancari in sicurezza? Immagino di no ovviamente...

Per ottenere questo risultato bisognerebbe usare una VM(VMWare et simili) vero?

disinformatico
29-06-2007, 10:40
lo provai qualche mese fa... confermo che è leggerissimo ed è prodotto da un'azienda molto seria...il firewall non filtra i singoli pacchetti, ma solo le applicazioni...purtroppo l' antivirus e HijackThis.de lo rilevano come malware e per questo lo disinstallai. se qualcuno mi può confermare che si tratta di un falso positivo e che come firewall è sufficiente lo rimetto. ciao

nV 25
29-06-2007, 12:35
Visto che nn ho i privilegi per aprire un thread ufficiale, scrivo qua la mia recensione su Dynamic System Agent, che secondo me è un ottimo prodotto.

...

Recensione molto, molto carina.

Provvederò poi stasera a inserirne il link nel post n°1

nispo
29-06-2007, 12:45
Recensione molto, molto carina.

Provvederò poi stasera a inserirne il link nel post n°1

ti ringrazio, ho fatto del mio meglio.

@disinformatico: è ovvio che è un falso positivo, cmq antivir nn rilevva nulla, per quanto riguarda hijackthis nn riconosce tutti i firewall, quelli che nn conosce li segnala come malware, è ovvio.

supermario00
29-06-2007, 19:01
eccomi.....non so come ma sono riuscito a ricollegarmi. ho messo geswall con grande difficoltà, lottando tra una pubblictià e l'altra.su schermo adesso però il problema è che il pc :cry: è andato in vacca :cry: :eek: :cry: . ogni 2 per 3 appare uno schermo blu e riparte tutto da solo. altre volte appare un conto alla rovescia di 59 secondi. :confused: poi si pianta il tutto mentre cerca di chiudersi anche se io non gliel'ho detto. l'hips non lavora bene a quanto pare.....e la pubblictià continua con messaggi e foto xxx. :cry: :cry: :cry:

eppure il centro sicurezza sembra funzionare xkè c'è lo scudo rosso in basso a destra che dice "proteggere il PC è importante". però non lo sta proteggendo credo....................è tutto strano, icone che scompaiono.

magari con un altro HISP posso risolvere? Oppure devo montare altri scudi sul PC?

AIUTO PER FAVORE. :cry: AIUTAMI NV 26. :cry:

ciao e grazie. :)

nV 25
29-06-2007, 19:40
.... AIUTAMI NV 26. :cry: ....


:asd:

Ganziale...
troppo forte!


PS: ora leggo meglio il tuo intervento, asp..

Update:

bè, il caso sembra essere disperato...
Credo però che ci sia ben poco da imputare a Geswall...
Ben più probabile che il problema sia più a monte (soluzione?
un bel format c: da qualcuno che ti possa aiutare..)

pcì
29-06-2007, 19:46
:asd:

Ganziale...
troppo forte!


PS: ora leggo meglio il tuo intervento, asp..

:D è simpatico, ma al 99.99% un troll
non ci stare a perdere tempo.

nV 25
29-06-2007, 19:53
:D è simpatico, ma al 99.99% un troll
non ci stare a perdere tempo.

effettivamente ho anch'io la tua sensazione...

bè, sai cosa ti dico se fosse cosi'?

E' un pò come quando uno si vanta di tromb**are a dx e a manca ma in cuor suo sa di tirarsi sane pugn**ette...

Problemi suoi.

Spero di sbagliarmi, cmq.... :)

disinformatico
29-06-2007, 19:56
@disinformatico: è ovvio che è un falso positivo, cmq antivir nn rilevva nulla, per quanto riguarda hijackthis nn riconosce tutti i firewall, quelli che nn conosce li segnala come malware, è ovvio.

ok...per quanto riguarda il firewall (se lo stai ancora provando) che idea ti sei fatto?

nispo
29-06-2007, 20:15
ok...per quanto riguarda il firewall (se lo stai ancora provando) che idea ti sei fatto?

il firewall secondo me è buono, se vedi nel link che ho postato passa parecchi leak-test, certo nn è ai livelli di comodo, anche perchè monitora le applicazioni e nn le porte. Cmq nel complesso buono

http://www.matousec.com/projects/windows-personal-firewall-analysis/leak-tests-results.php

disinformatico
29-06-2007, 20:59
il firewall secondo me è buono, se vedi nel link che ho postato passa parecchi leak-test, certo nn è ai livelli di comodo, anche perchè monitora le applicazioni e nn le porte. Cmq nel complesso buono


grazie 1000 nispo

Codename47
29-06-2007, 22:03
eccomi.....non so come ma sono riuscito a ricollegarmi. ho messo geswall con grande difficoltà, lottando tra una pubblictià e l'altra.su schermo adesso però il problema è che il pc :cry: è andato in vacca :cry: :eek: :cry: . ogni 2 per 3 appare uno schermo blu e riparte tutto da solo. altre volte appare un conto alla rovescia di 59 secondi. :confused: poi si pianta il tutto mentre cerca di chiudersi anche se io non gliel'ho detto. l'hips non lavora bene a quanto pare.....e la pubblictià continua con messaggi e foto xxx. :cry: :cry: :cry:

eppure il centro sicurezza sembra funzionare xkè c'è lo scudo rosso in basso a destra che dice "proteggere il PC è importante". però non lo sta proteggendo credo....................è tutto strano, icone che scompaiono.

magari con un altro HISP posso risolvere? Oppure devo montare altri scudi sul PC?

AIUTO PER FAVORE. :cry: AIUTAMI NV 26. :cry:

ciao e grazie. :)

:rotfl: :rotfl: :rotfl: :rotfl: :rotfl: :rotfl:

Buaahahhaha stò ancora ridendo! Uno dei più bei post che abbia mai letto!!!!!!! :sbonk: :sbonk:

pistolino
30-06-2007, 09:28
:asd:

Ganziale...
troppo forte!



Hai upgradato anche il nick oltre al PC? :rotfl:

Regards

juninho85
30-06-2007, 12:12
NV26 :rotfl:

lancetta
30-06-2007, 15:17
ormai ha qudruplicato la conoscenza:nV100!!!:D

lancetta
30-06-2007, 15:17
ormai ha qudruplicato la conoscenza:nV100!!!:D

pistolino
30-06-2007, 20:14
Ho un dubbio relativo a SSM, in particolare riguardo la sua funzione di monitoraggio di accesso alla rete da parte dei processi. Ho notato che attivando tale modulo (che effettua il controllo di accesso dei processi a Internet solo in uscita), il popup di SSM compare prima di quello dell'antihacker di KIS. Ciò significa che SSM lavora a un livello ancora più basso? :confused:

Regards

nV 25
30-06-2007, 20:42
muà...

