Quasi quasi provo questo geswall, nella speranza che almeno mi dica se voglio o meno avviare/proteggere un software, cosa che prevx non mi consente di fare (a meno che non ci sia qualche modalità che sblocchi la configurazione manuale).

Ti farò sapere :D

Ps: Prevx non mi da un senso di sicurezza, forse xkè non sono io ad interagire con il software.... ho paura e lo tolgo subito :D

Geswall mi ha sempre incuriosito ma ho desistito dal provarlo dopo aver letto questa recensione: http://www.techsupportalert.com/security_virtualization.htm
sottolineo che la versione presa in esame è la 2.2.5 quindi obsoleta
Ciao
edit: che ne pensate di BufferZone

Quasi quasi provo questo geswall, nella speranza che almeno mi dica se voglio o meno avviare/proteggere un software...

se non erro, nemmeno quello (come DefenseWall, del resto...) visto che anche questa fase è automatizzata (nei limiti cmq di quelle che sono le applicazioni + comuni contenute nel suo database, un disceto numero, cmq...) :ciapet:

Geswall mi ha sempre incuriosito ma ho desistito dal provarlo dopo aver letto questa recensione: http://www.techsupportalert.com/security_virtualization.htm
sottolineo che la versione presa in esame è la 2.2.5 quindi obsoleta
Ciao
edit: che ne pensate di BufferZone

bufferzone mai provato e cmq ho letto troppo poco su questo software...


PS:
Geswall dalla v.2.2.x alla 2.6 è cambiato mooolto....
Probabilmente hanno fatto tesoro anche delle lacune mostrate dalle prove di Gizmo...

Permettetemi poi di postare un'immagine di una cosa che ho notato giusto poco fà:

http://img518.imageshack.us/img518/8196/11422515vr9.png
(il 1° dato è il n° di risposte, il 2° il n° di contatti....)


Bè, gente:
semplicemente sono STRA-SUPER-FELICE. :yeah:

Ma più che altro, spero che aver rotto le °° cosi' a lungo abbia permesso a qualcuno di "sentirsi" più sicuro.
Sarebbe semplicemente la più grande vittoria che potessi ottenere (in ambito Pc, ovviamente..)

Per stasera è tutto.
Alla PROX! :)

nv,scherzi a parte penso che in pochi(me compreso)prima di questo thread fosse a conoscenza di questa tipologia di programmi;)

nv,scherzi a parte penso che in pochi(me compreso)prima di questo thread fosse a conoscenza di questa tipologia di programmi;)

Straquoto ;)

Tornando a noi, sto provando Geswall ma non ho capito una cosa... devo decidere io se avviare un programma in modalità isolata o meno?
Perchè stavo seguendo un tutorial proposto nel loro sito, nel quale dicono di usare Advance process termination (della DiamondCS) per killare un'applicazione... e ci riesce tranquillamente :mbe:
Solo se lo avvio in modalità isolata non combina nulla.
Inoltre se seguo il tutorial che mi fa avviare lo script vbs, ottengo un bellissimo BSOD :muro:

Io pensavo che seguisse la linea di ProcessGuard, ad ogni applicazione mi chiedeva se avviarla o meno e con quali caratteristiche. Con questo bisogna starci + attenti o sbaglio?

Vi lascio con questo quesito, a domani e buona notte a tutti!:fagiano:

come semplicità d'uso per la "difesa" personale cosa suggerisci....da premettere che il kav 6 con il suo pdm che chiede sempre che deve fare per me è già invasivo...

OT: http://www.diamondcs.com.au/freeutilities/apt.php

Sbaglio o la grafica del sito DiamondCS in quella pagina è cambiata? :eek:

/OT

Regards

Straquoto ;)

Tornando a noi, sto provando Geswall ma non ho capito una cosa... devo decidere io se avviare un programma in modalità isolata o meno?
Perchè stavo seguendo un tutorial proposto nel loro sito, nel quale dicono di usare Advance process termination (della DiamondCS) per killare un'applicazione... e ci riesce tranquillamente :mbe:
Solo se lo avvio in modalità isolata non combina nulla.
Inoltre se seguo il tutorial che mi fa avviare lo script vbs, ottengo un bellissimo BSOD :muro:

Io pensavo che seguisse la linea di ProcessGuard, ad ogni applicazione mi chiedeva se avviarla o meno e con quali caratteristiche. Con questo bisogna starci + attenti o sbaglio?

Vi lascio con questo quesito, a domani e buona notte a tutti!:fagiano:

Mi permetto di suggerirti un paio di HIPS "puri", partendo dal fatto che provieni da Process Guard, programma che ho avuto modo di usare per diversi mesi. ;)

Se non utilizzi KIS, consiglierei di provare DSA. (non metterlo assieme a KIS...ci sono problemi insormontabili al momento, in seguito a conflitti tra DSA e il PDM di KIS). Altrimenti potresti provare ProSecurity o System Safety Monitor.

Tutti i tre programmi citati poco sopra chiedono il consenso per avviare ogni singolo processo, a patto di disabilitare il learning mode...mi pare ovvio. :D

Regards

Mi sembra che nessuno dei programmi da te citati sia compatibile con windows vista, o sbaglio?:stordita:
Magari potessi usarli :(

OT: ...

Sbaglio o la grafica del sito DiamondCS in quella pagina è cambiata? :eek:

qualche movimento effettivamente sembrerebbe esserci:
chissà, forse hanno terminato il (lungo..) periodo di Sabba...:sperem:


Pur essendo TOTALMENTE soddisfatto da ProSecurity (anche questo, una perla nel panorama della programmazione di basso livello...), attendo con ansia sviluppi:
non trovavo giusto infatti che menti cosi' brillanti fossero disperse cosi', dall'oggi al domani, senza un "saluto"....:cry:

@ GogetaSSJ:
sul discorso "devo decidere io se avviare un programma in modalità isolata o meno?", bè, no:
se non ricordo male, infatti, GW ha un database interno di software che vengono automaticamente fatti partire ISOLATI.

E' richiesto solo un assenso per l'iterazione prodotta dal programma isolato.

es.
voglio navigare->
apro ie/Firefox->
i browser partono in modalità isolata->
scarico un .exe->
faccio per eseguirlo->
GW richiede l'intervento dell'utente:
"vuoi che l'exe venga eseguito a sua volta in modalità protetta o gli faccio fare quello che gli pare, senza nessun tipo di restrizione?"

E' evidente che nel 1°caso la protezione si estende anche all'iterazione, nel 2° nada...

Sandboxie, invece, fà partire isolato un programma SOLO SE ESPRESSAMENTE RICHIESTO dall'utente (è facile capire come questa politica sia "particolare"...)

sempre a gogeta:

sul discorso di APT della DiamondCS, ho guardato sul sito di Geswall:
http://www.gentlesecurity.com/blog/index.php?title=advanced_process_termination

Francamente non mi è molto chiaro se fanno partire APT in modalità isolata (nel qual caso, deve per forza bloccarne le "tecniche"..) o se invece testassero il software lanciando APT senza restrizioni (ma in questo caso, che senso avrebbe questo tipo di test visto che un Sandbox o quello che è ha come finalità l'ISOLARE AUTOMATICAMENTE LE ITERAZIONI DI UNA NAVIGATA, di una mail ecc...??) :mbe:


Per es:
se prendiamo gli screen su wilders di alcuni test fatti con real malwares (rootkit in questo caso...), chi lo fa LI SCARICA (da un ambiente isolato, un browser..) e LI FA' PARTIRE ISOLATI:
http://img526.imageshack.us/img526/8039/89549379ov9.png

Ecco il 2° es:
http://img526.imageshack.us/img526/7136/46497862wn7.png

Il caso contrario non avrebbe senso (almeno secondo me, si intende...)


Fai cmq le tue prove e, se puoi, facci sapere che sono curioso...
E' possibilissimo peraltro che abbia detto sane caz°°°°....

Ma allora DSA funziona anche da firewall.

Quindi non e' possibile utilizzarlo con COMODO. Ma nella descizione del software non viene evidenziata la funzione firewall.

" Breakthrough Features for Ultimate Malware and Intrusion Defense!

Features ―
Dynamic Security Agent is a signature-less, anti-malware and desktop defense application comprised of several distinct technology layers designed to block or mitigate the damage caused by intrusion, virus and other malware attacks. DSA features the following layers of defense technology:

- Application Monitor/Manager
- Registry Monitor
- Process Monitor/Manager
- Email Anomaly Analyzer/Manager
- System Anomaly Analyzer


DSA also detects malware and intrusions based on behaviors characteristic of unauthorized system use. Some of these include:

- Attempts to access a protected registry area
- Attempts to access a protected object
- Attempts to Initiate a foreign process
- Attempts to control Windows service
- Attempts to create a DNS request
- Attempts to initiate outgoing TCP traffic

Dynamic Security Agent (DSA) ― the proactive, multi-layered defense solution for Windows desktops and servers. Get DSA today ― it's FREE for personal and non-commercial use! "

" General Capabilities ―
DSA’s layered approach to PC and enterprise endpoint defense addresses the Windows vulnerabilities and progressive techniques that hackers exploit to gain unauthorized system access and deliver malicious payloads. DSA provides Application Security by providing detailed alerts for incoming and outgoing application-specific Internet traffic. DSA also models and monitors system behavior to identify and block activity characteristic of known malware, hacking, phishing and other threat types so that personal computer users and IT managers within small, medium or large organizations can more effectively and proactively protect the environments and private data for which they are responsible.

Although DSA will detect, block and quarantine known and new forms of malicious software and other threats, it does not remove the malware. DSA is therefore an ideal complement to conventional virus and spyware scanning software as well as personal and server firewall applications. Neither DSA nor any other single layer of protection should be solely relied on to protect your system. DSA enables you to be aware of the activity on your computer and detects, blocks and alerts you to suspicious activity. These days, what seems normal online (a greeting card, banking site, attachment, etc.) may not be. DSA enables you to be aware, cautious and better protected.

Windows OS Exploits ―
For example, the WMF exploit allows a hacker to gain unauthorized access to your computer. In this scenario, a compromised/attack computer will send you a graphical file with the trusted extension “.wmf”. Internet Explorer will identify this legitimate file extension and will instruct the operating system to process it. Here’s where it all goes wrong. The file will in turn invoke another process, (which typically has an unusual name, i.e. a.exe). DSA will detect and block this “untrusted” process and generate an alert.

Malware: Virus, Spware, Trojan and Worm Defense ―
Viruses, Spyware, Trojans and Worms are all forms of malware that replicate, spread, steal personal information, and inflict damage to computers. DSA detects activity characteristic of malware infection such as attempts to access protected file objects, execution of WinAPI functions, and initiation of unknown processes, among others. Once detected, DSA blocks and quarantines the malware and alerts you of the security incident.

Rootkit Defense ―
By simple definition, a rootkit is a collection of software tools that an intruder can install on a computer to execute whatever criminal activity they have in mind. Rootkits are a particularly tricky form of malware to detect and defend against, as they are nearly invisible to most types of systems monitoring software. They allow an attacker to execute malicious programs invisibly as the rootkit is able to conceal files, running processes, and/or system data. Rootkits are a growing problem ― According to Microsoft, approximately 20 percent of the malware deleted by its malicious software removal tool are rootkits.

DSA can guard against rootkit-related attacks on a number of levels. DSA can detect when a rootkit is being installed by identifying when a registry key value is being modified. DSA can also detect rootkit activity based on the process, WinAPI call or executable that is launched as an output of the rootkit’s payload.

Hacker Defense ―
Hackers are criminals that leverage system vulnerabilities, social engineering, and other techniques to break into computer systems for the purpose of amusement, theft, vandalism, or other crime. DSA prevents hacker attacks by restricting access to unauthorized areas of your computer and controlling the manner in which applications, processes, and other system features operate. In addition, DSA provides additional layers of protection though system and email anomaly detection components that baseline normal computer operation and detect unacceptable deviations from typical use caused by intrusion (hackers) and viruses, spyware and other forms of malware. Hackers and their techniques continually evolve and become more effective at hiding. No security solution provides 100% protection from attacks, but DSA offers unique capabilities focused on deviations of typical behavior and can therefore adapt and evolve along with the threats themselves. "

Scusate, chi sa dove questa funzione viene descritta.

come ho detto più di una volta dsa è un firewall, ma particolare. Monitora il tcp in ingresso, ma per il resto lui tiene d'occhio le applicazioni e nn le porte come gli altri firewall.

- Attempts to create a DNS request
- Attempts to initiate outgoing TCP traffic
questo mi dice che fa da firewall; comunque non dirmi che è un firewall particolare; perchè a quel punto potrei considerare come tale anche appdefend che implemeta una funzione di controllo per le connsessioni o asquared antimalware

- Attempts to create a DNS request
- Attempts to initiate outgoing TCP traffic
questo mi dice che fa da firewall; comunque non dirmi che è un firewall particolare; perchè a quel punto potrei considerare come tale anche appdefend che implemeta una funzione di controllo per le connsessioni o asquared antimalware

Ergo, non credo possa convivere con COMODO o altri firewall.

Ergo, non credo possa convivere con COMODO o altri firewall.

con jetico va a meraviglia; così come ci va appdefend stesso vale per comodo

con jetico va a meraviglia; così come ci va appdefend stesso vale per comodo

Quindi l'hai provato con COMODO e funziona.

- Attempts to create a DNS request
- Attempts to initiate outgoing TCP traffic
questo mi dice che fa da firewall; comunque non dirmi che è un firewall particolare; perchè a quel punto potrei considerare come tale anche appdefend che implemeta una funzione di controllo per le connsessioni o asquared antimalware

io nn lo considero u firewall come gli altri in commercio, nn controllando le porte. se nn hai un firewall hardware io nn lo metterei da solo

io nn lo considero u firewall come gli altri in commercio, nn controllando le porte. se nn hai un firewall hardware io nn lo metterei da solo

per controllare le porte in entrata ti assicuro che wwdc + xp2 sp2 fw sono più che sufficenti

Ergo, non credo possa convivere con COMODO o altri firewall.

io li sto utilizzando assieme e non noto anomalie

per controllare le porte in entrata ti assicuro che wwdc
wwdc più che controllare chiude le porte critiche,non è altro che un programma stand alone di cui una volta applicate le modifiche si può fare tranquillamente a meno

wwdc più che controllare chiude le porte critiche,non è altro che un programma stand alone di cui una volta applicate le modifiche si può fare tranquillamente a meno

è vero. e comunque Windows firewall è un colabrodo. :)

ciao :)

Quindi quali consigli per utilizzare DSA?
insieme a quale firewall?
Jetico è difficile........altre soluzioni?

PS: prima di usare DSA usavo comodo firewall

Nod
defensewall
DSA
prevx2

io li sto utilizzando assieme e non noto anomalie

Quindi utilizzi insieme Comodo e DSA.
Ma in fase d'installazione o nella sua configurazione hai settato qualcosa.

Mi sà che provo geswall 2.6 :)

Quindi utilizzi insieme Comodo e DSA.
Ma in fase d'installazione o nella sua configurazione hai settato qualcosa.
no,nulla di particolare ;)

siccio* felice della dichiarazione resa dallo sviluppatore di ProSecurity ma "scettico" su un punto in particolare a causa della sua profonda ignoranza in materia...:stordita:


http://www.proactive-hips.com/cgi-bin/yabb2/YaBB.pl?num=1184964279





PS:
per cortesia, non massacratemi sull' "inglish":
sò benissimo da solo che il mio non è un grande slang...:p

PS 2:
ad eraser:
se puoi darmi man forte a capire meglio....:D

* è il mio nomignolo....:sofico:


PS 3:
il Rootkit Win32-Agent.fq ( o Win32.Pakes.n) ProSec lo passa alla grande (vedi infatti http://www.hwupgrade.it/forum/showpost.php?p=17808915&postcount=960), idem per un altro, ma devo avere la certezza sul resto....

io li sto utilizzando assieme e non noto anomalie


ciao juninho...scusa una cosa, ma come fai a fare funzionare correttamente DSA con un account user? Ho appena scritto alla privacyware (gentilissimi, mi hanno risposto subito:cool: ) e mi hanno confermato che DSA può funzionare correttamente solo con un account administrator, infatti stanno lavorando ad una nuova versione che funzioni anche con gli account user... :stordita:

Salve hips boys(fatemela passare...:D )
dunque sul notebook ho i seguenti software:
f-secure av
prevx2.0
comodo+wwdc
termitator+a-squared
sandboxie

Ho già avuto a che fare con un hips(terminator),ma il rapporto è durato 24h...:stordita: per il semplice fatto che mi bombardava di avvisi.Mi accertavo di cosa fossero all'inizio leggendoli con attenzione,ma solo teoricamente in quanto poi non sapevo neache cosa significassero...poi alla fine permettevo tutto purchè mi lasciasse in pace...:rolleyes:
Da qui la decisione di deselazionare l'hips...
leggendo questo thread mi sono deciso ad installare un software hips per vedere se riesco a capirci qualcosa.
Avrei optato per ssm free o arovax shield,ma più per il primo direi...
per iniziare a prendere confidenza uno dei due può andare bene oppure me ne consigliate uno diverso?a me interessava al momento la semplicità(compreso l'italiano...:stordita: ) anche a discapito delle prestazioni...
grazie a tutti :)

dimenticavo...:doh: ho visto che parlate bene di questo dsa e che potrebbe essere affiancato pur avendo comodo installato,potrebbe rientrare anche questo software nella scelta?
Saluti

Salve hips boys(fatemela passare...:D )
dunque sul notebook ho i seguenti software:
f-secure av
prevx2.0
comodo+wwdc
termitator+a-squared
sandboxie

Se f-secure è la versione 2007, incorpora già un modulo hips ;)

Se f-secure è la versione 2007, incorpora già un modulo hips ;)

ho la versione 2006

ho la versione 2006
come non detto...non conosco la versione 2006

Salve hips boys(fatemela passare...:D )
dunque sul notebook ho i seguenti software:
f-secure av
prevx2.0
comodo+wwdc
termitator+a-squared
sandboxie

Ho già avuto a che fare con un hips(terminator),ma il rapporto è durato 24h...:stordita: per il semplice fatto che mi bombardava di avvisi.Mi accertavo di cosa fossero all'inizio leggendoli con attenzione,ma solo teoricamente in quanto poi non sapevo neache cosa significassero...poi alla fine permettevo tutto purchè mi lasciasse in pace...:rolleyes:
Da qui la decisione di deselazionare l'hips...
leggendo questo thread mi sono deciso ad installare un software hips per vedere se riesco a capirci qualcosa.
Avrei optato per ssm free o arovax shield,ma più per il primo direi...
per iniziare a prendere confidenza uno dei due può andare bene oppure me ne consigliate uno diverso?a me interessava al momento la semplicità(compreso l'italiano...:stordita: ) anche a discapito delle prestazioni...
grazie a tutti :)

dimenticavo...:doh: ho visto che parlate bene di questo dsa e che potrebbe essere affiancato pur avendo comodo installato,potrebbe rientrare anche questo software nella scelta?
Saluti

Mha, tenuto conto che hai già prevx 2, sebbene sia un cips e non un hips, credo che l'installazione di SSM o Arovax sia un tantinello superflua. A meno che tu non faccia come me, che uso si SSM e Prevx insieme, ma col secondo solo on-demand, mai come realtime monitor (si ciuccia circa un centinaio di MB di ram:eek: )...e nn è stato facile convincerlo a nn autoavviarsi ad ogni boot del SO...ho dovuto usare msconfig per deselezionare tutte le voci legate a prevx nel menu d'avvio, e allo stesso tempo impostare l'avvio manuale dei servizi legati a prevx stesso...cmq, SSM non è semplicissimo da usare, e stà tranquillo che ti bombarderà ancora di più di spyware teminator :stordita: lo stesso dicasi per DSA, che però è globalmente più semplice da usare. Tieni conto però che funziona correttamente solo con un account administrator (parole degli sviluppatori) ...e questa è una grave mancanza imho...

