Prendo spunto dal post di shoshen(in riferimento a threat fire)per chiedervi se qualcuno conosce o ha provato comodo boclean...a quanto ho capito funziona in background e provvede a bloccare malware che vengono caricati in memoria o nel registro,non dovrebbe fare scansioni on demand,quindi presumibilmente andrebbe installato a so pulito...lavora in real time,tipo come winpooch...
In questi giorni avrei intenzione di provarlo per vedere se riesco a sbarazzarmi di spyware terminator,non so perchè ma questo software proprio non riesco a farmelo piacere...
grazie
saluti:)

ps:nel caso la mia domanda andava postata altrove chiedo scusa anticipatamente;)

Sono due software completamente diversi: Spyware Terminator è un antispyware (ovvio) con alcuni moduli/funzionalità aggiuntive, tipo protezione real time ed un modulo HIPS se così lo si può definire in quanto ancora decisamente immaturo IMHO. Comodo BoClean è principalmente un anti Trojan trasformato in antitutto dopo l'acquisizione da parte di Comodo, lo puoi affiancare tranquillamente a ST non ci sono problemi di incompatibilità per lo meno io non ne ho riscontrati, l'unica cosa è un pochino avido di risorse in fase di avvio nel momento in cui scansiona la memoria.
Mi sa che siamo un pò OT :D

Sono due software completamente diversi: Spyware Terminator è un antispyware (ovvio) con alcuni moduli/funzionalità aggiuntive, tipo protezione real time ed un modulo HIPS se così lo si può definire in quanto ancora decisamente immaturo IMHO. Comodo BoClean è principalmente un anti Trojan trasformato in antitutto dopo l'acquisizione da parte di Comodo, lo puoi affiancare tranquillamente a ST non ci sono problemi di incompatibilità per lo meno io non ne ho riscontrati, l'unica cosa è un pochino avido di risorse in fase di avvio nel momento in cui scansiona la memoria.
Mi sa che siamo un pò OT :D

grazie per la tempestività chill-out;)
anch'io uso spy.terminator...
cmq visto che tu usi boclean,avrei qualche altra curiosità su questo software,posterò più in là nel 3d ufficiale degli antispy allora,mi interessava soprattutto la sua configurazione...
grazie ancora
ciao:)

grazie per la tempestività chill-out;)
anch'io uso spy.terminator...
cmq visto che tu usi boclean,avrei qualche altra curiosità su questo software,posterò più in là nel 3d ufficiale degli antispy allora,mi interessava soprattutto la sua configurazione...
grazie ancora
ciao:)

Per la configurazione lascia tutto di default, eventulamente configura in base alle tue esigenze Check for update every.....

(...)
Vediamo com'è andata, allora....

Prueba.exe, unico malware del lotto, è visto infatti da Kaspersky (modulo Web AV) come Backdoor.Win32.Bifrose.acs

E guarda caso viene beccato solo tramite il trucchetto delle signatures. :rolleyes: Basterebbe prendere quel Prueba.exe, cambiargli l'header o qualche byte di troppo, per renderlo ugualmente dannoso, senza che questo venga rilevato dalle firme antivirus. :doh:

KiLL.exe etc... failed! :ciapet:

Il PDM latita, ma per fortuna gli HIPS no. :D

La solita storiella del restart, cmq, si può simulare anche con tool come il Panda Antirootkit, per es, assolutamente "puliti" (chissà come mai)....

C'è da dire che Windows offre poche API per la sospensione/arresto/riavvio del sistema, quindi, una volta che un HIPS le filtra correttamente, almeno sotto quel punto di vista si è in una botte di ferro.

Regards

PS: sono alle prese con RKUnhooker...conosci? :p

su megalab una prova su strada di EQSecure:

http://www.megalab.it/articoli.php?id=1100

ciao

grazie per la segnalazione:
in definitiva, l'autore della "prova su strada" non ha fatto altro che confermare quanto di buono si leggeva già da un pò su piazze ben più blasonate...:)

Alla fine, l'articolo si conclude con
"Si tratta di un software sicuramente da provare,che non fa certo sentire la mancanza di software più blasonati, quali System Safety Monitor Professional o Prosecurity..":

se sul 1° nome posso concordare (concordano :read: ) , sul 2° dico "perchè non lo ha mai provato" :fiufiu:, e non solo perchè PS sana la lacuna del controllo dati in uscita che pare essere l' "unico rimpianto" di chi ha fatto la review,
"Unico rimpianto la mancanza di un controllo dati in uscita, che rende quindi consigliabile l'installazione di un firewall con controllo dei dati che escono sulla rete"...


Detto questo, chi può E' BENE :read: che usi EQS a fianco del proprio AV....

grazie per la segnalazione:
in definitiva, l'autore della "prova su strada" non ha fatto altro che confermare quanto di buono si leggeva già da un pò su piazze ben più blasonate...:)

Concordo pure io. :D

Alla fine, l'articolo si conclude con
"Si tratta di un software sicuramente da provare,che non fa certo sentire la mancanza di software più blasonati, quali System Safety Monitor Professional o Prosecurity..":

se sul 1° nome posso concordare (concordano :read: ) , sul 2° dico "perchè non lo ha mai provato" :fiufiu:, e non solo perchè PS sana la lacuna del controllo dati in uscita che pare essere l' "unico rimpianto" di chi ha fatto la review,
"Unico rimpianto la mancanza di un controllo dati in uscita, che rende quindi consigliabile l'installazione di un firewall con controllo dei dati che escono sulla rete"...

Ho utilizzato la trial di ProSecurity alcuni mesi fa, in particolare mi pare fosse la versione 1.30, e avevo notato che disponeva di un controllo del traffico di rete in uscita (come quello incluso in SSM Pro) che controlla però solo il traffico di applicazione, e non include, pertanto, il packet filtering. Con questo intendo dire che, sinceramente, il controllo del traffico di rete lo lascerei a prodotti che lo sanno fare meglio (firewall di KIS ad esempio? :read: ). Tant'è che alla fine, quando ancora usavo SSM Pro, avevo disattivato il suo controllo di rete, delegando il compito all'Antihacker di KIS. Senza contare, poi, che si devono configurare i permessi di rete in due applicazioni differenti, quindi diventa un po' uno sbattimento. :wtf:


Detto questo, chi può E' BENE :read: che usi EQS a fianco del proprio AV....

Su questo concordo in pieno, anche alla luce del fatto che il PDM di KIS è ormai un colabrodo per fare delle minestre deliziose. :)
Ad esempio, ma è solo uno dei tanti "buchi" del PDM, usando Rootkit Unhooker, il buon PDM si fa fregare alla grande. :read:

In breve, le ultime versioni di RKUnhooker (potentissimo strumento che sicuramente nV 25 conoscerà bene) si servono (ovviamente) di un driver in kernel mode, che viene copiato nella cartella drivers di Windows, copiato in memoria e subito cancellato. KIS NON rileva alcun caricamento di driver, dato che non "vede" il file in questione, che finisce quindi direttamente nella memoria fisica. EQSecure (ma anche molti altri HIPS, naturalmente :D ) rileva invece il comportamento "anomalo" di quella utility; in particolare rileva:

1) Esecuzione del processo
2) Scrittura del driver nella cartella drivers di Windows
3) Installazione del driver
4) Cancellazione del driver dalla cartella drivers

Il PDM, invece, dorme amenamente mentre è circondato da una pletora di attività potenzialmente pericolose. :fagiano: Sarà il torpore invernale di questi giorni. :confused: :mbe: :D

Vabbè mi sono dilungato anche troppo...chi mai leggerà questo noioso poema? :rolleyes: :doh: :ciapet:

Regards

@ pistolino:

discorso "firewall":
è chiaro che PS (o SSM) non sono Fw, come giustamente notavi:
il loro controllo, infatti, è LIMITATO al solo "application filtering" e mancano (come è giusto che sia...) di SPI etc...

0 inbound control, insomma....

Ma gli hips alla EQS, PG, SSM, PS ecc, nascono per VIGILARE su quello che accade sul piano INSIDE, all'interno cioè...per cui, VA BENE cosi' dato che l'internet filetring ATTIENE essenzialmente alla sfera dell'esterno verso il Pc...:)


sul PDM:
non mi sentirei cmq di massacrarlo :read: visto che fa cose che altri si sognano....imo...
Semplicemente, non è perfetto anche se la sua imperfezione SURCLASSA altri prodotti (leggi, AV) equivalenti, firme o non firme, euristica o NON euristica....


imo

Si OK, però proprio perchè l'application filtering è il minimo che un firewall "serio" sa fare, non vedo perchè doversi sbattere a configurare le regole in due applicazioni diverse. :stordita:

Anche per il PDM...certamente garantisce una protezione di gran lunga superiore ad altri prodotti, però questo non mi sembra un buon motivo per addormentarsi sugli allori, solo perchè la concorrenza sta indietro. In particolare, la v. 7 mi ha deluso sotto questo punto di vista. Avrei preferito un PDM migliorato, al posto dell'euristica e del parental control di cui a me non frega relativamente nulla. :D

Regards

una domanda:

chi come me usa il KIS7 + un HIPS (nel mio caso EQS) ha interesse a lasciare attivo il PDM di Kaspersky o tanto vale disabilitarlo risparmiando tempo e pop-up?

cioe'...il PDM kaspersky puo' intercettare qualcosa che a EQS sfuggirebbe?

una domanda:

chi come me usa il KIS7 + un HIPS (nel mio caso EQS) ha interesse a lasciare attivo il PDM di Kaspersky o tanto vale disabilitarlo risparmiando tempo e pop-up?

cioe'...il PDM kaspersky puo' intercettare qualcosa che a EQS sfuggirebbe?

speravo che altri, al di fuori di me o Pistolino, potessero darti una risposta, ma visto l'ASSORDANTE SILENZIO che regna :rolleyes: , è quantomai necessario "scendere in campo" :read: per poterti fornire la mia personalissima (e non certo autorevole ma, semplicemente, UNICA) opinione in proposito....

Potrei darti 2 risposte, la prima "superficiale", la seconda un attimino più motivata...

La prima, allora:
EQS (o ProSecurity, Process Guard..) convive perfettamente con KIS 6/7, di conseguenza NON esiste motivo perchè si debba rinunciare alle funzionalità messe a disposizione dalla suite Kaspersky...

La seconda:
EQS vanta funzionalità che il PDM semplicemente non ha (ad es, cambio data sistema [criticità modesta...], debug a livello di sistema [criticità alta...], file protection [criticità alta...], monitoraggio "chiamate spengimento/riavvio di sistema" [criticità modesta...])

Allo stesso tempo, EQS *NON* monitora comportamenti presi invece in considerazione dal PDM, ad es. il discorso chiamato (genericamente..) dalla Kaspersky Trojan.cryptor (si produce quando un programma tenta di cifrare secondo particolari metodologie determinati dati...), ma si potrebbe dire altrettanto per i casi di Trojan.Generic, Worm.Generic, Worm.P2P.generic, tutte fattispecie pericolose che producono pop-up di avviso...*

http://img145.imageshack.us/img145/7999/29148752hh7.th.png (http://img145.imageshack.us/my.php?image=29148752hh7.png)http://img520.imageshack.us/img520/3234/69330331dz1.th.png (http://img520.imageshack.us/my.php?image=69330331dz1.png)http://img524.imageshack.us/img524/9072/89266486ar3.th.png (http://img524.imageshack.us/my.php?image=89266486ar3.png)http://img520.imageshack.us/img520/352/65117291yf6.th.png (http://img520.imageshack.us/my.php?image=65117291yf6.png)

EQS, xò, fa di sicuro meglio del KIS alcune cose quali il monitorare l'installazione di driver/servizi [criticita altissima...], l'installazione di hook [criticità alta...], il vigilare su tentativi di lettura/scrittura della memoria fisica [criticità altissima....].




Come vedi, il mio personalissimo commento vorrebbe dimostrare che dovremmo essere di fronte ad un CIRCOLO VIRTUOSO che non può far altro che bene alla SANITA' [:D] del Pc....








* per la verità, se usata a dovere, la funzionalità file protection dell'HIPS previene la creazione/scrittura di file "calati su HD" dal malware in questione, castrando cosi' il processo di infezione stesso, cosi' come la funzionalità di protezione del registro di sistema previene la scrittura di chiavi nelle aree critiche del registro stesso, come le aree di start-up... :blah: :blah:



NB: si prega di NON quotare, grazie....

...Come vedi, il mio personalissimo commento vorrebbe dimostrare che dovremmo essere di fronte ad un CIRCOLO VIRTUOSO che non può far altro che bene alla SANITA' [:D] del Pc....
....altrimenti ci si dà tutti alla prassi dell'account limitato che garantisce la sanità [:D] del Pc per un buon 95% (pratica cmq che approfondirà anch'io in VM per vedere quanto sia flessibile (=funzionale) nell'uso quotidiano...), in barba a hips/hops/antivirus come suggerito da persone ben più autorevoli del sottoscritto....

Non vorrei innescare peraltro flame, ma quasi sicuramente l'account limitato NON protegge ad es. da Keylogger...


EDIT:
infatti :D

keylogging method

GetKeyState:...does not require administrator privileges
GetAsyncKeyState: ...does not require administrator privileges
DirectX: idem...
GetKeyboardState: ..no hooks are created and it works under a restricted user account or a guest account (no administrator privileges required)





OT, chiamiamola NEWS:

segnalo l'uscita della nuova versione di Anti-Keylogger Test (http://www.firewallleaktester.com/news.htm#70) di GKWeb.

Come si vede dal sito, l'ultima beta di SSM pro, di Comodo 3 e Online Armor "catturano" tutti i meccanismi di keylogging.

PS, KIS e DefenseWall, invece, falliscono il metodo GetKeyboardState() ma hanno già il fix (vedi ad es, http://forum.kaspersky.com/index.php?showtopic=50755 )....

Gli altri (EQS, ecc) falliscono ALMENO un metodo...

ecc...


Se qualcuno si volesse divertire ad eseguire il test, fate questi passaggi:
- lanciare AKLT.exe
- aprire una finestra di notepad
- cliccare il tipo di keylogging da testare
http://img155.imageshack.us/img155/246/33220327sk6.jpg

- provare a scrivere nel notepad....:D

http://img155.imageshack.us/img155/1166/38148811gz1.th.jpg (http://img155.imageshack.us/my.php?image=38148811gz1.jpg)http://img165.imageshack.us/img165/9719/28857363no2.th.jpg (http://img165.imageshack.us/my.php?image=28857363no2.jpg)
(test by GKweb pubblicati sul forum kaspersky)


Per la cronaca, anche lui ha una licenza di PS :D ....
http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?num=1186215783

ok,quindi pdm+eqs ottima scelta...

grazie per la tua impeccabile puntualita' e disponibilita

Ho dato il test in pasto a EQS...rileva i primi tre test in modo corretto; per il quarto, compare l'avviso solo quando la finestra del test perde il focus (comportamento "strano" che mostra anche KIS pare :mbe: ).
I due screenshot test vengono facilmente bloccati perchè l'execution control interviene quando il programmino apre Paint per creare e salvare l'immagine...

Cambiando leggermente argomento...da notare come Vista ancora non offra l'accesso al kernel per i programmi di sicurezza. :rolleyes:

Regards

ho provato anch'io a fare il test AKLT ma EQS non ha impedito un bel nulla...

ho provato anch'io a fare il test AKLT ma EQS non ha impedito un bel nulla...

sicuro di aver seguito la procedurina che ho postato, corredata peraltro anche da graziose fotarelle? :D

- lanciare AKLT.exe
- aprire una finestra di notepad
- cliccare il tipo di keylogging da testare
- provare a scrivere nel notepad



EDIT:
sicuro di aver settato su prompt and ... l'apposita vocina in EQS?
http://img221.imageshack.us/img221/7372/66408130sj4.jpg

Che EQS qualcosa becchi, infatti, lo vedo anche da qui:
http://img221.imageshack.us/img221/1936/24742239ro7.th.jpg (http://img221.imageshack.us/my.php?image=24742239ro7.jpg)





@ chi ha la versione 3.41 di EQS:
la potete gentilmente uppare da qualche parte postando poi il link qui su Hw?
Io, infatti, non riesco a tirarlo più giù visto che il download mi si pianta intorno al 50%.....

Se volete, potete usare questi servizi gratuiti:
1 (http://www.hwupgrade.it/forum/showpost.php?p=19220608&postcount=116)
2 (http://www.hwupgrade.it/forum/showpost.php?p=19222512&postcount=126)

Grazie 1000 :)

ho provato anche a settarla su prompt and block.
ma niente...:muro:

mi agguanta solo il 3zo metodo, directx:doh:

ma siamo sicuri che serva a qualcosa?

ma siamo sicuri che serva a qualcosa?
in che senso? :mbe:

AKLT, a regola, simula metodi in auge in malware veri ed è costruito proprio per testare le difese di ciascuno contro queste cose....

Sul discorso "mi becca solo il 3°":
versione di EQS/resto del parco software?

lo feci già a suo tempo, cmq:

PS vs i primi 3 metodi....
http://img232.imageshack.us/img232/3677/snap1fc8.th.jpg (http://img232.imageshack.us/my.php?image=snap1fc8.jpg)
http://img233.imageshack.us/img233/7791/snap2fe7.th.jpg (http://img233.imageshack.us/my.php?image=snap2fe7.jpg)
http://img233.imageshack.us/img233/7791/snap2fe7.th.jpg (http://img233.imageshack.us/my.php?image=snap2fe7.jpg)

Qui, invece, come denunciato anche da gkweb, fallisce il 4° test...
http://img134.imageshack.us/img134/6970/snap4ec1.th.jpg (http://img134.imageshack.us/my.php?image=snap4ec1.jpg)

...che serva a qualcosa l'EQS (io sto usando la v.3.41, ora te la uppo:p )

winXP pro SP2 + aggior.
AVIRA AntiVir 7.06
Comodo 2.4

@ pistolino
Incuriuosito ho provato anche io che ho in realtime EQS v3.41, NOD32, e CPF. A me i primi 4 test passano tutti, anche il primo screenshot mentre il secondo anche se blocco l'apertura dell'anteprima con EQS il test riesce comunque a salvare l'immagine del desktop nella cartella in cui risiede il test senza che EQS rilevi niente. :(

@ nV 25
EQS v3.41 l'ho uppato qui (http://www.mediafire.com/?7273mdmnyaw)
Come mai a me il 4° lo rileva e a te no?

ok. ho riprovato reinstallando EQS.
i primi 3 adesso vengono superati, mentre per il quarto non c'è verso

non mi convince molto questo EQS:mbe:

ok. ho riprovato reinstallando EQS.
i primi 3 adesso vengono superati, mentre per il quarto non c'è verso

non mi convince molto questo EQS:mbe:

...anche il secondo screenshot fallisce

Mi correggo, il 4° test fallisce anche a me.

@ nV 25

Come mai a me il 4° lo rileva e a te no?
in che senso, scusa? :mbe:
Io ho un altro hips e non EQS che mi serve solo in VM :Prrr:
O forse vorresti farmi credere che c'è un secondo utilizzatore di PS in Italia? :D

:nonsifa:




Grazie per il file...:)

@ nV 25

Come mai a me il 4° lo rileva e a te no?
in che senso, scusa? :mbe:
Io ho un altro hips e non EQS che mi serve solo in VM :Prrr:
O forse vorresti farmi credere che c'è un secondo utilizzatore di PS in Italia? :D

:nonsifa:




Grazie per il file...:)

...non mi convince molto questo EQS:mbe:
per carità, legittimo....