Livello + basso del Kernel mode non credo che esista, e entrambi i programmi hanno driver propri funzionanti in kernel mode.
(edit: infatti.
http://www.wilderssecurity.com/showpost.php?p=189635&postcount=2)



Credo piuttosto che tutto sia da imputare al discorso dell'hook....
Qualche riferimento lo trovi qui (PS: sono riferimenti autorevoli per quanto troppo sintetici...):

http://www.wilderssecurity.com/showpost.php?p=495916&postcount=9

L'hookare la stessa funzione non implica necessariamente un problema, http://www.wilderssecurity.com/showpost.php?p=494295&postcount=2

:)

nV 25
30-06-2007, 20:49
NV26 :rotfl:

nV, please... :ciapet:

pistolino
30-06-2007, 20:53
muà...

Livello + basso del Kernel mode non credo che esista, e entrambi i programmi hanno driver propri funzionanti in kernel mode.
(edit: infatti.
http://www.wilderssecurity.com/showpost.php?p=189635&postcount=2)



Credo piuttosto che tutto sia da imputare al discorso dell'hook....
Qualche riferimento lo trovi qui (PS: sono riferimenti autorevoli per quanto troppo sintetici...):

http://www.wilderssecurity.com/showpost.php?p=495916&postcount=9

L'hookare la stessa funzione non implica necessariamente un problema, http://www.wilderssecurity.com/showpost.php?p=494295&postcount=2

:)

Quindi posso anche tenere abilitato il modulo di rete di SSM, creando le regole in uscita per i programmi che, comunque, prima di poter "uscire" dovranno passare anche al vaglio di Antihacker...giusto? :sofico:

Se per assurdo autorizzassi in SSM un programma a uscire su internet, e contemporaneamente lo bloccassi in KIS, questo non uscirebbe in teoria...adesso provo. :)

Regards

juninho85
30-06-2007, 21:01
nV, please... :ciapet:
pardon bertuccia :O

pistolino
30-06-2007, 21:04
http://img100.imageshack.us/img100/562/immaginejb9.th.png (http://img100.imageshack.us/my.php?image=immaginejb9.png)

Altra domanda stupida: tra MD5 e SHA-256, qual è l'algoritmo migliore per il calcolo dei checksum? (vedere screen)

Regards

nV 25
30-06-2007, 21:06
SHA-256




Esito delle prove dei 2 moduli attivi?


pardon bertuccia :O
perdonato :p

pistolino
30-06-2007, 21:12
SHA-256

Hai qualche informazione tecnica che mi faccia capire la differenza tra MD5 e SHA-256? :sofico: :)

Esito delle prove dei 2 moduli attivi?



Dunque ho proceduto in questo modo:

Test 1) Ho cancellato da KIS e da SSM la regola di accesso alla rete per iexplore.exe--> avvio IE7 e...tada :p SSM richiede il permesso; io autorizzo e creo la regola permanente. Subito dopo ciò, arriva il popup di KIS a cui, per curiosità, dò "blocca qualsiasi attività". Risultato: IE non esce dal PC. :p
Test 2) Ho cancellato da KIS e da SSM la regola di accesso alla rete per iexplore.exe--> avvio IE7 e SSM chiede il permesso di accesso a Internet. Io glielo nego. Finita lì...KIS non si fa nemmeno sentire. :D

Mi pare quindi di capire che la protezione, nel momento in cui tengo abilitati sia il network control di SSM che il firewall di KIS, sia riassumibile in questo schema.


Processo tenta di uscire su Internet.
|
|
|
V
Controllo di rete di SSM ---> PERMESSO NEGATO-->processo non esce. Se consentito invece, prosegue nella sua "discesa" verso KIS
|
|
|
V
Controllo Antihacker KIS --> PERMESSO NEGATO ---> processo non esce
|
|
|
V
INTERNET

Spero si capisca qualcosa... :p :)

Regards

nV 25
30-06-2007, 21:23
perfettamente.

La logica mi era chiara, cmq...:ciapet:

pistolino
30-06-2007, 21:25
perfettamente.

La logica mi era chiara, cmq...:ciapet:

Per i newbies...non si sa mai. :sofico:

Regards

PS: aspetto chiarimenti sulle differenze tra MD5 e SHA-256... :D

pistolino
01-07-2007, 20:11
PS: aspetto chiarimenti sulle differenze tra MD5 e SHA-256... :D

Come non detto...leggendo su Wiki ho confrontato i due algoritmi, scoprendo che MD5 presenta alcune gravi vulnerabilità. :sofico:

http://en.wikipedia.org/wiki/MD5

http://en.wikipedia.org/wiki/SHA

Regards

thebol
02-07-2007, 07:41
domanda n00b

è sensato avere un sandboxie, su cui far girare il proprio browser per navigare su siti bancari in sicurezza? Immagino di no ovviamente...

Per ottenere questo risultato bisognerebbe usare una VM(VMWare et simili) vero?
*

pistolino
05-07-2007, 14:15
Segnalo che per un periodo di tempo limitato (24 ore), è possibile scaricare gratuitamente dal sito GiveAwayOfTheDay (http://it.giveawayoftheday.com/)una copia di PrevX 2.0...un'ottima occasione quindi per chi fosse interessato a usufruire di questo CIPS. ;)

UPDATE: Qui (http://www.pcalsicuro.com/main/) si dice che è possibile ottenere delle licenze gratuite commentando il nuovo blog di PrevX OPPURE scaricare una licenza per PC singolo da GAoD...

Regards

PS: quando si deciderà anche ProSecurity a fare una mossa del genere? :muro:

lancetta
05-07-2007, 15:37
Segnalo che per un periodo di tempo limitato (24 ore), è possibile scaricare gratuitamente dal sito GiveAwayOfTheDay (http://it.giveawayoftheday.com/)una copia di PrevX 2.0...un'ottima occasione quindi per chi fosse interessato a usufruire di questo CIPS. ;)

UPDATE: Qui (http://www.pcalsicuro.com/main/) si dice che è possibile ottenere delle licenze gratuite commentando il nuovo blog di PrevX OPPURE scaricare una licenza per PC singolo da GAoD...

Regards

PS: quando si deciderà anche ProSecurity a fare una mossa del genere? :muro:

Citazione da GAoD:

supporto tecnico non compreso
aggiornamenti non compresi
Utilizzo privato

Dalla mia esperienza con Spyware doctor,appena lo aggiornai,mi andò in trial :muro:

Stessa cosa anche in questo caso?

nuovoUtente86
05-07-2007, 16:04
Non riesco ad installare Prevx2 vu Vista,mi da il seguente errore e l' installazione crashia:

""Unabel to perform necessary operations

A file: C:\Windows\pxinstall_log.txt has been created"

pistolino
05-07-2007, 16:08
Citazione da GAoD:



Dalla mia esperienza con Spyware doctor,appena lo aggiornai,mi andò in trial :muro:

Stessa cosa anche in questo caso?