Mha, tenuto conto che hai già prevx 2, sebbene sia un cips e non un hips, credo che l'installazione di SSM o Arovax sia un tantinello superflua. A meno che tu non faccia come me, che uso si SSM e Prevx insieme, ma col secondo solo on-demand, mai come realtime monitor (si ciuccia circa un centinaio di MB di ram:eek: )...e nn è stato facile convincerlo a nn autoavviarsi ad ogni boot del SO...ho dovuto usare msconfig per deselezionare tutte le voci legate a prevx nel menu d'avvio, e allo stesso tempo impostare l'avvio manuale dei servizi legati a prevx stesso...cmq, SSM non è semplicissimo da usare, e stà tranquillo che ti bombarderà ancora di più di spyware teminator :stordita: lo stesso dicasi per DSA, che però è globalmente più semplice da usare. Tieni conto però che funziona correttamente solo con un account administrator (parole degli sviluppatori) ...e questa è una grave mancanza imho...

ecco..:doh: proprio quello che non volevo sentire...:stordita:
il fatto che mi dici che ssm & co. lancerebbero più avvisi rispetto all'hips di terminator è na mazzata,anche perchè non riuscirei a capire cosa permettere o no:muro:,almeno al momento:rolleyes:
forse l'unica soluzione è provarne uno per vedere se trovo il giusto feeling,poi se non riesco pazienza...al limite lo disinstallo...:muro:
Capitolo prevx2.0:in questo momento nel task i due processi
1)pxconsole.exe utilizzo 4.700kb max 24.700kb
2)pxagent.exe utilzzo 2.470kb max 24.700kb
sento molto di più f-secure e comodo...
grazie saluti

ecco..:doh: proprio quello che non volevo sentire...:stordita:
il fatto che mi dici che ssm & co. lancerebbero più avvisi rispetto all'hips di terminator è na mazzata,anche perchè non riuscirei a capire cosa permettere o no:muro:,almeno al momento:rolleyes:
forse l'unica soluzione è provarne uno per vedere se trovo il giusto feeling,poi se non riesco pazienza...al limite lo disinstallo...:muro:
Capitolo prevx2.0:in questo momento nel task i due processi
1)pxconsole.exe utilizzo 4.700kb max 24.700kb
2)pxagent.exe utilzzo 2.470kb max 24.700kb
sento molto di più f-secure e comodo...
grazie saluti

sempre in task manager, se confronti la quantità di memoria allocata subito prima e subito dopo lo "spegnimento" di prevx, noterai una differenza di quasi 100 MB. Questo è ciò che abbiamo riscontrato in tanti...

sempre in task manager, se confronti la quantità di memoria allocata subito prima e subito dopo lo "spegnimento" di prevx, noterai una differenza di quasi 100 MB. Questo è ciò che abbiamo riscontrato in tanti...

confermo ;)

confermo ;)

ehi me lo spieghi come hai fatto a far funzionare DSA con un account limitato anzichè administrator??:D

ehi me lo spieghi come hai fatto a far funzionare DSA con un account limitato anzichè administrator??:D
mai detto di averlo fatto:stordita:

siccio* felice della dichiarazione resa dallo sviluppatore di ProSecurity ma "scettico" su un punto in particolare a causa della sua profonda ignoranza in materia...:stordita:

[I][SIZE="1"]PS:
per cortesia, non massacratemi sull' "inglish":
sò benissimo da solo che il mio non è un grande slang...:p



La mia ignoranza, dopo aver letto il thread in questione, mi ha portato all'elaborazione di un pensiero molto semplice. :p
Sei un "fanatico" della sicurezza, hai un prodotto come ProSecurity che è 'na bomba atomica...che vuoi di più? :sofico: Nella "vita reale" autorizzeresti mai l'avvio di un processo sconosciuto che, tutto d'un tratto, vuole partire? :ciapet:

Con l'execution control, se anche ci fossero modi per bypassare le meccaniche dell'HIPS, il sistema non subirebbe comunque alcun danno, visto che il processo, di fatto, non viene avviato.
Ovvio che se tu non ti accontenti dell'execution control e vuoi una protezione invalicabile in tutti i casi teorici che la mente umana e informatica può immaginare ( :D ), il discorso cambia, e di molto anche. :)

Regards

PS: il tuo "inglish" è corretto e chiarissimo per quanto mi riguarda. ;)

Riducendo veramente ai minimi termini i commenti ai vostri ultimi pensieri, ne viene fuori una cosa di questo tipo:

@ chi si lamenta (legittimamente...) della complessità di alcuni HIPS:
ricordiamoci che il post iniziale e, + o -, tutto il corso del thread, verte sostanzialmente sugli HIPS di un certo tipo, i BEHAVIOUR BLOCKER.
Questi, per loro NATURA, producono POP-UP.
Di conseguenza, *potrebbero* NON essere ADATTI a chi non sà districarsi negli avvisi.

E' chiaro ed evidente, infatti, che una politica di questo tipo, e cioè:

POP-UP-> NON sò interpretarlo -> autorizzo INDISCRIMINATAMENTE,

si traduce nel
VANIFICARE il senso dello strumento.....

1 distinguo xò è obbligatorio:

se l'HIPS (behaviuor blocker) utilizzato è VALIDO, SETTATO CORRETTAMENTE e permette un INTERVENTO PROFONDO sui suoi parametri di configurazione, si riesce a tagliare in via automatica certi comportamenti BYPASSANDO quindi l'intervento dell'utente.
L'eventuale scorretto assenso ad un pop-up di tipo "execution control", infatti, si scontrerebbe inevitabilmente con i "blocchi dell'hips", vedi il pensiero di nicM qui, http://www.wilderssecurity.com/showthread.php?t=174012



Ora, un utente di questo tipo è INEVITABILMENTE TAGLIATO FUORI dal mondo HIPS?

NO!
(e questo, purtoppo, è colpa mia che non son riuscito a spiegare tutto nel post iniziale dato che mi mancava spazio e possibilità di postare altri screen ecc...)

C'è infatti a portata di mano una SOLUZIONE, e questa si chiama SANDBOX, in soldoni, DefenseWall o GesWall...

Il loro approccio, infatti, si traduce nel NON RICHIEDERE NESSUN TIPO DI INTERVENTO DA PARTE DELL'UTENTE senza pregiudicare la sicurezza.


@ pistolino:
sull'inglese, si vede benissimo un limite, e cioè che penso in ITA e traduco in ENG...:fagiano: :muro:

"Ovvio che se tu non ti accontenti dell'execution control...":
ecco, appunto:
OVVIO! :D

E poi SI, sono anche un pò paranoico e non solo fissato...:ciapet:







PS:
i migliori HIPS "domestici" costano mediamente 30 € iva inclusa con la chiave che ha validità sostanzialmente PERPETUA, specie se paragonati alla STRUTTURA DI COSTO di un qualsiasi AV commerciale.

30 € che, anche alla luce della considerazione sopra, sono un premio assolutamente equo vista la ricerca che stà sotto alla realizzazione di un software cosi'....




COSA VI CONSIGLIO; PERTANTO?
_Capire chi siete = utente avanzato/esperto/intermedio
_selezionare un software in funzione della risposta alla domanda sopra
_PROVARE il programma nella sua v.TRIAL!!!
_eventualmente, e se l'esperienza è stata positiva, passare alle versioni full là dove possibile: non rimpiangerete gli EURI eventualmente spesi...

_se la vostra scelta è eventualmente ricaduta su un programma FREEWARE, bè, VI ASSICURO che, CONTRO CERTE MINACCE, siete più protetti con un SEMPLICE freeware piuttosto che con il solo KAV7 con PDM/EURISTICA ATTIVA, o NOD32, Bitdefender, AVIRA ECC ECC...

Certo, che non mi si venga a dire che l'hips usato è spyware terminator, A-squared o programmucoli del genere...
Andranno bene per altre cose, ma di HIPS, se hanno, hanno giusto il nome e tanta voglia....


@ BEYOND:
visto che, se pur indirettamente, nelle mie parole vi potresti rinvenire diversi riferimenti a te, ti prego di leggere queste poche righe con spirito "costruttivo":
non ho certo voluto aggredirti, darti dell'incapace nè denigrarti.
Semplicemente, nelle tue parole (molto oneste...) ho rinvenuto elementi che trasmettevano perfettamente il senso di quello che volevo dire io...

Con affetto,
nV.



@ chi legge il post:
al di là dei nomi dei programmi citati, vi esorto a RILEGGERE questo:
http://www.hwupgrade.it/forum/showpost.php?p=11677224&postcount=274

By Kareldjag, ovviamente.

Ecco i post del profeta. Si riconoscono a un miglio di distanza. :D ;)

Regards

Ecco i post del profeta. Si riconoscono a un miglio di distanza. :D ;)


esagerato....

T'ho già bacchettato una volta, poi:
ti dissi di non chiamarmi + profeta, Messia o Santità, ma semplicemente


M A E S T R O!!!!
:D :D :D :D :D :D :D

mai detto di averlo fatto:stordita:

doh!:doh:
peccato però:fagiano: speriamo che quelli della privacyware si sbrighino a creare una versione aggiornata compatibile con gli account limitati...sennò perde parecchio di valore imho (motivo per cui a suo tempo scartai processguard...SSM invece mi funziona benissimo con l'account user...)

@ nv25:
Sandbox:sfondi una porta(recinto;) )aperta in quanto lo uso con soddisfazione da circa 2 settimane,dopo la storia del rootkit falso positivo(ricordi?),ma già lo avevo installato da prima(vedi un mio post nelle pagine addietro(ricordi anche questo?))...programma molto semplice ed efficace:)

Hips:ieri ho installato arovax e devo ammettere che lo trovo molto intuitivo nell'interfaccia,per quanto riguarda gli avvisi partono in coincidenza con quelli di f-secure,quindi da questo punto di vista non mi è cambiato nulla.Cambia solo quando apro ie..:rolleyes:.Spero che quando parta un avviso di quelli "seri" sia in grado di interpetrarlo...mal che vada confido in prevx2...
ps:ma l'hanno tradotto in italiano con google translate???:stordita:

Onestà:mi fa piacere che l'hai apprezzata...:D uso il note da pochi mesi quindi cerco di fare il possibile,per questo posto qui solo ora,anche se seguo questo thread da un bel pò...ne approfitto per farti i complimenti soprattutto per la data di inizio...

Curiosità:mi piacerebbe se qualcuno di voi riportasse un episodio reale(già accaduto;) ) di un tentato attacco maligno sventato grazie ad un hips,tanto per farmi un'idea...
grazie e saluti:)

@ nv25:
Sandbox:sfondi una porta(recinto;) )aperta in quanto lo uso con soddisfazione da circa 2 settimane,dopo la storia del rootkit falso positivo(ricordi?),ma già lo avevo installato da prima(vedi un mio post nelle pagine addietro(ricordi anche questo?))...programma molto semplice ed efficace:)


:D

:D

come non ringraziarti per il prezioso suggerimento.:mano:

doh!:doh:
forse ti sei confuso col post in cui dissi che funzionava senza problemi assieme a comodo ;)

forse ti sei confuso col post in cui dissi che funzionava senza problemi assieme a comodo ;)

No, il fatto è che avevo dato per scontato che qui dentro usassimo tutti l'account limitato per navigare :stordita:

No, il fatto è che avevo dato per scontato che qui dentro usassimo tutti l'account limitato per navigare :stordita:

dipende dalla partizione in cui mi trovo,altrimenti lo utilizzo pure io ;)

Fonte: Wilders Security Forum
http://www.wilderssecurity.com/showthread.php?t=180969

Link diretto ai test: http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm

Fonte: Wilders Security Forum
http://www.wilderssecurity.com/showthread.php?t=180969

link ai tests: http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm

@MAESTRO!!!: aspettiamo commenti a caldo! :D

tornato or ora da lavoro e che trovo?

Una GRANDISSIMA SEGNALAZIONE!!!:D

Grandi!
Ora leggo...:stordita:

Commento a caldo: ProSecurity passa tutto. A questo punto, se anche lanci una bomba contro il PC, ProSecurity lo rende invulnerabile. :eek: :cool: :sofico:

SSM se la cavicchia, anche un po' meglio di Process Guard. PrevX passa alcuni test, ma fallisce in altri: in quella comparativa mi pare sia il migliore subito dopo ProSecurity.

Domanda per il MAESTRO (va bene così? :sofico: :ciapet: ): nel caso dei test che SSM non passa, l'execution control fa almeno il suo lavoro, oppure l'exe parte in modo completamente steath? Leggendo non sono riuscito a capire questo aspetto. :stordita:
Altro appunto per il MAESTRO: dopo aver visto che SSM ancora si fa fregare sul caricamento dei driver, sono diventano più nero dell'omino del tuo avatar. :incazzed: :D

Regards

l'execution control è sempre coinvolto in questi test, per cui SE non si dà l'OK all'esecuzione, NIENTE bypassa l'HIPS...

Tra 5 min cmq ritorno...

Poi sei hai voglia, rileggiti il mio post di prima...ho aggiunto un secondo appunto per te, o sommo MAESTRO. :O :stordita: :D

Regards

@ nV 25: hai visto i nuovi test di Matousec? ProSecco 1.40 beta è 'na super bomba. :sofico:
SSM intanto va giù...giuuuu, sempre più in basso. :sofico: :ciapet: O meglio...non è che va giù di per sè; il problema è che rimane fermo, affezionato al suo discreto punteggio, quindi gli altri prodotti scalano la classifica e lo buttano giù. Alla fine, di fatto, precipita comunque. :fagiano: :ciapet:

Fine post idiota. :D

PS: ma sbaglio o il tipo del tuo avatar era il simbolo di un prodotto di sicurezza in giro qualche anno fa? Cioè mi spiego...l'ho già visto da qualche parte, ma non ricordo dove. :fagiano: Attendo delucidazioni in merito. :read:

Regards

sul mio avatar:
non ne ero al corrente...:mbe:

Su SSM:
concordo sul fatto che il suo sviluppo sia molto arrancante...
Per problemi di ordine finanziario la syssafe ha ridotto il proprio organico ad 1 solo elemento, che poi dovrebbe essere il "famoso" vitk citato anche qui:
http://www.hwupgrade.it/forum/showpost.php?p=18063880&postcount=44

Il problema grosso, cmq, (e lo dico senza fare polemica ma basandomi unicamente su delle sensazioni personalissime che ho ricavato da diverse sue risposte nel forum uff...), è che mi sembra un pò "a corto di idee"...

Per un software che, per sua natura, deve VIVERE "giocando d'anticipo" mettendo eventualmente pezze in tempi brevissimi, questa lentezza la vedo molto limitante....

Rimane cmq un gran pezzo di software che DA LE PAGHE a qualsiasi altro Antivirus per la prevenzione PROATTIVA da Rootkit ecc...


Su ProSecurity:
si, avevo visto tutto ieri.
Ho come l'impressione che il suo sviluppatore sia riuscito a realizzare una base estremamente modulare su cui è facile implementare nuove funzionalità....

La cosa che impressiona, cmq, è la velocità con la quale getta nella mischia il frutto delle sue idee e del suo lavoro....:)

E questo a prescindere dai LeakTest che, imo, lasciano il tempo che trovano...

Per intendersi:
non giudico certo bene o male un HIPS guardando matousec...

DefenseWall 2 OUT!

Questo è semplicemente un altro grandissimo HIPS.

Ricordo che:

_è commerciale

_è adatto ANCHE a chi NON capisce nulla di Pc:
0 POP-UP, MASSIMA PROTEZIONE

_(giusto per andare più sul "tecnico", è basato su uno schema di tipo ''Sandbox''...)



Sicuramente da acquistare se il periodo di trial "soddisfa"....

:)

http://www.softsphere.com/cgi-bin/redirect.pl?Name=DEFENSEWALL

SSM 2.40 beta 619


http://img126.imageshack.us/img126/5427/ssmzu9.jpg

"We have just posted the new beta which is actually a hot update mostly addressing the results of Nicolas' tests. SSM now blocks the main mechanism used by most of the malware tested and generates much more meaningful alerts even if the malware executable was allowed to run once..."

http://www.syssafety.com/forum/viewtopic.php?t=985

Ho installato DSA, sembra funzionare bene e inoltre, per ora, sembra ricordare le regole.

Il consumo di RAM e' poco superiore ad Arovax (18Mb di DFA contro 11Mb di Arovax).

....
Il consumo di RAM e' poco superiore ad Arovax (18Mb di DFA contro 11Mb di Arovax).
...a fronte però di una protezione di gran lunga maggiore....:fiufiu:

DSA>>Arovax....;)


PS:
che significa
...inoltre, per ora, sembra ricordare le regole. ?

...a fronte però di una protezione di gran lunga maggiore....:fiufiu:

DSA>>Arovax....;)


PS:
che significa
?

Prima avevo provato SSM free, e' non c'era modo di fissare le regole, ad ogni riavvio mi chiedeva sempre le stesse cose.

Prima avevo provato SSM free, e' non c'era modo di fissare le regole, ad ogni riavvio mi chiedeva sempre le stesse cose.
ah....

SSM era la v.2.0.8.583?:mbe:

PS:
se doveste rintracciare da qualche parte la 2.0.8.584 :read:, NON installatela!
L'unica FREE ufficiale è infatti la 583....

ah....

SSM era la v.2.0.8.583?:mbe:

PS:
se doveste rintracciare da qualche parte la 2.0.8.584 :read:, NON installatela!
L'unica FREE ufficiale è infatti la 583....

SI

...a fronte però di una protezione di gran lunga maggiore....:fiufiu:

DSA>>Arovax....;)


PS:
che significa
?

si però secondo me un software di sicurezza che per girare pretende l'account amministratore nn è una bella sicurezza...

Volevo segnalare un'incompatibiltà tra sandboxie e arovax shield,quest'ultimo infatti generando un errore non permette lo svuotamento del sandbox.Coclusione:tra i due ho tolto arovax naturalmente:D
Ma non voglio rinunciare ad un hips,quindi intendo sostituirlo...
Sarei orientato verso ssm free a favore di dsa o antihook 2.6,che ne dite?
grazie
saluti

la scelta tra + hips behaviour blocker dipende tantissimo dal tipo di controllo che si vuole mantenere sul programma a meno che questi non siano sensibilmente diversi quanto ad efficacia....

Poichè sotto quest'aspetto quelli che hai citato anche te, fatto salvo probabilmente AH 2.6, sono + o - "tarabaralla", mi orienterei su SSM se vuoi intervenire (almeno potenzialmente...) su ogni singolo dettaglio....



Se invece si vuole esagerare :read:, c'è un altro software (sempre dalla Cina...) che ultimamente stà facendo parlare di sè, EQSecure (http://www.megaupload.com/?d=VP8G814A)....


http://www.wilderssecurity.com/showthread.php?t=181576

E' ancora un pò un laboratorio a cielo aperto, per cui avvisati...
Va infatti cambiata necessariamente la lingua (la procedura è nel thread indicato sopra...), è molto personalizzabile con tutti i problemi che quindi ne discendono, ma pare sia anche IL MIGLIOR software gratuito attualmente disponibile, per lo meno a detta di diversi utenti stranieri....