I motivi, xò?


Comodo 2.4
prova a reinstallare...
Altrimenti, tra i software che hai segnalato vedo solo CPF l'unico eventualmente imputabile di qualcosa....



EHM:
ho fatto casino con il quote.... :tapiro:

@nV 25
non mi convince perchè il test AKLT non riesce a superarlo completamente.
tu che HIPS utilizzi???

ProSecurity.

Globalmente, cmq, EQS è un ottimo software...

Come ho scritto poc'anzi, cmq, SOLO l'ultima beta di SSM pro, di Comodo 3 e Online Armor "catturano" tutti i meccanismi di keylogging:
per gli altri è previsto un fix a brevissimo....


PS:
anche PS canna il 4° test....:stordita:
http://img134.imageshack.us/img134/6970/snap4ec1.th.jpg (http://img134.imageshack.us/my.php?image=snap4ec1.jpg)

ho risbagliato in fase di modifica post, sorry....

[..........]

OT, chiamiamola NEWS:

segnalo l'uscita della nuova versione di Anti-Keylogger Test (http://www.firewallleaktester.com/news.htm#70) di GKWeb.

Come si vede dal sito, l'ultima beta di SSM pro, di Comodo 3 e Online Armor "catturano" tutti i meccanismi di keylogging.

PS, KIS e DefenseWall, invece, falliscono il metodo GetKeyboardState() ma hanno già il fix (vedi ad es, http://forum.kaspersky.com/index.php?showtopic=50755 )....

Gli altri (EQS, ecc) falliscono ALMENO un metodo...

ecc...


Se qualcuno si volesse divertire ad eseguire il test, fate questi passaggi:
- lanciare AKLT.exe
- aprire una finestra di notepad
- cliccare il tipo di keylogging da testare
http://img155.imageshack.us/img155/246/33220327sk6.jpg

- provare a scrivere nel notepad....:D

http://img155.imageshack.us/img155/1166/38148811gz1.th.jpg (http://img155.imageshack.us/my.php?image=38148811gz1.jpg)http://img165.imageshack.us/img165/9719/28857363no2.th.jpg (http://img165.imageshack.us/my.php?image=28857363no2.jpg)
(test by GKweb pubblicati sul forum kaspersky)


Per la cronaca, anche lui ha una licenza di PS :D ....
http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?num=1186215783

confermo che online armor l'ha bloccato, ma dopo una decina di secondi :/

Allora... ho appena tolto EQS dal mio pc. Stamattina non si avviava e ho dovuto farlo ripartire con l'Ultima configurazione funzionante, reinstallando un po' di software ecc. Sono convinto che è EQS il responsabile dell'incasinamento del sistema.

ma a parte questo, e a parte le continue, snervanti :muro: richieste di questo EQS, ho da fare una critica di fondo a tutti i software simili a questo.:ciapet:

Non fanno distinzione alcunafra ciò che è potenzialmente pericoloso da ciò che non lo è.

Fare un test tipo AKLT è fin troppo facile: si sa che è un processo pericoloso e si ordina il blocco.
Ma se questo non fosse un test, ma facesse parte un bel programmino (magari free e scaricato dalla rete) apparentemente serio, utile ed affidabile???
:mbe:

In fondo l'antivirus è prezioso proprio per questo, per la sua capacità intrinseca di discernere.

Ma questi??? :rolleyes:

Questo è il motivo per cui almeno per ora non installero niente di simile sul mio pc. Tra l'altro a breve esce la versione definitiva di Comodo 3...

cià

in che senso, scusa? :mbe:
Io ho un altro hips e non EQS che mi serve solo in VM :Prrr:
O forse vorresti farmi credere che c'è un secondo utilizzatore di PS in Italia? :D

:nonsifa:




Grazie per il file...:)

..no,no lascio il privilegio a te :D
Ero così soddisfatto di questo HIPS... sono rimasto un pò deluso. :(
Spero che correggano a brevissimo, come hai detto tu.

Allora... ho appena tolto EQS dal mio pc. Stamattina non si avviava e ho dovuto farlo ripartire con l'Ultima configurazione funzionante, reinstallando un po' di software ecc. Sono convinto che è EQS il responsabile dell'incasinamento del sistema.

ma a parte questo, e a parte le continue, snervanti :muro: richieste di questo EQS, ho da fare una critica di fondo a tutti i software simili a questo.:ciapet:

Non fanno distinzione alcunafra ciò che è potenzialmente pericoloso da ciò che non lo è.

Fare un test tipo AKLT è fin troppo facile: si sa che è un processo pericoloso e si ordina il blocco.
Ma se questo non fosse un test, ma facesse parte un bel programmino (magari free e scaricato dalla rete) apparentemente serio, utile ed affidabile???
:mbe:

In fondo l'antivirus è prezioso proprio per questo, per la sua capacità intrinseca di discernere.

Ma questi??? :rolleyes:

Questo è il motivo per cui almeno per ora non installero niente di simile sul mio pc. Tra l'altro a breve esce la versione definitiva di Comodo 3...

cià

anch'Io ho avuto la tua stessa esperienza con eQsecure e l'ho tolto immediatamente perchè non ne potevo più dei popup con cui mi chiedeva le medesime cose mille volte, per adesso sto testando la beta di comodo 3 e mi sembra che il pc vada meglio anche in prestazioni, comunque al di là di questo mi trovavo bene come h.i.p.s. con ssm free lo trovo semplice ed immediato anche se la versione free è meno completa della full.

anch'Io ho avuto la tua stessa esperienza con eQsecure e l'ho tolto immediatamente perchè non ne potevo più dei popup con cui mi chiedeva le medesime cose mille volte, per adesso sto testando la beta di comodo 3 e mi sembra che il pc vada meglio anche in prestazioni, comunque al di là di questo mi trovavo bene come h.i.p.s. con ssm free lo trovo semplice ed immediato anche se la versione free è meno completa della full.

tra l'altro ssm free, sebbene meno completo di eqsecure, sembra essere l'unico che funziona benissimo anche in ambiente account limitato, e scusate se è poco...

Allora... ho appena tolto EQS dal mio pc. Stamattina non si avviava e ho dovuto farlo ripartire con l'Ultima configurazione funzionante, reinstallando un po' di software ecc. Sono convinto che è EQS il responsabile dell'incasinamento del sistema.

ma a parte questo, e a parte le continue, snervanti :muro: richieste di questo EQS, ho da fare una critica di fondo a tutti i software simili a questo.:ciapet:

Non fanno distinzione alcunafra ciò che è potenzialmente pericoloso da ciò che non lo è.

Fare un test tipo AKLT è fin troppo facile: si sa che è un processo pericoloso e si ordina il blocco.
Ma se questo non fosse un test, ma facesse parte un bel programmino (magari free e scaricato dalla rete) apparentemente serio, utile ed affidabile???
:mbe:

In fondo l'antivirus è prezioso proprio per questo, per la sua capacità intrinseca di discernere.

Ma questi??? :rolleyes:

Questo è il motivo per cui almeno per ora non installero niente di simile sul mio pc. Tra l'altro a breve esce la versione definitiva di Comodo 3...

cià

Nessuno ha mai detto che un HIPS può sostituire un antivirus, ma dovrebbe essere qualcosa da associare a questo, visto che gli antivirus hanno molte carenze.
Comunque se trovi difficile utilizzare gli HIPS della tipologia behavior blocking, puoi provare i sandbox e i virtualisation HIPS.

Nessuno ha mai detto che un HIPS può sostituire un antivirus, ma dovrebbe essere qualcosa da associare a questo, visto che gli antivirus hanno molte carenze.
Comunque se trovi difficile utilizzare gli HIPS della tipologia behavior blocking, puoi provare i sandbox e i virtualisation HIPS.

io uso sia un behaviour blocking (ssm free) che un sanbox (geswall) :stordita:

tra l'altro ssm free, sebbene meno completo di eqsecure, sembra essere l'unico che funziona benissimo anche in ambiente account limitato, e scusate se è poco...
infatti! avevo dimenticato di dire questa cosa che non è da poco!;)

Da segnalare comunque che la vetusta versione free di SSM non rileva nemmeno tutti i tentativi di terminazione di APT (Advanced Termination Tool) di DiamondCS, di cui è disponibile la versione 2.1.

http://www.diamondcs.com.au/advancedseries/apt.php

Regards

Sicuramente ssm free ha dei lati diciamo scoperti per quanto riguarda la protezione a 360 gradi, ma in termini di semplicità d'uso di immediatezza e di perdita minima di prestazioni del sistema operativo, secondo mè nel lotto dei free ha ben pochi rivali della categoria di sw di questo tipo.

Indubbiamente, ma è innegabile che SSM Free sia di gran lunga dietro a Comodo Defense+, ProSecurity, EQSecure e altri ancora.
Già la versione Pro è stata superata, a causa del fatto che non viene più sviluppata. La versione free addirittura mi pare risalga all'anno scorso. Infatti, SysSafety, a differenza di altre software house, non ha mantenuto una versione a pagamento con la corrispondente edizione free limitata. Le due sono basate su un codice completamente diverso, e quello della FREE è ormai abbastanza obsoleto e senza dubbio inferiore (come livello qualitativo) a quello del "vecchio" ProcessGuard, ad esempio.

In definitiva, se non si vuole spendere e si desidera utilizzare un HIPS, conviene andare sulla promettente beta di Comodo Defense+, oppure sui più "rodati" ProSecurity Free e EQSecure.

Regards

adesso sto provando la beta di comodo 3 e mi sembra a primo impatto abbastanza veloce , con meno avvisi popup, e soprattutto che rallenti poco il sistema

rispondere a tutti diventa cosa complessa e probabilmente noiosa per cui cercherò di ridurre ai minimi termini il mio pensiero in proposito....


In 1° pagina si legge infatti che:

"Le soluzioni HIPS Behaviour Blocker puri (di fatto, quelli trattati più approfonditamente nel corso del thread...) *NON* si rivolgono ad un utenza di massa bensi' ai soli utenti che vogliano tenere sotto controllo ciò che avviene in seno alla propria macchina...
Per l'utenza "di massa", invece, sono espressamente disegnati altri software che poggiano le loro architetture sui concetti di SandBox e forme di Virtualizzazione..."

Ora, quello che può apparire come un discorso arrogante, presuntuoso e offensivo [in particolare quando mi rivolgo alla platea con termini quali "massa", ecc...], sottiene in realtà riflessioni e/o considerazioni maturate tanto dopo diversi annetti di utilizzo intensivo di questi software quanto da numerosi commenti presenti all'interno di questo stesso thread...

Ad es, vi consiglio la lettura di questo post (LINK (http://www.hwupgrade.it/forum/showpost.php?p=18050682&postcount=1045) :read:) dove emergono chiaramente alcuni concetti che dovrebbero servire proprio a "lavare" l'accusa di ARROGANZA o SACCENZA che potrebbe essere rinvenuta nella mia frase iniziale in colore blu...:)

Semplicemente, NON tutti gli hips si rivolgono indifferentemente a tutti ma, allo stesso tempo, esistono soluzioni abbastanza ADERENTI a differenti tipologie di utilizzatori, sempre che, ovviamente, la persona sia capace di dire onestamente CHI E' in termini di bagaglio (esperienza) informatica, ecc....perchè solo cosi' può essere meglio orientato verso ciò che gli calza a puntino, un pò come accade per i vestiti:

adoro l'intimo femminile :D, ma non per questo vado a giro con reggicalze e giarrettiera al seguito...:ciapet:


Ora, tutto questo preambolo (importante, aimè...), PER DIRE COSA?

Che, pur rispettando qualsiasi opinione contraria, il post iniziale spiegava già, se pur per sommi capi, perchè (ad es.) questi software
"non fanno distinzione...fra ciò che è potenzialmente pericoloso da ciò che non lo è"....

Non a caso, + e + volte HO CONSIGLIATO la lettura di ALMENO qualche pagina di thread per prendere coscienza di ciò che si sarebbe andati ad installare, SENZA LIMITARSI quindi ALLA LETTURA DEI SOLI NOMI CITATI....

Non è una novità che questi software siano "stupidi" (= non capaci di discernere ciò che è OK da ciò che potenzialmente è pericoloso..) visto che FUNZIONANO SU BINARI DIVERSI DA QUELLI TRADIZIONALI (binari diversi che, poi, sono anche il punto cardine della loro forza...):
sempre dal 1° post, infatti,

"...questi software si concentrano sull'individuazione di generici comportamenti pericolosi...." come, ad es, l'installazione di un driver, un servizio e compagnia bella.

Il focalizzarsi infatti solo sui modi sfruttabili (per lo meno...) da certi virus per forare la macchina determina proprio tante belle cosine....:)

Il prezzo, xò, è, oltre al pop-up per i behaviuor blocker, la "stupidità". :)


Per il discorso
"Fare un test tipo AKLT è fin troppo facile: si sa che è un processo pericoloso e si ordina il blocco.
Ma se questo non fosse un test..."

Questa, in definitiva, è una questione di "sensibilità":
o si ha....:(

Se si considera cmq che il 99% :read: di eventi pericolosi SI INIZIALIZZA a seguito di un ASSENSO ESPLICITO a continuare l'azione ad un pop-up di execution control, bè...;)
Per eseguibili, poi, NON presenti nel RULE-SET e dai nomi/estensioni + assurde...;)



IMO....


Ci sarebbe altro da dire ma la taglio corta...

Da segnalare comunque che la vetusta versione free di SSM non rileva nemmeno tutti i tentativi di terminazione di APT (Advanced Termination Tool) di DiamondCS, di cui è disponibile la versione 2.1.

http://www.diamondcs.com.au/advancedseries/apt.php

Regards

veramente siamo alla 4.0 :D (forum ,tool gratuiti, ecc..)


PS:
riderò tanto quando uscirà COMODO 3 con il suo Comodo+....:D
Specie alla luce del casino creato tempo fà quando fu Kaspersky ad aver innescato "la moda" con il suo PDM.....:D


E' giocoforza, infatti, che aumenteranno in maniera esponenziale gli avvisi....:fiufiu:

Indubbiamente, ma è innegabile che SSM Free sia di gran lunga dietro a Comodo Defense+, ProSecurity, EQSecure e altri ancora.
Già la versione Pro è stata superata, a causa del fatto che non viene più sviluppata. La versione free addirittura mi pare risalga all'anno scorso. Infatti, SysSafety, a differenza di altre software house, non ha mantenuto una versione a pagamento con la corrispondente edizione free limitata. Le due sono basate su un codice completamente diverso, e quello della FREE è ormai abbastanza obsoleto e senza dubbio inferiore (come livello qualitativo) a quello del "vecchio" ProcessGuard, ad esempio.

In definitiva, se non si vuole spendere e si desidera utilizzare un HIPS, conviene andare sulla promettente beta di Comodo Defense+, oppure sui più "rodati" ProSecurity Free e EQSecure.

Regards

bhe, prosecurity free è inferiore a ssm free, ho chiesto lumi qualche giorno fa a nv25. Per eqsecure, ripeto, è innegabile che sia anni luce avanti a ssm free, ma il solo fatto che richieda tassativamente un account administrator per funzionare, di fatto lo esclude. E' francamente difficile da accettare che un software di sicurezza costringa ad usare un account amministrativo (e quindi, ciò che è principalmente grave, a navigare in internet con tale account) ...anzi, per usare le parole di Sisupoika, che è sicuram più autorevole di me, è un assurdo...un controsenso...

io sono dell'idea che il successo di un sw hips è dato non solo dalla sua capacità di bloccare i codici maligni, perchè se per tenere installato un sw di questo tipo nel mio pc( e parlo di mè solo per fare un esempio) devo sorbirmi durante l'uso del pc tutta una serie di popup che mi chiedono qualsiasi cosa se autorizzare qualsiasi cosa io faccio col pc a partire dall'apertura per esempio del notepad, mi chiedo quante probabilità io ho che mi arrivi da questi sw un popup reale di un malware che sta per eseguirsi realmente nel mio sistema prima di sorbirmene a migliaia per operazioni legittime che si fanno continuamente col pc, e con questa riflessione che arrivo alla conclusione che forse il gioco non vale la candela o meglio un hips è utile se per usarlo non devo essere necessariamente un perito informatico, se non mi rallenta il pc, se non crasha o fa crashare qualche applicazione e soprattutto se i suoi popup sono chiari ed incontrovertibili che un imminente malware stà tentando di danneggiare il mio pc, e poi anche quelli di tipo sanboxie non sono immuni nel causare qualche problema come rallentamenti, crash ed eccessivo uso di ram, alla luce di ciò un hips diventa utile secondo mè solo se tiene conto di tutto ciò

non ho interesse a modificare le opinioni di nessuno, per cui è legittimo che si resti eventualmente su posizioni diverse.

C'è chi ama e accetta la filosofia dell'hips BB come me, chi non li sopporta perchè ritiene vi siano sistemi più pratici ed efficaci per realizzare "sicurezza" (account limitato, Sisupoika tanto per fare nomi illustri), chi ha altre teorie in proposito oppure chi, pur amando gli hips, "tira meno" verso soluzioni silenziose (sul modello dei sandbox/virtualizzatori, per es. io)...


Benissimo.
Legittimo.
ecc...


Ma su una cosa vorrei ritornare:
è vero si che ProSecurity (es.) produce POP-UP, ma è altrettanto vero che dopo la fase di Learning mode :read: su un Pc appena formattato, con le sue patchine, i suoi bei programmini & giochini...

BENE:
ma credete forse che io sia masochista al punto da GODERE se il mio Pc mi restituisce in una sessione di lavoro di 2 ore [...] 100 pop-up? :mbe:


Bè, vi assicuro che non è assolutamente cosi'.
A casa mia (mi piacerebbe poter ospitare qualcuno per dimostrare le mie affermazioni...) riceverò si e no 2 pop-up a sessione...

Allo stesso modo, mi piacerebbe tanto poter venire a casa vostra, settarvi (nei limiti del possibile) SSM o EQS e vedere poi se avete n Pop-up come dite....