Per 12 mesi hai il programma completo, comprensivo di aggiornamenti. Dopo la scadenza, potrai continuare ad utilizzarlo, senza però la possibilità di aggiornarlo. :)

Non riesco ad installare Prevx2 vu Vista,mi da il seguente errore e l' installazione crashia:

""Unabel to perform necessary operations

A file: C:\Windows\pxinstall_log.txt has been created"

Sei il primo a segnalare questo errore...non saprei sinceramente cosa potrebbe essere. :(

Regards

nuovoUtente86
05-07-2007, 16:14
Per 12 mesi hai il programma completo, comprensivo di aggiornamenti. Dopo la scadenza, potrai continuare ad utilizzarlo, senza però la possibilità di aggiornarlo. :)



Sei il primo a segnalare questo errore...non saprei sinceramente cosa potrebbe essere. :(

Regards

dice che il file è stato generato....certo lo genera lui in fase di preparazione....ma dove sta il problema è un mistero.

juninho85
05-07-2007, 16:45
... e dire che dovevo metter mano al portafoglio questi giorni per comprarmelo :D

lancetta
05-07-2007, 17:19
@ Pistolino Per 12 mesi hai il programma completo, comprensivo di aggiornamenti. Dopo la scadenza, potrai continuare ad utilizzarlo, senza però la possibilità di aggiornarlo. grazie per le info:D

... e dire che dovevo metter mano al portafoglio questi giorni per comprarmelo e si questo è :ciapet: e vale anche per me:D :D :D

pistolino
05-07-2007, 18:46
Brutte notizie su SSM a quanto pare... :(

In seguito alla domanda "Is SSM dead?", è nata una discussione su Wilders Security, relativamente al fatto che SSM abbia subito poche innovazioni negli ultimi tempi. Nonostante siano stati scoperti almeno due malware in grado di bypassare alcuni controlli, anche nella versione più recente di SSM, il forum ufficiale è pressochè deserto.
In compenso, su Wilders Sec., sono emerse alcune indiscrezioni...cito le ipotesi e le previsioni sul futuro di SysSafety (la casa di SSM) che mi sono parse più verosimili.

C'è chi assimila la situazione attuale di SSM a quella di Process Guard, totalmente abbandonato - almeno sembra - dalla casa produttrice...

There is some discussion of this on the SSM forum. I certainly hope they don't fold like Diamond CS did. The death of PG is what sent me to SSM. Now I have two lifetime subscriptions to SSM. Maybe I shouldn't pay for subscriptions to anything. They have a great program and it would be a shame for it to dry up.


Viene invece qui riportato un commento lasciato un paio di giorni fa da un membro dello staff del forum ufficiale: (https://www.syssafety.com/forum/viewtopic.php?p=4583)

Actually SSM is not dead though the development team was significantly shortened for financial reasons. However it's still alive. I will let you know if this finally happen - I promise . Nobody is going to sell unsupported software. If we stop support we will make it freeware.

L'utente herbalist sostiene invece che un software HIPS, una volta maturo e stabile, non richieda di essere più aggiornato dalla casa... Personalmente sarei d'accordo solo se SSM fosse in grado di intercettare tutti i possibili vettori di attacco, obiettivo purtroppo non ancora raggiunto. :(

Even if SSM did go under as a company, that wouldn't make their software any less effective. I'll keep using it either way, both on my PC and on those I maintain for others.

Once an app like SSM matures and the bugs are fixed, it doesn't need regular updating, except for keeping it compatible with new operating systems. I have to wonder why some people think a company has to release a new version every few months to protect a 6 year old operating system like XP. That's the wrong criteria for evaluating an app or its vendor.

The fact that SSM is not a combined security suite and that it requires interaction and at least some knowlege from the user limits their potential market. Most users don't want and can't deal with that level of control. There's a lot of competing apps targeting the small percentage of users that do like choosing their own components. Unfortunately, quality and performance are not always the deciding factors that determine who survives. More often, it's the depth of their pockets and income from other already developed products that decide that.

Trovo invece interessante questo intervento, in cui un utente afferma che SSM e anche ProSecurity, siano diventati praticamente dei prodotti gestiti da una sola persona, anzichè da una, seppur piccola, società. Ciò si traduce nel rapido abbandono del progetto in caso di difficoltà economiche o di altro tipo.
C'è però da dire che attualmente non sono state rilevate in ProSecurity vulnerabilità significative; il che significa che è il miglior Behaviour Monitor al momento, dato che, pur non essendo aggiornato da diversi mesi, copre tutti i vettori di attacco utilizzati dai malware su XP, almeno finora.

ProSecurity is pretty good, but here again it's a 1-man operation. The app hasn't been updated since version 1.3 March 2007. The forum has become dormant, & the developer hasn't posted there for >2 months.

Per leggere l'interessante discussione che si sta sviluppando a questo proposito...

http://www.wilderssecurity.com/showthread.php?t=178967

C'è comunque da dire che, sia nel caso di SSM, sia in quello di ProSecurity, il primo stadio di difesa, ovvero il controllo di Process Execution (per il quale vengono avviati solo i processi noti, autorizzati con regole create dall'utente [quasi come fosse un firewall ...per rendere l'idea ;) ]), ben difficilmente potrà essere aggirato. Pertanto l'HIPS, al di là delle possibili vulnerabilità nel monitoraggio nel caricamento dei driver o di altre attività, risulterà sempre un indispensabile sistema di protezione basato su white-list (ex: lista script consentiti dell'estensione NoScript di Firefox, per fissare le idee ;) ), ideale da essere affiancato a un antivirus, basato invece generalmente su blacklist. ;)

PS: il discorso finale è stato ampiamente semplificato, per poter essere compreso anche dagli utenti meno smanettoni. ;) Pertanto il linguaggio utilizzato fa si, e ne sono consapevole, che il contenuto del testo possa apparire impreciso.

Regards

disinformatico
05-07-2007, 19:06
Non riesco ad installare Prevx2 vu Vista,mi da il seguente errore e l' installazione crashia:

""Unabel to perform necessary operations

A file: C:\Windows\pxinstall_log.txt has been created"

Prevx2 non è compatibile con vista...se vuoi provarlo devi scaricare la versione beta per vista, disabilitando, prima, l'uac

nV 25
05-07-2007, 20:45
@ pistolino:

splendido post.

Come te (o, almeno, cosi' mi sembra di aver capito...) mi trovo in TOTALE DISACCORDO con herbalist che, stavolta almeno, pare aver ca*cato fuori dal vaso.


Il buon senso, infatti, già a suo tempo mi aveva portato a scrivere nel 1° post:
"focalizzare l'attenzione solo sui CANALI attraverso i quali un virus potrebbe annidarsi nella macchina ( da un punto di vista teorico, infatti, esistono INFINITI modi di scrivere codice mentre lo SPETTRO dei comportamenti pericolosi è FINITO... ) consente di innalzare significativamente la probabilità della loro identificazione e lo sforzo dei programmatori può rivolgersi esclusivamente sul perfezionamento delle tecnologie alla base dei loro prodotti cosi' che risultino sempre efficienti contro eventuali novità come tecniche di disattivazione o di "bypassaggio"....