Alcuni screen + review: http://www.wilderssecurity.com/showthread.php?t=170691&highlight=eqsecure

A quanto ho letto, EQSecure, se continua a svilupparsi come sta facendo, potrebbe benissimo pareggiare i conti con ProSecurity, oltre ad essere freeware. HIPS a dir poco interessante. :)

Regards

qual'è il + user friendly?

che bello, risale la discussione! :ciapet:



Il + user friendly?
Probabilmente DSA....

Sennò cambi genere e provi PrevX o GesWall....



PS: bisognerebbe rifare da capo un qualcosa del tipo "HIPS 2: la vendetta!" :D ....ma la cosa richiede troppo tempo e qualche neuroncino che attualmente latita....:cry:

A proposito:
chi è che ha qualche idea da darmi circa la struttura che questo ipotetico thread potrebbe assumere?
E, poi, c'è mica nessuno che se la sentirebbe di farlo al posto mio? :read:
Al di là del tempo, infatti, senza VM mi posso tirare sane martellate sui °°...:incazzed: :muro:

la scelta tra + hips behaviour blocker dipende tantissimo dal tipo di controllo che si vuole mantenere sul programma a meno che questi non siano sensibilmente diversi quanto ad efficacia....

Poichè sotto quest'aspetto quelli che hai citato anche te, fatto salvo probabilmente AH 2.6, sono + o - "tarabaralla", mi orienterei su SSM se vuoi intervenire (almeno potenzialmente...) su ogni singolo dettaglio....



Se invece si vuole esagerare :read:, c'è un altro software (sempre dalla Cina...) che ultimamente stà facendo parlare di sè, EQSecure (http://www.megaupload.com/?d=VP8G814A)....


http://www.wilderssecurity.com/showthread.php?t=181576

E' ancora un pò un laboratorio a cielo aperto, per cui avvisati...
Va infatti cambiata necessariamente la lingua (la procedura è nel thread indicato sopra...), è molto personalizzabile con tutti i problemi che quindi ne discendono, ma pare sia anche IL MIGLIOR software gratuito attualmente disponibile, per lo meno a detta di diversi utenti stranieri....

Alcuni screen + review: http://www.wilderssecurity.com/showthread.php?t=170691&highlight=eqsecure

Quasi quasi lo provo...
Però mi spaventano un pò tutte le impostazione che ha...

Fino ad ora ho provavo DSA, geswall e SSM...forse quest'ultimo (in versione free) è quello che mi ha dato meno "lavoro"...

Ancora non so bene quali tra i programmi da voi elencati posso accoppiare a active virus shield e comodo firewall...
Pensavo SSM (o DSA...anche se ho comodo) + DefenseWall ( o SandBoxie...però quest'ultimo non lo conosco per nulla) + MJ Registry Watcher...

Troppe cose tutte insieme?

Sto seguendo un po' l'evoluzione di EQSecure, e mi sembra essere davvero un ottimo prodotto.
Ho letto anche di alcune funzioni che ancora non sono state implementate, in particolare il controllo del checksum MD5 su tutti gli eseguibili. (ma non sarebbe meglio uno SHA-256? :confused: )
Notevole comunque il numero di funzionalità relative alla protezione del registro e al file protection. ProSecurity è avvisato. :sofico: :ciapet:

Regards

che bello, risale la discussione! :ciapet:



Il + user friendly?
Probabilmente DSA....

Sennò cambi genere e provi PrevX o GesWall....



PS: bisognerebbe rifare da capo un qualcosa del tipo "HIPS 2: la vendetta!" :D ....ma la cosa richiede troppo tempo e qualche neuroncino che attualmente latita....:cry:

A proposito:
chi è che ha qualche idea da darmi circa la struttura che questo ipotetico thread potrebbe assumere?
E, poi, c'è mica nessuno che se la sentirebbe di farlo al posto mio? :read:
Al di là del tempo, infatti, senza VM mi posso tirare sane martellate sui °°...:incazzed: :muro:


dai forza non ti fare pregare....:ciapet:

nel mio piccolo, e con grande fatica dovuta alla mia scarsa capacità di scrittura in inglese, ho contribuito a dare una piccola idea allo sviluppatore di PS...:D

Certo, l'idea è stata figlia di una leggerezza imperdonabile che mi è costata la cosidetta craniata, ma tant'è:
il momento del bischero capita a tutti (e a me, probabilmente, con una frequenza superiore alla media...:muro: )

Dopo aver percorso una quindicina di KM in bici a una velocità media di circa 25 Km/h, mi accingo a installare EQSecure al posto di SSM. :cool:
A breve i miei commenti, sempre se non esplode il PC. :fagiano:

Regards

nel mio piccolo (...)

Manca il link però. :stordita: :fagiano:
Comunque come appena scritto, adesso provo EQSecure, alla faccia di ProSecurity. :sofico: :ciapet:

Regards

Manca il link però. :stordita: :fagiano:


toò, bravo!
Cosi' mi prendete per il *....:ciapet:

E poi, è cosi' semplice risalire a chi sono, sia per la "firma" che per lo "slang" :asd: :muro:


PS:
proprio curioso di vedere EQ....
Attendo tue impressioni...

toò, bravo!
Cosi' mi prendete per il *....:ciapet:

E poi, è cosi' semplice risalire a chi sono, sia per la "firma" che per lo "slang" :asd: :muro:

Infatti un rapido giro sui forum di PS mi è stato sufficiente a trovare il thread in questione. :stordita: :fagiano: :ciapet:

PS:
proprio curioso di vedere EQ....
Attendo tue impressioni...

Anch'io ero curioso. :ciapet: Era da un po' che avevo in mente di provarlo, e oggi sono riuscito a ritagliarmi una mezzora per provarlo, tempo assolutamente insufficientea formulare un giudizio serio sul prodotto, ma più che sufficiente per capire se ha le carte in regola o no per rimanere sul mio sistema. :cool: La risposta è senza dubbio SI. :D

Ho poco tempo quindi scrivo di getto le cose nell'ordine in cui mi vengono in mente. :stordita:
Dunque, dopo l'accurata rimozione di SSM, l'installazione procede senza intoppi su macchina reale.
Prima cosa che mi colpisce: non richiede il reboot. :eek: Appena installati i suoi pochi file, parte l'installazione del driver kernel mode e il programma è pronto all'uso. :cool:
Seconda cosa che mi ha colpito e lasciato perplesso al tempo stesso: EQ non utilizza la tecnica del kernel mode memory patch. :eek: Non sò dire se sia un bene o un male, comunque ho subito controllato il numero di processi di EQ. Bene, solo solo 2, uno in kernel mode, l'altro in user mode (struttura molto simile a quella di KIS/KAV, da questo punto di vista).
Utilizzo della RAM: circa 10 MB complessivi. :cool: Sembrerebbe anche più elastico di SSM. :)

Poi ho pensato di studiare un po' i thread dei due processi di EQ, tramite Process Explorer...ebbene, nonostante PE utilizzi un driver kernel mode (arrivando quindi a rilevare i dati relativi ai processi "blindati" di KIS7), sui processi di EQ rimane senza parole: :D :eek:

http://img168.imageshack.us/img168/6365/immagineur1.th.png (http://img168.imageshack.us/my.php?image=immagineur1.png)

Ora, io non sono ancora riuscito a capire che ca**o di steath utilizzi EQ per nascondersi fino a tal punto. Mentre per i processi di KIS è possibile vedere i vari handle, percorso etc..., per quelli di EQ non si vede nulla. :eek: Sono impossibili da terminare, anche APT si mete a piangere, dicendo che non trova il processo corrispondente al PID. :confused: Che sia una struttura di stealth a indirizzamento dinamico? Non penso...visto che XP non supporta tale funzione...bah lascio a te o ad altri qualche supposizione. :D Sapevo che il kernel mode memory patch può fare cose del genere, ma il fatto strano è che EQ NON lo usa. :eek: :fagiano:
SSM, PS e altri HIPS usano tale tecnica di patching, ma i loro processi risultano comunque "esplorabili" anche se non terminabili. Qui invece niente di niente, nada, rien, nothing, ciccia. :ciapet: Vai a capire. :read:

Comunque passando oltre...funzionalità ottime devo dire.

http://img255.imageshack.us/img255/3630/immaginegp0.th.png (http://img255.imageshack.us/my.php?image=immaginegp0.png)

http://img255.imageshack.us/img255/8062/immagineii4.th.png (http://img255.imageshack.us/my.php?image=immagineii4.png)

Mi pare che la dotazione di analisi comportamentale comprenda tutte le features che si possano richiedere a un HIPS moderno. Sotto questo punto di vista, EQ IMHO supera, e di tanto, SSM Pro. ;)

http://img255.imageshack.us/img255/884/immaginefr0.th.png (http://img255.imageshack.us/my.php?image=immaginefr0.png)

Qui un esempio di popup relativo alla protezione di un processo contro un tentativo di terminazione, tanto per rendere l'idea della semplice e chiarissima interfaccia grafica. :cool:

Seguiranno altri commenti sulla sezione "Regole", ma non adesso perché non ho tempo. :muro:

Lascio comunque al MAESTRO ( :ciapet: ) questi miei messaggi, e in particolare il primo, relativo al dubbio sul kernel mode M.P. :rolleyes:
EQ mi pare comunque un ottimo prodotto...sto infatti valutando di effettuare la migrazione definitiva da SSM Pro.:cool:

Regards

PS: ho dovuto "splittare" la mia mini-review perchè il forum mi diceva che c'erano troppe immagini nello stesso messaggio. :confused: :rolleyes:
PPS: visto che è il primo HIPS, tra quelli che ho installato, ad avere il File Protection, quali file consigli di proteggere oltre alle regole di default già presenti, relative ad alcune dll e .sys nelle cartelle di sistema? Per curiosità ho messo un'immagine sul desktop, aggiunta al file protection. Ho provato a cancellarla e... :eek: scompare (ma il cestino rimane vuoto) e quando fai "aggiorna" sul desktop, è ancora lì intatto. :eek: Figata unica (scusate il francesismo :D ).
PPPS: tutto provato su Windows XP Pro SP2...Vista può stare dov'è. :D

rispondo solo al "file protection" e ad un altra cosa:

File Protection:
http://img516.imageshack.us/img516/9908/fileprotuv6.jpg

NB: alcune cose erano presenti di default e non ne ho mai capita la funzione, es. ?:\Recycle?\ D* ... :mbe:

--------------------------------------
EQS 3.4, poi, ha una funzionalità in più rispetto alla v1.30 di PS, es: arresto/riavvio del sistema, introdotta infatti in PS solo con la 1.40 beta...

http://img254.imageshack.us/img254/776/snap2qv7.th.jpg (http://img254.imageshack.us/my.php?image=snap2qv7.jpg)

--------------------------------------

EQS è semplicemente un GRAN Freeware che affosserà inevitabilmente altre soluzioni equivalenti SE dovesse dimostrarsi stabile, leggero & compatibile e se, più che altro, non sarà seguito da una "reazione" da parte di altre software house (SSM in primis...).




PS:
puoi postare altri screen?
Ciao!

PS2:
mi piacciono le tue review :read: , specie il calore che trasmetti coi tuoi msg...
Sisupoika (:ave: ) anche con te avrà il suo bel lavoro da fare per convertirti....:D
Con me, invece, è bene non perda neppure tempo prezioso....:Prrr:
(se mi leggi (sisu[eccecc..]), sappi cmq che nutro grande rispetto per la tua "campagna"...)

rispondo solo al "file protection" e ad un altra cosa:

NB: alcune cose erano presenti di default e non ne ho mai capita la funzione, es. ?:\Recycle?\ D* ... :mbe:

Strano in effetti...comunque mi sa che "copierò" la tua lista. :p

--------------------------------------
EQS 3.4, poi, ha una funzionalità in più rispetto alla v1.30 di PS, es: arresto/riavvio del sistema, introdotta infatti in PS solo con la 1.40 beta...

Pensavo che PS la avesse già...anzi a dire il vero ero convinto che l'unica cosa che EQ aveva in più rispetto a PS fosse il controllo della modifica data/ora di sistema. :confused:


EQS è semplicemente un GRAN Freeware che affosserà inevitabilmente altre soluzioni equivalenti SE dovesse dimostrarsi stabile, leggero & compatibile e se, più che altro, non sarà seguito da una "reazione" da parte di altre software house (SSM in primis...).

Stabile, almeno per quel che ho visto, lo è già. Leggero anche. :p Il futuro non lo prevedo io. :fagiano:

PS:
puoi postare altri screen?
Ciao!

Si, ma non prima che ti sarai pronunciato sulla questione del kernel mode memory patch. :ciapet: Anch'io ho fatto supposizioni (leggasi: emerite puttanate :fagiano: :stordita: ), quindi vorrei sentire il tuo parere. :read:

Regards

PS: quali screen ti possono interessare in particolare? :p

PS2:
mi piacciono le tue review :read: , specie il calore che trasmetti coi tuoi msg...

Ehm...apprezzo il tuo commento. :) Il godimento sarebbe ancora maggiore però se venisse da una ragazza, e possibilmente non relativamente a un software. :cool: :D

Sisupoika (:ave: ) anche con te avrà il suo bel lavoro da fare per convertirti....:D
Con me, invece, è bene non perda neppure tempo prezioso....:Prrr:
(se mi leggi (sisu[eccecc..]), sappi cmq che nutro grande rispetto per la tua "campagna"...)

Rispondo con poche parole: un account limitato è, fondamentalmente, una buona idea, ma non per come è implementata in ambito Windows. Troppo limitato per il mio daily use, e troppo "aggirabile" con le varie falle del sistema. Per questo preferisco affidarmi a software di terze parti. :D

Regards

quali screen mi possono interessare? :mbe:
Tutti? :stordita: (PS: fai finta di essere la mia VM... :D )


sul kernel mode memory patch: :boh:

Manda un PVT ad eraser o aspetta aiuto da altri...:stordita:

http://img111.imageshack.us/img111/775/immaginebf0.th.png (http://img111.imageshack.us/my.php?image=immaginebf0.png)

http://img407.imageshack.us/img407/8317/immagine2vm3.th.png (http://img407.imageshack.us/my.php?image=immagine2vm3.png)

http://img407.imageshack.us/img407/1371/immagine3kx9.th.png (http://img407.imageshack.us/my.php?image=immagine3kx9.png)

Toh, divertiti. :ciapet:

Ma la grafica della protezione con password l'ha fatta un developer di KAV/KIS6? E' identica. :eek: :D

Regards

@ pistolino:

Ti si è imballato il Pc e sei dovuto ricorrere al meraviglioso Format C: ? :ciapet:




Stavo ripensando al discorso del kernel memory mode patch:
perchè non provi a sentire qualche opinione su wilders visto che su quella board EQS è un software piuttosto gettonato e sufficientemente diffuso?
http://www.wilderssecurity.com/showthread.php?t=181576 :read:

Idem per il discorso dei suoi processi "blindati"....

@ pistolino:

Ti si è imballato il Pc e sei dovuto ricorrere al meraviglioso Format C: ? :ciapet:

Quel comando è meraviglioso, ma non al punto da usarlo quando non è necessario (sono circa 6 mesi che non lo uso :p [salvo in Virtual Machine]). :D

Stavo ripensando al discorso del kernel memory mode patch:
perchè non provi a sentire qualche opinione su wilders visto che su quella board EQS è un software piuttosto gettonato e sufficientemente diffuso?
http://www.wilderssecurity.com/showthread.php?t=181576 :read:

Idem per il discorso dei suoi processi "blindati"....

Mah guarda...ci ho ripensato un po' sopra, e forse il fatto che non ci sia il patching è una "buona" cosa. Quella tecnica, tra l'altro, impediva anche a KIS di scansionare certe aree di memoria, proprio perchè "patchate". SSM addirittura patchava l'intera SSDT, arrivando a includere un thread in ogni processo, che richiamava il driver safemon.sys. :fagiano:

Lo stesso dubbio mi era già venuto per Process Guard: la v. 3150 non utilizzava il kernel mode memory patch, la 3410 invece si. :confused: A questo punto, dall'alto della mia ignoranza, apprezzo gli HIPS che non lo usano, in quanto mi danno l'impressione di lavorare in modo più "pulito". :sofico: :ciapet:

I processi blindati restano un mistero irrisolto, come quello del patching d'altra parte. :D APT non riesce a terminarli. Ho provato con un debugger, e anche con quello niente da fare. Il DLL injection per farlo crashare non funziona. Non vorrei dire ma se si blocca uno di quei processi, il reset del PC è forzato. visto che non li termini neanche con le bombe. :stordita:

Comunque ci penserò a chiedere su Wilders, ma non adesso, perchè non sono iscritto e a quest'ora non ho voglia di fare registrazioni. :help: Potresti pensarci tu però: dopo tutto screen e info li hai. :fagiano: :ciapet:

Per gli screen, eccone qui qualcun'altro nuovo. :cool:

http://img507.imageshack.us/img507/8930/immaginewf0.th.png (http://img507.imageshack.us/my.php?image=immaginewf0.png)

E' sufficientemente "libero" KIS? :fagiano: :ciapet:

Regards

http://img507.imageshack.us/img507/8930/immaginewf0.th.png (http://img507.imageshack.us/my.php?image=immaginewf0.png)

E' sufficientemente "libero" KIS? :fagiano: :ciapet:

non penso visto che non gli hai attribuito il permesso di farti il cappuccino! :asd:

Popup per avvio applicazione non registrata

http://img459.imageshack.us/img459/1507/immagineef4.th.png (http://img459.imageshack.us/my.php?image=immagineef4.png)

Installazione driver/servizi/rootkit

http://img459.imageshack.us/img459/8830/immaginesd2.th.png (http://img459.imageshack.us/my.php?image=immaginesd2.png)

Caricamento driver da parte di un processo specifico.

http://img341.imageshack.us/img341/7742/immagine2rq4.th.png (http://img341.imageshack.us/my.php?image=immagine2rq4.png)

Pubblicazione di altri screen nel corso della giornata. :D

Ovviamente, siccome io non posso sapere quali sezioni interessano maggiormente, invito a chiedere screen su parti specifiche, considerato che oltretutto in un programma del genere le schermate da fotografare sono pressoché illimitate. :D


Regards

Essendo giunto al terzo giorno di testing di EQSecure 3.4, e non avendo rilevato alcun problema di sorta, non posso che consigliare questo ottimo HIPS che, cosa da non dimenticare, è gratuito e, secondo me, almeno a metà strada tra SSM e ProSecurity, ovvero i "due grandi" behavior-analyzers puri attualmente in circolazione.
Come già scritto nel thread di SSM, comunico "ufficialmente" la mia migrazione definitiva a favore appunto di EQS. Il motivo alla base della mia scelta risiede essenzialmente in due punti:

1) Curiosità di provare questo nuovo prodotto emergente freeware.
2) Relativa stagnazione di SSM negli ultimi tempi.
3) Presenza di alcune pecche progettuali di SSM, ancora non risolte. In particolare:

a) non viene eseguito come servizio di sistema, bensì come semplice applicazione (quindi minor sicurezza di fondo).
b) effettua il patching dell'intera SSDT, con intrusione di singoli handle in ogni thread e processo in esecuzione.
c) Protezione basata su un "accumulo" di kernel hooks, e non sul migloramento del monitoraggio delle singole API. SSM usa circa 250 kernel hooks in situazioni normali, contro la trentina (mediamente) delle altre applicazioni HIPS.