E si badi bene:
se c'è una persona che piazza regole tutt'altro che permissive, quella sono io...:read:


Cmq LEGITTIMA ogni opinione contraria, si fa per parlare....:)



EDIT:
giusto per completare il discorso, gli ultimi hips BB, per semplificare ULTERIORMENTE la fase del settaggio, implementano da mò l'INSTALLING MODE oltre al LEARNING MODE....

http://img231.imageshack.us/img231/3731/68893496ec5.th.jpg (http://img231.imageshack.us/my.php?image=68893496ec5.jpg)

A stò punto, voglio un Lucano....:hic: :D


Se ho voglia, farò 1 filmatino per farvi vedere l'installazione di qualcosa in una VM con PS...

allora io li ho provati quasi tutti i sw hips ed internet security suite(chi più ne ha più ne metta) tranne ps e qualche altro che non ricordo il nome, compreso il kis con il suo pdm, ed alla fine dopo tutto questo girovagare e prove e riprove sono arrivato alla conclusione che tutti chi più chi meno rallentano e talvolta intralciano le normali attività del pc, con questo non intendo e nemmeno mi sognerei di sconsigliarne l'uso a nessuno anzi il contrario ma consapevole del fatto che giustamente come detto da nV25 questi sw non sono propriamente alla portata degli utenti comuni ma per adesso( con le dovute eccezioni di quelli di tipo sandboxie o del tipo di prevx mi sembra cip) rimangono prodotti solo alla portata degli appasionati e della gente particolarmente ferrata ai temi della sicurezza;Detto ciò alla fine considerando che non tutti i sistemi hanno prestazioni e memoria adeguati per sostenere questi sw o le internet security di nuova generazione, io con una macchina di solo 256 mb di ram sono tornato al buon vecchio nod32 che rimane una perla in termini di rapporto prestazioni/consumo di risorse e per adesso con l'aggiunta del solo comodo 3 beta, con questo in termini di compromesso leggerezza/sicurezza mi va bene così , fermo restando che ognuno deve capire da sè con le proprie esperienze e prove personali quali sono i programmi che più gli si adattano tenendo conto dei propri sistemi e delle proprie competenze informatiche

d'accordo...






Ho preparato alla stracca 1 simpatico filmatino che mostra la valanga :D di pop-up che si ricevono con la funzione <installing mode> abilitata quando si va ad installare un programma, nel ns. semplicissimo caso:
Videolan, CCleaner, TinyWatcher (che consiglio :read: ...)

E' preso da VM, quindi prego di avere un pò di pietà...:D

Filmatino (~ 1.5Mb RAR) (http://www.mytempdir.com/2046779)

Ovviamente, oltre alla fase di installazione nuda e cruda, ho lanciato anche l'eseguibile per far apprendere a PS il resto dei permessi necessari (si vede bene in particolare quando mi sposto sugli attributi speciali di ccleaner..)

Vedrete inoltre che, anche lanciando l'eseguibile in un 2° momento, dei POP-Up non ve ne è nemmeno l'ombra....;)



Perchè nV 25 *NON* è masochista....:sofico:

Enjoy!

è interessato, dai, il filmatino sopra....:D

0 reply...:asd:


Per nulla sfiduciato, ecco a voi il nuovissimo Anti-Keylogger Test 2.5 by gkweb :read: ( news del 24/10/07 (http://www.firewallleaktester.com/news.htm))

"...From the same virus bulletin article I mentioned in the previous news (per la cronaca, questo: Link! (http://www.viruslist.com/en/analysis?pubid=204791931)), among the known in the wild keyloggers, 66% use hooks, 29% use hookless/cyclical polling, and 5% use a driver.
That means that AKLT v2.5 enables you to test the behavior of 95% of the In The Wild keyloggers. For the remaining 5%, block driver loading by running a limited user account, or by using an HIPS...

http://www.firewallleaktester.com/how_to_use_aklt.htm


Ecco ProSecurity (settato di proposito per restitutire pop-up, altrimenti fa tutto silenziosamente...;) )

Filmatino (~ 0.6Mb RAR) (http://www.mytempdir.com/2046814)

Per ultimo, ho eseguito il test che fora PS, quello del GetKeyboardState()...


Enjoy! :D


Dimenticavo:
ciao ciao firme....:ciapet:
(se poi ci sono anche quelle, cmq...:fiufiu: )

ottimo il filmatino!
sicuramente utile a dare un contributo per meglio capire il funzionamento di questo hips.

è uscita da pochissimo la nuova beta3 di ProSecurity con una nuova GUI:

semplicemente orribile...:cry: :ncomment:
Spero che sia data la possibilità di riavere a disposizione anche la vecchia interfaccia, altrimenti sono °||° amari....
Mai visto un obrobrio simile anche se capisco che "de gustibus non disputandum (est)"....

Spero che mi si dia ascolto....:sperem:

Se qualcuno, giusto per curiosità, gli volesse dare un'occhiata, http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?num=1193254004 ...





EDIT:
dopo lo sfogo iniziale, comincio a capire meglio l'interfaccia del programma, non perfetta ma neppure "cesso" come mi era parsa di primo acchito...
Sono state tolte le icone dei diversi moduli sulla parte sx, rimpiazzandole con un menù ad albero, ecc....

Confermo invece la pessima impressione a proposito dei pop-up, ridicoli....:muro:
Noto inoltre con piacere che ha risolto numerosi "minor bug" che gli avevo segnalato per la via :D ....

Ce li fai vedere sti popup? :mbe: :stordita: (visto che sul forum di PS non ci sono...) :sofico:

Carini i video invece. ;)

Regards

Ce li fai vedere sti popup?..

chi cerca trova...:Prrr:

Ci sono sia screen che bug, tutto, insomma...(nel link di prima...) :cry:

@ pistolino:
altro filmatino a minuti su "test euristica kaspersky" nel thread di c.m.g...:D

veramente siamo alla 4.0 :D (forum ,tool gratuiti, ecc..)


PS:
riderò tanto quando uscirà COMODO 3 con il suo Comodo+....:D
Specie alla luce del casino creato tempo fà quando fu Kaspersky ad aver innescato "la moda" con il suo PDM.....:D


E' giocoforza, infatti, che aumenteranno in maniera esponenziale gli avvisi....:fiufiu:

che rottura di ca@@o
se mi scoccia levo tutto... navigo senza nulla...:sofico:

PS:
riderò tanto quando uscirà COMODO 3 con il suo Comodo+....:D
Specie alla luce del casino creato tempo fà quando fu Kaspersky ad aver innescato "la moda" con il suo PDM.....:D


E' giocoforza, infatti, che aumenteranno in maniera esponenziale gli avvisi....:fiufiu:

Tu l'hai provato?

che rottura di ca@@o
se mi scoccia levo tutto... navigo senza nulla...:sofico:

Per me devo dire che il Defense+ della v3 non é poi così rompi 00, anche perchè una cosa che mi piace molto di questa software house che pensa anche agli utonti, pardon, utenti che non sono così esperti, e per regolare la quantità di pop-up si può agire sulle impostazioni (mi sembra di ricordare, non l'ho installato qui) sia sul FW che sul Defense+ da learning a paranoic. Sulla beta3 hanno migliorato molto questa cosa ed appena installato, con l'impostazione da default Safe and learning, si crea la maggior parte di regole in automatico. A me piace molto... mi da una grande sensazione di sicurezza.

Rilasciata in data 24/10/2007 Prosecurity 1.4 Public Beta 3

Version History of ProSecurity
--------------------------------

October 24, 2007 v1.40 Public Beta 3
---------------------
1. [NEW] The rule search function. User can search in all types of rules for a keyword.
2. [NEW] Keyboard/Mouse simulating detection function.
3. [IMPROVED] This version is very stable on Windows Vista x86.
4. [IMPROVED] A new keylogger technology can be detected now. [Thanks firewallleaktester.com for their research and testing source code]
5. [IMPROVED] The network accessing protection function is improved, detect the program to query DNS from system service.
6. [IMPROVED] The main GUI is redesigned, the GUI skin is disabled in default.
7. [IMPROVED] The warning box is redesigned.
8. [IMPROVED] The warning box is special treated.
[1]. This prevents it to be covered by any other top-most window in rare cases.
[2]. This makes ProSecurity works better on multi-desktop environment.
9. [IMPROVED] The shutdown protection function is improved.
10.[IMPROVED] Other small improvements:
[1]. A new registry protection rule is added.
[2]. The authorization information is shown in the "About" page.
11.[FIXED] The file/folder protection function may lose its function for dynamic partition in some cases.
12.[FIXED] A bug may cause 'commucation error with driver' problem if user login Windows with different user name after logouts.
13.[FIXED] Some functions are not imperfected for probing data which are located in application-level memory. This may cause BSOD in some cases.
14.[FIXED] Other small bugs.

http://www.proactive-hips.com/history.php

sto provando outpost 2008 e mi sembra una bomba, più o meno mi sembra allo stesso livello di comodo 3 beta, hanno migliorato di molto anche il peso del sw sul sistema e le gestione delle regole, per adesso me lo tengo, alla fine deciderò tra lui e comodo 3!:(
quello che hanno di bello entrambi è che non c'è bisogno di installare nessun altro sw hips sul sistema, avendolo loro integrato il chè è un bel risparmio di risorse e di programmi in avvio automatico sul pc, entrambi sul task manager sono più o meno sullo stesso consumo di memoria in questo momento il processo di outpost 2008 dal task ciuccia 2,2 MB, davvero un bel firewall!!

Vado un pò controcorrente rispetto alle ultime riflessioni sul numero degli avvisi di un hips. Vorrei chiedere come si fa ad impostare le regole di EqSecure affinchè rilevi e mi segnali con i pop-up anche una benchè minima attività di qualsiasi applicazione, e, soprattutto, di ogni minima aggiunta/variante al registro?
Grazie.

Vado un pò controcorrente rispetto alle ultime riflessioni sul numero degli avvisi di un hips. Vorrei chiedere come si fa ad impostare le regole di EqSecure affinchè rilevi e mi segnali con i pop-up anche una benchè minima attività di qualsiasi applicazione, e, soprattutto, di ogni minima aggiunta/variante al registro?
Grazie.

Ma sei sicuro di voler fare una cosa simile? :eek:
Comunque eccoti accontentato:

1) Per quanto riguarda il registro, vai su Registry Protection, crea una nuova regola e metti come valore da monitorare "*", oppure le singole sezioni, ad esempio: HKLM/* etc.... Creata la regola, seleziona l'opzione "Log" nel riquadro a destra relativo alla regola appena creata.
2) Per le applicazioni è la stessa cosa: seleziona ogni regola che hai già creato (manualmente o con il learning mode) e seleziona la voce "Log".

Preparati a ricevere una pletora di popup, sempre che non si incasini il log di EQS a furia di registrare tutto. :mbe: :fagiano: Ovviamente non mi assumo responsabilità riguardanti i (probabili) casini derivanti dall'operazione. :D

Regards

Ma sei sicuro di voler fare una cosa simile? :eek:
Lo so è una richiesta a dir poco strana, ma devo essere proprio sicuro di poter escludere che il problema che ho con il cassetto del masterizzatore cd, (che si apre da solo....che sia stramaledetto), sia di natura software.
P.S. sono quasi 4 anni che ci combatto!!! (maledetto ancora una volta).
Chiedo scusa per l'OT.

Preparati a ricevere una pletora di popup, sempre che non si incasini il log di EQS a furia di registrare tutto. :mbe: :fagiano: Ovviamente non mi assumo responsabilità riguardanti i (probabili) casini derivanti dall'operazione. :D

Regards
Così approfitto anche per capire qualcosa in più su cosa accade durante l'utilizzo del pc. Non c'è problema per i casini...ci sono abituato, tanto poi vado con True Image e risolvo.
Grazie!!!
Ciao.

chi cerca trova...:Prrr:

Ci sono sia screen che bug, tutto, insomma...(nel link di prima...) :cry:

@ pistolino:
altro filmatino a minuti su "test euristica kaspersky" nel thread di c.m.g...:D

ah ma sei vivo? Pensavo fossi definitivamente scomparso :p :)

Ho notato che le ultime release di PS e EQS hanno integrato un nuovo modulo di protezione denominato "Imitate virtual keyboard/mouse"...che roba è? Non bastava il modulo keyloggers? :mbe: :confused:

Regards

ah ma sei vivo? Pensavo fossi definitivamente scomparso :p :)

Se la montagna non va da Maometto...
Te non mi consideri su msn, e io ti faccio postare su Hw alla ricerca di mie notizie....:ciapet:

Se la montagna non va da Maometto...
Te non mi consideri su msn, e io ti faccio postare su Hw alla ricerca di mie notizie....:ciapet:

ah beh, se aspetti che scrivo a chi l'ha visto... :ciapet:

sto provando outpost 2008 e mi sembra una bomba, più o meno mi sembra allo stesso livello di comodo 3 beta, hanno migliorato di molto anche il peso del sw sul sistema e le gestione delle regole, per adesso me lo tengo, alla fine deciderò tra lui e comodo 3!:(
quello che hanno di bello entrambi è che non c'è bisogno di installare nessun altro sw hips sul sistema, avendolo loro integrato il chè è un bel risparmio di risorse e di programmi in avvio automatico sul pc, entrambi sul task manager sono più o meno sullo stesso consumo di memoria in questo momento il processo di outpost 2008 dal task ciuccia 2,2 MB, davvero un bel firewall!!

Outpost è veramente un ottimo prodotto. Uno dei migliori (se non il migliore) firewall software in circolazione. Ma non bisogna confondere le funzionalità hips di base, offerte ed integrate in queste suite, con quelle di un VERO hips come ProSecurity, EQSecure o SSM Pro. Nel caso specifico Outpost Security Suite 2008 non supera nemmeno uno dei leak di AKLT 2.5
La cosa strana è che Outpost 4 o la Suite 2007 almeno superavano il test DirectX...

quello di cui ho voglia io ora, cmq, è di bestemmiare in turco per la nuova interfaccia grafica di PS....
Se parlavo meglio inglese, mi facevo sentire alla grande...porca di quella....:mad:

PS:
se qualcuno ha voglia di farmi da translator, gli passo il testo che ho in mente o la mia user/pass....
Il brutto, xò, è che sembro io l'unico imbecille a cui fa cagare....impossibile...:rolleyes:
E in questo modo, anche la mia "forza" va a farsi friggere*...




*Per la verità, forse c'è un altro utente sfavato a bomba...
Sapete com'è:
più "sfavati siamo"...:fiufiu:

Ma porca di quella maledetta vacca lurida e anche un bel pò tr** :mad:

forse ci sono sviluppi:
sempre a livello embrionale, semplici impressioni, ma, come si dice dalle mie parti, "meglio che un calcio nelle °°..." :ciapet: :sperem:
http://www.proactive-hips.com/yabb/yabb2/YaBB.pl?num=1193476099





EDIT:
progetto Noeva Guard sospeso...:(
Story... (http://www.wilderssecurity.com/showthread.php?t=189507)

Non conosco il prodotto ma mi spiace lo stesso. :mc: Quantomeno, però, hanno avuto il buon senso e il buon gusto di fare una comunicazione, a differenza di altri* che hanno fatto finta di nulla.

* Il riferimento è a DCS che, di punto in bianco, scompare nel nulla senza dire niente, nonchè a Syssafety che fa finta di nulla, pur consapevole che lo sviluppo del prodotto è, di fatto, suspended. :rolleyes: Opinione personalissima comunque. ;)

Regards

quello di cui ho voglia io ora, cmq, è di bestemmiare in turco per la nuova interfaccia grafica di PS....
Se parlavo meglio inglese, mi facevo sentire alla grande...porca di quella....:mad:


Ma non avevi imparato ad apprezzare, almeno in parte, la nuova GUI? :mbe: :confused: :D

Regards

Quantomeno, però, hanno avuto il buon senso e il buon gusto di fare una comunicazione...
...e pensare pure che era un prodotto freeware :read:

Pensa invece a chi aveva regolarmente acquistato regolare licenza (PG) giramento di cabesas (:D) che deve aver patito..:rolleyes:
1 intera credibilità bruciata in pochissimi attimi...:read:

Scusate la domanda stupida, ma dato che ancora non sono disponibili software free HIPS per Vista, la funzione UAC puo' per il momento sostituirli?

non avendo mai utilizzato account limitati (non è un motivo di vanto, cmq...) nè avendo mai provato seriamente Vista, sarei a tutti gli effetti titolato A NON rispondere visto che non saprei proprio che contributo dare....

Detto questo, e stando almeno a quel poco che ho sentito, l'UAC *dovrebbe* essere facilmente bypassabile....

Per Vista 32bit, cmq, c'è già qualcosa anche free...

non avendo mai utilizzato account limitati (non è un motivo di vanto, cmq...) nè avendo mai provato seriamente Vista, sarei a tutti gli effetti titolato A NON rispondere visto che non saprei proprio che contributo dare....

Detto questo, e stando almeno a quel poco che ho sentito, l'UAC *dovrebbe* essere facilmente bypassabile....

Per Vista 32bit, cmq, c'è già qualcosa anche free...

Sei sicuro, ho dato un'occhiata ai siti DSA e EQS, ma nessuni dei due e' Vista Ready.
Per DSA si parla di una prossima versione, per EQS della 3.5.

i migliori gratuiti per vista 32bit, attualmente, credo siano:
http://www.threatfire.com/requirements/
e
http://www.prevx.com/

ci sarebbe anche arovax shield...credo:fagiano:

si, ma quello è meglio di un calcio nelle pelotas...:D

Su questo "mio" [:D] thread, solo nomi di software "seri"....:fiufiu:


Grazie cmq della segnalazione...:)


PS @ Beyond: per i sandbox/virtualizzatori e vista, invece?

per vista c'è la versione 3.02 di sandbox,uscita da poco...
per arovax immaginavo...ho un precedente sempre su questo 3d....sò recidivo:D

i migliori gratuiti per vista 32bit, attualmente, credo siano:
http://www.threatfire.com/requirements/
e
http://www.prevx.com/

Due cose:
il primo non lo conosco, com'e'?
il secondo, prevx2, e' a pagamento.

decisamente buono....

Ti consiglio, cmq, una rapida scorsa di questo thread:
http://www.wilderssecurity.com/showthread.php?t=183020

Hai modo cosi' di prendere visione sia della sua interfaccia sia del modo di creazione di (eventuali) regole avanzate...:)

Sto provando la versione free di ThreatFire e ad un primo impatto sembra molto potente.
Per fare qualche "stupido" test sto usando Pc Security 2007.
Arrivo subito al nocciolo: Threatfire mi avvisa di attività sospette ma mi permette solo di Concedere oppure mettere addirittura in quarantena il file (killando il processo ovviamente). Sapete se nella versione Pro permette di bloccare l'azione del software dannoso evitando il kill del software stesso?
Mi piacerebbe vedere se questo Hips blocchi sul serio la scrittura dei files nelle dir protette ecc...

...
Mi piacerebbe vedere se questo Hips blocchi sul serio la scrittura dei files nelle dir protette ecc...

Scherzi mia davvero, eh? :D
O hanno un bug nel codice, o bloccano (se devono bloccare) / avvertono (se devono avvertire) nei casi di creazione/scrittura (/lettura/eliminazione)....;)





PS:
grazie PrevX :read: per avermi fornito un tool di check della funzionalità "hidden install" di KIS 7...:D

http://img70.imageshack.us/img70/4444/59612010gf7.jpghttp://img70.imageshack.us/img70/4756/77285057dz8.jpg

:yeah:

Ho testato in VM qualche altro sample di ROOTKIT di cui uno in particolare riconosciuto ad oggi SOLO da 4 scanner....


Negli screen che seguiranno vedrete ProSecurity VS DefLib.sys, IsDrv118.sys e il cosi' detto (da Symantec...) Trojan.Ascesso (http://www.symantec.com/security_response/writeup.jsp?docid=2007-082818-0250-99&tabid=2) che, del lotto, mi è sembrato il + bast* di tutti...


