PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 [7] 8 9 10 11 12 13 14 15 16 17 18 19

sampei.nihira
13-06-2008, 21:20
Molto interessante questo test che vi accingete a fare.
Spero che reperirete prima possibile il sample.
Spero che inserirete qualche desk in questo 3D prima possibile.;)
In bocca al lupo !! :D

riazzituoi
15-06-2008, 16:05
.

sampei.nihira
16-06-2008, 16:42
Forwardato :sofico:

Appena posso faccio i test e posto i risultati ;)

PS
Qui c'è una discussione interessante con alcune idee per bypassare Sandboxie (e forse futuri PoC)
http://forum.sysinternals.com/forum_posts.asp?TID=15072

Ti ringrazio Riazzituoi.;)
Io sono un pò impegnato a scovare bugs in Opera 9.50 (e purtroppo per la prima volta ce ne sono alcuni anche piuttosto fastidiosi sigh) !!
Mi sbilancio a dire che da tanti anni che uso Opera questa è la versione che mi soddisfa meno dal lato bugs !!

Ed a cercare una soluzione di freeze random sotto linux.

Grazie ancora !! ;)

riazzituoi
18-06-2008, 15:21
.

riazzituoi
18-06-2008, 15:22
.

sampei.nihira
18-06-2008, 16:06
Bel lavoro Riazzituoi !! ;)
Complimentoni !!

Aspettiamo adesso per chi lo farà il test con Rustock !!

Nicodemo Timoteo Taddeo
18-06-2008, 16:37
Returnil, così come altri software simili (ShadowUser, PowerShadow) è stato bypassato, mentre ShadowDefender, così come si può leggere su wilders, sembra non essere vulnerabile a questo rootkit (ma sempre nel medesimo forum si legge che è stato bypassato anche lui da un altro simpaticone: soft10.exe)




Visto che ce l'hai sotto mano, perché quando hai qualche minuto non lo provi anche con sandboxie?


Saluti.

Chill-Out
18-06-2008, 16:44
Visto che ce l'hai sotto mano, perché quando hai qualche minuto non lo provi anche con sandboxie?


Saluti.

mi accodo alla richiesta di Nicodemo

@riazzituoi

Grazie anticipatamente

nV 25
18-06-2008, 20:33
@ riazzituoi:


Oltre che un grazie per le prove svolte, apprendo con letizia [:)] che nei tuoi esperimenti è stato testato PS (sotto Returnil)...


Come è possibile ricavare dai tuoi screen, PS è ampiamente in grado di prevenire l'infezione..
Se questa, allora, è la tua analisi, dissento dalla conclusione che trai alla fine del test ovverosia la morale di tutta la storia,

un unico prodotto non è sufficiente a garantire la sicurezza del proprio sistema...

Resta fermo l'ottimo test che hai condotto...:)

nV 25
18-06-2008, 20:56
EDIT:

in relazione al mio ultimo post sopra, si prega di non travisare il mio pensiero specie poi se diversi miei commenti sono riportati (+ o - velatamente..) su altre piazze a mia insaputa...

Apprendo infatti con piacere (se mai ce ne fosse stato bisogno...) che PS si conferma quello che è sempre stato ma, allo stesso tempo, NON HO MAI PENSATO CHE quest'ultimo possa essere la soluzione a tutti i mali (non per nulla, infatti, ho AV & Fw anche se questo cmq è un altro capitolo...)
Questa spiegazione, infatti, lava via ogni forzatura di chi vorrebbe vedere nella mia ultima affermazione 1 messaggio, ProSecurity unico strumento di difesa...

In 2° luogo, la "forzatura" (inevitabile, cmq...) che caratterizza ogni singolo test di questo tipo, e cioè, per l'hips puro almeno, scavalcare a piè pari (quasi come non vi fosse proprio...) una sua arma sicura al 100%, l'esecuzione...

Il mio "piacere" quando guardo test come questi, allora, è il vedere che <I LIVELLI SUCCESSIVI L'ESECUZIONE SONO EFFICACI>...ma non per questo, allora, dò il mio assenso indiscriminato a dx e a manca a qualsiasi cosa mi capiti a tiro:
capita, quindi, la differenza tra me (noi?) e la stragrande maggioranza della gente? ;)

Non c'è magia, gente*...




*non certo riferito a riazzituoi, Chill-Out, Pistolino o, in generale, ai più "avvezzi" ma all'eventuale altra platea....

riazzituoi
18-06-2008, 21:21
.

riazzituoi
18-06-2008, 21:21
.

nV 25
18-06-2008, 22:01
Per la cronaca, a breve (spero, anche se non ci capisco + nulla a proposito dei tempi..) dovrei ricevere in anteprima (?) la prox beta di PS e mi farebbe piacere se qualche italiano avesse il coraggio di provare la release finale (che non tarderà molto ad uscire dal momento in cui io riceverò via pvt la beta...) e, possibilmente, a "staccarsi" 1 licenza cosi' da supportarne lo sviluppo futuro...

Alla base, infatti, c'è una software house di 1 sola persona che credo si faccia un mazzo tanto per tirare avanti la baracca..


Tutto, per una cifra di circa 20 € che consente l'uso del programma fino all'uscita dell'eventuale v.2 (quindi, GRATIS tutte le rel. della serie 1.x o quelle di ora, per intendersi...)


Pubblicità per questo povero diavolo e il suo software credo sia tollerabile alla luce di quello che offre, e questo a prescindere da cs.exe o soft10.exe...

Chill-Out
19-06-2008, 08:50
EDIT:

Il mio "piacere" quando guardo test come questi, allora, è il vedere che <I LIVELLI SUCCESSIVI L'ESECUZIONE SONO EFFICACI>...ma non per questo, allora, dò il mio assenso indiscriminato a dx e a manca a qualsiasi cosa mi capiti a tiro:
capita, quindi, la differenza tra me (noi?) e la stragrande maggioranza della gente? ;)

Non c'è magia, gente*...


come dicesti a suo tempo: "La potenza è nulla senza controllo"

Nicodemo Timoteo Taddeo
19-06-2008, 08:56
Sandboxie risulta immune a questo malware




Che dirti? Un grosso grazie :D



Saluti

Chill-Out
19-06-2008, 09:07
Sandboxie risulta immune a questo malware

cs.exe sandboxato (solita solfa: viene creato il folder Nt_File_Temp, ecc ecc)


grazie mille :)

sampei.nihira
19-06-2008, 14:19
Che Sandboxie risulti immune a quel malware significa poco........
Certo è un risultato non da poco e da evidenziare certamente !!
Infatti quando una strada è stata aperta poi si vedono inevitabilmente i primi pionieri !!