Regards

@ nV 25: relativamente al problema avuto con PS in seguito agli aggiornamenti di Windows, dipendeva tutto dal fatto che avevi riavviato senza attivare il learning mode?
Altra cosa: ho scartabellato un po' i forum di PS...ma non ha ancora un controllo parent/child process? :eek: Pensavo fosse l'HIPS più avanti in assoluto. :D

Regards

Io sto usando sandboxie, è normale che rallenti di molto i programmi?

Essendo giunto al terzo giorno di testing di EQSecure 3.4, e non avendo rilevato alcun problema di sorta, non posso che consigliare questo ottimo HIPS che, cosa da non dimenticare, è gratuito e, secondo me, almeno a metà strada tra SSM e ProSecurity, ovvero i "due grandi" behavior-analyzers puri attualmente in circolazione.
Come già scritto nel thread di SSM, comunico "ufficialmente" la mia migrazione definitiva a favore appunto di EQS. Il motivo alla base della mia scelta risiede essenzialmente in due punti:

1) Curiosità di provare questo nuovo prodotto emergente freeware.
2) Relativa stagnazione di SSM negli ultimi tempi.
3) Presenza di alcune pecche progettuali di SSM, ancora non risolte. In particolare:

a) non viene eseguito come servizio di sistema, bensì come semplice applicazione (quindi minor sicurezza di fondo).
b) effettua il patching dell'intera SSDT, con intrusione di singoli handle in ogni thread e processo in esecuzione.
c) Protezione basata su un "accumulo" di kernel hooks, e non sul migloramento del monitoraggio delle singole API. SSM usa circa 250 kernel hooks in situazioni normali, contro la trentina (mediamente) delle altre applicazioni HIPS.

Regards

Ciao!

Una domanda...come posso nascondere gli avvisi per tutte quelle applicazioni da me considerate "trusted"?
Ogni tanto appare un box con questa o quella scritta (per un paio di giorni metterò in learning mode, comunque...)

Ciao e grazie!

:)

scaricato ed installato eqsecure.
vorrei cambiare la lingua del programma da inglese ad italiano (come da screen di pistolino).
chi mi aiuta?

@ pcì & Capitan_J:
vi aiuta pistolino appena vede i msg...

@ pistolino:
si, ho dimenticato di attivare il learning mode e, per l'appunto (ma qualcuno aveva dubbi? :muro: ) uno degli update cambiava la v. di explorer.exe...:muro:

Semplicemente, sono stato un °°....:doh:

Posto anche qui, oltre che nel thread ufficiale di spyware terminator, perchè è una questione che coinvolge anche SSM e gli account limitati, di cui solitamente si parla molto qui :)
Ho notato che spyware terminator, a differenza della maggioranza degli altri programmi, si aggiorna senza problemi anche su un account limitato. Questa non sarebbe una novità (anche antivir, per esempio, lo fa), solo che normalmente gli altri software aggiornano solo alcune componenti minori (database, ecc) che vengono posizionate in cartelle personali, accessibili a ciascun utente, anche limitato (generalmente o nella cartella "documents and settings" dell'utente, oppure in quella di "all users"). Invece con spyware terminator si aggiornano anche gli exe...me ne sono accorto perchè dopo l'aggiornamento di oggi pomeriggio (da un account limitato) SSM free mi ha fatto un gran casino dicendo che gli MD5 erano cambiati...e in effetti ho notato che pur usando un account limitato ho pieno accesso (anche in scrittura e non solo in lettura!) alla cartella di spyware terminator (solo a quella, non alle altre come è giusto che sia!) è normale sta cosa????:confused:

Ciao!

Una domanda...come posso nascondere gli avvisi per tutte quelle applicazioni da me considerate "trusted"?
Ogni tanto appare un box con questa o quella scritta (per un paio di giorni metterò in learning mode, comunque...)

Ciao e grazie!

:)

Hai selezionato la casella "Ricorda questa azione"? :confused: In quel modo, i popup per quel singolo comportamento che vai ad autorizzare non dovrebbero più comparire.
Sconsiglio invece di disattivare completamente gli avvisi per le applicazioni "fidate", risultato ottenibile selezionando la regola, e impostando "Allow" su tutte le voci. Tanto per dire, ho fatto una cosa del genere solo per il processo dell'antivirus. ;)

scaricato ed installato eqsecure.
vorrei cambiare la lingua del programma da inglese ad italiano (come da screen di pistolino).
chi mi aiuta?

Traduzione amatoriale. :D Vai nella cartella Programmi/EQSysSecure/Lang, apri il file en.zip, scompatta due file xml, aprili con un editor di testo e modificali come vuoi. :D Poi ricompattali nel file zip e li rimetti al loro posto, ovviamente mentre EQSecure è chiuso, altrimenti non ti lascia sovrascrivere i file. ;)
Comunque mi sono limitato a tradurre esclusivamente i messaggi dei popup contenuti negli screen che ho postato, per rendere il tutto più comprensibile a chi vede per la prima volta un programma del genere. ;)

Regards

Hai selezionato la casella "Ricorda questa azione"? :confused: In quel modo, i popup per quel singolo comportamento che vai ad autorizzare non dovrebbero più comparire.
Sconsiglio invece di disattivare completamente gli avvisi per le applicazioni "fidate", risultato ottenibile selezionando la regola, e impostando "Allow" su tutte le voci. Tanto per dire, ho fatto una cosa del genere solo per il processo dell'antivirus. ;)

Regards

No no...ho spuntato sempre quelle voci...
Scusa se approfitto della tua disponibilità:
mi appare application protection (Install global hook) BLOCKED per IEFRAME.DLL...che faccio, ascio così o gli do allow?

Inoltre ho seguito alcuni consigli qui -> http://www.wilderssecurity.com/showthread.php?t=170691&highlight=eqsecure

(del tipo creazione di un nuovo "Protection Mode", di un gruppo "Auto Group" con alcune applicaizoni, etc...)...
Puoi darmi qualche consiglio su alcune regole che posso impostare per la sicurezza?
Con voci importanti come "Low-level disk operation" o "Acces to physical memory" come dovrei comportarmi?
Dovrei impostarle solo con programmi particolari tipo antivirus o defragger?

Ciao e grazie!

:)

Traduzione amatoriale. :D Vai nella cartella Programmi/EQSysSecure/Lang, apri il file en.zip, scompatta due file xml, aprili con un editor di testo e modificali come vuoi. :D Poi ricompattali nel file zip e li rimetti al loro posto, ovviamente mentre EQSecure è chiuso, altrimenti non ti lascia sovrascrivere i file. ;)
Regards

thanks, dopo un giorno di utilizzo anche in inglese mi trovo benissimo tanto eqsecure è intuitivo e funzionale.

capitanj vai su configuration-watch message- e deseleziona log blocked protect message. (per il popup in basso a destra).

i malware sono in continua evoluzione, ed anche gli hips si devono adeguare, come saprete Cyberhawk non esiste più, al suo posto è nato ThreatFire (free beta) http://www.threatfire.com/
, al solito ne parlano su wilderssecurity

thanks, dopo un giorno di utilizzo anche in inglese mi trovo benissimo tanto eqsecure è intuitivo e funzionale.

capitanj vai su configuration-watch message- e deseleziona log blocked protect message. (per il popup in basso a destra).

i malware sono in continua evoluzione, ed anche gli hips si devono adeguare, come saprete Cyberhawk non esiste più, al suo posto è nato ThreatFire (free beta) http://www.threatfire.com/
, al solito ne parlano su wilderssecurity

Grazie...gentilissimo! ;)

Lo chiedo anche a te, IEFRAME.DLL l'hai lasciato su block?
Hai seguito qualche passaggio di WildersSecurity (http://www.wilderssecurity.com/showthread.php?t=170691&highlight=eqsecure ) ?

IEFRAME.DLL va autorizzata tranquillamente. L'hook si attiva in genere cliccando sul pulsante Strumenti in IE7. :D
Per quanto riguarda le altre voci, tipo accesso al disco a basso livello, accesso alla memoria fisica etc..., consenti tali attività solo quando provengono da applicazioni che conosci. Esempio: IE7, al termine del rilevamento degli aggiornamenti sul sito di MS Update, richiede un accesso alla memoria fisica; in quel caso, tanto per esempio, lo si può autorizzare tranquillamente. ;) Magari senza memorizzare la regola....tanto sono attività che non capitano ogni 3 secondi. :D ;)

Regards

Grazie...gentilissimo! ;)

Lo chiedo anche a te, IEFRAME.DLL l'hai lasciato su block?
Hai seguito qualche passaggio di WildersSecurity (http://www.wilderssecurity.com/showthread.php?t=170691&highlight=eqsecure ) ?

in generale, operazioni quali qulle da te descritte (Low-level disk operation/Acces to physical memory..) sono molto pericolose....

La discriminante, quindi, la puoi estrapolare da questi semplici passaggi:

nome del .exe che tenta di compiere l'operazione anomala...
la circostanza dell'evento...


Se parti da un sistema che è <RAGIONEVOLMENTE PULITO>, converrebbe lasciare il learning mode attivo in modo da toglierti ogni difficoltà di configurazione dei processi per poi DISABILITARLO quando ritieni terminata la fase di autoapprendimento...

Da questo momento in poi, ANALIZZA ATTENTAMENTE ogni pop-up....

IEFRAME.DLL va autorizzata tranquillamente. L'hook si attiva in genere cliccando sul pulsante Strumenti in IE7. :D
Per quanto riguarda le altre voci, tipo accesso al disco a basso livello, accesso alla memoria fisica etc..., consenti tali attività solo quando provengono da applicazioni che conosci. Esempio: IE7, al termine del rilevamento degli aggiornamenti sul sito di MS Update, richiede un accesso alla memoria fisica; in quel caso, tanto per esempio, lo si può autorizzare tranquillamente. ;) Magari senza memorizzare la regola....tanto sono attività che non capitano ogni 3 secondi. :D ;)


di fatto si dice la stessa cosa, ma il tuo es. è forse + pratico da capire...
ottimo.

Ehilà nV. :p Sto EQS te sta facendo decollare o' tred! :sofico:

OK la cazzata l'ho scritta...adesso posso ritenermi soddisfatto e andare a scuola guida (si guida con la pioggia oggi :eek: prima volta in assoluto con condizioni meteo avverse :eek: visibilità scarsissima--> incidenti probabilissimi :mc: ). :ciapet: :fagiano:

Regards

in generale, operazioni quali qulle da te descritte (Low-level disk operation/Acces to physical memory..) sono molto pericolose....

La discriminante, quindi, la puoi estrapolare da questi semplici passaggi:

nome del .exe che tenta di compiere l'operazione anomala...
la circostanza dell'evento...


Se parti da un sistema che è <RAGIONEVOLMENTE PULITO>, converrebbe lasciare il learning mode attivo in modo da toglierti ogni difficoltà di configurazione dei processi per poi DISABILITARLO quando ritieni terminata la fase di autoapprendimento...

Da questo momento in poi, ANALIZZA ATTENTAMENTE ogni pop-up....


di fatto si dice la stessa cosa, ma il tuo es. è forse + pratico da capire...
ottimo.

IEFRAME.DLL va autorizzata tranquillamente. L'hook si attiva in genere cliccando sul pulsante Strumenti in IE7. :D
Per quanto riguarda le altre voci, tipo accesso al disco a basso livello, accesso alla memoria fisica etc..., consenti tali attività solo quando provengono da applicazioni che conosci. Esempio: IE7, al termine del rilevamento degli aggiornamenti sul sito di MS Update, richiede un accesso alla memoria fisica; in quel caso, tanto per esempio, lo si può autorizzare tranquillamente. ;) Magari senza memorizzare la regola....tanto sono attività che non capitano ogni 3 secondi. :D ;)

Regards

Grazie mille ad entrambi...
Effettivamente pensavo di lasciare il programma in learning mode per 2-3 giorni...giusto il tempo di fargli "vedere" il comportamento del software che ho installato.

Grazie ancora

:)

Effettivamente pensavo di lasciare il programma in learning mode per 2-3 giorni...giusto il tempo di fargli "vedere" il comportamento del software che ho installato.

Grazie ancora

:)

Se il PC è pulito può andar bene il learning mode, anche se comunque devo ammettere che io non l'ho mai usato, e ho preferito fare il tutto manualmente. Dopo qualche giorno di utilizzo, i popup scompaiono del tutto. :)

Regards

...e mi raccomando:
usa un approccio molto prudenziale fin tanto che non disattivi l'autoapprendimento!

(di solito io faccio tutte le mie operazioni fuori linea...)

Se il PC è pulito può andar bene il learning mode, anche se comunque devo ammettere che io non l'ho mai usato, e ho preferito fare il tutto manualmente. Dopo qualche giorno di utilizzo, i popup scompaiono del tutto. :)

Regards
questa effettivamente è l'altra strada ma non tutti possono seguirla per ovvie ragioni...

A dir la verità, il mio approccio è a metà strada visto che appena disabilito il learning mode "ripasso le regole" una per una...
Una sorta di vivisezione, insomma...
In più uso anche il log per orientarmi, ma questo è tutto un altro capitolo....



PS:
buona scuola guida e...NON dimenticare di fare da supporto per EQS!!:fiufiu:

...e mi raccomando:
usa un approccio molto prudenziale...

...dosa con delicatezza la pressione sul pedale del freno e tieni il volante con una presa più sicura. :fagiano: :ciapet:

Regards

Grazie per i suggerimenti!

...dosa con delicatezza la pressione sul pedale del freno e tieni il volante con una presa più sicura. :fagiano: :ciapet:

Regards

Mi raccomando...in prossimità di incroci con semaforo se ti scatta il giallo accelera a bomba sennò prendi rosso pieno!!!
:sofico:



:D :D :D

Io sto usando sandboxie, è normale che rallenti di molto i programmi?

dipende cosa gli fai sandboxare,però non dovrebbe rallentare tanto,sensibilmente sì,ma non tanto.....Poi bisognerebbe sapere la configurazione del tuo pc...

OT:

per capire che razza di cliente sia (e in fondo ho speso meno di 30€, figurarsi se ne avessi spesi 3000...:fiufiu: ), vi basti sapere che stò letteralmente massacrando di PVT lo sviluppatore di ProSecurity con le domande e i suggerimenti più disparati....:D


Ha dimostrato, almeno con me, massima disponibilità (=la cosi' detta "mano"...), e io come lo ho ripagato?
Prendendogli il braccio, e andiamoooo!!!
Per ora, infatti, la politica è "BATTERE IL FERRO FINCHE' E' CALDO" ma prevedo a brevissimo una bella pedata nel ** senza passare dal via....:D

(Se dovesse infatti risponde anche stavolta al mio ultimo PVT, non è uno sviluppatore ma un angelo!!:D
Ah: se l'uscita della versione 1.40 Finale dovesse ritardare, avete già capito di chi è la colpa, no? :ciapet: )



EDIT h 21.38:
mi ha risposto anche stavolta:
è un angelo....:flower:

OT:

per capire che razza di cliente sia (e in fondo ho speso meno di 30€, figurarsi se ne avessi spesi 3000...:fiufiu: ), vi basti sapere che stò letteralmente massacrando di PVT lo sviluppatore di ProSecurity con le domande e i suggerimenti più disparati....:D


Ha dimostrato, almeno con me, massima disponibilità (=la cosi' detta "mano"...), e io come lo ho ripagato?
Prendendogli il braccio, e andiamoooo!!!
Per ora, infatti, la politica è "BATTERE IL FERRO FINCHE' E' CALDO" ma prevedo a brevissimo una bella pedata nel ** senza passare dal via....:D

(Se dovesse infatti risponde anche stavolta al mio ultimo PVT, non è uno sviluppatore ma un angelo!!:D
Ah: se l'uscita della versione 1.40 Finale dovesse ritardare, avete già capito di chi è la colpa, no? :ciapet: )



EDIT h 21.38:
mi ha risposto anche stavolta:
è un angelo....:flower:

sei un glande :ciapet:

della serie se non ci fossi bisognerebbe inventarti...:sofico:

Uscita la v3 di Sandboxie. Chi si cimenta a provarla? :D

Regards

Uscita la v3 di Sandboxie. Chi si cimenta a provarla? :D

Regards

Ci avevo fatto un pensierino,ma parlandone con il buon lancetta abbiamo optato per un temporeggiamento('mazza che parola:fagiano: )visto che qualche cambiamento(significativo....)è stato fatto...
io ho la 2.82;)
spero solo che risolvano alcune incompatibiltà,arovax su tutte:rolleyes:

Qualche domanda per gli utilizzatori di Sandboxie, magari v3. :)

1) Il programma si installa come semplice applicazione oppure a livello di servizio? Controllate in start-->esegui-->services.msc per vedere se c'è un qualche servizio riferito a Sandboxie. :)
2) Quanta RAM occupa all'incirca?
3) Quanti processi vengono avviati complessivamente da Sandboxie?

Grazie. :D
Regards

ancora non uso la 3 però dovrebbe esserci anche un altro servizio che è SbieSvc che do solito è intorno ai 3 mega eppoi quando si attiva l'Rpcc di solito con IE(con Opera mai infatti in questo momento 2.044 mega con 9 tab aperti...pochissimi)che è quello che consuma più risorse a volte arriva anche a 20 - 22 mega.Tutto dipende da cosa richiami sandboxato.Comunque ho letto commenti molto favorevoli alla vers. 3 di questo soft su wilders,penso che fra non molto mi cimenterò all'aggiornamento e riporterò le impressioni.

Saluti

Grazie per i suggerimenti!



Mi raccomando...in prossimità di incroci con semaforo se ti scatta il giallo accelera a bomba sennò prendi rosso pieno!!!
:sofico:



:D :D :D

:read: :read: :read: :read:

e se ti diventa rosso mentre stai passando... freno a mano!!!

:banned:

:sofico:

ma tra le versioni attuali di sandboxie e geswall, quale consigliereste??

Qualche domanda per gli utilizzatori di Sandboxie, magari v3. :)

1) Il programma si installa come semplice applicazione oppure a livello di servizio? Controllate in start-->esegui-->services.msc per vedere se c'è un qualche servizio riferito a Sandboxie. :)
2) Quanta RAM occupa all'incirca?
3) Quanti processi vengono avviati complessivamente da Sandboxie?

Grazie. :D
Regards

Ciao, gia da qualche versione precedente alla 3, viene installato un servizio Sendboxie Service (SbieSvc). Il servizio è impostato su automatico, ma lo puoi anche impostare in manuale. Io preferisco non avere nulla in avvio automatico ed attivare i programmi solo all'occorrenza.

All'avvio di sandboxie vengono attivati 3 pocessi:
SandboxieDcomLaunch.exe del peso approssimativo di 2,5/3 mega
SbieSvc.exe peso circa 3 mega
e SandboxieRpcSs.exe che pesa sui 5,5 mega

L'installer di Sandboxie otre ad installare il servizio ed i file del programma installa nella voce ..."run" di HKCU l'avvio automatico del file control.exe
Anche in questo caso tale voce si può eliminare per avviare sandbox sono in caso di effettivo uso.