Il 1°, DefLib.sys, è "droppato" da un exe [di nome 206] riconoscito come dicevo solo da 4 scanner AV al 31/10/07 come Trojan.Proxy.Agent.AZP:
http://img516.imageshack.us/img516/2610/rootkitdeflib1wp7.th.jpg (http://img516.imageshack.us/my.php?image=rootkitdeflib1wp7.jpg)

Non appena eseguito, se si blocca qualcosina all'inizio, puf, finisce il giochino...
http://img509.imageshack.us/img509/9650/rootkitdeflibmc1.jpg

Se invece si è un pelino più elastici in fase di esecuzione :D, la bagarre comincia a farla da padrona:
http://img229.imageshack.us/img229/5937/2rootkitdeflibtrojanprozt5.jpg




2° sample: Trojan-Downloader.Win32.agent.bsi

Se si da l'ok alla dll droppata dal malware, il giochino apre la strada a qualche scintilla...:p
In caso contrario, bloccando la creazione/scrittura & caricamento della dll, il sample non riesce a far nulla...ma a noi quest'ultimo caso interessa davvero poGhino...:D

L'ok alla creazione di linkinfo.dll...

http://img125.imageshack.us/img125/5989/68296929bw4.jpg

...e il seguito:

http://img487.imageshack.us/img487/9786/1arootkitwin32almankavwqq1.jpg

Avendo dato l'assenso alla creazione/scrittura/caricamento della dll incriminata, il servizio di scansione on line di Kaspersky riesce agilmente a rivelarla:
di fatto, cmq, questa dll è solo un file "inutile" su HD visto che il malware non è riuscito nel suo fine...
http://img229.imageshack.us/img229/8651/2verdettorootkitwin32alzn1.jpg




EDIT: Sophos chiama questo virus come W32/Alman-D (http://www.sophos.com/security/analyses/w32almand.html) :p
http://img240.imageshack.us/img240/8965/snap1ky8.png

(presumo che il 2° driver nel mio caso NON venga creato/scritto/caricato [...] visto che il processo si interrompe con il blocco del 1°...)


3° sample, il + bast*...:D

"The Trojan uses the following rootkit techniques to hide itself in the system:

* Hooks "iofCallDriver" function in Windows Kernel
* Patches TCPIP.SYS and WANARP.SYS drivers to bypass local firewalls
* Uses "CmRegisterCallback" to register a function that will hide its registry subkey


When the Trojan is active, the driver file is deleted from:
%System%\drivers\asc3550[RANDOM LETTER].sys

And is temporarily copied to the following location:
%Windir%\smsys.dat"

Nel mio caso, non si vede nè la creazione del driver nè la sua installazione perchè è impedita A MONTE la sovrascrittura (patching) dei driver normali di sistema & caricati attualmente dal mio SO....

http://img219.imageshack.us/img219/2654/trojanproxywin32saturnfyu8.jpg

Oh, te li prova tutti, eh....


EDIT:
errata corrige:
in realtà, dopo diversi tentativi di patchare i sys come si vede dallo screen (sono tutti write files, infatti..), ci sono tentativi di install driver/service da parte di services.exe (probabilmente via SCM)...
Sorry



Avevo fatto anche il Rustock-B e il Peacom-C ma quest'ultimo, se non erro, ha una tecnologia per l'identificazione di una VM quindi funge a quel modo ( si vede infatti solo una serie di creazione di file .exe e .sys in varie posizioni sull'HD ma nient'altro...)

Rustock-B:
http://img140.imageshack.us/img140/4144/83356022lk6.png

Peacom-C:
http://img239.imageshack.us/img239/8499/29618886uh0.png

:eek: Un post divino, sublime :eek: :ave:

Passando a commentare i test che hai svolto, mi ha colpito particolarmente l'ultimo sample, quello che prova a patchare i file .sys di Windows...in particolare, mi pare sia stato fondamentale l'intervento del File Protection di PS contro quel malware. Probabilmente, se il test fosse stato svolto su un HIPS senza file protection, dopo aver autorizzato l'esecuzione, i driver di Windows sarebbero stati spu**anati per bene...tu che dici? :D


When the Trojan is active, the driver file is deleted from:
%System%\drivers\asc3550[RANDOM LETTER].sys

Se non vado errato, questo è lo stesso "trucchetto" utilizzato dalle ultime release di Rootkit Unhooker, che consente al tool di caricare il suo driver in kernel mode senza essere beccato dal PDM di Kaspersky...
Magari in seguito aggiungerò qualche altro commento. ;)

Regards

Cosa sarebbe l'SCM? :confused:

Regards

altri 4 screen di Rootkit-tini che rimbalzano...:D

Backdoor.Hupigon.DFN
http://img123.imageshack.us/img123/7071/backdoorhupigondfnhx8.jpg

DroppedTrojan.NtRootKit.S
http://img113.imageshack.us/img113/8351/droppedtrojanntrootkitsct1.jpg

Rootkit.Agent.GH
http://img113.imageshack.us/img113/8544/rootkitagentghnf5.jpg

Rootkit.Agent.GO
http://img442.imageshack.us/img442/2876/snap1ds3.png



SCM (http://msdn2.microsoft.com/en-us/library/ms685150.aspx) :read:



CMQ i miei post NON vogliono insegnare nulla essendo SOLO semplici esperimentini...
Diciamo che mi piace condividere...

@ Pistolino: bellisimo l'avatar..

SCM (http://msdn2.microsoft.com/en-us/library/ms685150.aspx) :read:

:stordita: Uhm...se avessi scritto per esteso "Service Control Manager" avrei capito subito...è stato l'acronimo a mettermi in difficoltà. :mc: :ciapet:

CMQ i miei post NON vogliono insegnare nulla essendo SOLO semplici esperimentini...
Diciamo che mi piace condividere...

E invece insegnano molte cose, oltre ad essere decisamente interessanti. ;)

@ Pistolino: bellisimo l'avatar..

:D E' simpatico eh? :Prrr:
Diciamo che quasi sicuramente entro il prossimo anno completerò la migrazione alla "dimensione parallela". Ormai sono 6 mesi che tengo Linux su un PC e devo dire che è anni luce avanti a Windows per molti aspetti. Oltre ad avere prestazioni che Windows si sogna. :ciapet:

Regards

Outpost è veramente un ottimo prodotto. Uno dei migliori (se non il migliore) firewall software in circolazione. Ma non bisogna confondere le funzionalità hips di base, offerte ed integrate in queste suite, con quelle di un VERO hips come ProSecurity, EQSecure o SSM Pro. Nel caso specifico Outpost Security Suite 2008 non supera nemmeno uno dei leak di AKLT 2.5
La cosa strana è che Outpost 4 o la Suite 2007 almeno superavano il test DirectX...

se ti riferisci AKLT al test anti-keylogger invece li passa tutti e quattro ho appena provato i test

se ti riferisci AKLT al test anti-keylogger invece li passa tutti e quattro ho appena provato i test

Sei sicuro? Puoi postare qualche immagine. Nel mio caso la suite 2008 non si accorge di nulla se non nel test DirectX. Gli altri test consentono la scrittura sul notepad e la relativa intercettazione senza che venga visualizzato alcun avviso.

Sei sicuro? Puoi postare qualche immagine. Nel mio caso la suite 2008 non si accorge di nulla se non nel test DirectX. Gli altri test consentono la scrittura sul notepad e la relativa intercettazione senza che venga visualizzato alcun avviso.

hai proprio ragione:eek:

Ho rifatto i test con outpost security suite ed ho verificato che non passa i test, precisamente ne passa solo uno il terzo quello delle directX, strano con outpost firewall 2008 mi sembra di averli passati tutti e 4, forse mi sto confondendo con comodo 3 beta!:rolleyes:

hai proprio ragione:eek:

Ho rifatto i test con outpost security suite ed ho verificato che non passa i test, precisamente ne passa solo uno il terzo quello delle directX, strano con outpost firewall 2008 mi sembra di averli passati tutti e 4, forse mi sto confondendo con comodo 3 beta!:rolleyes:


allora ho rifatto il test con comodo 3 beta e passa solo i primi 2 test:muro:
questo con le impostazioni di default, mi sà che dovrò provare a fare altre prove provando i vari settaggi:rolleyes:

Essendo ignorante in materia vorrei chiedervi: cosa ne pensate dell'HIPS di Online Armor Free? Ho trovato un test (http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm) che si riferisce al programma completo, ma non so quali moduli non sono presenti nella versione free e quindi non so bene come valutare il test. Come valuto i risultati?

le differenze sono rintracciabili nella home page: http://www.tallemu.com/comparisons.html

OA è particolarmente conosciuto e apprezzato all'estero ma, con il recente discorso dei LeakTest e, più che altro, con l'uscita della v.2 FREE, il suo "fulgore" [:D] è destinato inevitabilmente a crescere...

Ora, posto che i LeakTest in se per se contano (quasi) come il 2 di picche quando briscola è cuori [:p] per quanto faccia piacere a tutti che il proprio Firewall o la propria Suite sia capace di intercettare tutte le "tecniche" [:fiufiu:], il bello di OA è sicuramente da rintracciare in altri aspetti, quelli si realmente cruciali per la "sicurezza".

In particolare, anche in questo caso mi riferisco alla trasposizione nel loro software di tecnologie + o - strettamente derivate dal discorso "hips":
tamper protection (che, se non ho capito male, è una sorta di self-defence non limitata xò ai soli processi critici di OA...), Execution/Termination protection, Script/Worm protection and so on....:D

Il tutto, condito da una OTTIMA dose di semplicità/intuitività, almeno stando a quello che dicono visto che non l'ho mai provato....

Se ti riferivi ai test di nicM sugli SSDT Restorer, anche la v.FREE *dovrebbe* permettere lo stesso livello di controllo....

Ci sarebbe da vedere "ammodino" :p il discorso del monitoraggio limitato per la v.free dell'Autostart Protection e della mancanza in particolare del web shield (nonchè il discorso del firewall più limitato ma credo si riferisca sostanzialmente alla profondità di controllo...), cmq sia *PERSONALMENTE* non rilevo differenze sostanziali tra le 2 differenti versioni almeno a giudicare da quella che è la pagina "comparativa"....

Ottima scelta, insomma....:)

Grazie sei stato chiaro ed esaustivo.

Threatfire è un HIPS????
mi sembra buono visto che ha individuato alcuni leaktest non ritenuti pericolosi da antivir e da vari antispyware...
che ne pensate a proposito?????:)

Ciao a tutti, premetto che ho PROVATO a leggere il primo post ma non ci ho capito un granchè.
Essendo stato infettato da un paio di rootkit negli ultimi 6 mesi, con conseguente format c: obbligato in almeno un caso, ho cominciato a interessarmi della questione HIPS.
Sapete consigliarmi una guida per NIUBBI o sapete spiegarmi in poche parole il funzionamenot/utilità di questi programmi?
Esiste un programma freeware che possa costituire un valido supporto a un normale antivirus?
Non crocefiggetemi, vi prego :stordita: :stordita:

Threatfire:cool:

...almeno credo :asd:

Ciao a tutti, premetto che ho PROVATO a leggere il primo post ma non ci ho capito un granchè.
Essendo stato infettato da un paio di rootkit negli ultimi 6 mesi, con conseguente format c: obbligato in almeno un caso, ho cominciato a interessarmi della questione HIPS.
Sapete consigliarmi una guida per NIUBBI o sapete spiegarmi in poche parole il funzionamenot/utilità di questi programmi?
Esiste un programma freeware che possa costituire un valido supporto a un normale antivirus?
Non crocefiggetemi, vi prego :stordita: :stordita:

effettivamente il post iniziale non è nè il max della chiarezza nè troppo aggiornato....:fagiano:

Cmq, in buona sostanza, si dice quanto segue:
1) al 99% l'utente comune impiega nell'uso quotidiano del Pc l'account di default di windows
2) usando un account NON limitato e il classico antivirus, è molto probabile che il nostro Pc sia VULNERABILE a tutti quei virus NUOVISSIMI che, in quanto tali, non sono stati ANCORA ISOLATI dalle società antivirus.
3) l'antivirus, infatti, se non ha un'euristica ECCELLENTE, è CIECO (= vulnerabile..) rispetto a virus NON PRESENTI nel suo database...
4) la VULNERABILITA' di cui sopra, allora, può almeno in parte venir SANATA mediante l'IMPIEGO DI ALTRI STRUMENTI, gli HIPS (che, poi, per la cronaca, sono di differenti tipologie:
nel "mio" thread, infatti, si parla quasi esclusivamente di un tipo, i BEHAVIOUR BLOCKER...)
5) gli HIPS, OK:
ma come funzionano a grandi linee?

Tengono sotto controllo certi "comportamenti" (come ad es l'installazione o caricamento di driver/servizi ecc...) e, QUANDO SI ACCORGONO (in tempo reale) CHE UN FILE (di nome tal dei tali...) CERCA PROPRIO DI INSTALLARE IL SUO DRIVER, **AVVISA** lasciando all'utente la scelta se procedere l'azione o rifiutarla.....

Questo, a SUPER-grandi linee, è il FINE dell'HIPS:
AVVISARE!



Se si deve rimanere sul freeware del filone "behaviour blocker", da provare ci sono EQSecure, DSA (ha anche un suo firewall!!), SSM e Online Armor (anch'esso con un firewall integrato!!!):
richiedono cmq almeno un minimo di esperienza perchè a regime diano il meglio di sè....


Se invece si è TOTALMENTE digiuni di sicurezza ecc, o ACCOUNT LIMITATO o HIPS di tipo "SANDBOX":
il resto, è noia....


AH:
il tutto da affiancare al "vecio" antivirus...

effettivamente il post iniziale non è nè il max della chiarezza nè troppo aggiornato....:fagiano:

Cmq, in buona sostanza, si dice quanto segue:
1) al 99% l'utente comune impiega nell'uso quotidiano del Pc l'account di default di windows
2) usando un account NON limitato e il classico antivirus, è molto probabile che il nostro Pc sia VULNERABILE a tutti quei virus NUOVISSIMI che, in quanto tali, non sono stati ANCORA ISOLATI dalle società antivirus.
3) l'antivirus, infatti, se non ha un'euristica ECCELLENTE, è CIECO (= vulnerabile..) rispetto a virus NON PRESENTI nel suo database...
4) la VULNERABILITA' di cui sopra, allora, può almeno in parte venir SANATA mediante l'IMPIEGO DI ALTRI STRUMENTI, gli HIPS (che, poi, per la cronaca, sono di differenti tipologie:
nel "mio" thread, infatti, si parla quasi esclusivamente di un tipo, i BEHAVIOUR BLOCKER...)
5) gli HIPS, OK:
ma come funzionano a grandi linee?

Tengono sotto controllo certi "comportamenti" (come ad es l'installazione o caricamento di driver/servizi ecc...) e, QUANDO SI ACCORGONO (in tempo reale) CHE UN FILE (di nome tal dei tali...) CERCA PROPRIO DI INSTALLARE IL SUO DRIVER, **AVVISA** lasciando all'utente la scelta se procedere l'azione o rifiutarla.....

Questo, a SUPER-grandi linee, è il FINE dell'HIPS:
AVVISARE!



Se si deve rimanere sul freeware del filone "behaviour blocker", da provare ci sono EQSecure, DSA (ha anche un suo firewall!!), SSM e Online Armor (anch'esso con un firewall integrato!!!):
richiedono cmq almeno un minimo di esperienza perchè a regime diano il meglio di sè....


Se invece si è TOTALMENTE digiuni di sicurezza ecc, o ACCOUNT LIMITATO o HIPS di tipo "SANDBOX":
il resto, è noia....


AH:
il tutto da affiancare al "vecio" antivirus...

Wow, tutto super chiaro!
Che io sappia, Antivir ha un buon motore euristico, no?
Ora, non sono proprio un novellino, sono quasi 10 anni che spippolo i computer e so cosa evitare..
Però questa cosa dei rootkit mi ha fatto davvero inca77are..
Con Avast ho beccato due rootkit in 6 mesi e mi sono deciso a cambiare.
Prima ho tenuto AVS, poi mi sono dotato di un bel router cui ho accoppiato Antivir e due o tre programmi antispyware con cui ogni settimana filtro il pc..
Che dici, ho bisogno di un software Sandbox?

secondo me, ma sono anch'io "giovane" di conoscenza:

hai attualmente un OTTIMO antivirus (sia per la sua euristica, quasi eccelsa, sia per il suo database virale)....ma lo avevi anche prima (AVG, se pur meno buono...) e nonostante ciò ti sei preso 2 rootkit pur non essendo un pivellino.

ERGO, il problema è in quei siti EXPLOITATI che, senza alcuna iterazione dell'utente, SCARICANO roba SILENZIOSAMENTE....

Bene, contro questi o si ha (|)* che l'euristica intercetti l'anomalia, o si va di ACCOUNT LIMITATO o di HIPS ( o Sandbox che sia )...

Ripeto, OPINIONE PERSONALE e, come tale, OPINABILISSIMA.;)

Se vai di Sandbox, freeware molto buoni sono Sandboxie (v3.20)/GesWall (v2.7)......




PS:
a proposito degli antispyware, contano (quasi) come il 2 di picche quanto a PREVENZIONE...



*culo :D

Threatfire è un HIPS????
mi sembra buono visto che ha individuato alcuni leaktest non ritenuti pericolosi da antivir e da vari antispyware...
che ne pensate a proposito?????:)

nessuno lo sta provando???

ciao, ZioMiki.

Se uno usa Threatfire, però, non è che lo fa con lo spirito di dire "mi becca i leaktest" perchè:
a) i leaktest contano quasi come il 2 di picche quando briscola è cuori
b) è normale che antivir non li identifichi come pericolosi:
sono semplici test fini a se stessi per quanto simulino trasferimenti di informazioni a dx e a manca...
c) Threatfire è MOLTO di più:
è antirootkit, antitrojan ecc.
In sostanza, deve proteggere da cose serie e non da banfate (che poi anche quelle siano beccate è un altro paio di maniche)...

DICONO SIA MOLTO INTERESSANTE E ALL'ESTERO è particolarmente GETTONATO....

Se scorri il thread, credo ci sia anche un link alla sua corretta configurazione in modalità avanzata...

Io sto provando threatfire, qualcosa me l'ha trovata. Ma più che dirti che è molto semplice e poco invasivo non so quanto sia efficace.

un bel post di @Sirio@ relativo a Comodo 3 VS AKLT 2.5:
http://www.hwupgrade.it/forum/showpost.php?p=19651813&postcount=126


Qui, invece, è la volta di Online Armor 2 (Free?) VS AKLT, by leolas:
http://www.hwupgrade.it/forum/showpost.php?p=19712773&postcount=128

nV 25, hai già avuto modo di provare le release alpha di KIS v 8.0 in VM? :D
Da quanto ho letto sui forum Kaspersky, ci dovrebbe essere un modulo HIPS completamente rifatto, che include anche funzioni di File Protection. ;)

Oggi, DefenseWall HIPS su Giveaway of the Day.

Quale utilizzatore di sandboxie,l'offerta proposta da giveawawy(defensewallhips) mi ha portato subito a un confronto tra i due software visto le similari funzioni...il dubbio me lo sono chiarito leggendo le differenze nel primo post tra i 2 programmi:
1)in pratica in sandboxie decidi tu da zero quello che vuoi recintare,in defense gia alcune applicazioni partono automaticamente recitante perche inserite come possibili veicoli di malware.
2)il recovery file mi piace di piu come si svolge nella sandboxie perche fino a quando non lo decido io il file resta nel recinto,mentre con defense te lo ritrovi gia sul disco e devi metterlo nella untrusted ogni volta che scarichi qualcosa...
almeno questo è quello che ho capito...