Futuro sempre più in trincea quindi.....cari miei !! :muro:

@ nV25

Enne tu che sei l'esperto degli esperti (d'USO ) di HIPS vorrei farti una domanda.....è possibile oppure occorre prendere un'appuntamento ? :D

Cercando nel caso di stemperare (se necessario altrimenti no) per un attimo la tua filosofia che "gli HIPS li dovrebbero fare chi sà fare gli HIPS" vorrei prendere in esame alcuni prodotti ma nelle loro versioni esclusivamente free.

Tralascio PS perchè ho letto i tuoi commenti.....
Prendo in esame SSM.
Certamente superiore a PS se consideriamo in entrambi i prodotti le loro versioni free.

Mi sorge un dubbio però se faccio il paragone tra SSM ed O.A.
Ormai i test di Matousec sono più inclini a mettere in evidenza il funzionamento dei moduli HIPS.......se non vado errato.

E qui si evidenzia che la versione free di O.A. supera i test meglio di SSM a pagamento !!

Devo dire che sono un pò confuso a riguardo.

Ti ringrazio per quanto vorrai scrivere !!

Salutoni. ;)

nV 25
19-06-2008, 20:35
SSM l'ho sempre digerito il giusto (trovo infatti che abbia un'interfaccia confusa ecc ecc..) pertanto non sono proprio la persona più appropriata per emettere giudizi su questo prodotto...

OA?
sicuramente efficace ma...costruito attorno al n00b (interfaccia non confusa ma esteticamente scandalosa, controllo profondo "relativo", ecc ecc...)

L'hips puro che mi si avvicina di più è indubbiamente EQS, very light e , al contempo, super valido...

Dovessi fare una sorta di ranking, direi
1° EQS
2° OA
3° SSM

anche se riconosco che la cosa è molto opinabile...


Se si è interessati cmq al SOLO controllo esecuzione (una sorta di super-password [ACCETTA/NEGA] che, per la 100° volta, ricordo essere l'unico strumento che garantisce con un margine del 99,9% contro qualsiasi rischio presente e futuro in un account in regime di amministratore e non solo...), un **QUALSIASI HIPS** è STRA_SUPER_SUFFICIENTE anche là dove risultasse obsoleto per determinate funzionalità di livello successivo l'esecuzione stessa....

leolas
20-06-2008, 00:11
OA?
sicuramente efficace ma...costruito attorno al n00b (interfaccia non confusa ma esteticamente scandalosa, controllo profondo "relativo", ecc ecc...)

:asd: concordo ;) almeno l'interfaccia ora la stanno cambiando (non che sia fantastica, però :stordita:), e in versione a pagamento se ci si vuole male, lo si può rendere più complicato in advanced mode :D

e lì dopo 5 minuti io strippo! Se SSM fosse come OA in advanced tutto il tempo, io temo che stripperei dopo 5 minuti (ok, ora lo provo :p)

comunque, dato che voglio dare un senso di utilità a questo post, che sennò è davvero inutile: i test matousec possono essere un pò fuorvianti, perchè se un firewall non passa al 100% un livello, anche se i livelli dopo li passasse tutti al 100%, i livelli successivi non verrebbero contati nel risultato ;) (o almeno, così era fino ad un mesetto fa)

altra cosa: matousec ora è affiliata a Kaspersky, OA e Outpost......... :rolleyes:


EDIT: mi sbagliavo... OA non passa i test keylogger (oa free non protegge contro tutti i tipi di keylogger :(), ma è arrivato comunque al lvl. 10...

da qualche parte una fregatura c'è comunque

EDIT2: c.v.d.

se guardate il report di SSM, vedrete che non sono stati fatti i test di livello 8, 9, 10

sampei.nihira
20-06-2008, 14:45
EQS ?

Ma si trova in internet qualche info che non sia a "caratteri mandarini" ??
Solo ad entrare nel sito cinese del soft mi sento male......:cry:
Sarà mica solo la moderatrice di PianetaPC (ma è italiana ?? :( ) ad usare questo soft ?

riazzituoi
20-06-2008, 18:58
.

leolas
20-06-2008, 19:34
Review EQSecure 3.3 [Wilders] (http://www.wilderssecurity.com/showthread.php?t=170691)
EQSecure 3.4: prova su strada [Megalab] (http://www.megalab.it/articoli.php?id=1100)
EQsecure - CastleCopsWiki (http://wiki.castlecops.com/EQsecure) edit: riazzi m'ha preceduto :stordita: :D
EQSecure 3.41 Settings [Wilders] {questo 3d può essere utile solo se si ha un pò di pazienza, ha 9 pagine :stordita:} (http://www.wilderssecurity.com/showthread.php?t=193905)

Blue Spirit
20-06-2008, 19:38
Dovessi fare una sorta di ranking, direi
1° EQS
2° OA
3° SSM

anche se riconosco che la cosa è molto opinabile...



del defense+ di Comodo che ne pensate? io uso quello, dopo anni con SSM (free)...:stordita:

nV 25
20-06-2008, 20:02
del defense+ di Comodo che ne pensate? io uso quello, dopo anni con SSM (free)...:stordita:

probabilmente è l'hips che vanta il n° > di features (molte idee di derivazione PS..) e sicuramente efficace...bug permettendo:

da quando è uscito, saranno uscite 2000 rev. [:D] per correggere falle varie/errori + o - macroscopici...
Stra-super contestato all'estero per non fare (praticamente) un adeguato debugging...