Ciao

Siete stati precisi e gentilissimi.
Grazie mille per le informazioni. ;)

Regards

un pò in ritardo....
A me i 3 processi sopracitati occupano 8 mega in tot circa col solo firefox sandboxato con più schede aperte.Il servizio lo tengo su manuale,e in msconfig lo tengo deselezionato così non parte all'avvio.

un pò in ritardo....
A me i 3 processi sopracitati occupano 8 mega in tot circa col solo firefox sandboxato con più schede aperte.Il servizio lo tengo su manuale,e in msconfig lo tengo deselezionato così non parte all'avvio.

Grazie anche a te per le info. ;)

Regards

In definitiva tra questo EQsecure 3.4 e DSA, quale consigliate. Da circa un mese provo DSA e riscontro due problemi: dimentica le regole, blocca in programmi che utilizzano troppa CPU o RAM (non permette di fissare delle regole).

e tra sandboxie e geswall??

In definitiva tra questo EQsecure 3.4 e DSA, quale consigliate. Da circa un mese provo DSA e riscontro due problemi: dimentica le regole, blocca in programmi che utilizzano troppa CPU o RAM (non permette di fissare delle regole).

IMHO EQSecure. ;)

e tra sandboxie e geswall??

Mai provati...comunque geswall è forse più "rodato".
A prescindere dalle mie preferenze, comunque, la cosa migliore è provarli e scegliere quello che vi sembra migliore. ;)

Regards

IMHO EQSecure. ;)



Mai provati...comunque geswall è forse più "rodato".
A prescindere dalle mie preferenze, comunque, la cosa migliore è provarli e scegliere quello che vi sembra migliore. ;)

Regards

Quindi, consigli questo EQSecure. Ma il sito e' solo in cinese?

Quindi, consigli questo EQSecure. Ma il sito e' solo in cinese?

Credo di si, almeno per il momento. :)

Regards

Segnalo la "comparsa" di Haute Secure.

Il sito ufficiale è: http://www.hautesecure.com/index.aspx
La discussione di Wilders in cui si parla del prodotto è: http://www.wilderssecurity.com/showthread.php?t=179863

Viene presentato come software HIPS, ma a dirla tutta, non mi entusiasma più di tanto. :fagiano:

Regards

Su quali punti non ti soddisfa questo software rispetto ai più blasonati PG, SSM e ProSecurity... Solo a scopo informativo :D

Semplicemente non lo considero un vero e proprio HIPS...da quanto ho letto su Wilders, mi sembra assomigli più a un filtro antiphishing. :mbe:

Regards

@nV 25: ho letto l'update in prima pagina, in cui dici che il primo post andrebbe riscritto ex-novo.
Secondo me, la parte introduttiva e le FAQ vanno benissimo così...sarebbe invece da rifare la parte sui programmi, sia freeware che a pagamento. :stordita:
Per EQSecure c'è la mia mini-review qualche pagina addietro. Per ProSecurity idem mi pare...avevi scritto qualcosina no? :fagiano: Per SSM c'è l'intero primo post del thread ufficiale che avevo aperto...se serve, attingi pure da lì. ;)

Regards

@ nV25
@pistolino

vi è mai capitato di sventare un attacco maligno con l'hips?
se sì,quale?

gradirei una risposta,positiva o negativa che sia,da patre di entrambi...
grazie
saluti:)

mai....a parte i sample di diversi rootkit che mi ero andato a pescare di proposito su sysinternals per "toccare con mano" alcune cosette che mi interessavano....


Per es, questi test li feci tempo fà:
con Process Guard, dalla 1° pagina, http://img297.imageshack.us/my.php?image=rootkittestatiqj6.jpg

Con ProSecurity, http://img501.imageshack.us/my.php?image=rootkitajd162conga1rustug4.jpg

PS: i sample cmq erano gira e rigira i soliti, come vedi anche dagli screen...

PS 2: sempre a proposito di qualche prova su strada con ProSecurity, feci una mini-rece sul forum di eraser:http://forum.pcalsicuro.com/index.php/topic,113.0.html

Li' ci trovi anche 2 trojan...

@Beyond: no, mai successo nemmeno a me, se non, appunto, con appositi file di test e similari. :D

Quello che mi piace degli HIPS è il controllo che offrono sul sistema, che finalmente fa solo quello che gli permetto io. Il fatto, poi, di rendere avviabili solo i processi fidati (e non quelli sconosciuti--> tipo regole di firewall :D ) consente davvero di migliorare la protezione del sistema. Infatti IMHO se tutti gli antivirus avessero di serie anche solo una funzionalità di Process Execution Control (per la quale appare una richiesta prima di eseguire qualsiasi applicazione non fidata), aumenterebbe drasticamente il livello di protezione del sistema, anche senza le firme antivirus, a patto, ovviamente, che l'utente non risponda "si" a ogni richiesta. :D

Regards

A qualcuno di voi succede questo?

http://i82.imagethrust.com/t/898854/immagine.jpg (http://i82.imagethrust.com/images/3LPE/view-image/eqsecurevscomodo.html)

Ogni tanto Comodo mi da questo avvertimento (all'avvio di XP)...

Edit

A qualcuno di voi succede questo?


se non interpreto male il TU di EQS su wilders, è normale:
il tuo solito pop-up (http://www.wilderssecurity.com/showpost.php?p=1051963&postcount=29)....e la sua "spiegazione" (http://www.wilderssecurity.com/showpost.php?p=1051979&postcount=30)...


"A ping of this IP resolves it to a Microsoft URL. Apparently EQSecure does this to verify the signatures of digitally-signed programs from Microsoft."


Ottimo HIPS, Capitan_J ...

se non interpreto male il TU di EQS su wilders, è normale:
il tuo solito pop-up (http://www.wilderssecurity.com/showpost.php?p=1051963&postcount=29)....e la sua "spiegazione" (http://www.wilderssecurity.com/showpost.php?p=1051979&postcount=30)...


"A ping of this IP resolves it to a Microsoft URL. Apparently EQSecure does this to verify the signatures of digitally-signed programs from Microsoft."


Ottimo HIPS, Capitan_J ...

Grazie mille nV 25

faro luminoso nella tetra giungla regno dei malwares


:ave:


:)

Come già detto da nV 25, il tentativo di accesso alla rete è assolutamente una cosa normale.

EQService.exe tenta di connettersi per controllare le firme digitali Microsoft (puoi disattivare tale controllo nelle opzioni ;) ).
EQSysSecure.exe, invece, che sarebbe l'interfaccia grafica, tenta di connettersi quando clicchi su "Guida online". :)

Regards

@ pistolino:

ma un bel thread su EQS che se lo merita tutto, vuoi per efficacia, vuoi per semplicità :read: ? :mbe:


@ Cap_J:
impressioni?

A te l'onore... :D

Regards

@ Cap_J:
impressioni?

Ottime!
Ho provato alcuni dei programmi in 1a pagina (SSM, DSA, etc) ma nessuno mi ha piacevolmente colpito come EQS.
Può sembrare un po' ostico al primo avvio, ma dopo qualche giorno per capire come opera il programma fila tutto liscio.

Si deve stare un poco attenti a quelle applicazioni che vanno più nel profondo del sistema operativo, un semplice esempio: HDTune appena installato e avviato non rilevava nessun hard disk...E' bastato andare in Settings -> Application's rule e inserire in un gruppo HDTune.

Così per tutti quei programmi "Trusted" per i quali EQSecure mi chiedeva spesso cosa consentire o no

http://mazara.ath.cx/uploadimage/images/3855Immagine.JPG (http://mazara.ath.cx/uploadimage/v.php?id=3855Immagine.JPG)

Se devo dargli un voto, almeno per quanto mi riguarda, gli do un bel 9-9,5 :D

Ottime!
Ho provato alcuni dei programmi in 1a pagina (SSM, DSA, etc) ma nessuno mi ha piacevolmente colpito come EQS.
Può sembrare un po' ostico al primo avvio, ma dopo qualche giorno per capire come opera il programma fila tutto liscio.

Si deve stare un poco attenti a quelle applicazioni che vanno più nel profondo del sistema operativo, un semplice esempio: HDTune appena installato e avviato non rilevava nessun hard disk...E' bastato andare in Settings -> Application's rule e inserire in un gruppo HDTune.

Così per tutti quei programmi "Trusted" per i quali EQSecure mi chiedeva spesso cosa consentire o no



Se devo dargli un voto, almeno per quanto mi riguarda, gli do un bel 9-9,5 :D

Scusa, ho provato diversi software HIPS: Arovax shield, SSM3 free e DSA (attualmente installato). Arovax shield e' stato un programma tranquillo, SSM free un disastro, DSA non mi piace per due motivi, primo dimentica le regole, secondo mi blocca i programmi quando assorbono troppa CPU o RAM.

Da questo punto di vista EQsecure come si comporta, ricorda le regole? Ti crea paranoie per uso anomalo di CPU o RAM (ovviamnte da parte di programmi leggitimi)?

Scusa, ho provato diversi software HIPS: Arovax shield, SSM3 free e DSA (attualmente installato). Arovax shield e' stato un programma tranquillo, SSM free un disastro, DSA non mi piace per due motivi, primo dimentica le regole, secondo mi blocca i programmi quando assorbono troppa CPU o RAM.

Da questo punto di vista EQsecure come si comporta, ricorda le regole? Ti crea paranoie per uso anomalo di CPU o RAM (ovviamnte da parte di programmi leggitimi)?

Ricorda tutte le regole, nessuna paranoia con i programmi trusted...
L'unica cosa è quel riquadro di Comodo che mi appare di tanto in tanto (che ho postato un po' più su).

p.s. per favore edita l'immagine del tuo quote...così il layout della pagina torna normale

:)

Ricorda tutte le regole, nessuna paranoia con i programmi trusted...
L'unica cosa è quel riquadro di Comodo che mi appare di tanto in tanto (che ho postato un po' più su).

p.s. per favore edita l'immagine del tuo quote...così il layout della pagina torna normale

:)

Scusa, sono tarato, cosa devo editare.

Scusa, sono tarato, cosa devo editare.

Il tuo post...quello in cui quoti la mia immagine...clicca sul tasto "modifica" e togli il link all'immagine.
:)

Ci sono dei "problemini" in alcuni software che usano l'SSDT hooking > http://www.matousec.com/projects/windows-personal-firewall-analysis/plague-in-security-software-drivers.php

Si è vero. Anche nV 25 ne aveva parlato qualche giorno fa, citando dei link in cui si parlava della vulnerabilità nei driver di Kaspersky. Vulnerabilità che, a quanto si legge su Matousec, coinvolge anche altri programmi. :rolleyes:
E pensare che è da anni che quei software patchano la SSDT. :doh: Chissà come se la cava SSM, che patcha TUTTA la SSDT con oltre 200 kernel hooks... :ciapet:

Regards

Si è vero. Anche nV 25 ne aveva parlato qualche giorno fa, citando dei link in cui si parlava della vulnerabilità nei driver di Kaspersky. Vulnerabilità che, a quanto si legge su Matousec, coinvolge anche altri programmi. :rolleyes:
E pensare che è da anni che quei software patchano la SSDT. :doh: Chissà come se la cava SSM, che patcha TUTTA la SSDT con oltre 200 kernel hooks... :ciapet:

Regards

Infatti sarebbe interessante avere un test comparativo anche sugli altri hips e/o firewall che non sono stati presi in esame.

Ricorda tutte le regole, nessuna paranoia con i programmi trusted...
L'unica cosa è quel riquadro di Comodo che mi appare di tanto in tanto (che ho postato un po' più su).

p.s. per favore edita l'immagine del tuo quote...così il layout della pagina torna normale

:)

Volendo passare a Windows Vista, sai se questo software lo supporta.

per quanto riguarda ProSecurity, "I have fix this. This will be released in the next (beta) version"...
http://www.proactive-hips.com/cgi-bin/yabb2/YaBB.pl?num=1190231313


In sostanza, quando si hanno le competenze adatte, le soluzioni vengono poste subito e non si tergiversa secondo il modus operandi della Kaspersky (e compagnia bella...)

Queste vulnerabilità, cmq, più che costituire "brecce", attengono sostanzialmente alla sfera della stabilità della macchina visto che la risultante è un BSOD...
Ciò non toglie che sia sempre meglio implementare correttamente gli Hook sulle varie funzioni della tavola SSDT...

Volendo passare a Windows Vista, sai se questo software lo supporta.

mmm...non credo ->

http://download.pchome.net/system/systemsafety/34417.html

Tra i punti interrogativi si leggono solo questi: Win NT/2K/XP/Win 2003

mmm...non credo ->

http://download.pchome.net/system/systemsafety/34417.html

Tra i punti interrogativi si leggono solo questi: Win NT/2K/XP/Win 2003

No, non supporta Vista. Ho visto sul forum ufficiale (quelle poche righe in inglese) che la prossima versione (3.5) supportera' Vista.

http://www.diamondcs.com.au/index.php

Sito completamente rifatto con diverse novità nella sezione di Process Guard. :D
:eek: :sofico:

Regards

Come già da tempo accennato SSM non viene aggiornato soprattutto la versione free che uso da parecchio tempo.
Visto che nel campo della sicurezza è fondamentale essere sempre aggiornati mi consigliate di sostituire SSM free con qualche altro Hips più recente, ovviamente sempre in versione free.
Grazie

si, indubbiamente*:

SSM Free per EQSecure (TOP!: trovi peraltro i link per il download scorrendo 1/2 pagine indietro di questo stesso thread) o DSA (molto interessante specie per il tipo di approccio "misto" adottato: attenzione xò se si ha già 1 firewall in quanto anch'esso lo incorpora...)





* a meno che uno non consideri la funzionalità "Execution Control" alla stregua dell'unica (e più efficace) linea di difesa, nel qual caso un HIPS varrebbe l'altro, gratuito o commerciale che sia...

Mi spiego meglio (e in soldoni..):

te, in coscienza, avresti detto SI :read: all'esecuzione dei file dello screen sotto, considerando che partono da una posizione "sospetta", senza un "motivo" (= una tua iterazione), e coi nomi che hanno?
Se si, cambia DI CORSA HIPS...
http://img223.imageshack.us/img223/4293/17559745rv3.jpg

SSM is dead, de facto. :mc: Un ottimo progetto buttato a mare. :rolleyes: :muro:
Fortuna che è "subentrato" EQSecure, ottimo freeware in grado di competere con ProSecurity, prodotto a pagamento. :D

Regards

...
Fortuna che è "subentrato" EQSecure, ottimo freeware in grado di competere con ProSecurity, prodotto a pagamento. :D


ti devo bastonare :read: pubblicamente o risolviamo in PVT/Msn? :boxe:

:D

Cmq, ottimo Hips, cosi' come è buona la notizia che hai dato sul refresh del sito della DiamondCS...
A me non può che farmi piacere visto che il 1° amore...:cry:

Leggendo su wilders un commento recente di un mod sulle sorti della DiamondCS, diceva che lo svil. di PG, prima di scomparire nel'oblio lasciando con 2 °° al ** tutti, avesse in mente qualcosa di rivoluzionario (un nuovo approccio??)....
Che si stia avvicinando questo momento? :mbe:

"I remember Wayne was developing something very genious for our protection, looking forward to that.."

ti devo bastonare :read: pubblicamente o risolviamo in PVT/Msn? :boxe:

:D



La "verità" fa male eh... :p No comunque...per me EQSecure è molto simile a ProSecurity come numero di funzionalità di protezione. Senza dubbio è meno rodato e ha ancora qualche difettuccio di gioventù (vedi ad esempio la mancanza di un'opzione per attivare globalmente il controllo del checksum, cosa che, attualmente, va impostata manualmente per ogni singola regola), ma per il resto se la cava egregiamente direi. Anche nei test sugli SSDT restorers si è fatto valere, superando tutti i test a partire dalla versione 3.4. :read:

SSM invece è morto e sepolto allo stato attuale. :mc:



"I remember Wayne was developing something very genious for our protection, looking forward to that.."

Geniale la frase. Speriamo anche il progetto. :ciapet:

Regards

si, indubbiamente*:

SSM Free per EQSecure (TOP!: trovi peraltro i link per il download scorrendo 1/2 pagine indietro di questo stesso thread) o DSA (molto interessante specie per il tipo di approccio "misto" adottato: attenzione xò se si ha già 1 firewall in quanto anch'esso lo incorpora...)





* a meno che uno non consideri la funzionalità "Execution Control" alla stregua dell'unica (e più efficace) linea di difesa, nel qual caso un HIPS varrebbe l'altro, gratuito o commerciale che sia...

Mi spiego meglio (e in soldoni..):

te, in coscienza, avresti detto SI :read: all'esecuzione dei file dello screen sotto, considerando che partono da una posizione "sospetta", senza un "motivo" (= una tua iterazione), e coi nomi che hanno?
Se si, cambia DI CORSA HIPS...
http://img223.imageshack.us/img223/4293/17559745rv3.jpg

Vediamo se ho capito...Intendi dire se con SSM free ho dato accesso a i file scritti nella lista? Se così fosse non ho nessuno dei file descritti da te nella lista delle applicazioni di SSM.
Io generalmente controllo sempre il file prima di dare accesso con SSM e finora posso dire che ha fatto il suo dovere.
Ma mi viene il sospetto che essendo non aggiornato non riesce ad individuare le nuove minacce che si evolvono in modo quasi esponenziale.
In questi giorni appena finiscono gli esami mi dedicherò intensivamente alla scoperta di EqSecure perché DSA avendo il firewall incorporato andrebbe in conflitto con Comodo che reputo attualmente il migliore tra i freeware.

no, no, attento:

quello che volevo dire è questo:
se reputi che la funzione principale di un HIPS sia quella di execution control, ovverosia avvisarti ogni qual volta che
_ viene eseguito un qualsiasi file (non necessariamente di estensione .exe...)
_ o quando c'è un cambiamento di checksum

ALLORA

NON avresti interesse nè a cambiare prodotto nè versione:
se qualcosa "non ti sfagiola", infatti, BLOCCHERESTI l'esecuzione di codice e festa finita e il potenziale malware sarebbe bloccato già a questo livello, il 1°...

Ecco perchè ho detto:
si, se puoi cambia hips a meno che tu non lo usi esclusivamente come controllore di ciò che parte...



Detto questo:
è normale che tu non abbia mai eseguito quei file che, infatti, sono sample testati da un tizio per far vedere alcune cosette...
Se tu li avessi eseguiti, infatti, ti assicuro che SSM lo useresti giusto come icona nella tray bar (svuotata però di tutto il suo significato visto che ti avrebbero aperto il Pc come un groviera...:D )

Per la cronaca, se vieni da SSM, posso assicurarti che rimarrai esterefatto dalla leggerezza di EQS e dalla sua banalità...

Adesso credo di avere capito...
Effettivamente SSM lo uso in questo modo, cioè dando accesso al file se lo reputo sicuro altrimenti lo blocco...
Quindi secondo il tuo ragionamento non dovrei cambiare programma e mi sento spiazzato perché credevo che l'uso migliore di hips fosse proprio questo.
Allora potresti spiegarmi quali sono l'altre modalità di uso di un hips in genere?
Infine che caratteristiche ha Eqsecure rispetto a SSM?
Grazie

@ pistolino

Ciao, potresti inviarmi i file di EQSecure che hai tradotto in italiano?

forse si dovrebbe aggiornare la prima pagina con i nuovi software...

+ utile ancora sarebbe aprire un nuovo TU se solo qualcuno se ne accollasse l'onere...:stordita:

Cmq se riesco una refreshata cercherò di dargliela anche se NON garantisco nulla visto che mi trovo con la mano dx ingessata e con uno spirito che non è propriamente quello giusto per imbarcamenarmi in una nuova mission...