Quello che sostiene herbalist, dunque, è vero solo LIMITATAMENTE all'execution control ma NON HA certo validità sul resto delle protezioni...

Una conferma a quanto sopra viene da questo post,
http://www.wilderssecurity.com/showthread.php?t=179003

In sostanza:
1) un nuovo trojan (prueba) "bypassa" alcuni HIPS tra cui DefenseWall.
2) lo sviluppatore di DW prende coscienza dell'esistenza di questa nuova tecnica di provileges escalation (che chiama prueba-based injection technique)...
3) e mette una "pezza" a questa falla rilasciando un update nel giro di brevissimo.
"OK, the bypass algorithm is absolutely clear now. It is very interesting, I didn't know about this escalation method. Defense against it will be published within DefenseWall HIPS v2.0 RC2 coming really soon."


Come si vede dall'es. sopra, POSSONO CERTAMENTE ESSERE IDEATE NUOVE TECNICHE ATTE A BYPASSARE ANCHE LE DIFESE + RAFFINATE...






PS: ProSecurity, anche a questo giro di boa, è arrivato primo! :ciapet:


... il primo stadio di difesa, ovvero il controllo di Process Execution ... ben difficilmente potrà essere aggirato....

il problema dell'effettivià dell'execution control è (purtoppo) troppo legata a chi stà di fronte al monitor...(SOB)

pistolino
05-07-2007, 20:58
@ pistolino:

splendido post.

Grazie...ma di certo non ai livelli di quelli emanati dal profeta (cioè tu). :p :Prrr: ;)

Come te (o, almeno, cosi' mi sembra di aver capito...) mi trovo in TOTALE DISACCORDO con herbalist che, stavolta almeno, pare aver ca*cato fuori dal vaso.

Hai capito giusto. :)


Quello che sostiene herbalist, dunque, è vero solo LIMITATAMENTE all'execution control ma NON HA certo validità sul resto delle protezioni...

Certamente. Personalmente, però, mi fido molto anche dell'execution control. Mi spiego...se mi appare la richiesta di avvio di un processo sconosciuto, di certo non ne consento l'esecuzione. Di conseguenza, partendo dal presupposto che i processi per cui ho creato le regole di autorizzazione in white-list siano legittimi, non autorizzando quelli sconosciuti (se non nel caso in cui sia assolutamente certo che sia un eseguibile non dannoso), anche nel caso di vulnerabilità di altre componenti di monitoraggio HIPS, la sicurezza del sistema non verrebbe compromessa. :)


PS: ProSecurity, anche a questo giro di boa, è arrivato primo! :ciapet:

ProSecurity rulez. :sofico:


il problema dell'effettivià dell'execution control è (purtoppo) troppo legata a chi stà di fronte al monitor...(SOB)

Verissimo. Ma se usato con buon senso, risulta essere, a mio avviso, una barriera pressochè invalicabile basata su whitelist, che va idealmente a completare la componente blacklist la cui gestione spetta, nel mio caso, a KIS. :D

Regards

nV 25
05-07-2007, 20:59
Sul discorso di una software house formata da un unico sviluppatore..:

tanto ProSecurity quanto DefenseWall hanno proprio questa caratteristica eppure (attualmente) offrono i migliori HIPS in circolazione...

Il loro valore aggiunto credo risieda tanto nelle loro indiscusse capacità/conoscenze quanto nel supporto che gli viene fornito da certi utenti (Kenjin per ProSecurity, tanto per fare dei nomi...).

Di sicuro, cmq, il problema squisitamente finanziario è determinante...
Io, nel mio piccolo, il mio contributo l'ho dato...
(si parla peraltro di cifre miserrime UNA TANTUM e non di balzelli periodici:
se non sono soldi ben spesi questi...)

pistolino
05-07-2007, 21:03
Di sicuro, cmq, il problema squisitamente finanziario è determinante...

E' triste, ma è la realtà purtroppo. :(
Riprendendo una citazione forse riportata già sopra:

Unfortunately, quality and performance are not always the deciding factors that determine who survives. More often, it's the depth of their pockets and income from other already developed products that decide that.

Sarebbe quasi da mettere in sign. :sofico:

Riguardo SSM...sarò pessimista ma mi sembra di assistere al replay dell'epilogo di PG. :(
Spero di sbagliarmi ovviamente. :)

Regards

nV 25
05-07-2007, 21:13
..



PS: ProSecurity, anche a questo giro di boa, è arrivato primo! :ciapet:


non mi vorrei sbagliare, ma quello che forse fa la differenza è il "debug control" visto che lo ritrovo tanto qui quanto in un altro sample di rootkit testato su Wilders:

http://img77.imageshack.us/img77/7936/pstest2ig7.th.png (http://img77.imageshack.us/my.php?image=pstest2ig7.png)
http://img502.imageshack.us/img502/5893/pstest1ys9.th.png (http://img502.imageshack.us/my.php?image=pstest1ys9.png)

PS: prima di gettare allarmismi inutili sugli hips, è bene ricordare che i rootkit capaci di essere fermati in anticipo da SSM o da PG (tanto per fare 2 es di prodotti che sembrano "morti" quanto a sviluppo...), sono anni luce avanti a quanto reso possibile ad es dal KIS 6 o 7 (e qui, ci gioco quello che vi pare...)*


*anzi, ne ho la prova:

http://img510.imageshack.us/img510/8924/18212524mf2.th.png (http://img510.imageshack.us/my.php?image=18212524mf2.png)
incredibile amiSCi!
NON erano a conoscenza di questa tecnica in auge dal 2001 (semplice ricerchina su google...)?
Ma dai, incredibile...

pistolino
05-07-2007, 21:22
PS: prima di gettare allarmismi inutili sugli hips, è bene ricordare che i rootkit capaci di essere fermati in anticipo da SSM o da PG (tanto per fare 2 es di prodotti che sembrano "morti" quanto a sviluppo...), sono anni luce avanti a quanto reso possibile ad es dal KIS 6 o 7 (e qui, ci gioco quello che vi pare...)

Infatti devo dire che sinceramente avrei preferito che per la release 7 di KIS, gli sviluppatori si fossero concentrati maggiormente sulla componente HIPS del loro prodotto, introducendo funzionalità di protezione aggiuntive, magari disattivate di default per gli utenti poco esperti, anzichè introdurre il Parental Control. (fermo restando che la v7 è comunque un ottimo prodotto, cosiccome la "vecchia" v6) Spero in tutto ciò in vista della futura versione 8. Magari in un futuro non troppo lontano avremo un solo prodotto che assolverà sia i compiti di antivirus, sia quelli di difesa proattiva, e ritengo che Kaspersky abbia tutte le carte in regola * per raggiungere tale obiettivo.