Sotto il punto di vista affrontato poc'anzi, dalle mie parti si direbbe:
"meglio di un calcio nelle pelotas"... :D


Cmq, nella lista che ho stilato poc'anzi, non era citato D+ perchè la domanda che mi era stata posta riguardava il confronto tra solo 2 prodotti (SSM free/OA free) che ho poi integrato con EQS perchè lo ritengo valido...
Non potevo mettermi li' a fare la lista della spesa elencando tutti gli n-programmi free reperibili sul mercato anche perchè, allora, sicuramente da menzionare ci sarebbe anche DSA (hips/firewall), ecc...

La lista più completa, cmq, potrebbe essere qualcosa del tipo:
1° EQS
2° OA/D+ (bug permettendo..)
3° [distanziato cmq dai primi 2] DSA
4° SSM free
5° PS free/Appdefend/Process Guard free



Come controllore di cosa parte, STRA-SUPER-BONO è anche l'ormai obsoleto PG free (anche se sotto questo punto di vista diventano tutti =, free o commerciali che siano...)



Leggendo su wilders, cmq, ho appreso che EQS necessita quasi obbligatoriamente di un intervento sulle sue regole di default che sono troppo miserine per poterne sfruttare appieno le sue potenzialità:
ecco che, allora, quello che io metto 1° per una serie di motivi, "se posto sotto il cofano di un pilota che non sà tirarne bene le marce" :Perfido: può scalare facilmente di posizione...

Il manico, in fondo, è (aimè) spesso elemento determinante...
D'altro canto, mica si penserà che questi programmi possano colmare la STUPIDITA' della gente?

Per quelli, c'è o il Sandbox o la PlayStation, che sarebbe meglio...

sampei.nihira
20-06-2008, 20:52
Ho fatto qualche prova veloce di compatibilità e leggerezza e devo dire che EQS mi ha piacevolmente sorpreso.
Molto più di SSM.
Nessu problema con DropMyRights a cui naturalmente non voglio rinunciare.

Ovvia giù disse quello che affogava.......lo proverò per un pò di tempo !! ;)

I miei ringraziamenti !! :D

p.s. Dimenticavo un opzione particolarmente apprezzata è l'auto-update !!

Blue Spirit
20-06-2008, 21:29
probabilmente è l'hips che vanta il n° > di features (molte idee di derivazione PS..) e sicuramente efficace...bug permettendo:

da quando è uscito, saranno uscite 2000 rev. [:D] per correggere falle varie/errori + o - macroscopici...
Stra-super contestato all'estero per non fare (praticamente) un adeguato debugging...

Sotto il punto di vista affrontato poc'anzi, dalle mie parti si direbbe:
"meglio di un calcio nelle pelotas"... :D


Cmq, nella lista che ho stilato poc'anzi, non era citato D+ perchè la domanda che mi era stata posta riguardava il confronto tra solo 2 prodotti (SSM free/OA free) che ho poi integrato con EQS perchè lo ritengo valido...
Non potevo mettermi li' a fare la lista della spesa elencando tutti gli n-programmi free reperibili sul mercato anche perchè, allora, sicuramente da menzionare ci sarebbe anche DSA (hips/firewall), ecc...

La lista più completa, cmq, potrebbe essere qualcosa del tipo:
1° EQS
2° OA/D+ (bug permettendo..)
3° [distanziato cmq dai primi 2] DSA
4° SSM free
5° PS free/Appdefend/Process Guard free



Come controllore di cosa parte, STRA-SUPER-BONO è anche l'ormai obsoleto PG free (anche se sotto questo punto di vista diventano tutti =, free o commerciali che siano...)


Il manico, in fondo, è (aimè) spesso elemento determinante...
D'altro canto, mica si penserà che questi programmi possano colmare la STUPIDITA' della gente?

Per quelli, c'è o il Sandbox o la PlayStation, che sarebbe meglio...[/SIZE]

si infatti, anch'io penso che OA e D+ vadano bene, bug permettendo...mi chiedo se esistano, o se arriveranno presto, dei test seri ed indipendenti su questi moduli hips...
volevo approfittarne per un piccolo OT sulle sandbox...l'anno scorso usavo, dietro tuo consiglio, geswall...poi l'ho disinstallato per casini vari con l'update e sono passato a sandboxie...mi piaceva perchè era molto leggero e poco invasivo, ma poichè non riesce a lanciarmi FF3 (e a dire il vero mi dava anche dei grossi problemi a lanciare IE7 con il D+ attivo, oltre che con il messenger plus:stordita: ) alla fine oggi ho ripulito un pò il registro e sono riuscito a rimettere geswall aggiornato...certo più pesante (20 mega abbondanti di ram, contro 10 scarsi) ed invasivo (praticam impossibile disabilitarlo) però almeno funziona...cosa ne pensi, oggi, di questi due software? ci ho perso nel tornare a geswall?

d.gordon
20-06-2008, 21:45
io invece seguendo i vari consigli di nv25 ho installato in maniera fissa defensewall al quale aggiungo
ssm pro (avrei tanto voluto acquistare ps ma era a suo tempo era solo in inglese)
prevx
avira PE
comodo 2.4

PS: come mai nel forum defensewall non viene preso in considerazione?

leolas
20-06-2008, 21:57
c'è anceh questo test, che è abbastanza interessante: http://membres.lycos.fr/nicmtests/Unhookers/unhookers_results.htm

ormai credo che sia un pò vecchiotto, però (almeno 6 mesi...)

edit: qui c'è un update, anche se è comunque abb. vecchio: http://membres.lycos.fr/nicmtests/Unhookers/update.htm

la spiegazione dei test è qui: http://membres.lycos.fr/nicmtests/Unhookers/unhooking_tests.htm

manga81
21-06-2008, 17:42
probabilmente è l'hips che vanta il n° > di features (molte idee di derivazione PS..) e sicuramente efficace...bug permettendo:

da quando è uscito, saranno uscite 2000 rev. [:D] per correggere falle varie/errori + o - macroscopici...
Stra-super contestato all'estero per non fare (praticamente) un adeguato debugging...

Sotto il punto di vista affrontato poc'anzi, dalle mie parti si direbbe:
"meglio di un calcio nelle pelotas"... :D


Cmq, nella lista che ho stilato poc'anzi, non era citato D+ perchè la domanda che mi era stata posta riguardava il confronto tra solo 2 prodotti (SSM free/OA free) che ho poi integrato con EQS perchè lo ritengo valido...
Non potevo mettermi li' a fare la lista della spesa elencando tutti gli n-programmi free reperibili sul mercato anche perchè, allora, sicuramente da menzionare ci sarebbe anche DSA (hips/firewall), ecc...