Ho visto che è uscita la versione stabile di Comodo 3 e poiché questo firewall sembra sia dotato di HIPS, vi chiedo se è il caso di passare a questa versione e di abbandonare definitivamente System Safety Monitor free.

ciao a tutti, una domanda, come software hips meglio usare winpatrol e spywareterminator o winpatrol e safety monitor, o qualche altra combinazione, grazie

qui mi sono cimentato in un nuovo leaktest per hips, System shutdown Simulator, e ci ho preso anche un fragoroso 10 visto che inizialmente non c'avevo capito un'emerita mazza...:doh:

Perdonate la disinformazione...:doh:

Qui il thread e il test:
http://www.wilderssecurity.com/showthread.php?p=1122833#post1122833


Cosa si proporrebbe?
"when installing new software, the installation program often asks the user to restart their computer to complete the installation. When the user allows the computer to be restarted, the installation program could potentially compromise the user's computer completely undetected by security software as these have already shutdown."




@ f250gto:
sostituirei CPF 2.x e SSM Free con CPF3...

@ mike2587:
1° opzione: cestinare
2° opzione: solo SSM Free

Fossi in te, cmq, farei un giro di EQSecure o di Online Armor 2/CPF3 se, oltre al "pacchetto" hips, vuoi togliere anche il firewall e usare quelli integrati in OA2/CPF....

@ mike2587:
1° opzione: cestinare
2° opzione: solo SSM Free

Fossi in te, cmq, farei un giro di EQSecure o di Online Armor 2/CPF3 se, oltre al "pacchetto" hips, vuoi togliere anche il firewall e usare quelli integrati in OA2/CPF....

se usassi comodo 3, potrei fare a meno di winpatrol e ssm allora?

certamente...

se usassi comodo 3, potrei fare a meno di winpatrol e ssm allora?

Per esperienza personale, SSM devi assolutamente disistallarlo (è incompatibile), e per togliero del tutto devi fare una pulizia con RegCleaner (CCleaner e simili non mi sono stati sufficienti).
Io WinPatrol l'ho lasciato...
Sto però avendo molti problemi con il Defense+ (vedi discussione Comodo3); non so a cosa sono dovuti.
Fammi sapere se anche tu avrai questi problemi (spero per te di no)...

Per esperienza personale, SSM devi assolutamente disistallarlo (è incompatibile), e per togliero del tutto devi fare una pulizia con RegCleaner (CCleaner e simili non mi sono stati sufficienti).
Io WinPatrol l'ho lasciato...
Sto però avendo molti problemi con il Defense+ (vedi discussione Comodo3); non so a cosa sono dovuti.
Fammi sapere se anche tu avrai questi problemi (spero per te di no)...

non avevo ancora installato SSM, winpatrol penso che possa disattivarlo in base a ciò che mi hanno consigliato, comunque è da un giorno che uso comodo, ho aperto ed usato tutti i programmi che usavo abitualmente e non ho avuto nessun problema, non ho dovuto creare nessuna regola per emule e utorrent
può essere che ti vada in conflitto con qualche software, o con qualche residuo di software disinstallato

Ciao ragazzi...io uso Comodo 2.4 e EQSecure...con Comodo 3 potrei eliminare quest'ultimo oppure è consigliabile lasciarlo "in parallelo" col modulo Defense+ di CPF3?

Allora:

lo dico ora e poi, però, vorrei *NON* dovermi ripetere, anche perchè esistono n combinazioni diverse di software e di tutte non è che posso dare risposte personalizzate....



Altrimenti, apro un c/c postale e, per ogni "consulenza", chiedo la parcella....;)


Ritornando serio:

per ogni singolo PC, solitamente, si installa 1 SOLO HIPS comportamentale o, in alternativa, 1 HIPS comportamentale + un Sandbox


Se siete quindi in una posizione che vede già un HIPS presente sulla macchina host, o lo disinstallate, o E' MOLTO PROBABILE che alla lunga si generino PROBLEMI se ne tenete più di uno dello stesso tipo.


Questo, in particolare, vale SE PENSATE DI INSTALLARE Online Armor 2 o Comodo PF3 che hanno GIA' un loro modulo HIPS!

Ciao a tutti, mi sono letto tutte le quasi 70 pagine di questa interessante discussione. Vorrei chiedere un paio di cose, essendo poco competente a riguardo e anche perchè le ho lette con un occhio solo a causa del sonno :( ...
Sto cercando di aggiornare i programmi di protezione del mio vecchio PC e ho installato WinPatrol (già sto usando NOD32) e Spyware Terminator. Ho letto che una combinazione raccomandata è WinPatrol e SSM; ma non si pestano i piedi uno con l'altro? O forse nn ho capito bene? Mi sembra di aver letto che sono 2 software che servono allo stesso/i scopo/i... O no?
Poi vorrei provare la versione Premium di Avira Antivir che contiene un antispyware e disinstallare Spyware Terminator così da avere un programma in meno residente in memoria e soprattutto per quanto di buono si dice su questo AV.
Se mi dite che la coppia Avira Antivir Premium+SSM (e che così WinPatrol nn è + necessario - lo disinstallerei...) è sufficiente acquisto il primo. Se l'antispyware di Avira... non è sufficiente scaricherei la versione gratuita dell'AV e metterei SSM e un terzo software che abbia un real time contro spyware. Inoltre la voce del menù contestuale di Spyware Terminator non mi funge. Cioè se clicco di dx su un file da analizzare nn succede niente!?!

Che mi dite?

PS: l'Anti-Spyware lo vorrei con il Real Time!

Grazie in anticipo per chi avesse la bontà di rispondermi e complimenti per il 3D!!!

riguardo l'antispy con realtime non saprei:io ne uso 3 per scansioni on-demand (AVG,A2freee Superantispyware) ma mai in realtime...

per quello che riguarda winpatrol e/o SSM free....io punterei deciso su EQSecure ,che uso con soddisfazione ed e' il migliore insieme al commerciale ProSecurity....

WinPatrol e ssm sono in disuso...

Thx intanto.
Adddirittura in disuso? mmh... nn se n'è parlato molto tempo fa che sembravano i migliori, SSM e Winpatrol...
Qualcuno mi sa dire riguardo Spyware Terminator per quello che avevo chiesto?

Le cose passano....:fiufiu:

azz...
quindi suggerimenti per spyware con realtime e hips nonchè av oggigiorno che mi dite visto che sono rimasto indietro?
Ma scusate se insisto, è vero che i tempi cambiano, ma ssm, winpatrol e spyware terminator che tanto osannavate prima sono ancora dei buoni programmi vero? Solo che ora ce ne sono altri di migliori, è così? Perchè se è così allora è un bene: c'è sempre chi cerca di migliorare per combattere chi cerca di trapanarci il pc :D
Altrimenti è grave che da un giorno all'altro gli stessi diventino delle ciofeche!

Ciao

http://img212.imageshack.us/img212/8687/snap1gs8.jpg

ecc, ecc, ecc....

Inoltre, quando ho tirato giù la 1° volta il post, dovevo per forza di cose fornire qualche nome di software "raccomandato" per far uscire dalla mera teoria discorsi che altrimenti sarebbero rimasti campati per aria...per quanto, cmq, sia indicato chiaramente che di semplici ESEMPI si parlava, indicatore del fatto che anche già allora poteva benissimissimo esistere qualcosa di meglio....

Chi lo sà?

Certo è che le cose sono cambiate, e parecchio, anche...


PS: pardon ma sono esaurito:
*NON* garantisco più risposte su questo thread a meno che non mi vengano proprio dal cuore...

Se qualcuno anzi se la sentisse di RIAPRIRE un nuovo T.U. sugli HIPS, si faccia pure avanti....:sperem:

chiarissimo. riprenderò ad informarmi con più continuità. un'altra cosa: sto pensando di acquistare Avira Antivir versione Premium (che include un anti-spyware); visto che il mio PC non è così nuovo, prima o poi mi dovrò decidere di spendere qualche soldino :( , una soluzione integrata (Avira Antivir Premium appunto, che ha anti-spyware) potrebbe fare al caso mio. Ma a efficacia che ne dite? Volevo risparmiarmi un prog residente in memoria e mettere questo AV con EQSecure.
Avrei così con 2 software un AV con anti-spyware, e hips. Mi piacerebbe approfondire la mia scarsa conoscenza in materia e cominciare a vedere come fungono progs come EQSecure e simili...

Mi sto riappassionando^^

Intanto grazie :)

chiarissimo. riprenderò ad informarmi con più continuità. un'altra cosa: sto pensando di acquistare Avira Antivir versione Premium (che include un anti-spyware); visto che il mio PC non è così nuovo, prima o poi mi dovrò decidere di spendere qualche soldino :( , una soluzione integrata (Avira Antivir Premium appunto, che ha anti-spyware) potrebbe fare al caso mio. Ma a efficacia che ne dite? Volevo risparmiarmi un prog residente in memoria e mettere questo AV con EQSecure.
Avrei così con 2 software un AV con anti-spyware, e hips. Mi piacerebbe approfondire la mia scarsa conoscenza in materia e cominciare a vedere come fungono progs come EQSecure e simili...

Mi sto riappassionando^^

Intanto grazie :)

La soluzione da te preventivata è buona, ma puoi ottenerne una altrettanto valida senza spendere 1 euro usando Antivir Personal Classic e Comodo Firewall Pro 3.

oppure, se decidi di spendere.... Kaspersky Internet Security 7 e' la scelta numero 1... e hai gia' tutto tranne l'HIPS (o meglio il kis ha la Proactive Defense che e' gia' un hips rudimentale...cosi' alla fine hai 2 hips...che convivono senza problemi)


non mi preoccuperei degli antispyware...sono quasi tutti gratis e ne puoi installare 2-3-4 senza real-time e scansionare ogni tanto..

oppure, se decidi di spendere.... Kaspersky Internet Security 7 e' la scelta numero 1... e hai gia' tutto tranne l'HIPS (o meglio il kis ha la Proactive Defense che e' gia' un hips rudimentale...cosi' alla fine hai 2 hips...che convivono senza problemi)


non mi preoccuperei degli antispyware...sono quasi tutti gratis e ne puoi installare 2-3-4 senza real-time e scansionare ogni tanto..

Quoto in pieno! L'ho provato per 30 giorni e l'ho trovato ottimo!

eh, ma con 1giga di ram e la macchina vecchiotta mi piacerebbe qualcosa di + leggero. kaspersky non è famoso per essere il + leggero.

http://img100.imageshack.us/img100/5353/tmeh3.th.jpg (http://img100.imageshack.us/my.php?image=tmeh3.jpg)

Devo dire che Avira Antivir mi fa gola però, nessuno ha la premium? vorrei sapere a risorse quanto si prende...

eh, ma con 1giga di ram e la macchina vecchiotta mi piacerebbe qualcosa di + leggero. kaspersky non è famoso per essere il + leggero.

http://img100.imageshack.us/img100/5353/tmeh3.th.jpg (http://img100.imageshack.us/my.php?image=tmeh3.jpg)

Devo dire che Avira Antivir mi fa gola però, nessuno ha la premium? vorrei sapere a risorse quanto si prende...

...io su una macchina con 256 MB di RAM (ognuno hai suoi problemi :muro: ) mi sono trovato bene con Prevx... è leggero e non disturba anche con poca memoria... poi ho visto che c'è anche il sito italiano :rolleyes:

...io su una macchina con 256 MB di RAM (ognuno hai suoi problemi :muro: ) mi sono trovato bene con Prevx... è leggero e non disturba anche con poca memoria... poi ho visto che c'è anche il sito italiano :rolleyes:

strano, a me ciucciava ben 100 mb di ram...e non solo a me...:mbe:

strano, a me ciucciava ben 100 mb di ram...e non solo a me...:mbe:

... versione XP tra i 15 e i 18 MB... 100 neanche sotto infezione!

... versione XP tra i 15 e i 18 MB... 100 neanche sotto infezione!

ma hai provato a vedere quanto varia la memoria allocata prima e dopo la disattivazione di prevx?

della serie: continuando a giocare con i rootkit, ho altre piccole immagini da postare....:)

wincom32.sys
http://img212.imageshack.us/img212/3054/wincom32xy7.jpg

pe386.sys (famiglia Rustock)
http://img260.imageshack.us/img260/6375/13gz1.jpg

2 cloni di ajdnjhfo10 che ho postato qui' tempo fà (http://img501.imageshack.us/my.php?image=rootkitajd162conga1rustug4.jpg)
http://img235.imageshack.us/img235/1402/10pj2.th.jpg (http://img235.imageshack.us/my.php?image=10pj2.jpg)http://img212.imageshack.us/img212/6205/11fv3.th.jpg (http://img212.imageshack.us/my.php?image=11fv3.jpg)

Questi 2 di cui non ricordo la loro classificazione:
http://img406.imageshack.us/img406/8645/35797155ze5.jpg

http://img406.imageshack.us/img406/2902/10384123eg3.jpg

XP Killer (*NO* Rootkit):
http://img228.imageshack.us/img228/8228/90261026ar0.th.jpg (http://img228.imageshack.us/my.php?image=90261026ar0.jpg)
A proposito di quest'ultimo, è essenziale dire che la VM è stata perfettamente in grado di riavviarsi al successivo reboot vanificando allora il fine di questo malware, per l'appunto quello di compromettere l'avvio del sistema....

Ragazzi ho un problemino: avevo trovato una coppia di ottimi programmi che mi piacevano molto. EQSecure e Counterspy. Bene, usati fino a un paio di giorni fa quando, dopo avere acquistato un ipod touch non mi parte più itunes.
Itunes funzionava bene prima di installare questi 2 software, poi, siccome mi stanno sulle scatole sia itunes che quicktime (che devi avere per usare itunes, che a sua volta devi avere per caricarti gli mp3 nell'ipod... :mad: ) ho trovato un programmino che faceva al caso mio e ho disinstallato entrambi.
Ora questo programma (yamipod) con il nuovo ipod touch non funge e sono stato costretto a tornare ad itunes+quicktime.
Bene, scusate la lunghezza del post ma era necessario per farvi capire la trafila... Ora, itunes, quando ci clicco per avviarlo esce la clessidra e poi sparisce. I servizi ci sono, il task manager li mostra: iPodService.exe, AppleMobileDeviceService.exe, iTunes.exe, iTunesHelper.exe... GRRRRR!!! Capito perchè li odio? :mad:
Cmq sono lì ma iTunes non parte! Vi prego aiutatemi, mi ritrovo l'ipod touch nuovo e non posso usarlo :cry:
Quando ho disinstallato ho pulito ogni volta con CCCleaner e JV16PowerTools, riavviato quando lo diceva ripulito anche a mano la spazzatura dal registro che ero arcisicuro non doveva esserci... Ora non c'è (credo) + traccia nè di EQSecure nè di Counterspy. Ma itunes non parte :(
Ho letto di tutto in internet e provato di tutto. Ho provato a collegare il cavo dell'ipod touch su un'altra porta USB: niente; collegarlo prima, dopo dell'avvio di itunes... Eppure con un portatile di un collega dal lavoro funge tutto. A me prima fungeva, e dopo EQSecure e Counterspy non più.
UFF! 299 eurozzi e non riesco a usarlo.
Sono disposto a pagarvi l'assistenza!^^ Non in natura però:ciapet:
No seriamente, sono davvero demoralizzato.

:help: :help: :help:

....
XP Killer (*NO* Rootkit):
http://img228.imageshack.us/img228/8228/90261026ar0.th.jpg (http://img228.imageshack.us/my.php?image=90261026ar0.jpg)
A proposito di quest'ultimo, è essenziale dire che la VM è stata perfettamente in grado di riavviarsi al successivo reboot vanificando allora il fine di questo malware, per l'appunto quello di compromettere l'avvio del sistema....

I risultati di cui sopra sono perfettamente in linea con quanto trovato sul blog di GesWall,
http://img249.imageshack.us/img249/6906/snap1gt3.jpg

:)

---------------------------

EDIT:
continuando la disgressione con me stesso visto che mi scrivo e poi mi rileggo da solo [:yeah:], devo dire che a volte mi stupisco di me stesso...:D

Bè, la storiella è questa:
3 giorni fà, durante una simpatica sessione di test in VM, avevo eseguito 2 rootkit di cui non ricordavo la "famiglia" di appartenenza (post 1386):
finalmente, dopo una minuscola ricerca, sono risalito al ceppo, Haxdoor :Prrr:

Qui [Link! (http://www.greatis.com/appdata/d/p/p79bsksb.sys_Removal.htm)] c'è proprio il mio p79bsksb.sys e il pasksa.dll (Link 2 (http://research.sunbelt-software.com/threatdisplay.aspx?name=Haxdoor.Fam&threatid=44159)):
http://img511.imageshack.us/img511/7194/19136593ni9.th.jpg (http://img511.imageshack.us/my.php?image=19136593ni9.jpg)

mentre quà [Link! (http://ca.com/pl/securityadvisor/pest/pest.aspx?id=453076778)] ci sono spiattellati tutti i file registrati nel mio log per il 2°
cfgh.ini/pdx.dll/pdx32.sys....
http://img216.imageshack.us/img216/3629/75964632xu9.th.jpg (http://img216.imageshack.us/my.php?image=75964632xu9.jpg)

Effettivamente, ma me lo ero scordato :stordita:, mi ero "costruito da solo" il dropper ecc ecc con un piccolo tool trovato on line....:fiufiu:

Very very impressive! :D

Ciao a tutti...forse faccio la figura dell'ignorante, ma tanto la faccia rossa non si vede e quindi:
Sapreste indicarmi un buon HIPS (magari free) in lingua italiana che possa essere affiancato al mio KAV6???
:help: :help: :help:

@ Skull.69:

se lo cerchi in ITA & BUONO, credo tu perda le speranze....

Puoi installare GesWall o Sandboxie, si in inglese ma "silenziosi" per cui non noti neppure l'intralcio della lingua diversa....(sempre su Hw ci sono guide, almeno di Sandboxie...)


@ cocotimbo:
non ti so aiutare ma non vedo cosa possa incastrarci EQS o chi per lui con il tuo problema, specie poi se li hai disinstallati....

@ cocotimbo:
non ti so aiutare ma non vedo cosa possa incastrarci EQS o chi per lui con il tuo problema, specie poi se li hai disinstallati....

doamnda stupida; ma se i software sono disabilitati funziona?

[QUOTE=nV 25;20062550]@ Skull.69:

se lo cerchi in ITA & BUONO, credo tu perda le speranze....

Puoi installare GesWall o Sandboxie, si in inglese ma "silenziosi" per cui non noti neppure l'intralcio della lingua diversa....(sempre su Hw ci sono guide, almeno di Sandboxie...)