UPDATE: *forse non proprio tutte. :( :sofico: (vedere post precedente :D )

Regards

nV 25
05-07-2007, 21:27
guarda la parte finale del post precedente....:eek:

:muro:

NO comment....

pistolino
05-07-2007, 21:29
Spero che grnic stesse scherzando. Come poteva far finta di non saperne nulla? :eek::stordita: :fagiano: Sarebbe comune interessante vedere quali HIPS sono in grado di intercettare la chiamata di quella API...

Regards

nV 25
05-07-2007, 21:32
di sicuro TUTTI i più famosi (PG, SSM, ProSecurity, DSA segnalato qualche post indietro, ecc...)

E da anni, anche...:asd:

Ma è incredibile.....:rolleyes:

pistolino
05-07-2007, 21:33
Riprendo il mio messaggio precedente quindi :D ...che lascino perdere il Parental Control "stile mattone Norton" e si concentrino su euristica e PDM. :rolleyes:

Regards

nV 25
05-07-2007, 21:36
quando le lessi la 1° volta pensavo che si fosse scolato una bottiglia di vodka...

Ma dove sono vissuti fino ad oggi?




Lezione:
se invece di "marcare" malware si fossero messi a studiarli un attimino di più...

PS:
e se questo quadro edificante viene dalla Kaspersky, figuriamoci come siamo messi in altre case...:D

pistolino
05-07-2007, 21:40
PS:
e se questo quadro edificante viene dalla Kaspersky, figuriamoci come siamo messi in altre case...:D

Fatti un giretto in casa Symantec con questo videuzzo segnalato sul blog di PrevX. :sofico:

http://www.youtube.com/watch?v=H8ABCQew3Wo

Addirittura lì non si blocca nemmeno l'inserimento di processi. :eek:
Poi dimmi che ne pensi. :sofico:

PS: e non erano nemmeno rookit "seri". :eek: :D

Regards

d.gordon
09-07-2007, 14:01
ciao a tutti.

ho visto che sul sito giveaway oggi c'è la possibilità di scaricare RETURNIL.

Tempo fa ho acquistato defensewall ma mi ha dato diversi problemi inoltre non è stato semplice il suo utilizzo.

Commenti su Returnil?

Potrebbe essere utile da affiancare ai soliti antivirus,antispy,firewall etc..

wizard1993
09-07-2007, 17:29
ciao a tutti.

ho visto che sul sito giveaway oggi c'è la possibilità di scaricare RETURNIL.

Tempo fa ho acquistato defensewall ma mi ha dato diversi problemi inoltre non è stato semplice il suo utilizzo.

Commenti su Returnil?

Potrebbe essere utile da affiancare ai soliti antivirus,antispy,firewall etc..

in parole povere è un un programma che crea un sistema virtuale copia di quello originale nel quale tutte le modifiche importanti come driver e reg vengono perse al riavvio; come succedeva sui palmari con solo memoria volatile

juninho85
09-07-2007, 21:52
in parole povere è un un programma che crea un sistema virtuale copia di quello originale nel quale tutte le modifiche importanti come driver e reg vengono perse al riavvio; come succedeva sui palmari con solo memoria volatile
io per ora sto utilizzando powershadow e sono soddisfatissimo,peccato non funga per i SATA

nV 25
10-07-2007, 18:11
..Tempo fa ho acquistato defensewall ma mi ha dato diversi problemi ..
del tipo? :mbe:

..inoltre non è stato semplice il suo utilizzo...
:wtf:

Cioè? :mbe:

pistolino
11-07-2007, 18:59
Curiosità personale: anche ProSecurity (cosiccome la release 3410 di PG e tutte le versioni di SSM, e presumo anche altri HIPS) utilizza la tecnica del kernel mode memory patch? Questo è il verdetto che KIS segnala come keylogger quando si installano certi HIPS, come quelli citati appunto.
Ovviamente io, usando SSM, l'ho aggiunto alla Zona attendibile. Anche perchè oltre al keylogger, KIS7 mi segnala Syssafe.exe addirittura come rootkit. :rotfl:
OK che la tecnica e il comportamento sono probabilmente simili a quelli utilizzati dai keylogger e da alcuni rootkit, e che utilizzando la Trusted Zone si risolve tutto, però alla Kaspersky potrebbero eliminare questi "falsi positivi" eh? :mc:

O ci sono altre ragioni dietro? :confused:

Ecco un thread a riguardo: http://forum.kaspersky.com/index.php?showtopic=21949

Regards

nV 25
11-07-2007, 19:46
...anche ProSecurity ...
Questo è il verdetto che KIS segnala come keylogger ...
Ovviamente io, usando SSM, l'ho aggiunto alla Zona attendibile....

http://img170.imageshack.us/img170/5335/65060772lv2.th.png (http://img170.imageshack.us/my.php?image=65060772lv2.png)

:)

alla Kaspersky potrebbero eliminare questi "falsi positivi" eh? :mc:

O ci sono altre ragioni dietro?
non sono FP ma "comportamenti", ecco perchè NON possono essere eliminati se non con la Trusted Zone...

Sul discorso dell'hidden di syssafe, bè:
ricordo una discussione su sysinternals in proposito (EP_X0FF distruggeva sostanzialmente SSM per il fatto che hookasse tutta la SSDT, e forse da li' l'avviso del KIS, ma a prescindere da quale che sia la causa, nulla di pericoloso almeno in questo caso...
EDIT: ho trovato il link, http://forum.sysinternals.com/forum_posts.asp?TID=9205&KW=system+safety+monitor)

Il link che hai postato, poi, NON c'entra nulla con il tuo caso.
Se leggi meglio, il "tizio" lamentava problemi per SSM + AVP per il fatto che NON aveva attribuito permessi corretti al processo AVP stesso e (se non ricordo male..) non erano tanto problemi di "memoria" come quelli da cui siamo partiti in questo post ma di "inject"...


PS: edita l'immagine, pls... LOL

pistolino
11-07-2007, 20:02
Chiarissimo come sempre e immagine rimossa. :) Grazie. ;)

Regards

pistolino
11-07-2007, 21:21
For me are enough M$ backdoors and bugs. Think your private data is only ours and really private? No, no, it is shared with SSM and its server, . And you can't do nothing with this

E' un'affermazione pesante e significativa...trova conferma nella realtà? :eek:

Regards

nV 25
12-07-2007, 17:57
Visto che nn ho i privilegi per aprire un thread ufficiale, scrivo qua la mia recensione su Dynamic System Agent, che secondo me è un ottimo prodotto...

allora, a conferma delle tue impressioni vengono i risultati di un tizio molto, molto capace (che, non a caso, ha collaborato (collabora?) con Kareldjag, semplicemente un gran tester...) :)

http://www.wilderssecurity.com/showthread.php?t=179889

Il verdetto è reperibile direttamente a questo link: http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/final_verdict.htm

http://img65.imageshack.us/img65/5842/complessivojj1.png

VERY GOOD, cmq, e a costo 0... :read:.