La lista più completa, cmq, potrebbe essere qualcosa del tipo:
1° EQS
2° OA/D+ (bug permettendo..)
3° [distanziato cmq dai primi 2] DSA
4° SSM free
5° PS free/Appdefend/Process Guard free



Come controllore di cosa parte, STRA-SUPER-BONO è anche l'ormai obsoleto PG free (anche se sotto questo punto di vista diventano tutti =, free o commerciali che siano...)



Leggendo su wilders, cmq, ho appreso che EQS necessita quasi obbligatoriamente di un intervento sulle sue regole di default che sono troppo miserine per poterne sfruttare appieno le sue potenzialità:
ecco che, allora, quello che io metto 1° per una serie di motivi, "se posto sotto il cofano di un pilota che non sà tirarne bene le marce" :Perfido: può scalare facilmente di posizione...

Il manico, in fondo, è (aimè) spesso elemento determinante...
D'altro canto, mica si penserà che questi programmi possano colmare la STUPIDITA' della gente?

Per quelli, c'è o il Sandbox o la PlayStation, che sarebbe meglio...

ciao nv25, è sempre un piacere leggere i tuoi consigli,noto che in prima pagina ci sono i tuoi consigli risalenti a gennaio 2008 e sono un pochino diversi rispetto a quelli di oggi, aggiorna please ;)

p.s.
ho letto che hai deciso di abbandonare...ma è un delitto ;)



p.p.s
http://www.eqsecure.com/
ma conoscete anche l'asiatico :asd:

sampei.nihira
21-06-2008, 18:49
p.p.s
http://www.eqsecure.com/
ma conoscete anche l'asiatico :asd:

In parte (con la funzione Google translate) è così anche se la traduzione cinese-italiano è veramente......scarsa !! :D

Comunque il soft può essere scaricato da:

http://www.eqspywatch.com//download//EQSysSecureSetup.exe

A parte la prima immagine d'installazione ove si ;) seleziona la lingua inglese il resto è comprensibilissimo !! ;)

manga81
22-06-2008, 09:31
In parte (con la funzione Google translate) è così anche se la traduzione cinese-italiano è veramente......scarsa !! :D

Comunque il soft può essere scaricato da:

http://www.eqspywatch.com//download//EQSysSecureSetup.exe

A parte la prima immagine d'installazione ove si ;) seleziona la lingua inglese il resto è comprensibilissimo !! ;)

iniziavo a preoccuparmi :asd:

sampei.nihira
22-06-2008, 20:40
Ho fatto (velocissimamente nell'intervallo della partita) il TEST COMODO.
Ecco il risultato con EQS:

http://img37.picoodle.com/img/img37/4/6/22/t_EQSm_b4913b2.jpg (http://www.picoodle.com/view.php?img=/4/6/22/f_EQSm_b4913b2.jpg&srv=img37)

Ed invece come avevo già postato nell'apposito 3D il TEST con la riduzione privilegi quindi EQS disattivo:

http://img33.picoodle.com/img/img33/4/6/22/t_AccountLimim_4a03943.jpg (http://www.picoodle.com/view.php?img=/4/6/22/f_AccountLimim_4a03943.jpg&srv=img33)

@ Leolas

Mi potresti, quando puoi, fare il test con O.A. ?

http://download.comodo.com/securitytests/CLT.zip

leolas
22-06-2008, 21:49
@ Leolas

Mi potresti, quando puoi, fare il test con O.A. ?

http://download.comodo.com/securitytests/CLT.zip


ecco qua ;)

Questo è con clt.exe non in "modalità protetta", ovviamente rispondendo "blocca" a tutti i popup:

http://img32.picoodle.com/img/img32/4/6/22/t_oatest1m_3d7c4fa.png (http://www.picoodle.com/view.php?img=/4/6/22/f_oatest1m_3d7c4fa.png&srv=img32)

Questo è con clt.exe in "modalità protetta" rispondendo comunque blocca ai 2 popup comparsi:

http://img27.picoodle.com/img/img27/4/6/22/t_oatest2m_2e5a9a2.png (http://www.picoodle.com/view.php?img=/4/6/22/f_oatest2m_2e5a9a2.png&srv=img27)

Questo è con clt.exe in "modalità protetta", rispondendo "Consenti" ai 2 popup comparsi:

http://img29.picoodle.com/img/img29/4/6/22/t_oatest3m_502c16d.png (http://www.picoodle.com/view.php?img=/4/6/22/f_oatest3m_502c16d.png&srv=img29)


ps: ti ho risposto all'altra domanda: http://www.hwupgrade.it/forum/showpost.php?p=23011961&postcount=1813

sampei.nihira
23-06-2008, 07:37
Ti ringrazio 2 volte !! :D
Per questo test, cioè COMODO, emerge (mi sembra) una netta superiorità di O.A. (5 OK 0 falliti) su EQS (3 OK 2 falliti).
Si vede che supera meglio il test (EQS vs accout limitato) " l'account limitato" messo in evidenza sia dal mio test che dall' ultimo di Leolas (4 OK 1 fallito).

C'è qualche utente che si prende la briga :D di fare il test COMODO con SSM versione free ?

Se c'è lo ringrazio fin da adesso !! ;)

leolas
23-06-2008, 11:09
cut by me

sampei.nihira
23-06-2008, 16:51
Ti ringrazio 2 volte !! :D
Per questo test, cioè COMODO, emerge (mi sembra) una netta superiorità di O.A. (5 OK 0 falliti) su EQS (3 OK 2 falliti).
Si vede che supera meglio il test (EQS vs accout limitato) " l'account limitato" messo in evidenza sia dal mio test che dall' ultimo di Leolas (4 OK 1 fallito).

C'è qualche utente che si prende la briga :D di fare il test COMODO con SSM versione free ?

Se c'è lo ringrazio fin da adesso !! ;)

Up !! :D

Su,su non c'è proprio nessuno che fà questo semplice test !!