Grazie nV per i consigli...sono andato a vederli entrambi e quello a prima vista un pò più alla mano (sempre perchè in inglese) sembrerebbe SandBoxie...
Però prima di scaricarlo volevo chiederti un'altra cosa...
Io gioco in rete con vari giochi che ti aggiornano la tua esperienza nello stesso, durante l'esecuzione del gioco stesso...con il Sand attivato cosa succederebbe???
Grazie

Se lo vuoi in ITA e BUONO direi che puoi usare System Safety Monitor

Se lo vuoi in ITA e BUONO direi che puoi usare System Safety Monitor

Sai se va in conflitto con kav6???
E per quanto riguarda la domanda up??? Avete qualche consiglio???

Sai se va in conflitto con kav6???
E per quanto riguarda la domanda up??? Avete qualche consiglio???

Escludo al 99.99% (quasi periodico) un conflitto con con il kav.

Sarò petulante...ma se io ho già impostato il kav6 come consigliato da Trojan in un'altra discussione, voi consigliate di mettere lo stesso SSM???
Questo perchè il KAV6 dovrebbe essere stato uno dei primi ad avere HIPS come componente nella sua protezione...
Grazie

Sarò petulante...ma se io ho già impostato il kav6 come consigliato da Trojan in un'altra discussione, voi consigliate di mettere lo stesso SSM???
Questo perchè il KAV6 dovrebbe essere stato uno dei primi ad avere HIPS come componente nella sua protezione...
Grazie

te mettilo; poi ti ricordo che kav è al 7 ormai

Ragazzi non so se è inerente a questo topic...
Oggi mi è successa una cosa strana...stavo scaricando SSM dal sito Eazel...puf, come per magia mi sono spuntati vari collegamenti ad altrettante pagine web dedicate allo scaricamento di giochi, film e quant'altro...
cosa è stato???

Sono avvilito per colpa di Comodo V3!
Aggiornamenti di windows bloccati, pc lentissimo a spegnersi ed una mancata accensione al termine di un'installazione mi hanno fatto ritornare alla precedente configurazione: Comodo V2 e SSM free.
Vorrei qualcosa di più aggiornato ma che non mi porti al suicidio possibilmente. cosa mi consigliate?

c'è tutto un GRANDE EQUIVOCO DI FONDO che ho contribuito in parte anch'io a generare, e cioè:

se un hips (QUALSIASI) è utilizzato principalmente come *CONTROLLORE* di ciò che viene eseguito (quale che sia l'estensione), allora si ha la quasi CERTEZZA MATEMATICA che il sistema risulti *bulletproof*!


*TUTTI* i malwares in circolazione, infatti, a prescindere dalla loro natura, *per partire* hanno bisogno di essere *ESEGUITI*.

Ecco allora l'utilità dell'<EXECUTION CONTROL>....



In questo senso, pertanto, *NON* esisterebbe alcun bisogno nè di aggiornare l'hips nè di cambiarlo shiftando da una casa ad un'altra....


Gli update di un HIPS, infatti, *NON* sono *mai attinenti* alla sfera dell'execution control MA agli altri LAYER di cui si compongono o al fatto che vengono implementate nuove funzionalità...:read:

MA ANCHE QUI, prima di tutto c'è sempre un pop-up di ESECUZIONE:
se a questo si da il proprio OK a PROSEGUIRE, ecco che possono intervenire gli altri LIVELLI dell'hips come ulteriore difesa del nostro sistema...
Ma ecco anche che proprio da qui *possono* nascere seri problemi se l'hips non è aggiornato:
la storiella degli SSDT hook, infatti, insegna (IMO)....



Per intendersi, all'estero continua ancora ad andare ALLA GRANDE Process Guard FREE pur essendo STRA_CASTRATO rispetto a molte altre soluzioni (SSM, EQS, ecc...) proprio perchè efficace al 100% come vigilante sulle nuove esecuzioni.....

ES:


CASO 1)
navigo in rete e vado su un sito exploitato che scarica automaticamente un virus (A) (se non erro, questo discorso si chiama drive-by download: è sufficiente cioè la sola navigazione per infettarsi...)

Con l'HIPS, avrò un pop-up quando l'eseguibile A cercherà di avviarsi:
lo blocco (l'exe o quel che è, infatti, NON è nel nostro rule-set) e festa finita!

CASO 2)
come sopra, ma il malware A è addirittura di tipo trojan.dropper e va anche a scaricarsi il virus B.

Bene, con l'HIPS, se blocco A, *NON* scaricherò *MAI* neppure B!


.....

CASO n)
per l'appunto, il malware iniziale, A, è il *SUPER MEGA INNOVATIVO ROOTKIT* concepito dalla mente più diabolica della rete e riesce ad eludere *tutti* i LAYER dell'HIPS preposti al controllo dell'installazione driver, della scrittura della memoria fisica/dei processi e bla bla bla...

Peccato xò che il nostro virus A, per iniziare la sua azione malsana, *DEBBA ESSERE ESEGUITO*!!!!


Chiaro?






MESSAGGIO dell'autore(mi sembra di essere a scuola quando la professoressa di italiano ce lo chiedeva a proposito dei libri e/o delle poesie...):


Se usate l'hips come al post precedente, sbattetevene di tutto e installate un qualsiasi hips: PROCESS GUARD FREE è *forse* il più rodato per stabilità e banalità d'uso....


Se invece *NON* volete fermarvi al discorso sopra, bè, la faccenda è più delicata dipendendo da un mucchio di fattori, OGGETTIVI (=il software X è obiettivamente meglio di Y, e qui si può discutere..) e SOGGETTIVI (lo trovo semplice? ha un'interfaccia che A ME fa cacare?...)

Per concludere, una cosa:



se ci prestate caso, tutte le cose che dico credo siano di BUON SENSO:
nulla di tecnico ne altro....
Con un pò di buon senso, infatti, si evitano TANTE spiacevoli conseguenze, buon senso che passa ANCHE E PRINCIPALMENTE da un banale pop-up di execution control....





(PERMETTETEMI POI UNO SFOGO RIVOLTO ALLA *MASSA* più che a noi che ormai dovremmo aver capito qualcosa):

ESEGUITE QUALSIASI COSA VI CAPITI A TIRO, COME DEGLI EBETI?
IL PROBLEMA SIETE VOI!!, NON L'HIPS! E NON AVETE CAPITO UNA MAZZA DI COME FUNZIONA IL WEB E DI COSA VI SI CELA DIETRO!


MA DOVE AVETE LA TESTA??
Quest'atteggiamento, infatti, lo ammetto per mio padre, cresciuto lontano dalla tecnologia, MA NON PER NOI!

CHI è CAUSA DEL SUO MAL, PIANGA SE STESSO!
PUNTO!
Compratevi l'XBOX e NON VENITE A ROMPERE LE °° A NOI....

- finalmente hai capito, piano, piano capirai che con un buon firewall non te ocorre ne HIPS ne HOPS! ;)

- the big thing is to not think too big, dear nV 25

@ gavel:

avatar SPETTACOLARE! :D (mi ricorda il mio passato :fiufiu: )

Se puoi motivare un pelino meglio il tuo discorso sopra sarebbe meglio perchè, altrimenti, se interpreto alla lettera quello che hai scritto mi trovi d'accordo.....pochino...:D

.

Si, perchè il buon firewall ha già l'HIPS integrato :muro:

l'HOPS non so cosa sia :sofico:

Se ti riferisci a Comodo V3 allora sei ben lontano dall'avere un buon firewall con un buon hips.
Nel mio pc ha fatto disastri e sono tornato alla versione 2.4 affiancato da SSM free che nonostante la vecchiaia fa ancora il suo sporco lavoro.

@ nV 25

- che cosa ti devo spiegare? :fiufiu:

HIPS/HOPS li trovo da sempre inutili per un utente di media sapienza come funziona il suo OS-Win o HIPS/HOPS stesso. Pochi sono anche interessati a capire. Il problema è complesso abbastanza, è facilmente che con tantti HOPS dal HIPS indirizza su tutto per perdere la motivazione prima di arrivare davvero ovunque, è finisce con accettare tutto.

Buon Natale!

Notizia non proprio recente, ma che mi sembra non sia stata ancora postata. :D

Nuova versione di ProSecurity:

December 16, 2007 v1.40 Final
-------------------------
1. [NEW] Importing/Exporting rule creation time supported.
2. [NEW] A column "Rule Creation Time" is added in the application rule list.
3. [NEW] A "Gather" function is added for file/registry protection group.
4. [NEW] The enable/disable function is added for the file/registry group/rule.
5. [NEW] A new "show application icon" option is added for the application rule list.
6. [IMPROVED] The ability of detection the ICMP packets is improved.
7. [IMPROVED] Ask user whether import a group if it has a same name as one of the existing groups.
8. [IMPROVED] Speeded up the application rule lists.
9. [IMPROVED] The self protection function is improved for the uninstall files.
10.[FIXED] Fix a bug of alarm.exe which may cause dead-lock.
11.[FIXED] Fix a bug which cause the learning mode didn't learn Loading Application function works well in the "more security" mode.
12.[FIXED] Fix a bug which cause the OLE function losts its function in some cases.
13.[FIXED] Fix more than 10 bugs of the GUI.

Regards

http://membres.lycos.fr/nicmtests/Unhookers/unhookers_results.htm

http://membres.lycos.fr/nicmtests/Unhookers/unhookers_results.htm

Link molto interessante! ;)
Tuttavia non riesco a trovare la data di esecuzione di quel test. :confused: Tra l'altro le versioni dei prodotti utilizzati non sono le più recenti: per esempio, sembra sia stata testata ancora la vecchia versione 1.30 e sia stata anche tralasciata la 3.41 di EQSecure, prodotto che ha fatto enormi passi in avanti sul fonte degli unhooking tests rispetto alla versione 3.30 presa in considerazione nella comparativa. :mbe:

Regards

C.V.D: ( :sofico: )

Il test postato da leolas risale almeno a inizio 2007. Dopo aver scartabellato un po', mi pare di capire che il test più recente sia questo: http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm , aggiornato poi a questo: http://membres.lycos.fr/nicmtests/Unhookers/update.htm .

La cosa strana, però, è che cliccando su "Results" nella pagina della seconda comparativa, si venga rimandati ai risultati postati da leolas, che però sono vecchissimi. :confused:

Ok ho lanciato il sasso e adesso mi ritiro bellamente la manina...lascio ad altri il compito di capirci qualcosa. :fagiano: :ciapet:

Regards

Link molto interessante! ;)
Tuttavia non riesco a trovare la data di esecuzione di quel test. :confused: Tra l'altro le versioni dei prodotti utlizzati non sono le più recenti: per esempio, sembra sia stata testata ancora la vecchia versione 1.30 e sia stata anche tralasciata la 3.41 di EQSecure, prodotto che ha fatto enormi passi in avanti sul ffronte degli unhooking tests rispetto alla versione 3.30 presa in considerazione nella comparativa. :mbe:

Regards

ciao,
come va da te la coesistenza eqs-kis7? te lo chiedo perche' anch'io uso l'accoppiata..

sul mio pc se navigo a lungo (2-3 ore di seguito) devo riavviare il sistema..ma navigo con l'UMTS,sono 1 caso a parte..

per il resto non ho problemi...

i problemi ce li ho con true image 11,ma quello e' un altro thread...:D

ciao,
come va da te la coesistenza eqs-kis7? te lo chiedo perche' anch'io uso l'accoppiata..



Coesistenza? Direi che ormai si sono sposati. :ciapet: ;)

Regards

C.V.D: ( :sofico: )

Il test postato da leolas risale almeno a inizio 2007. Dopo aver scartabellato un po', mi pare di capire che il test più recente sia questo: http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm , aggiornato poi a questo: http://membres.lycos.fr/nicmtests/Unhookers/update.htm .

La cosa strana, però, è che cliccando su "Results" nella pagina della seconda comparativa, si venga rimandati ai risultati postati da leolas, che però sono vecchissimi. :confused:

Ok ho lanciato il sasso e adesso mi ritiro bellamente la manina...lascio ad altri il compito di capirci qualcosa. :fagiano: :ciapet:

Regards

aha :)

mi sembrava un pò vecchia, in effetti, ma non avevo visto l'update

Ciao, Pistolino!

STRA-felice di rileggerti!


Per quanto riguarda ProSecurity, cmq, per onestà intellettuale cosi' come ho detto anche in un'altra piazza, vi invito a leggere questo dalla 5° pagina in poi:
http://www.pianetapc.it/forum/viewtopic.php?f=16&t=5668&start=60


Per usare un eufemismo, è inutile dire che ci sono rimasto di sasso...
PS:
nel link trovate anche i link a wilders....

A titolo confidenziale, poi, riporto anche il PVT che ho ricevuto ieri mattina dallo sviluppatore:
I have tested the rootkit Nick s sent to me.
PS can detect it writing files and installing drivers very well(Windows 2000 SP4 and XP SP2).
Maybe because I have improved the driver(v1.40+)....






BUON ANNO A TUTTI!

'Azzo nv 25...ho letto rapidamente la discussione sul forum di pianetapc e ho notato che, pur ammettendo che si tratta di un buon prodotto, hai di fatto demolito ProSecurity. :eek: :sofico: :D

Personalmente, continuo a utilizzare la coppia KIS 7 + EQS su XP SP2. Si tratta di una configurazione rodata che ho installato da circa 4 mesi ormai. :D
Devo anche dire che ho testato Vista in VM diversi mesi fa e non ho MAI visto un "sistema operativo" (le virgolette sono d'obbligo, allo stato attuale :rolleyes: ) così "ben fatto"...
Prescindendo dalle ESOSE risorse richieste (quando capiranno che un SO deve solo offrire appoggio ai programmi che scelgo di utilizzare e non impegnare, da solo, l'intero PC? :rolleyes: ), la disattivazione del kernel-mode hooking da parte dei prodotti per la sicurezza rende impossibile creare dei software HIPS come esistono su XP. :mc:
Comodo 3, con il suo Defense+, è già un passo avanti...peccato, però, che si basi su hooks in ring3, ossia in user mode. :doh:

Solo io non mi sono proprio trovato bene con Vista? :mbe:

Regards

ciao a tutti e buon anno innanzitutto
Sto aspettando che arrivi il nuovo pc su cui ho fatto mettere xp!(reduce da vista sul portatile che mi sta mandando in bestia)
Volevo sapere che software hips mi consigliate tenendo conto che il pc sarà abbastanza veloce e potente! Io mi ero orientato su
Avira free (l'antivirus lo pagherei pure ma sono indecisissimo tra NOD32 e KIS7 perchè da av-comparatives non è chiaro quale sia il migliore voi che ne dite? (scusate il mini off-topic)) + Online Armor 2 + A-squared free + spybot S&D. vorrei essere strasicuro perchè uso l'home banking tutti i giorni quindi per me è prioritario un computer blindato. Il problema è che sono un quasi perfetto ignorante in tema di sicurezza e quindi volevo gentilmente chiedervi un parere/suggerimento. In particolare dato che questa sezione riguarda l'hips volevo sapere se OA 2 + eventuale Nod32 o KIS7 va già bene o se sarebbe meglio aggiungere qualcosa e se si cosa! Vi ringrazio molto aspetto una vostra risposta ciao a tutti

ciao a tutti e buon anno innanzitutto
Sto aspettando che arrivi il nuovo pc su cui ho fatto mettere xp!(reduce da vista sul portatile che mi sta mandando in bestia)
Volevo sapere che software hips mi consigliate tenendo conto che il pc sarà abbastanza veloce e potente! Io mi ero orientato su
Avira free (l'antivirus lo pagherei pure ma sono indecisissimo tra NOD32 e KIS7 perchè da av-comparatives non è chiaro quale sia il migliore voi che ne dite? (scusate il mini off-topic)) + Online Armor 2 + A-squared free + spybot S&D. vorrei essere strasicuro perchè uso l'home banking tutti i giorni quindi per me è prioritario un computer blindato. Il problema è che sono un quasi perfetto ignorante in tema di sicurezza e quindi volevo gentilmente chiedervi un parere/suggerimento. In particolare dato che questa sezione riguarda l'hips volevo sapere se OA 2 + eventuale Nod32 o KIS7 va già bene o se sarebbe meglio aggiungere qualcosa e se si cosa! Vi ringrazio molto aspetto una vostra risposta ciao a tutti

ti consiglio pochi software semplici e gratuiti:

firefox con noscript+ad block + adblock plus + doc web

Windows Worms Doors Cleaner

antivirus-->Avira free

firewall (con funzioni anche hips-rootkit)-->Online Armor 2 o comodo 3

spyware-->per le scansioni saltuarie A-squared free+superantispyware+avg
antispyware

spybot S&D o spywareterminator come real time

hjjackthis per qualche analisi di log...

ti consiglio pochi software semplici e gratuiti:

firefox con noscript+ad block + adblock plus + doc web

Windows Worms Doors Cleaner

antivirus-->Avira free

firewall (con funzioni anche hips-rootkit)-->Online Armor 2 o comodo 3

spyware-->per le scansioni saltuarie A-squared free+superantispyware+avg
antispyware

spybot S&D o spywareterminator come real time

hjjackthis per qualche analisi di log...


grazie mille. userò la configurazione che mi hai consigliato!

.

grazie mille. userò la configurazione che mi hai consigliato!

prego

qualcuno mi sa dire che fine ha fatto il sito di defensewall? :mad:
www.softsphere
mi sa che dopo l'ultimo aggiornamento hanno avuto dei problemi...

Usa anche dei DNS alternativi come OpenDNS.


Qualcuno di voi si è registrato su opendns???

Se si, come va? E' realmente gratutio?

Thanks!

E' stata rilasciata la beta 2.4.0.620 (http://dl1.syssafety.com/download/SSM-2.4.0.620-beta.exe?pid=104) di System Safety Monitor.

Note di versione:

- Added WinXP SP3 RC support;
- Added SSM protection against "fake logoff/shutdown" attacks (system shutdown simulator leak test).

Known issue:

- fast User Switching is not supported on Windows Vista.

Salve, muovo i primi passi nel mondo degli hips e mi allontano per la prima volta (causa vista) dalla mia vecchia configurazione per la sicurezza: da avast+sygate+spybot sto passando a antivir+comodo3+spybot (con teatimer attivo)!

Volevo sapere se ci sono problemi a far convivere l'hips di comodo3 e il teatimer o se devo disattivare uno dei due e se sì, quale!
Inoltre, in vosa comodo3 è peggio del 2.x? Con vista sono costretto a usare la versione 3... anzi, l'ho aspettata con ansia utilizzando nel frattempo zonealarm (con cui mi son trovato malissimo rispetto al mio vecchio - purtroppo - e caro sygate)!

Spybot non serve praticamente a una emerita mazza se non a consumare risorse visto che hai il modulo in tempo reale attivo....


CP3 è di gran lunga meglio della 2 *SE* hai attivo il Defense+ *E SE* impari la sua logica di funzionamento, altrimenti si rischia di far + danni della grandine, specie se si è utenti punta e clicca....





PS:
Complimenti per lo straordinario campionato del PISA, anche se mi duole un pò ammetterlo...:fagiano:

Spybot non serve praticamente a una emerita mazza se non a consumare risorse visto che hai il modulo in tempo reale attivo....

Ma disattivandolo solo come antispyware va bene, no?


CP3 è di gran lunga meglio della 2 *SE* hai attivo il Defense+ *E SE* impari la sua logica di funzionamento, altrimenti si rischia di far + danni della grandine, specie se si è utenti punta e clicca....