L'interpretazione (in particolare..) dell'ultimo dato, contrassegnato da un rett. rosso e indicato dalla freccia, NON può però prescindere dalla lettura di questo passo del lavoro di nicM (:ave: ):


"The scenario is easy to understand, according to the behaviour of the few samples tested here : HIPS can prevent their malware to install; by blocking service/driver install, what prevents rootkits install, for example. The idea is then to 'break' this function of the HIPS : If the bad guys can't leap over the wall, the workaround they've found is to break, to destroy this wall.

By unhooking all kernel-mode hooks, they silently anaesthetize the HIPS running, which can't intercept any activity anymore on the system, since it is now blind, deaf, and dumb (no prompts will inform the user, since nothing can be detected).

Thus, this looks like a new threat, and a serious one....

we've got few alerts sometimes, about attempt by a process to 'debug another process'; never during the tests with unhookers, though... This debug protection does need improvements.

However, DSA is not to be blamed on this point, since most HIPS currently available do wretchedly fail against these threats (big players of this market, too, although I won't name these)...except very few ones - really very few.

And DSA does have one advantage over some other HIPS : It is not blinded whenever one of this 'unhooker malware' happens to run, thanks to the layered protection strategy used : If kernel hooks are removed, user-mode hooks allow it to stay 'alive'. The link between the two kinds of hooks is very well implemented in DSA - and proved useful. The fact that it runs hidden on the system (its .dll is hidden, to prevent tampering or shutdown by malwares) is another clever strategy used to insure its resistance whenever malware is running."

:)

nV 25
12-07-2007, 18:08
PS:

sarebbe utile (imo, almeno...) riaprire un nuovo thread in cui inserire le diverse "novità" (di prodotti o altro...) emerse in quest'ultimo anno:
tutto si è un pò disperso nel corso del thread rendendo la lettura difficile (?), anche perchè il 1° post, quello che dovrebbe servire come "sintesi", è diventato un pò come una coperta corta:

se tiro da una parte, scopro l'altra...
Non c'entra + una foto, nulla di nulla, insomma....


Altro neo?
Non ho reinstallata nessuna VM...

nispo
12-07-2007, 18:11
allora, a conferma delle tue impressioni vengono i risultati di un tizio molto, molto capace (che, non a caso, ha collaborato (collabora?) con Kareldjag, semplicemente un gran tester...) :)

http://www.wilderssecurity.com/showthread.php?t=179889

Il verdetto è reperibile direttamente a questo link: http://membres.lycos.fr/nicmtests/Dynamic-Security-agent-tests/final_verdict.htm

http://img65.imageshack.us/img65/5842/complessivojj1.png

VERY GOOD, cmq, e a costo 0... :read:.





L'interpretazione (in particolare..) dell'ultimo dato, contrassegnato da un rett. rosso e indicato dalla freccia, NON può però prescindere dalla lettura di questo passo del lavoro di nicM (:ave: ):


"The scenario is easy to understand, according to the behaviour of the few samples tested here : HIPS can prevent their malware to install; by blocking service/driver install, what prevents rootkits install, for example. The idea is then to 'break' this function of the HIPS : If the bad guys can't leap over the wall, the workaround they've found is to break, to destroy this wall.

By unhooking all kernel-mode hooks, they silently anaesthetize the HIPS running, which can't intercept any activity anymore on the system, since it is now blind, deaf, and dumb (no prompts will inform the user, since nothing can be detected).

Thus, this looks like a new threat, and a serious one....

we've got few alerts sometimes, about attempt by a process to 'debug another process'; never during the tests with unhookers, though... This debug protection does need improvements.

However, DSA is not to be blamed on this point, since most HIPS currently available do wretchedly fail against these threats (big players of this market, too, although I won't name these)...except very few ones - really very few.

And DSA does have one advantage over some other HIPS : It is not blinded whenever one of this 'unhooker malware' happens to run, thanks to the layered protection strategy used : If kernel hooks are removed, user-mode hooks allow it to stay 'alive'. The link between the two kinds of hooks is very well implemented in DSA - and proved useful. The fact that it runs hidden on the system (its .dll is hidden, to prevent tampering or shutdown by malwares) is another clever strategy used to insure its resistance whenever malware is running."

:)

ti ringrazio, mi sei stato molto utile. se hai altre info nn esitare. Cmq antivir e dsa insieme fanno faville. purtroppo manca l'antyspy, da decidere cosa mettere tra terminator e super. per il resto a posto. Come una suite di tutto rispetto:stordita: :stordita:

pistolino
12-07-2007, 19:10
Interessante questo DSA...potrei decidere di provarlo. :)
Chissà come starebbe assieme a KIS7... :D

Regards

juninho85
12-07-2007, 20:37
...e dopo safens'sec e system safety monitori proviamo anche questo qua!:D

juninho85
12-07-2007, 20:40
PS:

sarebbe utile (imo, almeno...) riaprire un nuovo thread in cui inserire le diverse "novità" (di prodotti o altro...) emerse in quest'ultimo anno:
tutto si è un pò disperso nel corso del thread rendendo la lettura difficile (?), anche perchè il 1° post, quello che dovrebbe servire come "sintesi", è diventato un pò come una coperta corta:

se tiro da una parte, scopro l'altra...
Non c'entra + una foto, nulla di nulla, insomma....

...e allora che aspetti?!:O :D

meolag
13-07-2007, 07:14
Scusate, quindi DSA potrebbe essere migliore di altri HIPS (tipo SSM free).

Qualcuno, ho letto, lo ha gia' provato con buoni risultati, dovendo sostituire Arovax Shield, ed avendo avuto problemi con SSM free, potrebbe essere una valida alternativa?

pistolino
13-07-2007, 08:12
DSA sembra essere migliore di SSM, non tanto (e non solo) per i risultati ottenuti in quel test segnalato da nV 25, quanto piuttosto per il modo in cui è stato concepito. Tra la DLL nascosta, e gli hooks a doppio livello (sia kernel ring-0, sia in user mode) dovrebbe essere più "robusto" di molti altri HIPS.
Questa la mia interpretazione, ma posso aver sempre capito male. ;)

Regards

nispo
13-07-2007, 08:53
Dsa è un firewall che monitora le applicazioni e nn le porte come gli altri, per questo è efficace in quei test. Io ne sono molto contento primo perchè le porte le monitoro con il router, quindi mi basta dsa, poi perchè è free ed è leggerissimo. L'installer pesa 1mb e il processo nel task è solo 10mb. Mi sembra strano che lo usi soltanto io.

pistolino
13-07-2007, 09:12
Sinceramente la parte firewall è quella che mi interessa di meno, dato che quel compito lo delego al firewall di KIS7 e al filtro SPI+NAT del router. A me interesserebbe più che altro capire se DSA è valido dal punto di vista di analisi comportamentale. ;)

Regards

nispo
13-07-2007, 09:17
Sinceramente la parte firewall è quella che mi interessa di meno, dato che quel compito lo delego al firewall di KIS7 e al filtro SPI+NAT del router. A me interesserebbe più che altro capire se DSA è valido dal punto di vista di analisi comportamentale. ;)

Regards

l'analisi è il suo compito, fa praticamente solo quello, ma credo che con il kis ci siamo problemi. nn credo che vadano d'accordo. Cmq bisognerebbe provare

wizard1993
13-07-2007, 12:28
l'analisi è il suo compito, fa praticamente solo quello, ma credo che con il kis ci siamo problemi. nn credo che vadano d'accordo. Cmq bisognerebbe provare

sei perspicace, il kis 7 con l'euristica al massimo spacca dsa ancor prima che l'hips sia partito

nV 25
13-07-2007, 13:23
...il kis 7 con l'euristica al massimo spacca dsa ancor prima che l'hips sia partito

se l'euristica "leggesse" un'anomalia in un file è probabile che sia vera la tua affermazione per lo meno SOTTO UN PROFILO TEMPORALE (= file "spento"-> l'euristica "fiuta" l'anomalia -> STOP: il file è isolato e festa finita, l'hips non entra in gioco...)