Frà prentesi credo che,in rete, nessuno ha mai fatto questa prova !!

Lo farei volentieri io ma dopo l'installazione, SSM, necessita di un reboot e quindi è (out Returnil) e anche se posso disattivare EQS non vorrei incasinare il tutto !!
Per giunta stò testando da poco EQS quindi di disinstallarlo proprio non se ne parla !! :D
Ed in aggiunta ho un solo pc rimasto sotto windows........:rolleyes:

:mc: :mc:

erreale
23-06-2008, 17:46
Up !! :D

Su,su non c'è proprio nessuno che fà questo semplice test !!

Lo farei volentieri io ma dopo l'installazione, SSM, necessita di un reboot e quindi è (out Returnil) e anche se posso disattivare EQS non vorrei incasinare il tutto !!
Per giunta stò testando da poco EQS quindi di disinstallarlo proprio non se ne parla !! :D
Ed in aggiunta ho un solo pc rimasto sotto windows........:rolleyes:

:mc: :mc:


Mi spiace, dovrei caricare la free in VM....

cmq SSM pro fallisce il test Rootkit 2 e supera gli altri 4
Outpost e ProSecurity li superano tutti e 5

sampei.nihira
23-06-2008, 18:25
Mi spiace, dovrei caricare la free in VM....

cmq SSM pro fallisce il test Rootkit 2 e supera gli altri 4
Outpost e ProSecurity li superano tutti e 5

Ti ringrazio Erreale se meglio non si può fare.....;)
Posso chiederti se sai qualcosa di più visto che il moderatore/trice :mc: del tuo forum usa EQS........della 4.0 beta ?

http://www.wilderssecurity.com/showthread.php?t=210980

Ti ringrazio !! ;)

erreale
23-06-2008, 18:32
Ti posso dire che fra beta 2 e beta 3 non ci sono update di codice, praticamente hanno solo cambiato il nome del prodotto. Inoltre la beta3 non è stata rilasciata ancora in inglese. Quindi o usi la 3.41 oppure la 4.0 beta 2. Nella 4.0 è stato introdotto un modulo sandbox, oltre ad aver aumentato la profondità di controllo del programma. Uso per i miei test in VM la beta2 da quando è uscita, e fino ad ora non ho riscontrato problemi.

sampei.nihira
23-06-2008, 19:50
Ti posso dire che fra beta 2 e beta 3 non ci sono update di codice, praticamente hanno solo cambiato il nome del prodotto. Inoltre la beta3 non è stata rilasciata ancora in inglese. Quindi o usi la 3.41 oppure la 4.0 beta 2. Nella 4.0 è stato introdotto un modulo sandbox, oltre ad aver aumentato la profondità di controllo del programma. Uso per i miei test in VM la beta2 da quando è uscita, e fino ad ora non ho riscontrato problemi.

OK ricevuto !! ;)

commi
23-06-2008, 22:54
Outpost e ProSecurity li superano tutti e 5
ProSecurity però supera il rootkit2 solo dopo aver aggiunto la regola relativa ai file *.sys_old....

commi
23-06-2008, 23:48
Test con SSM 2.0.8.585 free:

http://img526.imageshack.us/img526/2/screenshottestjw4.th.jpg (http://img526.imageshack.us/my.php?image=screenshottestjw4.jpg)

Risultato leggermente diverso da quello riportato da Erreale, visto che al BITS test SSM "sembra" vulnerabile (le virgolette stanno a significare "spero in una smentita").

N.B: test eseguito con SSM con la configurazione di default, senza alcuna regola aggiuntiva.

sampei.nihira
24-06-2008, 17:39
Test con SSM 2.0.8.585 free:

http://img526.imageshack.us/img526/2/screenshottestjw4.th.jpg (http://img526.imageshack.us/my.php?image=screenshottestjw4.jpg)

Risultato leggermente diverso da quello riportato da Erreale, visto che al BITS test SSM "sembra" vulnerabile (le virgolette stanno a significare "spero in una smentita").

N.B: test eseguito con SSM con la configurazione di default, senza alcuna regola aggiuntiva.

Erreale ha inserito il risultato della versione PRO,non quella free !! ;)
Sono 2 versioni differenti.

Ti ringrazio molto per questo test !!

commi
24-06-2008, 19:46
Erreale ha inserito il risultato della versione PRO,non quella free !! ;)
Sono 2 versioni differenti.
Ho eseguito il test anche con SSM Pro 2.4.0.621 beta (ultima versione disponibile) ed i risultati sono identici alla versione free.

Ti ringrazio molto per questo test !!
Di nulla, figurati.;)

nV 25
24-06-2008, 20:18
ProSecurity però supera il rootkit2 solo dopo aver aggiunto la regola relativa ai file *.sys_old....
di default :read: PS è impostato in modo tale da coprire i .sys in %system32% contro tentativi di scrittura(=alterazione)/creazione/cancellazione...

Per prevenire allora *QUALSIASI* manipolazione all'interno di questa cartella (prescindendo anche dal tipo di estensione del file stesso), è sufficiente tradurre in regola l'assunto di cui sopra creando una banale regoletta che dica che INDIPENDENTEMENTE dal tipo di file che dovrà essere creato, modificato [...] all'interno di %system32% quell'azione dovrà (ALMENO) produrre un pop-up di avviso...



+ difficile a dirsi che non a farsi (grado di difficoltà in una scala da 0->10: 1...)

Anche perchè uno non è che possa star li' a prevedere le n possibili fattispecie di file creabili, ecc...

Anzi, invece che coprire la SOLA cartella %system32%, consiglierei di andare a ritroso e coprire direttamente TUTTA la cartella di windows visto che non è la sola system32 ad essere "cartella critica"...


Per chi chiedeva di EQS che non passa il test di Comodo, ho l'impressione che anche qui ci sia un problema analogo e che (di default...) sia coperta solo la creazione di file .sys (in system32) tralasciando tanto la modifica dei .sys stessi quanto eventuali altre estensioni....