Questo sto imparando a usarlo... mi piace la logica del Defense+ e non mi sembra poi così inarrivabile! Carino poi il fatto di poter passare all'installation mode quando si installa qualcosa...
Devo imparare però a destreggiarmi con l'elenco dei file in attesa di visione da parte dell'utente, fra purge, submit, delete...

PS:
Complimenti per lo straordinario campionato del PISA, anche se mi duole un pò ammetterlo...:fagiano:

Simpatizzo molto per il Pisa (anche se la mia città natale è Firenze), quindi grazie per i complimenti... Ci sarà da divertirsi se passa in A, chissà che casino il derby col Livorno! Ma per il resto... tifo Juve! :fagiano:

avevo provato eqsecure su vista ma mi dava una schermata blu...
in questo momento uso l hips di comodo ma vorrei provare anche altri software sempre di questo tipo...quale considerate il più valido tra quelli free? (sperando che vista non si metti di mezzo :rolleyes: )

Ma per il resto... tifo Juve! :fagiano:[/size]

Quotone!!! :D :D :D

YAHUUUUUU!! :D

Ho un bel lotto di Rootkit di diverse famiglie:
se ho tempo, stasera posto 2 screenshot...:fiufiu:


EDIT:
c'ho riflettuto un pò su e ho deciso di lasciare perdere perchè:
1) non devo dimostrare nulla a nessuno e cmq la voglia è quella che è...
2) non interessa a nessuno...

Fine della storia







************************************
Per me, cmq, questo thread può essere considerato morto visto che NON HO PIU' assolutamente voglia di supportarlo:
invito pertanto altri a portare avanti quest'idea, se interessa, con l'apertura di un NUOVO thread ufficiale...
************************************
http://img518.imageshack.us/img518/4453/82786409ge5.jpg

Premesso che leggo solo ora il messaggio aggiornato, dal momento che, non essendo stato inserito alcun nuovo post, il forum continuava a segnalarmi la discussione come "letta", mi permetto di rispondere a un paio di cosette:

(...)
2) non interessa a nessuno...

Non è vero, o almeno non se riferito al sottoscritto. ;)


Per me, cmq, questo thread può essere considerato morto visto che NON HO PIU' assolutamente voglia di supportarlo(...)


A questo e all'immagine rispondo con un invito*:
Let's start again. ;)

Regards

* Ovviamente, il mio messaggio è un semplice commento, e deve essere preso come tale. Nessuna pretesa, quindi. Solo un po' (tanto) di dispiacere. :)

[...]

Non è vero, o almeno non se riferito al sottoscritto. ;)

[...]


Anche a me è stato molto utile (anche se non credo di aver mai postato, qui) :)

grazie di tutto, in ogni caso

Spero che il buon nV 25 ci stia almeno leggendo. :sperem: :)

Regards

questo thread è un po meno di "massa" rispetto agli altri per via della materia trattata...quindi già questo allontana i meno volenterosi o gli utenti meno esperti...il livello della discussione era comunque molto alto...dobbiamo poi considerare che un normale utente che cerca di seguire questo thread potrebbe essere "spaventato" dalle 72 pagine di discussione...forse potrebbe essere utile aprire un nuovo thread sull argomento anche perché veramente ben fatto :)

ci sono e ringrazio tutti, ma, come ho detto, per quanto mi riguarda l'esperienza può essere considerata *conclusa*...

Spero solo che il testimone possa essere raccolto da altri, altrimenti pace....

In definitiva, infatti, sono un utente assolutamente normale come ce ne sono tanti altri qui in sezione, per cui non vedo nessun tipo di ostacolo a che qualcuno ricominci dal punto in cui io ho interrotto...

Poichè l'amore (e la fiducia) che nutro verso queste soluzioni non si è cmq esaurita, garantisco il mio contributino anche nell'eventuale nuovo "progetto"... :)

Ho trovato dei test relativi a rootkit e proof of concept. Ecco il link:

http://www.anti-malware-test.com/?q=taxonomy/term/7

A breve qualche commento.

Regards

Dunque...il dominatore incontrastato nella classifica finale del test in questione è Rootkit Unhooker, piccolo programmino on demand che considero però un gioiellino di programmazione, purtroppo acquisito da Microsoft. :fagiano: :stordita: Segue a breve distanza l'analogo GMER.
Kaspersky, il primo dei "veri" antivirus in real-time, ottiene il terzo posto, con un buon 6.5 su 8. Seguono poi i vari Panda, AVG e Sophos e altri software più o meno blasonati.
Passo subito in fondo alla classifica perchè mi ha fatto uno strano effetto vedere NOD32 nella categoria degli "inclassificabili" (1 punto su 8)...laddove si vede che, di fronte alle minacce informatiche odierne, definizioni antivirus e euristica non vanno molto lontano... :fagiano:

Regards

Dunque...il dominatore incontrastato nella classifica finale del test in questione è Rootkit Unhooker, piccolo programmino on demand che considero però un gioiellino di programmazione, purtroppo acquisito da Microsoft. :fagiano: :stordita: Segue a breve distanza l'analogo GMER.
Kaspersky, il primo dei "veri" antivirus in real-time, ottiene il terzo posto, con un buon 6.5 su 8. Seguono poi i vari Panda, AVG e Sophos e altri software più o meno blasonati.
Passo subito in fondo alla classifica perchè mi ha fatto uno strano effetto vedere NOD32 nella categoria degli "inclassificabili" (1 punto su 8)...laddove si vede che, di fronte alle minacce informatiche odierne, definizioni antivirus e euristica non vanno molto lontano... :fagiano:

Regards

http://www.hwupgrade.it/forum/showthread.php?p=20761961#post20761961

:Prrr:

http://www.hwupgrade.it/forum/showthread.php?p=20761961#post20761961

:Prrr:

Chiedo scusa ma purtroppo non mi sono accorto dell'esistenza di quel thread, anche perché visito la sezione news piuttosto raramente. :(

Regards

Chiedo scusa ma purtroppo non mi sono accorto dell'esistenza di quel thread, anche perché visito la sezione news piuttosto raramente. :(

Regards

:)

bè, la buona intenzione l'hai avuta ;)

vedo ora la notizia del "ritiro" di nv e colgo l occasione per ringraziare voi tutti per avermi fatto conoscere e apprezzare l utile mondo degli hips,di cui ora faccio felicemente uso (EQS):rolleyes:

@ ENNE

Non sono bravo a mettere in evidenza come fai tu quindi...... accontentati OK ? ;) :D

a) Che non interessi a nessuno non credo proprio visto che è il 3D più letto di tutti i 3D presenti in questa sottosezione.

b) Mica devi dimostrare...... devi documentare è una cosa ben diversa perchè è sempre utile,sempre interessante ed istruttiva, che si legge con piacere.

c) Che nessuno intervenga/aggiunga ti dovrebbe oltretutto far piacere visto che non sempre gli allievi riescono a superare il maestro.....;) :D


Naturalmente poi non entro nel merito della tua decisione.
Se così deve essere, così.....sarà,.....credo però di dire anche a nome di altri:

"accettiamo questa decisione con molto rammarico,ma la rispettiamo"

Ciao Enne !! ;)

ci sono e ringrazio tutti, ma, come ho detto, per quanto mi riguarda l'esperienza può essere considerata *conclusa*...

Spero solo che il testimone possa essere raccolto da altri, altrimenti pace....

In definitiva, infatti, sono un utente assolutamente normale come ce ne sono tanti altri qui in sezione, per cui non vedo nessun tipo di ostacolo a che qualcuno ricominci dal punto in cui io ho interrotto...

Poichè l'amore (e la fiducia) che nutro verso queste soluzioni non si è cmq esaurita, garantisco il mio contributino anche nell'eventuale nuovo "progetto"... :)

:cry: :cry:
...e i tuoi test... adesso chi li farà?
Mi piacciono un casino... :cry:

ci sono e ringrazio tutti, ma, come ho detto, per quanto mi riguarda l'esperienza può essere considerata *conclusa*...

Spero solo che il testimone possa essere raccolto da altri, altrimenti pace....

In definitiva, infatti, sono un utente assolutamente normale come ce ne sono tanti altri qui in sezione, per cui non vedo nessun tipo di ostacolo a che qualcuno ricominci dal punto in cui io ho interrotto...

Poichè l'amore (e la fiducia) che nutro verso queste soluzioni non si è cmq esaurita, garantisco il mio contributino anche nell'eventuale nuovo "progetto"... :)

Leggo tanta amarezza TRA le righe.... :mbe: o sbaglio?

Leggo tanta amarezza TRA le righe.... :mbe: o sbaglio?

una mia risposta ti è dovuta:
si, TANTA amarezza...





D'altro canto, esistono tante altre persone preparate (spesso e volentieri ben più di me e proprio qui sul "nostro" forum), ma il loro contributo è sempre stato inesistente o quantomeno molto centellinato....

Io, oggettivamente, non potevo più gestire la baracca DA SOLO....

Il sasso (presuntuosamente) l'ho gettato diverso tempo fà e (credo) senza far mai mancare il mio supporto, pur nei limiti ovviamente delle mie possibilità che non sono certo quelle di un professionista o di un tecnico ma solo di un amatore...

Se il sasso, cadendo nello stagno, produrrà onde, tanto meglio per tutti visto che queste soluzioni hanno diversi pregi...

Se invece (come sembra) sarà calma piatta, vorrà dire che avremo dilapidato quel piccolo patrimonio di esperienze faticosamente raccolte nel tempo...o che queste soluzioni non erano in verità dei "purosangue" e che ho sempre spinto sul cavallo sbagliato....

In fondo, la vita è una forma di scommessa anche se per ora, alla luce di quanto detto sopra per quest'argomento, direi che l'ho abbondantemente PERSA...

io mi sono perso 68 pagine di thread, più o meno, quindi.... :O
e devo studiare...

altra gente credo che sia (come presumo te) molto impegnata con altre cose...

ho letto solo ora... il tempo purtroppo è sempre troppo poco, io stesso mi sono trovato nella situazione di dover selezionare bene i vari impegni (spesso ricade anche seui thread inuqnato non posso seguire tutto) e abbandonare diverse cose che mi hanno gratificato epr diverso tempo... cose che anche nelle giornate più tristi e più buie potevano distrarti potevano per quache m,inuto trasportarti in un altro contesto :)

sinceramente sono rimasto molto positivamente colpito dalla cultura di molti giovani che partecipano attivamente in queste sezioni, a tratti pure sopreso per la determinazione e convinzione con cui proseguono verso l'obbiettivo.
gli Hips è sempre stato un argomento particolare che può coinvolgere dapprima i puristi e coloro i quali siano realmente interessati all'argomento, molti altri si dilettano in cose con gratificazioni più immediate e soppesabili..

però quello che appunto è indubbio, come mi sembra di intravedere, è la bella qualità delle nuove generazioni e in voi sono riposte molte attese.
il vedere poco interesse infrange molti cuori ma magari molti non erano pronti a tale peso.. o ignoravano come il sottoscritto che potesse esserci forse una possibile interuzione nel passaggio del testimone :)

una cosa a cui non mi abituerò mai, ma è perchè sto accusando i colpi degli anni, è la voracità e l'energia di Leolas :D
non dubito che riuscirai a conquistare il testimone :p


Ad ogni modo Nv25 spero di leggerti ancora sporadicamente, prima o poi toccherà a tutti ;)

nV 25 è nV 25. ;)
E' una persona come noi, che con tanta buona volontà si è dedicato a questo forum, dedicandosi a quest'argomento che, per inciso, prenderà via via sempre più piede in maniera sempre più invadente.
Tutti prima o poi dovranno "sbatterci il muso". ;)

nV 25 è stato un pioniere in questo, e sicuramente continuerà ad essere sempre informato nel campo (il lupo perde il pelo ma non il vizio... ;) ).

So che il suo non è un addio, ma semplicemente un distacco dal 3d dovuto alle diverse sue attività, alla sua vita; rimane comunque l'opera che ha fatto, 73 pagine di 3d e che ha portato avanti finora. ;)

Per quello che mi riguarda, queste mie osservazioni (lungi dall'essere polemiche) sono altro che un "grazie" semplicemente più argomentato, visto che, sempre imho, un semplice grazie mi sembrava poco. ;)
Ultima cosa: tante volte, non è semplice nè facile per altri accollarsi un eredità grossa e pesante.... il fatto che non si faccia avanti nessuno può esser solo indice di quanto sia gravoso e complesso ciò che tu hai portato avanti finora, nV 25.... ;)


Un salutone ed un augurio di una serena giornata, Franz ;)

una mia risposta ti è dovuta:
si, TANTA amarezza...





D'altro canto, esistono tante altre persone preparate (spesso e volentieri ben più di me e proprio qui sul "nostro" forum), ma il loro contributo è sempre stato inesistente o quantomeno molto centellinato....

Io, oggettivamente, non potevo più gestire la baracca DA SOLO....

Il sasso (presuntuosamente) l'ho gettato diverso tempo fà e (credo) senza far mai mancare il mio supporto, pur nei limiti ovviamente delle mie possibilità che non sono certo quelle di un professionista o di un tecnico ma solo di un amatore...

Se il sasso, cadendo nello stagno, produrrà onde, tanto meglio per tutti visto che queste soluzioni hanno diversi pregi...

Se invece (come sembra) sarà calma piatta, vorrà dire che avremo dilapidato quel piccolo patrimonio di esperienze faticosamente raccolte nel tempo...o che queste soluzioni non erano in verità dei "purosangue" e che ho sempre spinto sul cavallo sbagliato....

In fondo, la vita è una forma di scommessa anche se per ora, alla luce di quanto detto sopra per quest'argomento, direi che l'ho abbondantemente PERSA...

io prima non sapevo nulla di hips
ora invece conosco nv25.

PREVENIRE è MEGLIO DI CURARE

una mia risposta ti è dovuta:
si, TANTA amarezza...





D'altro canto, esistono tante altre persone preparate (spesso e volentieri ben più di me e proprio qui sul "nostro" forum), ma il loro contributo è sempre stato inesistente o quantomeno molto centellinato....

Io, oggettivamente, non potevo più gestire la baracca DA SOLO....

Il sasso (presuntuosamente) l'ho gettato diverso tempo fà e (credo) senza far mai mancare il mio supporto, pur nei limiti ovviamente delle mie possibilità che non sono certo quelle di un professionista o di un tecnico ma solo di un amatore...

Se il sasso, cadendo nello stagno, produrrà onde, tanto meglio per tutti visto che queste soluzioni hanno diversi pregi...

Se invece (come sembra) sarà calma piatta, vorrà dire che avremo dilapidato quel piccolo patrimonio di esperienze faticosamente raccolte nel tempo...o che queste soluzioni non erano in verità dei "purosangue" e che ho sempre spinto sul cavallo sbagliato....

In fondo, la vita è una forma di scommessa anche se per ora, alla luce di quanto detto sopra per quest'argomento, direi che l'ho abbondantemente PERSA...

...capisco e condivido la tua amarezza.. prendendo spunto da un pensiero di xcdegasp, qui per portare avanti qualcosa bisogna essere molto convinti e determinati vista la poca collaborazione dei "professionisti".

Comunque un appunto te lo devo fare: io più volte ho cercato di farti capire il mio interesse per questo settore ma non ho trovato riscontro, certo capisco che non sono un professionista e la cosa non ti alletta però...
Ciao nV. ;)

avevo scritto inizialmente una cosa molto più lunga, ma ho preferito cancellarla...


Per sintetizzare, xò:

SE qualcuno CREDE nella filisofia di questi programmi, SI SENTA PURE LIBERO di *RIPARTIRE* (meglio se in un thread nuovo, più fresco)...

E' ben accetta qualsiasi iniziativa, da parte di chiunque...

Non è che, perche io mi son rotto di tenere in piedi la baracca, la cosa necessariamente debba finire, ANZI, auspicavo proprio il contrario...
Peraltro, visto che poi alla fine della fiera è più forte di me, anch'io RI-contribuirei....

Sono stati utili e importanti molti altri contributi illuminanti, di Pistolino in primis, ma non ha senso cmq mettersi qui a far la lista di nomi e compagnia...

Un eventuale nuovo TU ha cmq sia bisogno ANCHE di contributi "di spessore" vista la delicatezza della materia trattata...

Le competenze, in diversi, le hanno e in loro confido....

A meno che questi soggetti non siano totalmente scettici verso queste soluzioni, nel qual caso sarebbe cmq benvenuta anche una dichiarazione in tal senso....imo...proprio perchè ILLUMINANTE...

Che in Italia vi sia povertà "di concetti", infatti, mi sembra impossibile quando invece all'estero la gente parla, e spesso NON futilmente o per sentito dire ma semplicemente PERCHE' SA' e non ha interesse (per fortuna..) a tener gelosamente custodito chissà quale segreto....

Ma insomma:
possibile che qui per imparare qualcosa si debba solo andare "fuori"?
Ma via, dai....

Quindi:
spazio per TUTTI ma creiamo una comunità "ricca" attorno a questi software perchè molti SONO REALMENTE ;) anche se NON potranno mai sostituire il manico (o cabeza della gente), VERO DISCRIMINE di quello che succede sui proprio Pc....


AIOOOOOO' !


EDIT:
basta, ho veramente finito su questo thread...
Non vogliatemene...

Peraltro in 1° pagina rilevo una marea di errori (e non tanto di lessico..):
forse son maturato e sorrido su come ho tentato di spiegare diverse cose?

aahhh stai in fissa co sti TU nuovi...:sofico:
Io continuerei questo, ricco di informazioni, ben fatto... anche se a te fa sorridere riguardando la prima pag.; è grazie a te e questo thread che mi sto appasionando semrpe di più.

Che in Italia vi sia povertà "di concetti", infatti, mi sembra impossibile quando invece all'estero la gente parla, e spesso NON futilmente o per sentito dire ma semplicemente PERCHE' SA' e non ha interesse (per fortuna..) a tener gelosamente custodito chissà quale segreto....

Spero che lo leggano in molti.

Ma insomma:
possibile che qui per imparare qualcosa si debba solo andare "fuori"?
Ma via, dai....

Come hai ragione...

Un eventuale nuovo TU ha cmq sia bisogno ANCHE di contributi "di spessore" vista la delicatezza della materia trattata...

Vista la collaborazione è questo che mi frena, come penso abbia frenato anche te da quello che ho capito.

Sono stati utili e importanti molti altri contributi illuminanti, di Pistolino in primis, ma non ha senso cmq mettersi qui a far la lista di nomi e compagnia...

Si ho provato una volta a fargli una domanda.... ancora aspetto una risposta.

Vabbè non voglio polemizzare ancora e per adesso ti saluto.;)

(...)
Si ho provato una volta a fargli una domanda.... ancora aspetto una risposta.