Per i Rootkit (ma non solo, imo...), l'unica garanzia sono gli HIPS (e, come si è visto specie negli ultimi post, talvolta nemmeno quelli SE non vengono aggiornati dagli sviluppatori...)
Non fare quindi troppo affidamento neppure su quella del Kav (parlo della sua euristica...) visto che è si buona ma lontana dall'essere perfetta...


Cmq sia, anche in questo caso (di DSA), non credo proprio che la software house in questione abbia la presunzione di dire:
"o, utilizzate SOLO DSA che rimpiazza tutto il resto"...

Sanno bene, infatti, che una COMBINAZIONE di prodotti DIVERSI (tipologicamente parlando...) è l'unico canale per realizzare difese più moderne e capaci di combattere contro le nuove tipologie di malwares....

E, chiaramente, propongono la loro soluzione come il complemento IDEALE per affrontare questa sfida...

Per di più, DSA (o gli altri...) NON SONO Antivirus, per cui il paragone non regge già in partenza...

pistolino
13-07-2007, 16:59
sei perspicace, il kis 7 con l'euristica al massimo spacca dsa ancor prima che l'hips sia partito

L'euristica di KIS non mi ha entusiasmato granchè a dire il vero. E' vero che rileva un buon 20-30% di malwares senza l'ausilio delle definizioni antivirus (almeno stando ai test condotti da AV-Comparatives), però genera anche molti false positives. :mc:

Detto in altre parole, non ho apprezzato molto la strategia seguita da Kaspersky nel realizzare la versione 7 di KIS. Al posto del Parental Control e dell'euristica (aggiunti secondo me solo per far "bella figura" con la concorrenza [leggasi NOD32, ad esempio ;) ]), avrei preferito che si fossero dedicati al miglioramento della componente HIPS, attualmente presente, che non ha subito grossi cambiamenti rispetto a quanto visto con la versione 6. :rolleyes: (se si escludono il rilevamento di keylogger e hidden data sendings migliorato).

Per queste ragioni, ritengo che KIS da solo non possa sostituire un valido HIPS. ;)
Attualmente utilizzo SSM Pro, anche se vorrei provare anche DSA, sperando che non abbia problemi a funzionare assieme a Kaspersky. :mc:

Regards

pistolino
13-07-2007, 17:21
DSA provato in virtual machine. Risultato: va in conflitto con il Proactive Defense di KIS. In particolare, quest'ultimo, dopo l'installazione di DSA, arriva a segnalare continuamente come invaders molti processi legittimi (svchost, services.exe etc...), costringendo quindi a disabilitare il PDM di KIS.
In sintesi, non posso usarlo. :mc: :cry: Ed era pure free. :fagiano: Speriamo risolvano queste incompatibilità, anche se lo sviluppo del prodotto mi sembra un po' lento. :doh:

Regards

nV 25
13-07-2007, 18:23
Peccato davvero...

Visto che hai cmq la licenza per SSM Pro, non mi farei più di tanti problemi... :)

nispo
13-07-2007, 18:39
DSA provato in virtual machine. Risultato: va in conflitto con il Proactive Defense di KIS. In particolare, quest'ultimo, dopo l'installazione di DSA, arriva a segnalare continuamente come invaders molti processi legittimi (svchost, services.exe etc...), costringendo quindi a disabilitare il PDM di KIS.
In sintesi, non posso usarlo. :mc: :cry: Ed era pure free. :fagiano: Speriamo risolvano queste incompatibilità, anche se lo sviluppo del prodotto mi sembra un po' lento. :doh:

Regards

quello che dicevo infatti

nispo
13-07-2007, 18:39
Peccato davvero...

Visto che hai cmq la licenza per SSM Pro, non mi farei più di tanti problemi... :)

infatti, cmq per chi nn ha nulla come me, dsa va benone insieme ad antivir

nispo
13-07-2007, 18:42
L'euristica di KIS non mi ha entusiasmato granchè a dire il vero. E' vero che rileva un buon 20-30% di malwares senza l'ausilio delle definizioni antivirus (almeno stando ai test condotti da AV-Comparatives), però genera anche molti false positives. :mc:

Detto in altre parole, non ho apprezzato molto la strategia seguita da Kaspersky nel realizzare la versione 7 di KIS. Al posto del Parental Control e dell'euristica (aggiunti secondo me solo per far "bella figura" con la concorrenza [leggasi NOD32, ad esempio ;) ]), avrei preferito che si fossero dedicati al miglioramento della componente HIPS, attualmente presente, che non ha subito grossi cambiamenti rispetto a quanto visto con la versione 6. :rolleyes: (se si escludono il rilevamento di keylogger e hidden data sendings migliorato).

Per queste ragioni, ritengo che KIS da solo non possa sostituire un valido HIPS. ;)
Attualmente utilizzo SSM Pro, anche se vorrei provare anche DSA, sperando che non abbia problemi a funzionare assieme a Kaspersky. :mc:

Regards

Anche secondo me l'euristica del 7 nn è un gran che. Certo meglio del 6, in cui nn c'era, però ancora lontana da quella di antivir, nod e bitdefender

nV 25
13-07-2007, 20:25
dissento solo sul discorso degli alti falsi positivi del Kav7...

L'euristica, cmq , non è uno dei temi di questo thread pur essendo un elemento fondamentale....:)


Per ritornare a DSA, ricordiamoci che è un software freeware e che, come tale, dovrebbe essere confrontato solo con soluzioni equivalenti e non con le versioni commerciali che, notoriamente, sono molto più ricche di funzionalità rispetto alle loro trasposizioni gratuite.
(Che poi DSA, nella sua versione + recente, abbia tecnologie che talvolta fanno invidia a programmi + blasonati, è un altro paio di maniche per quanto quest'aspetto non sia proprio cosi' marginale...)