@ f250gto a proposito di "quali siano le modalità d'uso di un hips":
personalmente, pur attribuendo un ruolo cruciale all'execution control come 1° linea di difesa, trovo molto limitante "ridurre" un hips esclusivamente a controllore di cosa mi va in esecuzione....
Va da se, allora, che *pretendo* di avere un ulteriore ventaglio di difese da poter frapporre tra l'esecuzione del file (malware?) e il danno che ne potrebbe discenderebbe (l'infezione)...

E' ovvio, cmq, che il sottoscritto (come chiunque con un pò di buon senso..), nella vita quotidiana *NON* avrebbe *MAI* dato il proprio assenso all'esecuzione dei file dello screen sopra per quanto, cmq, poco avrebbero potuto sul mio pc...

In EQSecure ho notato che nel Gruppo di default se si seleziona un applicazione alla quale è stato concesso l'esecuzione dell'applicazione, le altre voci es. load driver o install global hook sono per default impostate su "ignore it". C'è la possibilità di impostarle tutte in un unico momento su "promt and block"?

Grazie

se non erro, "prompt and block" è da interpretare cosi':

chiedi (all'utente) cosa fare (per quel tipo di azione)...
Se per un qualche motivo l'utente NON risponde entro X secondi (con X a regola impostabile a piacere...), ALLORA blocca.


Per rispondere alla tua domanda, si, credo sia possibile...
Se non risponde Pistolino, appena ho tempo in VM reinstallo EQS e vi do 1 mano...

Salve a tutti:D
Dopo un'assenza di mesi mi ritrovo a visitare nuovamente questi lidi e che ti scopro? Che il mio fidato SSM sembrerebbe ormai superato :(

Sembrerebbe che EQSecure sia la soluzione free ottimale al momento, ecco perche' sono qui per implorare voi esperti ad aprire un Tread Ufficiale dedicato a questo simpatico programma... con i vari settaggi iniziali e le configurazione di base...

So di chiedere tanto, ma sarebbe veramente gentile da parte vostra! :D

Mi associo a dariuzzz, stessa situazione e stessa richiesta.

@nV 25, dove si imposta il tempo (X) per il "prompt and block"?

"...visto che mi trovo con la mano dx ingessata e con uno spirito che non è propriamente quello giusto per imbarcamenarmi in una nuova mission..."

ma dai, credo che una distrazione non può farti altro che bene!!!
puoi sempre usare la sinistra, sei mi pare il MITICO nV 25
scherzo ovviamene, mi spiace per il tuo problema, ma dopo il crollo di SSM, credo siamo in molti in trepida attesa

@pistolino
magari anche quella tua piccola traduzione potrebbe essere utile a chi di inglese no ne capisce una...

grazie
nik

se non erro, "prompt and block" è da interpretare cosi':

chiedi (all'utente) cosa fare (per quel tipo di azione)...
Se per un qualche motivo l'utente NON risponde entro X secondi (con X a regola impostabile a piacere...), ALLORA blocca.



Questo l'avevo capito. Non capisco però la logica di quel "ignore" impostato di default.

Salve a tutti:D
Dopo un'assenza di mesi mi ritrovo a visitare nuovamente questi lidi e che ti scopro? Che il mio fidato SSM sembrerebbe ormai superato :(

Sembrerebbe che EQSecure sia la soluzione free ottimale al momento, ecco perche' sono qui per implorare voi esperti ad aprire un Tread Ufficiale dedicato a questo simpatico programma... con i vari settaggi iniziali e le configurazione di base...

So di chiedere tanto, ma sarebbe veramente gentile da parte vostra! :D


@pistolino
magari anche quella tua piccola traduzione potrebbe essere utile a chi di inglese no ne capisce una...

grazie
nik
Quoto alla grande!!

quella di sharare la lingua di EQS è semplicemente un'idea eccellente che può favorire la diffusione di questo programma...

PS @ Pistolino:
perchè non mandi per mail la traduzione direttamente alla software house? ;)

Intanto io mi sono scaricato il programma e l'ho installato... Ho provato a seguire la guida di wilderssecurity, ma essendo il mio inglese abbastanza scandaloso mi sono subito bloccato :stordita:

In pratica ho capito che all'inizio conviene non far partire in esecuzione il programma automaticamente, e settare tutto su "allow"... poi?

Aiutate noi poveri utenti medi :(
Graaazie! :D

se conosci il francese, avrei trovato una guida che risolverebbe molti problemi...:stordita:

http://forum.zebulon.fr/index.php?showtopic=128001


Onestamente, cmq, prima mi avvicinerei al programma senza stare a modificare alcunchè cosi' da prenderci confidenza, poi, in un 2° momento, procederei alla personalizzazione (=l'arrobustimento/affinamento delle regole...)

se conosci il francese, avrei trovato una guida che risolverebbe molti problemi...:stordita:

http://forum.zebulon.fr/index.php?showtopic=128001


Onestamente, cmq, prima mi avvicinerei al programma senza stare a modificare alcunchè cosi' da prenderci confidenza, poi, in un 2° momento, procederei alla personalizzazione (=l'arrobustimento/affinamento delle regole...)

Grazie del consiglio :) Anche se il francese proprio non lo parlo!
In effetti oggi ho poco tempo per mettermi a studiarlo/settarlo... nei prossimi giorni cerchero' di "giocarci" un po'... poi passero' alla guida di wilders...

Se nel frattempo qualcuno fosse cosi' gentile da aprire un topic dedicato... :fiufiu:

:D

+ utile ancora sarebbe aprire un nuovo TU se solo qualcuno se ne accollasse l'onere...:stordita:

Cmq se riesco una refreshata cercherò di dargliela anche se NON garantisco nulla visto che mi trovo con la mano dx ingessata e con uno spirito che non è propriamente quello giusto per imbarcamenarmi in una nuova mission...

@ f250gto a proposito di "quali siano le modalità d'uso di un hips":
personalmente, pur attribuendo un ruolo cruciale all'execution control come 1° linea di difesa, trovo molto limitante "ridurre" un hips esclusivamente a controllore di cosa mi va in esecuzione....
Va da se, allora, che *pretendo* di avere un ulteriore ventaglio di difese da poter frapporre tra l'esecuzione del file (malware?) e il danno che ne potrebbe discenderebbe (l'infezione)...

E' ovvio, cmq, che il sottoscritto (come chiunque con un pò di buon senso..), nella vita quotidiana *NON* avrebbe *MAI* dato il proprio assenso all'esecuzione dei file dello screen sopra per quanto, cmq, poco avrebbero potuto sul mio pc...

mi spiace... so che significa... anni fa ho avuto 5 fratture nel giro di 2 anni (una sfiga colossale 2 volte polso sx una volta il dx + mano sx e gamba sx in 7-8 pezzi)... ma almeno ho imparato a farmi le pippe con entrambe le mani ed ho imparato a calciare con entrambi i piedi a calcio...nella sfiga ho cercato di trarre qualcosa di utile :D

+ utile ancora sarebbe aprire un nuovo TU se solo qualcuno se ne accollasse l'onere...:stordita:

Cmq se riesco una refreshata cercherò di dargliela anche se NON garantisco nulla visto che mi trovo con la mano dx ingessata e con uno spirito che non è propriamente quello giusto per imbarcamenarmi in una nuova mission...

@ f250gto a proposito di "quali siano le modalità d'uso di un hips":
personalmente, pur attribuendo un ruolo cruciale all'execution control come 1° linea di difesa, trovo molto limitante "ridurre" un hips esclusivamente a controllore di cosa mi va in esecuzione....
Va da se, allora, che *pretendo* di avere un ulteriore ventaglio di difese da poter frapporre tra l'esecuzione del file (malware?) e il danno che ne potrebbe discenderebbe (l'infezione)...

E' ovvio, cmq, che il sottoscritto (come chiunque con un pò di buon senso..), nella vita quotidiana *NON* avrebbe *MAI* dato il proprio assenso all'esecuzione dei file dello screen sopra per quanto, cmq, poco avrebbero potuto sul mio pc...

mi spiace... so che significa... anni fa ho avuto 5 fratture nel giro di 2 anni (una sfiga colossale 2 volte polso sx una volta il dx + mano sx e gamba sx in 7-8 pezzi)... ma almeno ho imparato a farmi le pippe con entrambe le mani ed ho imparato a calciare con entrambi i piedi a calcio...nella sfiga ho cercato di trarre qualcosa di utile :D

... ma almeno ho imparato a farmi le pippe con entrambe le mani...nella sfiga ho cercato di trarre qualcosa di utile :D
:sbonk: :rotfl: :rotfl: :rotfl:





PS:
cancella il 2° post che è identico al 1°..

no, no, attento:

quello che volevo dire è questo:
se reputi che la funzione principale di un HIPS sia quella di execution control, ovverosia avvisarti ogni qual volta che
_ viene eseguito un qualsiasi file (non necessariamente di estensione .exe...)
_ o quando c'è un cambiamento di checksum

ALLORA

NON avresti interesse nè a cambiare prodotto nè versione:
se qualcosa "non ti sfagiola", infatti, BLOCCHERESTI l'esecuzione di codice e festa finita e il potenziale malware sarebbe bloccato già a questo livello, il 1°...

Ecco perchè ho detto:
si, se puoi cambia hips a meno che tu non lo usi esclusivamente come controllore di ciò che parte...



Detto questo:
è normale che tu non abbia mai eseguito quei file che, infatti, sono sample testati da un tizio per far vedere alcune cosette...
Se tu li avessi eseguiti, infatti, ti assicuro che SSM lo useresti giusto come icona nella tray bar (svuotata però di tutto il suo significato visto che ti avrebbero aperto il Pc come un groviera...:D )

Per la cronaca, se vieni da SSM, posso assicurarti che rimarrai esterefatto dalla leggerezza di EQS e dalla sua banalità...


Già...stamattina mi ero deciso a fare questo passo, ho disattivato SSM free e ho messo EQSecure...configurato...tutto perfetto...contentissimo...ma...non appena ho fatto il login nell'account limitato che utilizzo normalmente per navigare...zac! Era in cinese e si rifiutava di funzionare regolarmente...sparando in continuazione messaggi di errore, anch'essi in cinese! :muro: :cry:

Già...stamattina mi ero deciso a fare questo passo, ho disattivato SSM free e ho messo EQSecure...configurato...tutto perfetto...contentissimo...ma...non appena ho fatto il login nell'account limitato che utilizzo normalmente per navigare...zac! Era in cinese e si rifiutava di funzionare regolarmente...sparando in continuazione messaggi di errore, anch'essi in cinese! :muro: :cry:

nessuno sa aiutarmi? fra tutti gli utilizzatori di eqsecure nessuno ha avuto questo problema? :confused:

nessuno sa aiutarmi? fra tutti gli utilizzatori di eqsecure nessuno ha avuto questo problema? :confused:

Ho installato 2 volte EQSecure (mantenendo in esecuzione anche SSM Pro) e poi l'ho tolto perchè non riuscivo a configurarlo per bene (non sono una cima nella conoscenza informatica).
Consentimi di farti una domanda, seppur banale o scontata (vista la mia premessa): dopo l'installazione di EQSecure, nelle opzioni di configurazione, hai deselezionato la casella "avvia con windows" oppure hai selezionato il "learning mode"? Perchè in caso contrario EQSecure, se non configurato con tutte le regole riguardanti i programmi caricati all'avvio, può creare problemi nel caricamento del S.O..
Ciao.

Ho installato 2 volte EQSecure (mantenendo in esecuzione anche SSM Pro) e poi l'ho tolto perchè non riuscivo a configurarlo per bene (non sono una cima nella conoscenza informatica).
Consentimi di farti una domanda, seppur banale o scontata (vista la mia premessa): dopo l'installazione di EQSecure, nelle opzioni di configurazione, hai deselezionato la casella "avvia con windows" oppure hai selezionato il "learning mode"? Perchè in caso contrario EQSecure, se non configurato con tutte le regole riguardanti i programmi caricati all'avvio, può creare problemi nel caricamento del S.O..
Ciao.
mha, a dire il vero ho deselezionato la casella di avvio automatico finchè non ho configurato i programmi principali...cmq era quasi tutto impostato su prompt and allow...

nessuno che sappia aiutarmi sulla questione dell'uso di eqsecure con un account limitato? :cry:

Io farei in ogni caso un tentativo impostando la modalità "learning mode", per poi passare alla "normal" dopo il primo avvio del sistema operativo.

EQSecure è stato aggiornato alla versione 3.41

EQSecure è stato aggiornato alla versione 3.41

Si trova il changelog?

tutti che utilizzano eqsecure in ambiente administrator qui??? :confused:

EQSecure è stato aggiornato alla versione 3.41

è free?

tutti che utilizzano eqsecure in ambiente administrator qui??? :confused:

Io si. :D

Si trova il changelog?

Si:

http://www.eqspywatch.com/bbs/read.php?tid=7649&fpage=0&toread=&page=1
(usa Google Translate per tradurre la pagina dal cinese all'inglese)

è free?

Si. ;)

Regards

PS: direi che ormai SSM ha chiuso bottega, quindi http://www.hwupgrade.it/forum/showthread.php?t=1473032&page=5 . :)

ragazzi, sarò pure un bastian contrario, ma secondo me un software di sicurezza, per quanto valido possa essere, non serve a molto se per funzionare PRETENDE per forza un account administrator...lo dissi per DSA (e mi rinfrancò notare che sisupoika la pensava esattamente come me), lo riconfermo per EQSecure.

Probabilmente per monitorare alcuni aspetti del sistema è necessario operare in un account amministrativo. :confused:

Regards

Probabilmente per monitorare alcuni aspetti del sistema è necessario operare in un account amministrativo. :confused:

Regards

bhe penso di si (come ad esempio per monitorare gli accessi a basso livello dell'hdd) però secondo me un hips che si rispetti deve avere una struttura modulare capace di lanciare all'occorenza una versione di sè stesso "alleggerita" di quei componenti che necessitano di un account amministrativo...

...però secondo me un hips che si rispetti deve avere ...

sganci 27€ e ti compri ProSecurity ;) ...


PS:
non venirmi xò a dire poi che è troppo difficile da usare perchè non faccio supporto personalizzato :Prrr: ...

sganci 27€ e ti compri ProSecurity ;) ...


PS:
non venirmi xò a dire poi che è troppo difficile da usare perchè non faccio supporto personalizzato :Prrr: ...

eh bhe...bella forza...sganciando soldi...:sofico:

Si trova il changelog?

Che cos'é? :fagiano:

è free?

Io si. :D



Si:

http://www.eqspywatch.com/bbs/read.php?tid=7649&fpage=0&toread=&page=1
(usa Google Translate per tradurre la pagina dal cinese all'inglese)



Si. ;)

Regards

PS: direi che ormai SSM ha chiuso bottega, quindi http://www.hwupgrade.it/forum/showthread.php?t=1473032&page=5 . :)

è anche in italiano?

Che cos'é? :fagiano:

E' l'elenco delle modifiche introdotte da una nuova versione rispetto alla precedente.

è anche in italiano?

Ufficialmente no...ma chiunque lo può tradurre. Basta avere la voglia e il tempo per fare un lavoro che è abbastanza consistente.

Regards

2 simpatiche notiziuole dalla rete...(ehm :stordita: : wilders, come sempre...)

La prima è questa anche se mi dispiace un pò dover continuare ad infierire sul Kaspersky :rolleyes: che, a mio modesto avviso, rimane cmq un software caldamente consigliato:

possibile che Kav sia cosi' "stupido"? (http://www.wilderssecurity.com/showthread.php?t=186522) :D

http://img513.imageshack.us/img513/3696/16421706jp5.png

In sostanza, per depennare il real time e il PDM*, è sufficiente un malware che cambi data al sistema (nell'es. si parla del 1986...:D )
Per la cronaca, da quanto leggo sopra, il cambio di data è la 1° tecnica di bypassaggio del Kav in Cina :eek: ...

Scorrendo il thread, poi, si vede che la risposta di Kaspersky a questa "vulnerabilità" è la caccia alla firma (= si isolano tutti i virus di questo tipo cosi' che siano identificabili in real time-->no effetti sul sistema), ma, anche qui, NON si vuole capire il "messaggio" di fondo, la prevenzione prima di tutto che NON può passare SOLO dalla vecchia logica delle firme....
E' cosi' palese...:rolleyes:



Notare che sia ProSecurity che EQSecure (non a caso, prodotti cinesi..) prevedono questo tipo di protezione (per difendere il Kav, tra le altre cose....:sbonk: )

http://img513.imageshack.us/img513/4494/38556968al4.png http://img509.imageshack.us/img509/6739/30254471af7.png



La seconda notiziuola, invece, è più aderente al nostro thread:
impressioni sull'imminente Comodo HIPS (http://www.wilderssecurity.com/showthread.php?t=186298)

Molto effettivo (non siamo ai livelli dei + blasonati, cmq...) e semplicemente AFFASCINANTE quanto a interfaccia dei pop-up...



* grazie a Pistolino per avermi fatto rilevare l'errore nella traduzione...

Mi permetto di esprimere il mio dubbio, relativo alla interpretazione che tu hai dato, ossia:

Il PDM, cmq, rimarrebbe OK anche se il real time venisse disattivato...

Leggendo il passo:

Unbelievable as it is, ALL VERSIONS OF KAV are COMPLETELY DISABLED and rendered 100% HELPLESS by this stupid trick. Not just the Proactive Defense Module (PDM), but the resident scanner as well.

A me pare che si dica: "Non solo [viene disattivato] il PDM, ma anche lo scan in tempo reale".
Del resto, se la licenza scaduta comporta la disattivazione del prodotto, non vedo perchè mai Kaspersky avrebbe dovuto decidere di lasciare il PDM (ovvero una delle loro tecnologie di punta) a disposizione.
Ovviamente posso aver capito male. :D

Comunque...UNBELIEVABLE davvero. :sofico:

Regards

si, ok....ho interpretato fischi per fiaschi la storia del PDM....:bimbo: :fagiano:


PS: ho corretto l'errore

In sostanza, per depennare il real time e il PDM*, è sufficiente un malware che cambi data al sistema (nell'es. si parla del 1986...:D )


Non c'è bisogno di commento! Non ho parole!

E' l'elenco delle modifiche introdotte da una nuova versione rispetto alla precedente.

Regards

Thanks :)

La seconda notiziuola, invece, è più aderente al nostro thread:
impressioni sull'imminente Comodo HIPS (http://www.wilderssecurity.com/showthread.php?t=186298)

Molto effettivo (non siamo ai livelli dei + blasonati, cmq...) e semplicemente AFFASCINANTE quanto a interfaccia dei pop-up...



* grazie a Pistolino per avermi fatto rilevare l'errore nella traduzione...

molto interessante...ritieni che possa essere superiore agli altri hips free (eqsecure escluso)?
E sempre per restare rigorosamente nell'ambito free (sono un fissato io, è una questione ideologica :D ), quale consiglieresti fra SSM, Prosecurity e Defensewall (Eqsecure non lo posso usare...)??

non ho la sfera di cristallo :fagiano: e di conseguenza non posso prevedere il futuro di Defense+ ( l'HIPS di Comodo, per intendersi) che cmq dovrebbe avere discretissime possibilità di miglioramento...


Giusto per fare una considerazione di tipo più generale, potrei dire che se da un lato l'approccio dell'integrazione di un hips *behaviour blocker*, cosi' come è stato per il modello Kaspersky con il PDM, dovrebbe essere in grado di incrementare significativamente il livello medio di protezione, dall'altro resta da vedere se questa filosofia non si traduca in un incremento di complessità capace di sortire l'effetto contrario, ovverosia l'allontanamento degli utenti da queste soluzioni...