Vabbè non voglio polemizzare ancora e per adesso ti saluto.;)

Primo: di che domanda parli? :mbe:
Secondo: se non intervengo è perchè ho problemi di tempo o di altro tipo di cui NON sono tenuto a parlare o dare spiegazioni su un forum. Se controlli il mio profilo, vedresti che ho trascorso ben poco tempo sul forum ultimamente, e ciò non dipende da una scelta mia, ma al fatto che ho una lista di priorità a cui dò precedenza secondo un ordine ben preciso e che nessuno può contestarmi.
Terzo: ho letto che qualcuno asserisce che alcuni utenti abbiano competenze e conoscenze ma non le vogliano mettere a disposizione della comunità...a questo rispondo dicendo che, nel mio caso, non ho nessuna verità nascosta o trascendentale da nascondere, nè me la "tiro" in un qualsiasi modo anzi, spesso sono io a cercare informazioni e aiuto da altri, e chi mi conosce un pochino lo sa.
Passo e chiudo.

Regards

Primo: di che domanda parli? :mbe:

Non lo trovavo più nemmeno io, cmq ricordavo male non era una domanda ma una cosiderazione: pag. 64 #1277

Secondo: se non intervengo è perchè ho problemi di tempo o di altro tipo di cui NON sono tenuto a parlare o dare spiegazioni su un forum. Se controlli il mio profilo, vedresti che ho trascorso ben poco tempo sul forum ultimamente, e ciò non dipende da una scelta mia, ma al fatto che ho una lista di priorità a cui dò precedenza secondo un ordine ben preciso e che nessuno può contestarmi.

Ci mancherebbe, tutti abbiamo i nostri impegni e priorità.

Terzo: ho letto che qualcuno asserisce che alcuni utenti abbiano competenze e conoscenze ma non le vogliano mettere a disposizione della comunità...a questo rispondo dicendo che, nel mio caso, non ho nessuna verità nascosta o trascendentale da nascondere, nè me la "tiro" in un qualsiasi modo anzi, spesso sono io a cercare informazioni e aiuto da altri, e chi mi conosce un pochino lo sa.
Passo e chiudo.

Non ho mai insinuato questo, non credo che nV 25 si riferisse a te.

Cmq io non ce l'ho con te anzi, solo... rimango male quando cerco di capire qualcosa postando una domanda, una cosiderazione... e le persone non rispondono, fanno finta di niente. Per quanto mi sforzi non lo riesco proprio a capire.

Regards

Saluti a te pistolino e scusami se mi sono riferito a te ma l'ho fatto solamente perchè nV ti ha citato... se ci fosse stato qualcun'altro era la stessa cosa.
:friend: ??? :)

segnalo l'uscita di EQSecure 4 versione Beta

...con questo genere di programmi cmq penso sia piu opportuno aspettare la versione finale..

Colgo l'occasione per segnalare che sul mio sistema e anche in virtual machine la versione beta di EQSecure 4 presenta due bug piuttosto rilevanti:

1) Se si tenta di utilizzare il Task Manager avanzato incluso nel programma, il processo di EQSecure crasha per un errore di runtime. Anche disattivando la DEP, il problema persiste e, cosa più grave, il PC resta di fatto senza protezione. A crashare, infatti, è lo stesso processo in modalità kernel, seguito naturalmente dal processo della GUI.
2) Alcuni processi impazziscono e arrivano a consumare il 100% del ciclo della CPU all'avvio di Windows e durante l'apertura di nuovi processi. Anche disattivando la protezione di EQS, il problema non si risolve. L'unico rimedio è uscire completamente da EQS.

Ora, se il primo bug è ormai noto ed è stato segnalato più volte su vari forum stranieri, sul secondo non ho trovato riscontri finora: pertanto, potrebbe dipendere anche da un qualche specifico problema o conflitto con la mia particolare configurazione anche se mi sfugge il motivo per cui il problema si verifica anche su una VM appena installata. :mbe:
Per il momento, rimango alla versione 3.41. ;)

Regards

Colgo l'occasione per segnalare che sul mio sistema e anche in virtual machine la versione beta di EQSecure 4 presenta due bug piuttosto rilevanti:

1) Se si tenta di utilizzare il Task Manager avanzato incluso nel programma, il processo di EQSecure crasha per un errore di runtime. Anche disattivando la DEP, il problema persiste e, cosa più grave, il PC resta di fatto senza protezione. A crashare, infatti, è lo stesso processo in modalità kernel, seguito naturalmente dal processo della GUI.
2) Alcuni processi impazziscono e arrivano a consumare il 100% del ciclo della CPU all'avvio di Windows e durante l'apertura di nuovi processi. Anche disattivando la protezione di EQS, il problema non si risolve. L'unico rimedio è uscire completamente da EQS.

Ora, se il primo bug è ormai noto ed è stato segnalato più volte su vari forum stranieri, sul secondo non ho trovato riscontri finora: pertanto, potrebbe dipendere anche da un qualche specifico problema o conflitto con la mia particolare configurazione anche se mi sfugge il motivo per cui il problema si verifica anche su una VM appena installata. :mbe:
Per il momento, rimango alla versione 3.41. ;)

Regards

Grazie pistolino. ;)
Il crash del kernel imho è quanto di più grave ci possa essere.... :mbe: secondo me forse sono ancora allo stadio alfa... :rolleyes: altro che beta! :D

una domanda per chi ha gia dato un'occhiata a KIS8....il futuro hips di kaspersky,potra' sostituire eqs e similari?? cioe',si puo definire un'HIPS a tutti gli effetti??

una domanda per chi ha gia dato un'occhiata a KIS8....il futuro hips di kaspersky,potra' sostituire eqs e similari?? cioe',si puo definire un'HIPS a tutti gli effetti??
io invece non l'ho mai provato neppure in VM ma mi prometto di farlo a breve...

Avevo peraltro giurato di non rispondere più su questo thread ma, allo stesso tempo, mi sembrava doveroso dare una risposta ad un amico virtuale...
E poi, forse, anche alla luce dell'ultimo periodo che ho passato, diciamo che probabilmente mi sono redento e da qui "la voglia di tornare a rispondere", chissà...


Per venire a noi:
da quel poco che ho visto, KIS 9 (si chiamerà cosi'?) è costruito a tutti gli effetti sul modello degli hips **puri** (alla ProSecurity, SSM, EQS and so on per intendersi...) a cui si affianca però il vecchio modello comportamentale, il PDM...

Più le firme, l'euristica e bla bla bla...

Alla fine della fiera, pertanto, credo sarà indiscutibilmente un ottimo prodotto...


Il problema, semmai, è DOVE saranno gli altri hips puri a quella data per sapere se potrà sostituirli o meno...


Per quanto sia consapevole di non essere nessuno e che le mie parole suonano un timbro che è "quello che è", state però certi che (almeno il mio) ProSecurity NON STARA' ad aspettare l'uscita nè di KIS 9 nè di nessun altro e sarà di conseguenza sempre avanti alla concorrenza...
Questo, per quanto OT, per dovere di cronaca e per essere anche un pò fazioso, diciamolo pure senza vergogna...

Lo stesso, cmq, ( e cioè il NON farsi trovare impreparati o immobili...) vale anche per EQS che, con la sua futura v.4, introduce il Sandbox....
Ecc...


Questo link è molto carino per avere un'idea dell'hips di Kis9 "in action":
http://forum.kaspersky.com/index.php?showtopic=63664

(c'è peraltro anche il famoso bagle con il suo rootkittino...)


.

grazie x il tuo parere :)

l'ho chiesto perche' ho tolto :cry: EQS dal mio PC... : da una settimana provocava Schermate blu di morte al mio XP...con tanto di messaggio d'errore riferito al file EQS.sys... ho quindi provveduto ad eliminarlo...

ora non so se provare SSM free o aspettare kis8 con HIPS direttamente..

Non so se questa sia la sezione giuta per parlare di ECleaner:
comunque, non so perchè quando analizzo le chiavi di registro, Ecleaner alla fine mi mette una chiave non valida (sempre la stessa, e cioè Software\Classes\CLSID\{1171A62F-05D2-11D1-83FC-00A0C9089C5A}\InprocServer32
che non riesce ad eleminare:
sapete dirmi il perchè?

@ Nv25

Enne vorrei un tuo parere,ti ringrazio già da adesso.
Stò facendo un test.
In pratica è una comparazione d'uso di 2 sistemi con pressapoco i soliti soft,windows e linux.
Con un occhio naturalmente in tema sicurezza.
Il target è indirizzato ad utenti minori di età, quindi ragazzini.

Dicevo il tuo parere su ciò che hai scritto in prima pagina cioè questo:

... se già una persona si trova in difficoltà con un software antivirus, è chiaro che il doversi trovare ogni volta a dover scegliere se permettere oppure no ad un'applicazione oppure a trovarsi una raffica di messagebox che chiedono come comportarsi può portare al suicidio la maggior parte delle persone abituate al "windows facile".....alcuni limiti attuali rendono queste tecnologie appetibili ai "soli addetti ai lavori/smanettoni".....

Avrei bisogno di sapere se ne panorama HIPS secondo te esiste un soft gestibile da un utente (medio) di minore età ?

Naturalmente immaginerai che per me la risposta è negativa ma mi piacerebbe sentire il "maestro" in tema !! ;)

Ti ringrazio fin da adesso.:)

Come faccio a non rispondere visto che mi chiami in causa direttamente? :muro:

1) ma quella frase che hai quotato è roba mia? :stordita: Se si, per certi versi è imbarazzante...
2) sul "maestro" soprassiedo...
3) Se usi DefenseWall (a pagamento ma sicuramente IL migliore per lo meno tra i Sandbox/virtualizzatori) scoprirai che è adatto anche ad un neofita...

E il problema della gestione di un programma come questo?
Di fatto non esiste visto che è disegnato per offrire massima capacità di protezione a fronte di un intervento dell'utente (praticamente) pari a 0 sia in fase di set-up che in fase di utilizzo concreto della macchina...

Se per gestire intendi questo, sei a posto...

Come faccio a non rispondere visto che mi chiami in causa direttamente? :muro:

1) ma quella frase che hai quotato è roba mia? :stordita: Se si, per certi versi è imbarazzante...
2) sul "maestro" soprassiedo...
3) Se usi DefenseWall (a pagamento ma sicuramente IL migliore per lo meno tra i Sandbox/virtualizzatori) scoprirai che è adatto anche ad un neofita...

E il problema della gestione di un programma come questo?
Di fatto non esiste visto che è disegnato per offrire massima capacità di protezione a fronte di un intervento dell'utente (praticamente) pari a 0 sia in fase di set-up che in fase di utilizzo concreto della macchina...

Se per gestire intendi questo, sei a posto...

Il test si propone di mettere in evidenza limiti di sicurezza e di praticità d'uso dei 2 sistemi.
Per gestire intendo proprio gestire in autonomia senza la supervisione di un adulto.
Spesso un ragazzino ne sà più del poco che ne sanno i genitori........ di pc.
Il mio test prende in esame una fascia di età che varia dagli 11-13 anni.
Mi segno quindi DefenseWall,grazie !!! ;) ;) ;)

ragazzi che ne pensate dell'hips di sophos 7.1?? qualcuno lo ha provato??
io sto usando questo av, che me lo passa la mia università gratuitamente, gli anni passati non ci facevo caso, ma poi vedendo le recenti classifiche di rilevazione mi sono deciso a metterlo, essendo sprovvisto di licenza per altri av.

che ne dite?

@sampei

volendo, si potrebbe usare una sandbox o returnil ;)

più facile di così...

@sampei

volendo, si potrebbe usare una sandbox o returnil ;)

più facile di così...

Sembra facile !!
Se tu fossi un ragazzino di 11 anni ed io ti spiegassi un soft che crea una partizione virtuale ecc ecc...tu comprenderesti cosa hai installato nel pc ?

Già è diffice spiegargli che ogni tanto devono fare i necessari scan (una perdita di tempo sottratto ai giochi,ed al MSN per lo più).

Comunque mai dire mai.....vedremo cosa ne esce fuori !! :D

.

per returnil devo davvero ringraziare riazzi per avermelo fatto conoscere.

E' davvero il virtualizzatore (o sandbox...) più noob-friendly che io abbia mai visto :D

In alternativa a Returnil segnalo SteadyState http://www.microsoft.com/italy/windows/products/winfamily/sharedaccess/default.mspx
con funzionalità interessanti a livello di controllo Account visto che si tratta di ragazzini.

ma nessuno che se la sente di riaprire qualcosa di più aggiornato su questo argomento?

C'è CPF3 con il suo D+, OA2, EQS, ProSecurity, DSA, [...], tutta la sfera dei sandbox e dei virtualizzatori, l'imminente (?) KIS 2009 e chi più ne ha più ne metta...

Incredibile che a nessuno interessi parlare di queste tematiche e tutto verta solo sulle "regoline" per emule/bittorrent...

.

Se mi pagate lo faccio io!! :O :read:


:sofico: :sofico:

cmq, penso che potrò farlo quando sarò pensionato (tra un sessantina d'anni, se si continua così :O)

.

ma... a cosa serve un HIPS, in returnil? :confused: :mc:

.

sto provando anch'io la premium di returnil (la versione stabile comunque)
sinceramente l'opzione per salvare la sessione che era stata presentata come la novità più interessante non mi è parsa "fondamentale" (o perlomeno l'ho utilizzata pochissimo)almeno non tanto da giustificare la spesa della versione premium...preferisco installare quello che mi serve direttamente nel computer reale senza creare un area virtuale

al contrario ho trovato interessante l'opzione per salvare file e cartelle (come si vede nell'immagine postata da riazzi)
anche se sono solo impressioni dovute a qualche giorno di utilizzo

PS: mi è sembrato che salvando la sessione su disco rallenti di parecchio la fase di spegnimento del computer

PPS: a leo, forse l'hips serve per evitare che il programma venga terminato oppure come prima linea di difesa per evitare che qualcosa entri anche nella zona virtualizzata (aspetta comunque il parere di riazzi o nv ) :)

.

Ciao a tutti, io ho usato per un anno Prevx2.0 e in molti casi mi ha deluso molto, l'ultima volta quando ho provato il nuovo leak test della Comodo(nessun blocco ai pseudo-malware), ed è per questo che vorrei cambiare programma con un altro sistema di controllo comportamentale sempre CIPS in italiano con più personalizzazione, anche a Pagamento, cosa mi consigliate? Grazie a tutti ciao

Sto provando in VM la nuova versione di Returnil Premium (2.1.5829 Beta), per ora disponibile solo per i Cinesi (comunque c'è pure l'inglese come lingua :D )

Ho appena finito di tradurre in italiano le nuove funzioni. La traduzione nella nostra lingua dovrebbe essere disponibile dalla prossima beta.

.

Ciao,

grazie per il lavoro che stai facendo,
tra l'altro ho visto che sono finito anche sul tuo forum (molto interessante)

:sofico:

PS
quei dadi mi pare di averli già visti :D
forse blockpost? :stordita:

Mi hai "beccato". I dadi sono proprio quelli di blockpost. Mi sono da subito innamorato del primo outpost e del suo plugins blockpost. Da quel momento mi sono dedicato, oltre ad altre cose - come tradurre returnil, ssm e altri -, alla compilazione di blocklist sempre più complesse. Ora sono beta tester Agnitum e devo dire che ci sono rimasto malissimo quando in outpost 4 o nella suite 2008 è stato tolto il supporto ai plugins esterni come blockpost. Ma la bella novità è che nella beta attuale e di conseguenza nella prossima release ufficiale, blockpost è stato integrato nuovamente. Non come plugins, ma proprio come funzione interna.

Cmq tornando a returnil, lo sviluppatore con cui sono in contatto, mi ha confermato che le prossime beta verranno rilasciate pubblicamente anche per altri paesi e non solo per il mercato cinese. Il motivo di un rilascio iniziale nei paesi del sol levante è stato dettato dal fatto di dare copertura a robodog che, a detta dello sviluppatore sta "spopolando" in cina.

ps. l'attuale beta ha alcuni bug con Vista.

Per chi fosse interessato a Returnil Premium 2008.... http://www.pianetapc.it/forum/viewtopic.php?p=48059#p48059

grazie :)

.

.

Mi sembra un tool stand-alone (tipo GMER) più che un HIPS vero e proprio...mi aspettavo un seguito di Process Guard. :mc:

Regards

cosa sapete dirmi di:
Magic Card e Deep Freeze.----> leggere qui (http://blog.dschola.it/?p=98)

.

Deep Freeze come altri programmi simili rientrano nella categoria degli Instant System Recovery. In pratica questi software permettono al sistema di tornare allo stato iniziale (cioè lo stato in cui si trovava prima di avviare la protezione) con un semplice riavvio.

Se ti interessa questa tipologia di software ti consiglio di provare Returnil

returnil è uscito da poco ma tutti ne parlano bene :D

.

.

La prossima settimana inizierà il beta testing pubblico della nuova versione di Returnil (2.01)

http://www.wilderssecurity.com/showpost.php?p=1242281&postcount=66
http://www.wilderssecurity.com/showpost.php?p=1242762&postcount=89

scusa riazzi... questa è la versione che aveva qualche problema con vista oppure è usabile per quanto una beta?
:)

.

Il sistema di numerazione è stato cambiato proprio per evitare confusione. L'attuale 2.1 diventerà infatti 2.01. Il nuovo sistema di numerazione verrà mantenuto anche in futuro.

Per quanto riguarda i problemi con Vista che sono presenti sulla 2.1.05829, dovrebbero essere risolti dalla 2.01.**** che ovviamente è una build successiva. Poi è ovvio che essendo beta potrebbe avere ancora qualche bug quì e là. Daltronde le beta vengono rilasciate proprio per rilevare se ci sono problemi.

.

.

Sarebbe interessante sapere cosa avrà in meno la versione free ?

.

proprio oggi ho messo solo questo (sempre la stabile ) e antivir free sul pc di un amico...
dovrebbe essere interessante anche la funzione di immunizzazione per alcuni malware come diceva riazzi in un post di un altro thread

c'è un buon hips per vista gratuito? :) (escludendo quello incluso in comodo che si rifiuta di installarsi)

.

Qui trovate una discussione su un trojan in grado di bypassare Returnil

http://www.wilderssecurity.com/showthread.php?t=212092

Soluzione: per ora la beta 2.01.7067 è immune, grazie alla funzione anti executable


(si accenna anche a un malware in grado di bypassare Sandboxie)

nche questi sistemi di pseudo virutalizzazione sono alla frutta se non ben accompagnati

Qui trovate una discussione su un trojan in grado di bypassare Returnil

http://www.wilderssecurity.com/showthread.php?t=212092

Soluzione: per ora la beta 2.01.7067 è immune, grazie alla funzione anti executable


(si accenna anche a un malware in grado di bypassare Sandboxie)


A mio avviso le risposte di Myke non sono poi così consolanti. Ok l'exe viene rilevato dal modulo "hips" di Returnil 2.01 (e chi mancherebbe che non si accorga dell'avvio di un exe), ma bisogna vedere cosa rimane al riavvio, dopo aver concesso l'esecuzione del malware. <= su quest'ultimo punto tutto tace.

Ps. se avessi un sample del dropper di cs.exe potrei anche provare in VM cosa succede, ma purtroppo sono attualmente sprovvisto di questo malware.

.

Anch'io sono alla ricerca di questo malware :D

Se non riuscirò a trovarlo, proverò a mandare un PM al tipo di wilders.


Se te lo dovesse inviare, sai a chi fare un forward...:cool:

ps. sono alla ricerca anche di rustock.c e unreal.b per un testing su ProSecurity