A proposito di PS, cmq, aggiungo che, proprio per rispondere maggiormente ai bisogni dei meno tecnici (come me, ad es..), avrò segnalato almeno 100 volte la necessità di estendere le aree protette di default...ma sotto questo profilo non sono mai stato preso seriamente in considerazione..

commi
25-06-2008, 19:27
di default :read: PS è impostato in modo tale da coprire i .sys in %system32% contro tentativi di scrittura(=alterazione)/creazione/cancellazione...
Infatti, nella fattispecie a cui facevo riferimento (rootkit 2 test) PS in configurazione "base", senza l'aggiunta della regoletta non supera il test :read:


Per prevenire allora *QUALSIASI* manipolazione all'interno di questa cartella (prescindendo anche dal tipo di estensione del file stesso), è sufficiente tradurre in regola l'assunto di cui sopra creando una banale regoletta che dica che INDIPENDENTEMENTE dal tipo di file che dovrà essere creato, modificato [...] all'interno di %system32% quell'azione dovrà (ALMENO) produrre un pop-up di avviso......
D'accordo, ma credo che, ad es., in caso di installazione di un software poco conosciuto, i pop-up che ne scaturirebbero potrebbero essere un pò troppi, il che, alla lunga, potrebbe far abbassare il "livello di attenzione" anche di un utente non appartenente alla fascia "punta e clicca".


Anzi, invece che coprire la SOLA cartella %system32%, consiglierei di andare a ritroso e coprire direttamente TUTTA la cartella di windows visto che non è la sola system32 ad essere "cartella critica"...
.... pop-up aumentati in modo esponenziale, con conseguente maggiore probabilità di dare il permesso ad un file potenzialmente pericoloso.



A proposito di PS, cmq, aggiungo che, proprio per rispondere maggiormente ai bisogni dei meno tecnici (come me, ad es..), avrò segnalato almeno 100 volte la necessità di estendere le aree protette di default...ma sotto questo profilo non sono mai stato preso seriamente in considerazione..
Forse è proprio per quello che dicevo poc'anzi che questa funzionalità non è stata implementata (imho)..... sai la rottura a veder comparire, durante l'installazione di un software, un pop-up ogni 2 secondi ?

leolas
25-06-2008, 19:55
Forse è proprio per quello che dicevo poc'anzi che questa funzionalità non è stata implementata (imho)..... sai la rottura a veder comparire, durante l'installazione di un software, un pop-up ogni 2 secondi ?

in molti programmi esistono le cosidette "installation mode" ;)

nV 25
25-06-2008, 20:11
.. sai la rottura a veder comparire, durante l'installazione di un software, un pop-up ogni 2 secondi ?
non per polemizzare, ma se si sapessero usare a dovere gli strumenti che questo software mette a disposizione, vedresti che anche in caso di set-up avresti il n° di pop-up...che decidi te....:read:

Entra nel pannello di cfg dell'installing mode e taralo sulle tue necessità e poi mi fai risapere se rilevi di nuovo la storia degli avvisi ogni 3x2...:fiufiu:

Perchè si, al contrario degli altri, PS permette anche di personalizzare il tipo di modalità di installazione che si desidera rendere attiva proprio per tenere sotto controllo quello che accade in seno alla propria macchina durante questo lasso di tempo....


Tanto per cambiare, un valore aggiunto niente male...

ES:

http://img364.imageshack.us/img364/7966/snap2cy0.th.jpg (http://img364.imageshack.us/my.php?image=snap2cy0.jpg)

L'immagine sopra mostra un'ipotesi di settaggio che è possibile attribuire al processo di installazione ( installing mode).
Indipendentemente dal tipo di restrizioni definite per le macro aree file (cartelle), chiavi di registro, [..], se si settano su "prompt for action" (da scheda applicazioni...) le voci che, nell'immagine, sono su "NO LEARN", anche là dove si fosse in modalità installazione il programma restituirebbe specifici avvisi ogni qual volta si incontrassero quei tipi di eventi ma si mitigherebbero tutti i pop-up relativi agli eventi per i quali è stato espressamente dato disco verde (ad es, del tipo creazione di file/cartelle che è impostato infatti su "the target object"...)

Questo perchè le disposizioni attribuite nel pannello di configurazione avanzata relativa all'installing mode bypassano le specifiche restrizioni delle macro-aree definite poc'anzi (a patto che queste disposizioni siano ovviamente del tipo: OK, impara..)




Mi spiego meglio:
prendiamo la voce injecting thread e accessing protected files/folders della foto sopra.

injecting thread (A) settato su no learn, accessing protected files/folders (B) su the taget object.

A,B inoltre, devono produrre un avviso (sono settati su prompt for action nella scheda avanzate).


Inizia il Set-up -> ho l'installing mode come da screen ->

si verifica l'evento B -> PS apprende senza chiedere (solo quelli che sono cmq i file invocati nel set up stesso...)
si veifica l'evento A -> (ero su NO LEARN e, quindi) PS produce un allarme anche se ho attivo l'instaling mode....


Dimenticavo di aggiungere che anche qui, di default, PS è settato per apprendere tutto sia in modalità apprendimento che installazione lasciando all'utente il compito di definire il tipo di politica da adottare..

Lacuna?
Per me anche in questo caso la lettura è quella di "max grado di flessibilità"...

leolas
25-06-2008, 20:26
non per polemizzare, ma se si sapessero usare a dovere gli strumenti che questo software mette a disposizione, vedresti che anche in caso di set-up avresti il n° di pop-up...che decidi te....:read:


usare gli hips non è mica semplice purtroppo, uso OA da ottobre e quasi ogni giorno scopro qualcosa di nuovo :stordita:

e quando avevo provato ad usare un hips la prima volta, l'avevo disinstallato dopo 10 minuti :asd:

nV 25
25-06-2008, 20:34
per carità....

Mai detto che, se usato in maniera profonda, questa rel di PS è alla portata della massa..


Ricontrollando il post, cmq, ho dimenticato di dire che l'es. che ho fatto è ovviamente valido ANCHE nell'ipotesi di protezione dell'intera cartella di windows ecc ecc...

Anche perchè questo era l'assunto di partenza (e cioè il fatto che fosse poco pratico se si doveva installare un software nuovo)...

Va da se, cmq, che se devo fare un set-up di un programma di cui sono strasicuro circa la sua bontà, PS è disattivato...