Da quel poco che ho visto, se proprio si volesse stilare una sorta di classifica quanto ad efficacia degli hips di tipo behaviour blocker gratuiti, ne verrebbe fuori una cosa di questo tipo:


DSA
SSM
ProSecurity
Process Guard


Ricordiamoci anche che questi strumenti sono per lo più orientati a persone che vogliano barcamenarsi in pop-up e compagnia, il che li taglia fuori dalla stragrande (?) maggioranza della massa.

Per questi ultimi, SOLO un Sandbox può fare al caso loro...

Altrimenti, si va su un COMUNITY-HIPS come Prevx che vive sul concetto di "comunità" come fonte da cui attingere informazioni relative a determinati file/comportamenti e che, più che altro, oltre che essere probabilmente altrettanto efficace, si colloca a metà strada tra un behaviour blocker puro e un Sandbox in termini di difficoltà di gestione....

nispo
13-07-2007, 21:35
dissento solo sul discorso degli alti falsi positivi del Kav7...

L'euristica, cmq , non è uno dei temi di questo thread pur essendo un elemento fondamentale....:)


Per ritornare a DSA, ricordiamoci che è un software freeware e che, come tale, dovrebbe essere confrontato solo con soluzioni equivalenti e non con le versioni commerciali che, notoriamente, sono molto più ricche di funzionalità rispetto alle loro trasposizioni gratuite.
(Che poi DSA, nella sua versione + recente, abbia tecnologie che talvolta fanno invidia a programmi + blasonati, è un altro paio di maniche per quanto quest'aspetto non sia proprio cosi' marginale...)



Da quel poco che ho visto, se proprio si volesse stilare una sorta di classifica quanto ad efficacia degli hips di tipo behaviour blocker gratuiti, ne verrebbe fuori una cosa di questo tipo:


DSA
SSM
ProSecurity
Process Guard


Ricordiamoci anche che questi strumenti sono per lo più orientati a persone che vogliano barcamenarsi in pop-up e compagnia, il che li taglia fuori dalla stragrande (?) maggioranza della massa.

Per questi ultimi, SOLO un Sandbox può fare al caso loro...

Altrimenti, si va su un COMUNITY-HIPS come Prevx che vive sul concetto di "comunità" come fonte da cui attingere informazioni relative a determinati file/comportamenti e che, più che altro, oltre che essere probabilmente altrettanto efficace, si colloca a metà strada tra un behaviour blocker puro e un Sandbox in termini di difficoltà di gestione....

concordo su tutto.

nV 25
13-07-2007, 21:40
concordo su tutto.
:)

A proposito di ProSecurity (full...),

http://img291.imageshack.us/img291/5876/lolbi6.th.png (http://img291.imageshack.us/my.php?image=lolbi6.png)

:yeah:

PS:
alcune cose non so neppure cosa siano &/o a che servano...:stordita:

ADAM
14-07-2007, 10:24
Mi fate una consulenza? PEnso di si, passo a chiedere:

Ho AntiVir free e Comodo. Poi uso di tanto in tanto (visto che li ho installati) Hijackthis, A3 e ad--aware.
SSM e DSA hanno la stessa funzione?
DSA e' compatibile o da' problemi con i programmi che ho gia' installati?

Non sono molto tecnico, questa discussione (che non ho letto tutta) l'ho capita a grandi linee.

GRAZIE delle risposte e della pazienza.

GogetaSSJ
14-07-2007, 10:53
Ancora nessun HIPS compatibile con vista x32? :(

Blue Spirit
14-07-2007, 14:16
Mi fate una consulenza? PEnso di si, passo a chiedere:

Ho AntiVir free e Comodo. Poi uso di tanto in tanto (visto che li ho installati) Hijackthis, A3 e ad--aware.
SSM e DSA hanno la stessa funzione?
DSA e' compatibile o da' problemi con i programmi che ho gia' installati?

Non sono molto tecnico, questa discussione (che non ho letto tutta) l'ho capita a grandi linee.

GRAZIE delle risposte e della pazienza.

a me interesserebbe sapere se DSA funziona anche con un account user(anzichè solo con administrator come mi sembra di aver capito) e se in fase di registrazione si "beve" anche un indirizzo email tarocco:fagiano:

nV 25
14-07-2007, 19:00
...
Ho AntiVir free e Comodo....
SSM e DSA hanno la stessa funzione?
DSA e' compatibile o da' problemi con i programmi che ho gia' installati?

Ascolta:

per quanto riguarda la scelta tra DSA e SSM Free, bè, fai te.
Credo cmq che DSA sia un pò più semplice da utilizzare.
Di sicuro, invece, è più recente di SSM il che potrebbe renderlo preferibile per tutta una serie di motivi.....

Per quanto riguarda la sua compatibilità, con Antivir credo non vi siano problemi mentre per il discorso di Comodo onestamente non so rispondere in quanto DSA fa anche da Firewall...


@ GogetaSSJ:
PrevX, Geswall 2.6...


@ Blue Spirit:
non ne ho idea....
Di sicuro lo devi installare da amministratore...

GogetaSSJ
14-07-2007, 21:29
Ascolta:

per quanto riguarda la scelta tra DSA e SSM Free, bè, fai te.
Credo cmq che DSA sia un pò più semplice da utilizzare.
Di sicuro, invece, è più recente di SSM il che potrebbe renderlo preferibile per tutta una serie di motivi.....

Per quanto riguarda la sua compatibilità, con Antivir credo non vi siano problemi mentre per il discorso di Comodo onestamente non so rispondere in quanto DSA fa anche da Firewall...


@ GogetaSSJ:
PrevX, Geswall 2.6...


@ Blue Spirit:
non ne ho idea....
Di sicuro lo devi installare da amministratore...

Tra i 2 quali mi consigli su windows vista? Tenendo conto che uso KIS7.

Ora sto provando Prevx2.0 in versione di prova, funziona in modo illimitato fino a che non trova qualche "pericolo". Però boh, mi sembra troppo automatico, preferirei smanettarci un pò per sapere effettivamente che cosa sta combinando il sistema (vengo da Processguard)

Preferirei un programma freeware, quindi sarei propenso per Geswall 2.6 freeware.
Avrò un buon grado di protezione senza appesantire molto il sistema?

Grazie in anticipo ;)

nV 25
14-07-2007, 21:44
Tra i 2 quali mi consigli su windows vista? Tenendo conto che uso KIS7.

Ora sto provando Prevx2.0 in versione di prova, funziona in modo illimitato fino a che non trova qualche "pericolo". Però boh, mi sembra troppo automatico, preferirei smanettarci un pò per sapere effettivamente che cosa sta combinando il sistema (vengo da Processguard)

Preferirei un programma freeware, quindi sarei propenso per Geswall 2.6 freeware.
Avrò un buon grado di protezione senza appesantire molto il sistema?

Grazie in anticipo ;)
eheheh...

Sullo smanettare ti capisco perfettamente:
sei affetto dalla mia stessa sindrome...:D

PS:
se con Prevx smanetti poco, con GesWall smanetti ZERO visto che tutto è in via automatica...:p
E' peraltro un ottimo prodotto, dalla pesantezza miserrima...