Io, almeno, mi permetto di fare questa personalissima considerazione anche alla luce di quello che fù lo *shock* che il PDM produsse al momento della sua introduzione nella linea 6:
non mi sembrava, infatti, che "la gente" fosse mediamente preparata a questo tipo di novità che si discosta sensibilmente dal "punta e clicca"....
E a tutt'ora non mi sembra che le cose siano molto migliorate, anzi:
ci gioco le mie preziosissime sfere (non del drago...:read: :D ) che una buona fetta di utenti brucia un buon 50% di protezione proattiva semplicemente dando l'ok indiscriminatamente a molti pop-up...;)



Insomma:
se da un lato gli sforzi di diverse compagnie verso lo sviluppo di soluzioni hips mi porta sempre + a pensare che
o è una moda....
o è veramente l'unica soluzione valida e alternativa all'impiego di un account limitato per conseguire una sicurezza (quasi) reale...


dall'altro NON vedo un bacino pronto a recepire in pieno queste soluzioni che nascono non a caso come soluzioni di *nicchia*....:stordita:






Sui prodotti che citi:
DefenseWall è a pagamento per cui lo togliamo dal nostro ventaglio di opzioni...
Non mi voglio esprimere poi sugli altri nomi visto che la scelta, al solito, richiede di prendere in considerazione troppi fattori....
Di sicuro il più completo è EQS....
Potresti provare cmq ProSecurity Free, per lo meno dopo ti potresti fregiare :ciapet: di essere il 2° in Italia :read: ad usare questo software...:D

+ o - è valido come SSM free...

Fatti un giro qui:
http://proactive-hips.com/demonstration/


Differenze PS Free/Full (http://www.proactive-hips.com/diffedition.php)


EDIT serio:
francamente ho controllato meglio e non me la sentirei onestamente di consigliare PS Free...
SSM è spanne sopra...

[QUOTE=nV 25;18925833]Sui prodotti che citi:
DefenseWall è a pagamento per cui lo togliamo dal nostro ventaglio di opzioni...
Non mi voglio esprimere poi sugli altri nomi visto che la scelta, al solito, richiede di prendere in considerazione troppi fattori....
Di sicuro il più completo è EQS....
Potresti provare cmq ProSecurity Free, per lo meno dopo ti potresti fregiare :ciapet: di essere il 2° in Italia :read: ad usare questo software...:D

+ o - è valido come SSM free...



O Maestro degli HIPS:D .....

c'e' una grossa differenza fra il commerciale defensewall e il freeware sandboxie in termini di efficacia???

e fra EQ e prosecurity free???

ti prego illuminami io avrei in mente uno di tipo sandbox (gratis sarebbe meglio:sofico: ) tra l'altro uso felicemente KIS7 e una sottospecie di HIPS dunque ce l'ho gia'...

siete simpatici quando mi chiamate *maestro*:
peccato xò che la realtà sia un'altra...



Cmq:
+ che di efficacia, la differenza è in termini di funzionalità:
se infatti 2 alternative non hanno bug nel loro codice e controllano la stessa cosa, è ovvio che entrambi abbiano la stessa EFFICACIA...

Es:
SSM e EQS bloccano l'accesso alla memoria fisica.
Se si verifica un evento di questo tipo, entrambi sono effettivi al 100%.


Se però uno dei 2 ha una funzionalità in + (es: EQS con il file protection o la storia del cambio data di sistema), è inevitabile che sia più efficace per il semplice fatto che l'altro NON considera quel particolare evento...

........



Se pensavi ad un Sandbox, testerei Geswall..

ma geswall e' anche un firewall? non va in conflitto col firewall di kis7?

non è un firewall e non credo che vada in conflitto con KIS...
Probabilmente dovrà essere aggiunto in trusted zone (forse, meglio: sotto trusted application come da screen)...

http://img513.imageshack.us/img513/6462/69622545pk8.th.png (http://img513.imageshack.us/my.php?image=69622545pk8.png)

Ciao,

per tutti quelli che non sono smanettoni e/o non hanno voglia e magari le conoscenze necessarie per intervenire e capire i vari popup, consiglio la categoria di HIPS di tipo sandbox (esempio SandBoxie) e i Virtualization HIPS (esempio Returnil).

Quest'ultimo (intendo Returnil), credo che sia veramente a prova di utonto
provare per credere.

Salve a tutti, ho installato EQSecure ma impazzisce, mi vede un processo in esecuzione in C:\Windows\ System\DSC000910.scr
e la relativa modifica nel registro di sistema e li ripete all'infinito: ho il pop-up sempre a schermo sia che io dia Allow oppure Block
Ho XP Pro e uso Antivir+Comodo+Spyware Terminator con il suo simil HIPS attivato
Ho preso um Malware? Come faccio perche EQSecure non vada in loop come sta facendo ora?
Grazie mille dell'attenzione che mi darete
PS: nessuno degli altri software sopraddetti mi ha segnalato nulla su questo malware

Sui prodotti che citi:
DefenseWall è a pagamento per cui lo togliamo dal nostro ventaglio di opzioni...
Non mi voglio esprimere poi sugli altri nomi visto che la scelta, al solito, richiede di prendere in considerazione troppi fattori....
Di sicuro il più completo è EQS....
Potresti provare cmq ProSecurity Free, per lo meno dopo ti potresti fregiare :ciapet: di essere il 2° in Italia :read: ad usare questo software...:D

+ o - è valido come SSM free...

Fatti un giro qui:
http://proactive-hips.com/demonstration/


Differenze PS Free/Full (http://www.proactive-hips.com/diffedition.php)


EDIT serio:
francamente ho controllato meglio e non me la sentirei onestamente di consigliare PS Free...
SSM è spanne sopra...

infatti ieri dopo aver visto la scheda stavo per dirtelo ma mi hai anticipato:D mi è venuto un colpo quando ho visto che non fa nemmeno il monitoraggio dei global hooks...a sto punto mi tengo ssm free che risale sì all'anno scorso, ma controlla molte più cose:fagiano:

cmq, visto che si era parlato di geswall: lo sto usando e ne sono abbastanza soddisfatto...peccato che mi dia problemi col live messenger e che abbia l'odiosa abitudine di mettere una cornice rossa e il suo logo a tutte le icone dei file scaricati da internet...e per toglierla bisognerebbe comprare la versione full:muro:

Salve a tutti, ho installato EQSecure ma impazzisce, mi vede un processo in esecuzione in C:\Windows\ System\DSC000910.scr
e la relativa modifica nel registro di sistema e li ripete all'infinito: ho il pop-up sempre a schermo sia che io dia Allow oppure Block
Ho XP Pro e uso Antivir+Comodo+Spyware Terminator con il suo simil HIPS attivato
Ho preso um Malware? Come faccio perche EQSecure non vada in loop come sta facendo ora?
Grazie mille dell'attenzione che mi darete
PS: nessuno degli altri software sopraddetti mi ha segnalato nulla su questo malware

Prova per prima cosa a disabilitare l'HIPS di Spyware Terminator e poi metti EQS su learning riavvia il PC e vedi se funziona, se tutto é ok puoi disabilitare il learning su EQS. Ciao :cool:

Scusami per il consiglio dato con superficialità e fretta.. :ops2: poi davo per scontato che il tuo PC fosse pulito. Bastava fare una ricerca con google del processo incriminato.

Salve a tutti, ho installato EQSecure ma impazzisce, mi vede un processo in esecuzione in C:\Windows\ System\DSC000910.scr

Così a pelle....ha tutta l'aria di non essere nulla di buono quel DSC000910.scr

Così a pelle....ha tutta l'aria di non essere nulla di buono quel DSC000910.scr

+ 1

Prova ad uplodarlo su Virustotal e posta un log di HT nell'apposito thread....

+ 1

Prova ad uplodarlo su Virustotal e posta un log di HT nell'apposito thread....

Fatto come da istruzioni del porfessore nV25, virustotal mi dice che Avira non lo segnala esito di VirusTotal e Log di HT messi nel thread apposito di HT , speriamo che mi diano una mano
Per ora e come sempre grazie

Fatto come da istruzioni del porfessore nV25, virustotal mi dice che Avira non lo segnala esito di VirusTotal e Log di HT messi nel thread apposito di HT , speriamo che mi diano una mano
Per ora e come sempre grazie

Da quel che vedo invece molti antivirus lo individuano come Trojan-Downloader.Win32.Banload.dui

Così a pelle....ha tutta l'aria di non essere nulla di buono quel DSC000910.scr

+ 1

Prova ad uplodarlo su Virustotal e posta un log di HT nell'apposito thread....


:D Siamo degli "Execution Control" umani :cool:

ormai ho deciso di provare EQsecure...

dopo aver letto la mini guida in francese proposta da nv ho una domanda:per un utente che si appresta alla prima esperienza col programma conviene disabilitare il file protect e il registry protect? sulla miniguida sono dipinti come funzioni abb.pericolose...

assolutamente no...lasci a def il programma, ci fai un pò di training (1/2gg..) cosi' da prendervi confidenza con l'interfaccia (banale) e con la sua logica di funzionamento (- banale ma non impossibile), poi, EVENTUALMENTE, passi al settaggio "di fino"...

La File Protection è una delle cose più fighe in assoluto di un HIPS. La sto sfruttando in tutti i modi immaginabili. :D

Regards

grazie per la dritta...

in effetti mi chiedo: ma anche se sbagliassi qualche settaggio,e il pc fosse bloccato ed in seria difficolta'...non basterebbe disattivare EQsecure (spegnerlo,in parole povere) per sbloccare tutto?

mmm....

parlo per il solo ProSecurity:
se non carichi ALMENO explorer.exe dopo il login, il Pc è come se fosse freezato e NON hai alcuna possibilità di disabilitare alcunchè...(a me, per es, capitò tempo fà con un aggiornamento MS che andava a modificare per l'appunto explorer.exe [solito culo...] per cui dovetti andare in safe mode [F8], disinstallare PS e reinstallarlo*...)
Ora, se questo vale anche per altri HIPS....:fagiano:

Tutto, cmq, dipende solitamente sia dalla profondità del controllo reso possibile dal programma (> controllo, > rischi....), sia dal NON andare a modificare i settaggi di particolari processi come winlogon, lsass, csrss che non a caso in molti hips sono come "bloccati"...





*per fortuna avevo precedentemente salvato il file di configurazione sennò vedevi sbattimento...

In alternativa si può impostare EQSecure in modo che non parta in automatico con il boot del sistema.

Se qualcuno di voi potesse dare + info su EQS, credo sarebbe cosa gradita anche ad altri...

PS: ma il francese non lo conosce nessuno? :stordita:

ok...mi pare dunque che un ottimo trucco sia quello di NON far partire l'HIPS in automatico sul sistema ma aprirlo dopo il boot...

io capisco bene il francese ma non tanto bene EQsecure:muro:

Se qualcuno di voi potesse dare + info su EQS, credo sarebbe cosa gradita anche ad altri...

PS: ma il francese non lo conosce nessuno? :stordita:

Spinto dalla stima x nV 25 e incuriosito come sempre dalle sue proposte/intuizioni, giorni fa decisi di rispolverare il mio francese x cercare di tradurre la guida linkata da nV 25:

se conosci il francese, avrei trovato una guida che risolverebbe molti problemi...:stordita:
http://forum.zebulon.fr/index.php?showtopic=128001


non ho completato il lavoro xchè dall'ufficio mi vengono bloccati i link di molte delle immagini allegate alla guida (non capisco xchè invece alcune me le faccia vedere)...

ora visto che nessuno si è fatto avanti...
e visto il sollecito...:D

se vi accontentate ed aggiungete voi i link delle immagini della guida francese, eccovi la traduzione:

""EQSecure esiste solo in inglese ed in cinese, a tutto svantaggio dei "monoglotti".

Può esser avviato con il sistema, per far questo flaggate su

Configuration>General>Run when system boot

link immagine:http://server6.pictiger.com/img/507685/picture-hosting/13-eqs-config-general-.php

mettere in "Learning mode" (Modalità apprendimento e riavviare il pc),

cliccare su "Switch mode" quindi scegliere.

link immagine:..


seguito di domenica 12 agosto....

... e alle mie preoccupazioni per trovare un buon HIPS ed un compatibile livello di sicurezza, confort d'utilizzo e velocità, non potevo sfuggire alla stesura di una mini-guida su EQSecure 3.4, gratuito, in inglese (eccellente traduzione) oltre al cinese.

Sono sotto Windows XP Home edition SP2, aggiornato, anche se mi ritengo piuttosto "sicuro"...

EQSEcure 3.4 è un eccellente e completo HIPS gratuito, equivale, secondo me, agli HIPS a pagamento come SSM o PG (obsoleto secondo me).

Permette messe a punto (o configurazioni se preferite n.d.r.) molto fini (bisogna darsi da fare per regolarlo, log per log, processo dopo processo, partendo da messe a punto più profonde, per eventualmente tornare indietro in seguito a malfunzionamenti).

Va da se che il "fai da te" è fortemente sconsigliato ai principianti, un HIPS mal configurato può impedire il funzionamento normale di Windows, e bloccare tutto, riavvio compreso!

I principianti dovrebbero accontentarsi di configurazioni di default, sufficienti secondo me, ma che richiedono comunque buone conoscenze dei processi Windows, viste le precisazioni chieste ("autorizzare" o "rifiutare", occorre imperativamente fare la scelta giusta, una cattiva scelta può risultare catastrofica).

Con EQSecure, il "modo normale" corrisponde al modo di default seguendo l'installazione di EQSecure:

System protect>normal mode

link immagine:http://server6.pictiger.com/img/507599/picture-hosting/1-eqsecure-ecran-principal-system-protect-.php


Attenzione: un HIPS, qualunque esso sia, è da installare su un sistema perfettamente sano! Se autorizzate un processo che riguarda un cavallo di Troia per esempio, sarebbe meglio non avere HIPS.

Dunque bilanciate il livello scan antivirus-trojan-spy e pulite a fondo il vostro PC prima di installare il vostro HIPS.

Una soluzione: inviare un log di HiJackThis seguendo la procedura consigliata nel thread in rilievo (n.d.r.)

Un HIPS non dispensa né dall'avere un buon firewall, correttamente configurato, né dall'avere un antivirus-antispy valido installato!

Un buon log male configurato non serve (quasi) a nulla!

In breve, ritorniamo a EQSecure 3.4, è disponibile qui:

(ho dovuto girare quasi 1/2 ora per trovare il link):
OFFICIAL DOWNLOAD LINK:
http://www.eqspywatch.com/download/EQSysSecureSetup.exe

http://www.wilderssecurity.com/showthread.php?t=181576

Di default, e nelle "configurazioni fini", EQSecure si presenterà così:

link immagine: http://server6.pictiger.com/img/507633/picture-hosting/24-eqs-liste-r-glages-fins-possibles-.php


Le possibilità di "regolazione" saranno le seguenti:

link immagine:http://server6.pictiger.com/img/507632/picture-hosting/23-eqs-possibilit-r-glages-fins-.php

sia "Allow", "Block", "prompt and Allow", "prompt and Block" ed "ignore IT".


"ignore IT" farà apparire una finestra di dialogo ogni volta che qualcosa si avvierà nel vostro PC.
Si tratta della scelta di default in attesa di una configurazione fine.

"Allow"
autorizzerà senza chiedere precisazioni, perché nessun altra precisazione sia richiesta, occorre che tutto l'elenco sia regolato su "Allow".

link immagine:http://server6.pictiger.com/img/507633/picture-hosting/24-eqs-liste-r-glages-fins-possibles-.php



"Block"
per bloccare.
Vedere l'elenco "Allow".

"Prompt and Allow"(nella versione francese scrive block ma trattasi di un refuso, nd.r.):
"chiedere ed autorizzare" se non c'è risposta entro 15 secondi.

"Prompt and Block":
"chiedere e bloccare" se non c'è risposta entro 30 secondi.

È l'opzione che ho scelto più spesso nella mia configurazione fine.

Le finestre di dialogo "question" si presentano così:

link immagine:http://server3.pictiger.com/img/1208710/picture-hosting/7-eqs-bo-te-dialogue-allow-ou-block.php


In breve, in seguito all'installazione di EQSecure, raccomando di passare al Learning Mode, il tempo di lanciare tutte le applicazioni, quindi non dimenticate di toglierlo.
via Swicht Mode:

link immagine:http:...

Le precisazioni che vi saranno richieste successivamente da EQSecure saranno delle regolazioni più fini:

link immagine:http:...

qui con l'opzione "Prompt and Block", "autorizzare e bloccare", se non si risponde entro 15 secondi.

"Enable all protection", "attivare tutte le protezioni":

link immagine:http://server6.pictiger.com/img/507669/picture-hosting/2-eqs-all-protect-.php

Tutte le protezioni sono attivate di default!


"Disable all protection":

link immagine:http://server6.pictiger.com/img/507669/picture-hosting/2-eqs-all-protect-.php

può essere utile per esempio in occasione degli aggiornamenti Windows, sebbene io preferisca il "Learning Mode".

Le "finestre d'avviso trasparenti": segnalano ogni volta che un'attività è autorizzata o bloccata.

Personalmente le ho disattivate, altrimenti, è un bombarbemento.

Per disattivarli:

link immagine:...

link immagine:...

link immagine:...

link immagine:...

link immagine:...


"protezione tramite password":

link immagine:...

Creare il suo modo: premere su "New Mode", attribuire un nome e poi configurarlo:

link immagine:http://server3.pictiger.com/img/1208715/picture-hosting/12-eqs-new-mode-protect.php

Le regolazioni fini:

link immagine:

ed "Other Settings":

link immagine:

non sarebbe male verificare l'MD5 di ogni applicazione, anche se gli MD5 hanno superato il livello di sicurezza:

http://it.wikipedia.org/wiki/MD5

potrebbe essere che in un prossimo aggiornamento EQSecure corregga il problema, diventando più preciso?

Per seguire tutte le applicazioni nel dettaglio "Default Group":

link immagine:...

e per effettuarvi regolazioni più accurate rispetto a quelle di default.

Per seguire tutte le applicazioni lanciate da "C:\WINDOWS/Explorer.exe":

link immagine:...

e per effettuarvi regolazioni più accurate rispetto a quelle di default.

link immagine:

Riguardo al "Load Library file" (riguarda * dll) nelle regolazioni fini, raccomando di metterlo su "Allow" per tutti i programmi sicuri, pena il vedersi incalzare dalle finestre di dialogo.

Generalmente si hanno circa 20 finestre di dialogo se si regola "Load Library file" su "prompt and Allow/Block"
per Firefox...

buongiorno all'angoscia (incubo!).
Amichevolmente.

sorry per gli errori, ho un barbecue che mi aspetta (beato lui... mi riferisco all'autore della guida... n.d.r.),
pollo e spiedini di carne marinati (latte di cocco, gingembre fresco (che cacchio è?!), olio di soia, aglio, cipolla, succo di limone, sale pepe ed altri ingredienti top-secrets...)""



salvo errori e/od omissioni

bonne soirèe

@nV 25

Com'è messo ProSecurity ad uso di ram?

Mentre aspetto il tread ufficiale di EQSecure ringrazio y4mon per la traduzione di quella guida dal francese!