Questo, a casa mia...


*EDIT*
ho modificato il post sopra cosi' tutto dovrebbe essere più chiaro...

leolas
25-06-2008, 20:53
per carità....

Mai detto che, se usato in maniera profonda, questa rel di PS è alla portata della massa..


Ricontrollando il post, cmq, ho dimenticato di dire che l'es. che ho fatto è ovviamente valido ANCHE nell'ipotesi di protezione dell'intera cartella di windows ecc ecc...

Anche perchè questo era l'assunto di partenza (e cioè il fatto che fosse poco pratico se si doveva installare un software nuovo)...

avevo intuito ;)

Va da se, cmq, che se devo fare un set-up di un programma di cui sono strasicuro circa la sua bontà, PS è disattivato...

Questo, a casa mia...

idem per me :D
per alcuni setup metto l'hips in learning mode o lo disattivo proprio ;)

BTW, secondo te due hips insieme vanno in conflitto? :confused:

nV 25
25-06-2008, 20:54
BTW vado a vedere la partita e torno dopo...:p


Finita la partita (sigh) e provvedo ad editare questo post..
Come la vedo?

Una GRAN °||°-ata per n motivi...

2 hips appartenenti a famiglie diverse, invece, potrebbero andar bene (almeno sulla carta...)

leolas
25-06-2008, 20:57
BTW vado a vedere la partita e torno dopo...:p

:asd: a più tardi, allora :D

sampei.nihira
25-06-2008, 21:51
Uso un HIPS da pochi giorni.
Ho scelto EQS,anche grazie ai consigli avuti in questo 3D,perchè è free e più leggero dei restanti prodotti che avevo preso in esame.

A me sembra molto semplice da usare........:boh:
Naturalmente sono il meno indicato a riferire una siffata "impressione".
Non sento il bisogno (almeno attualmente) di modificare i settaggi di default perchè abbino anche la riduzione dei privilegi in fase di navigazione.

Devo ammettere che ho installato un HIPS per la continua epidemia di siti infetti ed il recente bypass di Returnil (che usavo e continuo ad usare).

Mi chiedo quando/se apparirà nello scenario un nuovo malware in grado di bucare contemporanamente vari HIPS + vari System Virtual.

E cosa escogiteremo in tal caso.......:confused:

commi
25-06-2008, 23:57
e quando avevo provato ad usare un hips la prima volta, l'avevo disinstallato dopo 10 minuti :asd:
Era proprio quello a cui volevo arrivare: visto che PS è un software a pagamento, presumo che nelle intenzioni del suo "creatore" ci sia stata, tra le altre (e come logico che sia) anche quella di fare un pò di soldini....
Pertanto, credo che per coloro che si avvicinano per la prima volta a questo software e ne scaricano la versione trial, possa essere un attimino controproducente il fatto che questo produca una serie di pop-up di allarme (derivanti da una maggiore copertura delle aree sensibili del s.o., come richiesto da nV25) e, di conseguenza, può accadere quello che ha riportato leolas: il software non viene più acquistato.


Comunque, a scanso di equivoci (e, soprattutto, per non "turbare" nV25), chiarisco che, nonostante qualche piccolo bug di "giovinezza" (che però non riguarda essenzialmente l'aspetto della sicurezza), ritengo PS un gran bel prodotto, con possibilità di personalizzazioni davvero notevoli, prima fra tutte
(per me che uso SSM e che non ha questa funzione) quella del controllo (appunto....) sui file.
Spero che il progetto non venga abbandonato, visto che il "papà" di PS sembra essere in "pausa di riflessione" (ma si auspica di "sviluppo").
Ma su quest'ultima faccenda nV25 può essere senz'altro più preciso.

P.S.: l'unica pecca che ho potuto riscontrate sul mio pc (ne ho fatte di prove...dipenderà senz'altro da me che sono "poco tecnico") è quella di non essere riuscito a far rilevare da PS il tentativo di accesso al disco a basso livello da parte di SpywareBlaster (come già riportato in altro 3d:
http://www.hwupgrade.it/forum/showthread.php?t=1696613&page=3)
Se qualche volenteroso vuole fare anche lui un tentativo....

riazzituoi
26-06-2008, 09:38
.

sampei.nihira
26-06-2008, 15:51
Ma esiste già...


... per ora solo nella testa di Mj0011, dato che non ha rilasciato niente pubblicamente (solo alcuni screen) per motivi di sicurezza (mah!? :stordita: )

Comunque come è stato detto più volte, anche da nV 25, se il malware non viene eseguito se ne sta buono senza creare problemi (anche cs.exe :sofico: )

:D
Io sono come Santo (se scrivo la parola senza "to" viene una schifezza quindi .....perdonate) Tommaso se non vedo in pratica........ non ci credo !! ;) :p

nV 25
26-06-2008, 19:56
...e, soprattutto, per non "turbare" nV25...
il sottoscritto talvolta risulta poco cortese con le sue risposte ma non vuole togliere la parola a nessuno anche se "la campana" dovesse essere a lui avversa...

Quindi, sentiti pure "libero di turbare" e di esprimere anche opinioni contrarie alle mie visto che non sono Dio in terra...


Ti saluto..:)

nV 25
27-06-2008, 09:15
ok, mandata una mail infuocata alla ISecSoft nella quale sono andato a sottolineare quanto il suo atteggiamento "indifferente" verso sollecitazioni e quant'altro provenienti dall'esterno stiano irrimediabilmente minandone la sua credibilità...
Per non parlare dei doveri (per lo meno morali) che lo dovrebbero legare ai suoi attuali clienti (leggi, assistenza che sarebbe tenuto a fornire per problematiche inerenti il suo software...)


E' pacifico, ormai, come qui in Europa un semplice ortolano abbia una comunicazione di gran lunga superiore alla sua...

Vediamo se ne scuoto il Karma che sembra contraddistinguerlo...

Perchè anch'io mi stò cominciando a rompere gli zeri, e non lo dico tanto per le 2 licenze vitalizie che ho acquistato e che vedo alla stregua di una semplice beneficienza là dove il progetto dovesse morire....