Intanto vi posto i miei "primi passi" con questo programmino: appena installato lo ho messo in learning mode ed ho disattivato lo startup automatico (non si sa mai :ciapet: ). Ho fatto partire tutti i programmi "fidati" e lui si e' creato da solo delle regole riguardanti questi programmi.

In seguito ho disattivato il learning mode e l'ho lasciato con tutte le impostazioni di default. Il tutto fatto su una macchina pulita.

La mia intenzione ora e' quella di lasciare le cose per un po' cosi' come sono, facendo partire il programma manualmente e non toccando i vari settaggi. Poi quando disporremo di un tread ufficiale, e magari di una miniguida in italiano, passero' ad un uso piu' avanzato del programma, anche se ad essere sincero credo che vada piu' che bene anche cosi' come ci viene fornito.... che ne dite sommi esperti? :)

Da quel che vedo invece molti antivirus lo individuano come Trojan-Downloader.Win32.Banload.dui

Ho fixato con HT , ed ora sembra tutto normale per fortuna, nota a margine solo oggi con l'ultimo aggiornamento Avira lo individua, fino a ieri no :mad: Ora sto riscansionando tutto per essere certo non ricompaia, poi disinstallo EQSecure per reinstallarlo, non vorrei aver dato per sbaglio nel marasma un ok ad un processo maligno, EQS mi ha salvato ...quindi lo installerò sicuro nel mio computerino. Grazie a tutti e soprattutto al sommo profeta NV :D

Com'è messo ProSecurity ad uso di ram?

non sono un masochista e voglio anch'io un Pc il più elastico possibile per quanto abbia un processore intel di ultima generazione e 2 giga di ram (vedi firma) che, a regola, dovrebbero attutire discretamente bene "il colpo" di programmi un pochino più esosi di risorse...

http://img479.imageshack.us/img479/7187/92071336zq0.th.png (http://img479.imageshack.us/my.php?image=92071336zq0.png)

Come vedi, si oscilla tra gli 11 e i 25 Mb ma, ti assicuro, sono ben consumati...;)

Il Pc era perfettamente elastico, poi, anche sulla mia "vecchia" macchina, un AMD X2 @ 4600 e 1Gb di ram...












PS:
vi pregherei di NON chiamarmi più "il maestro, sommo, [...]", e sciocchezze del genere.
GRAZIE.

Ho visto che ProSecurity esiste anche in versione free, rispetto a EQsecure, cosa consigliate.

PS:
vi pregherei di NON chiamarmi più "il maestro, sommo, [...]", e sciocchezze del genere.
GRAZIE.
Credo che definirti in tal modo sia da interpretare come un ringraziamento per la disponibilità dimostrata (e non lo fanno tutti...) nei riguardi di coloro che, come me, vogliono apprendere di più riguardo il funzionamento degli HIPS e per la loro corretta configurazione e, soprattutto, per quanto concerne un prodotto nuovo ma valido come EQSecure, per il quale, per uno come me che non mastica molto l'inglese e non ha conoscenze specifiche molto approfondite, già riuscire a capire i messaggi che genera è molto difficile. In tal senso rivolgo un ringraziamento anche a y4mon per l'ottima traduzione della guida dal francese.
Grazie.

Ho visto che ProSecurity esiste anche in versione free, rispetto a EQsecure, cosa consigliate.

che il 1° fa caGare in quanto esageratamente castrato...
O il suo sviluppatore estende il ventaglio di protezioni alla v.Free, per lo meno includendovi il monitoraggio degli accessi in lettura/scrittura alla memoria fisica (canale stragettonato per l'inizio di un processo di infezione "come si deve"..), o ha poca ragione di esistere A MENO CHE :read: non si usi l'hips esclusivamente come "controllore di ciò che viene eseguito" (= funzionalità execution control) o come strumento di difesa di altri processi critici come quelli di Fw/AV di terze parti....


..
grazie :) ...ma finiamola qui :) ...








Preferisco inoltre ritornare su un punto:

oggetto?

HIPS di tipo *Behaviour Blocker* Freeware

consigliati?

per tutta una serie di ragioni, direi, nell'ordine:
EQSecure
SSM,DSA,AppDefend
ProSecurity,ProcessGuard







E' necessario, inoltre, (a beneficio in particolare dei nuovi nomi che si avvicinino a quest'universo...), leggere almeno un minimo lo sviluppo del thread e non soffermarsi esclusivamente sui nomi di cui sopra...
Infatti, scorrendolo un pelino, si vedrebbe che DSA è anche Firewall [...], che cmq si tratta bene o male di prodotti "di nicchia" che, peraltro, operando a livello di Kernel, potrebbero al limite determinare BSOD, che il prezzo da pagare è IL pop-up, ecc ecc [...]
Avvisati...;)

che il 1° fa caGare in quanto esageratamente castrato...
O il suo sviluppatore estende il ventaglio di protezioni alla v.Free, per lo meno includendovi il monitoraggio degli accessi in lettura/scrittura alla memoria fisica (canale stragettonato per l'inizio di un processo di infezione "come si deve"..), o ha poca ragione di esistere A MENO CHE :read: non si usi l'hips esclusivamente come "controllore di ciò che viene eseguito" (= funzionalità execution control) o come strumento di difesa di altri processi critici come quelli di Fw/AV di terze parti....



grazie :) ...ma finiamola qui :) ...








Preferisco inoltre ritornare su un punto:

oggetto?

HIPS di tipo *Behaviour Blocker* Freeware

consigliati?

per tutta una serie di ragioni, direi, nell'ordine:
EQSecure
SSM,DSA,AppDefend
ProSecurity,ProcessGuard







E' necessario, inoltre, (a beneficio in particolare dei nuovi nomi che si avvicinino a quest'universo...), leggere almeno un minimo lo sviluppo del thread e non soffermarsi esclusivamente sui nomi di cui sopra...
Infatti, scorrendolo un pelino, si vedrebbe che DSA è anche Firewall [...], che cmq si tratta bene o male di prodotti "di nicchia" che, peraltro, operando a livello di Kernel, potrebbero al limite determinare BSOD, che il prezzo da pagare è IL pop-up, ecc ecc [...]
Avvisati...;)

Attualmente uso DSA ma trovo due problemi:

- dimentica le regole impostate dei programmi trusted:
- mi blocca i programmi che usano piu' di un certo valore (che puo variare, impostandolo nel programma) di CPU o RAM e non e' possibile fissare per questo delle regole.

Preferisco inoltre ritornare su un punto:

oggetto?

HIPS di tipo *Behaviour Blocker* Freeware

consigliati?

per tutta una serie di ragioni, direi, nell'ordine:
EQSecure
SSM,DSA,AppDefend
ProSecurity,ProcessGuard





A quella lista aggiungerei anche Neoava Guard

ciao a tutti,

sono 3-4 giorni che uso con piacere EQsecure...

l'unico problema che ho riscontrato e' stato un grosso incremento del tempo di boot del mio pc (circa 10-15 minuti,TROPPI!)

dunque, l'unico metodo per eliminare l'inconveniente e' stato il non far partire il programma all'avvio di windows....la mia domanda e' questa: la sicurezza ne risente molto? se si',quanto? bisogna preoccuparsi?

concludo col sottolineare che non appena posso faccio partire manualmente EQsecure

[...] l'unico problema che ho riscontrato e' stato un grosso incremento del tempo di boot del mio pc (circa 10-15 minuti,TROPPI!) [...]
sarebbe già inconcepibile un ritardo dell'ordine di 2 minuti, figurarsi di 10/15 come da te dichiarato! :eek:

E' ovvio che sulla tua macchina c'è qualcosa che da fastidio ad EQS visto che, anche nella mia VM, tutto si svolge praticamente con ritardi impercepibili...



Per curiosità, puoi darmi qualche info in + sulla versione testata di EQS, su che AV/Fw usi, se hai altri programmi in esecuzione automatica, ecc?


A quella lista aggiungerei anche Neoava Guard

è ancora troppo immaturo e, di conseguenza, soffre ancora di diversi bug (stando almeno a quanto ho letto sul suo forum ufficiale)...

La mia "filosofia", cmq, fino ad ora è stata quella di consigliare SOLO quelli più rodati e stabili proprio per evitare il più possibile problemi....




(PS: lo sviluppo di NG, cmq, subirà qualche ritardino:
http://www.smokey-services.eu/forum/viewtopic.php?t=8279)

uso EQ V.3.41
uso kis7....ho 3 antispy ma solo on-demand....

una lista di autorun:

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
ehTray = C:\WINDOWS\ehome\ehtray.exe
VirtualCloneDrive = "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
ISUSPM = "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
Adobe Reader Speed Launcher = "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
AVP = "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
RTHDCPL = RTHDCPL.EXE
Alcmtr = ALCMTR.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
SunJavaUpdateSched = "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"


...ma dici che e' pericoloso farlo partire manualmente EQ?

come vuoi che ti risponda?
E' ovvio che il Pc è meno protetto....

Non sono però certamente in grado di esprimermi sul QUANTO meno....
I "danni", cmq, se attivi EQS <PRIMA> di collegarti on line e di fare le tue (scellerate? :p ) operazioni, credo siano minimi visto che, ad es, EQS terrebbe sott'occhio le chiavi di registro relative all'avvio automatico bloccando di default qualsiasi cosa volesse auto_avviarsi al boot successivo...


PS:
hai provato a mettere EQS in Trusted Zone nel KIS? :mbe:
Il rallentamento lo hai notato da quando hai installato EQS o è una cosa che ti trascini?

tutte e 3 gli eseguibili di EQ(Update,Service,SysSecure) sono nell area attendibile del kis7 con tutto permesso...

il kis7 all'avvio,SALTUARIAMENTE,MOLTO SALTUARIAMENTE(1 volta alla settimana,per es.) mi da' rallentamenti dell'ordine di 2 minuti circa....ma niente di simile a questo!!!!!!

appena installato EQ non c'erano rallentamenti,mi sono iniziati dopo un paio di giorni

PS... non attivo EQ prima di navigare....ma 10 secondi dopo il boot,non appena ho pieno controllo sulle icone del mio desktop

Appunti di viaggio:
(PS: ci vuole più tempo a postare che non ad eseguire il tutto in VM...:fagiano: , ma va bene cosi':
sapevo che era il prezzo da pagare... )



era già stato segnalato che il PDM del Kaspersky NON vedesse alcuni sistemi di caricamento/installazione driver....
http://img411.imageshack.us/img411/3058/10565919hx2.th.png (http://img411.imageshack.us/my.php?image=10565919hx2.png)
(vedi post n° 960! (http://www.hwupgrade.it/forum/showpost.php?p=17808915&postcount=960))

Ok.

Scartabellando su Sysinternals, entro casualmente in una discussione dove, tra le tante cose, si legge quanto segue:
http://img232.imageshack.us/img232/277/20305421wo2.png
In poche parole, saso (NDR: autore del post e del sito http://antirootkit.com/) si chiede perchè il PDM non rilevi il nuovo sistema di caricamento driver utilizzato nell'ultima rev. di RootKit Unhooker (http://antirootkit.com/software/RootKit-Unhooker.htm).


(quello che dovrebbe essere poi il meccanismo con cui RKU carica il suo driver, dovrebbe essere spiegato da saso stesso in questo estratto,
http://img258.imageshack.us/img258/4540/76336555jm7.png[...]

In effetti, le mie velocissime prove confermano quanto osservato da saso stesso,
http://img408.imageshack.us/img408/2650/snap13ex3.png

(impostazioni PDM:http://img524.imageshack.us/img524/2020/snap11lz2.th.png (http://img524.imageshack.us/my.php?image=snap11lz2.png) & registry guard attivo http://img259.imageshack.us/img259/7324/snap10wm1.th.png (http://img259.imageshack.us/my.php?image=snap10wm1.png) )

Commento: :help: o http://www.proactive-hips.com/forum/Smilies/thumbdown.gif


Ma umiliamolo, questo PDM, và :D:

http://img520.imageshack.us/img520/198/95251399rj3.th.png (http://img520.imageshack.us/my.php?image=95251399rj3.png)http://img512.imageshack.us/img512/1131/30417215wd5.th.png (http://img512.imageshack.us/my.php?image=30417215wd5.png)http://img512.imageshack.us/img512/6449/63306478uh4.th.png (http://img512.imageshack.us/my.php?image=63306478uh4.png)http://img520.imageshack.us/img520/1483/53581889xy1.th.png (http://img520.imageshack.us/my.php?image=53581889xy1.png)http://img259.imageshack.us/img259/6303/14754890mr9.th.png (http://img259.imageshack.us/my.php?image=14754890mr9.png)

E ora è il momento della PERLA:
il commento di EP_X0FF (uno che non le manda a dire per interposta persona... :D ) sull'argomento:

http://img507.imageshack.us/img507/5322/snap6ka8.png

Discussione originale: http://forum.sysinternals.com/forum_posts.asp?TID=11269




..................................................


Prima di salutare, questo:
la correzione del bug della rev 1.30 di PS,

http://img266.imageshack.us/img266/7813/88364001tq3.png

http://img403.imageshack.us/img403/4012/15349268ss5.png

http://www.proactive-hips.com/forum/Smilies/thumbsup.gif

Discussione iniziale: http://www.wilderssecurity.com/showthread.php?t=172653&highlight=termination+test

Era già da un po' che il PDM "scricchiolava"...
Tra il driver afflitto da rischio BSOD e diversi modi documentati di bypassare il controllo a livello kernel, si capiva già che il tutto non regge più. Spero serva da lezione agli sviluppatori, dato che con la v7 hanno messo su tanta di quella mer*a commerciale (Parental control, euristica...) da perdere di vista l'importante difesa proattiva, per la quale si sono "limitati" ad aggiungere il rilevamento di alcune tecniche di keylogger e a rinforzare il livello di self defense, cose che, da sole, servono a poco, se poi un virus può installare driver al ring 0 senza essere bloccato. :stordita: :mbe:

Questo è il mio, seppure forse eccessivamente critico, parere in merito a una questione che si sta protraendo ormai da diversi mesi. :doh:

Regards

Prima di salutare, questo:
la correzione del bug della rev 1.30 di PS,
(...)


http://www.wilderssecurity.com/showpost.php?p=1052028&postcount=62

EQSecure, già nella sua "vecchia" rev. 3.4, passa in agilità il testino. :sofico:

Regards

ciao a tutti, avrei intenzione di utilizzare un software hips (utilizzo gia sandiboxie ) sullo stile di prevx (ho visto che lo stesso è in versione beta per vista e richiede l utilizzo come amministratore del sistema ,il che non mi sembra un gran vantaggio) cercando in rete ho trovato threat fire...cosa ne pensate? esiste un alternativa migliore?

Poco fa ho aggiornato Windows,ovviamente avevo messo EQS in learning mode,quindi tutto ok....a parte l'MD5 che cambia...per quanto creassi regole con "Remember this.." selezionato ogni volta lo richiedeva e nn lo ricordava...dev'essere un bug:mc:

quindi ho dovuto deselezionare in ogni regola riguardante le applicazioni aggiornate di windows il "Check MD5.."

poi con questo desel. ho riaperto tutti i suddetti programmi...e alla fine ho riselezionato MD5 in ogni regola...

In questo modo ha smesso il relativo bombardamento di pop-up...

UN LAVORACCIO! MI CHIEDO SE NON CONVENGA DESELEZIONARE MD5 IN OGNI REGOLA,VOI CHE NE PENSATE?

http://www.wilderssecurity.com/showpost.php?p=1052028&postcount=62

EQSecure, già nella sua "vecchia" rev. 3.4, passa in agilità il testino...
:D

Pistolino / sei un bambino /e ti si soffermi solo / su quel che ti fa più como...dino :asd: :sbonk:

Mira el dito: http://www.wilderssecurity.com/showpost.php?p=991269&postcount=33 :ciapet: (c'era un bug nel codice della 1.30...:Prrr: )


...

UN LAVORACCIO! MI CHIEDO SE NON CONVENGA DESELEZIONARE MD5 IN OGNI REGOLA,VOI CHE NE PENSATE?
se non vado errato, infatti, la funzione MD5 è deselezionata di default....

Ma al di là di questo, credo sia opportuno tener abilitata questa voce altrimenti EQS non capisco come possa sapere quando un eseguibile (presente nel suo rule-set e dunque con regole definite...) sia cambiato....


E' possibile, peraltro, che quello che segnalavi sia un bug noto ma non ancora risolto...

posto al volo questo anche se ho letto solo parzialmente il post:
http://www.wilderssecurity.com/showthread.php?t=187839

il punto 1 sembrerebbe confermare il bug di EQS per la storia del'MD5:
1- I noticed that when MD5 value of an application/ exe is changed EQS gives a popup about this but when I answer it "Allow with remember this" option, EQS does not remember new rule, it still gives me a pop up about MD5 value changed whenever I launch this application. It will continue like this until I reboot or shutdown and restart EQS. It seems a bug.

Conoscendo l'autore del thread, penso sia un lavoro MOLTO interessante che vi consiglio di leggere...






PS: domani si provano tutti questi PoC con PS e vi faccio sapere...(anche se, da quello che ho visto...:yeah: )
(NB: attenzione a prueba! :read: )

hxxp://forums.comodo.com/cfp_beta_corner/proofs_of_concepts_vs_cfp3-t12141.0.html

nv 25 tu mi lasci sempre senza parole...:sofico:

nv 25 tu mi lasci sempre senza parole...
La vita è già complessa di suo:
se ci riesce, almeno ci facciamo un sorriso... :)



Cmq, ho terminato la tornata di prove in VM dei numerosi PoC postati sul forum ufficiale di Comodo.

Vediamo com'è andata, allora....


Prueba.exe, unico malware del lotto, è visto infatti da Kaspersky (modulo Web AV) come Backdoor.Win32.Bifrose.acs

http://img262.imageshack.us/img262/1733/2akisek2.png

http://img405.imageshack.us/img405/2556/15613700rp1.png



KiLL.exe failed! :ciapet:

http://img509.imageshack.us/img509/8796/64347261fs7.th.png (http://img509.imageshack.us/my.php?image=64347261fs7.png)http://img505.imageshack.us/img505/4597/1ajy0.th.png (http://img505.imageshack.us/my.php?image=1ajy0.png)

(PS: il 1° screen è relativo alla pressione del pulsante "protect", l'ultima riga di log del 2° screen, invece, è il report della pressione del tasto "deprotect"...)


idem (Failed! :ciapet: ) per Fuck.exe, Restart System.exe & Xx.exe

http://img209.imageshack.us/img209/8753/71341339lx6.png

http://img204.imageshack.us/img204/7923/92113723ia1.png

http://img204.imageshack.us/img204/3964/35305914ah8.png



La solita storiella del restart, cmq, si può simulare anche con tool come il Panda Antirootkit, per es, assolutamente "pulito" (chissà come mai)....
http://img403.imageshack.us/img403/7820/snap1ag2.png

Prendo spunto dal post di shoshen(in riferimento a threat fire)per chiedervi se qualcuno conosce o ha provato comodo boclean...a quanto ho capito funziona in background e provvede a bloccare malware che vengono caricati in memoria o nel registro,non dovrebbe fare scansioni on demand,quindi presumibilmente andrebbe installato a so pulito...lavora in real time,tipo come winpooch...
In questi giorni avrei intenzione di provarlo per vedere se riesco a sbarazzarmi di spyware terminator,non so perchè ma questo software proprio non riesco a farmelo piacere...
grazie
saluti:)

ps:nel caso la mia domanda andava postata altrove chiedo scusa anticipatamente;)