Lo dico per una questione di correttezza che credo mi sia dovuta come cliente a meno che ragioni oggettive (salute in primis..) non ne impediscano la traduzione "in fatti", nel qual caso giustificherei...

Vediamo chi la spunta tra Nazismo di nV 25 e il Karma (Sabba) di Jie...

Vi farò sapere...

nV 25
27-06-2008, 22:28
bene, non ci crederete ma mi ha risposto...:D


L'emoticons LOL, cmq, è probabilmente l'unica cosa positiva che rinvengo nella mail che mi ha mandato....:cry:

E qui arriviamo alla bomba (o NEWS):
il codice di ProSecurity è stato ceduto a terzi (un certo sentore che qualcosa stava accadendo, cmq, l'avevo percepito quando circa 3 mesi fà mi comunicò di essere alle prese con un progetto alternativo che fosse più facilmente fruibile dalla massa...)

Ha poi aggiunto altre cose che riguardano "il nostro rapporto" e altre piccole quisquiglie...


L'unica cortesia che chiedo a questa platea è di tener gelosamente custodite queste informazioni che *NON* sono ancora reperibili ufficialmente on-line*...

Personalmente sono molto addolorato e confuso...

La mia mail di risposta, cmq, sarà volta a capire meglio in cosa consiste il suo nuovo progetto e se i nuovi programmatori siano persone capaci e in grado di portare avanti quello che si è dimostrato fin da (quasi) subito un progetto vincente per quanto mi siano già state fornite ampie rassicurazioni in proposito...

Vedremo il corso degli eventi cosa riserverà...




* per gelosamente custodite intendo di parlarne, se uno vuole, *MA SOLO* in lingua italiana evitando post su wilders o altre piazze...

commi
27-06-2008, 23:18
il codice di ProSecurity è stato ceduto a terzi
Già rabbrividisco al solo pensiero che ci sia una remotissima possibilità che lo sviluppo di PS possa essere continuato, ad es., da Symantec :eekk:

Resto sintonizzato su queste frequenze, sperando in buone nuove... visto che (purtroppo), al momento, già il sito di PS non è più raggiungibile. :eek:

riazzituoi
28-06-2008, 10:37
.

d.gordon
28-06-2008, 17:09
DEFENSEWALL
:D forse leggermente O.T. ma voglio lo stesso riportare tradotto da google il Comunicato stampa del 16 giugno 2008:
ANCHE di http://www.softsphere.com DefenseWall di tecnologie di SoftSphere - una protezione perfetta contro Rootkits quali le tecnologie di Rustock.C (Ntldrbot) SoftSphere, un'azienda di Software di antivirus, ha confermato che le ANCHE di DefenseWall assicura la protezione sufficiente contro i rootkits moderni quale Rustock.C, anche conosciuto come Ntldrbot. Rustock.C è un nuovo rootkit specializzato che incastona profondamente nel centro del sistema operativo. Con la forte crittografia basata sull'hardware del corpo del virus, questa nuova minaccia è rimanere inosservabile con la maggior parte dei prodotti di antivirus sul mercato. Dopo avere analizzato il caricatore di Rustock.C e l'effettuazione delle prove multiple sui calcolatori protettivi da DefenseWall HIPS, le tecnologie di SoftSphere conclude che il relativo prodotto di antivirus della nave ammiraglia può completamente impedire l'infezione del calcolatore con Rustock.C (Ntldrbot) e le simili minacce. Le tecnologie di SoftSphere sostiene che le ANCHE di DefenseWall assicura la protezione contro le minacce conosciute e sconosciute, che non è basata all'atto della stipulazione o l'analisi del comportamento di malware attuale. Invece, DefenseWall è sempre un punto davanti a malware, fornente ai relativi clienti la protezione contro tomorrow' minacce di s oggi. Circa le ANCHE di DefenseWall ci sono virus che non possono essere rilevati con le soluzioni tradizionali di antivirus. Celato profondamente nei internals del sistema operativo, questi virus si nascondono dal sistema operativo e tutti i programmi e servizi di utente-modo quali i programmi tradizionali dello anti-spyware e di antivirus. Questo tipo di virus è conosciuto come rootkit. La protezione di Rootkit diventa sempre più importante con i nuovi rootkits che sembrano giornalieri. I virus, lo spyware e i rootkits possono infettare facilmente i calcolatori non protetti. La difesa dinamica e le misure preventive sono una necessità assoluta per impedire l'infezione in primo luogo, poichè ottiene sempre più più difficile da rilevare e pulire questo tipo di infezione. Le ANCHE di DefenseWall (sistema di prevenzione di intrusione ospite) assicura il più facile e la protezione più certa contro malware quali i virus, lo spyware e i rootkits. Unendo il motore specializzato di protezione con il livello senza precedenti di automazione e di facilità di uso, le ANCHE di DefenseWall assicura la protezione rock-solid contro le minacce che non possono essere evitate tramite la generazione precedente di prodotti dello anti-spyware e di antivirus. Le tecnologie, sandboxing e la virtualizzazione dinamiche di protezione impiegate da DefenseWall HIPS gli rendono una vera serie next-generation di protezione, permettendo che i relativi utenti realizzino il livello elevato della protezione senza avere alcuna conoscenza speciale in virus o nella sicurezza di calcolatore. Le ANCHE di DefenseWall ha una base di dati delle firme di virus da aggiornare, così non ci sono aggiornamenti da preoccuparsi circa, nessun finestre a finestra e nessun positivi falsi. Le ANCHE di DefenseWall è semplici, certe ed indispensabili ed assicura la protezione massima intervento minimo. Circa le tecnologie di SoftSphere fondate in 2002, le tecnologie di SoftSphere è una squadra in di sviluppatori di software esperti che si specializzano nel campo di sicurezza dell'informazione. Fornendo la protezione certa contro l'esistenza e le minacce future quali i virus, lo spyware e i rootkits uniti con servizio superiore fa il relativo customers' esperienza giornaliere più sicura e più sicura. Le tecnologie di SoftSphere incoraggia gli utenti del calcolatore a verificare una versione di libera prova del relativo prodotto di nave ammiraglia, ANCHE di DefenseWall.


Ilya Rabinovich è veramente bravo e sopratutto mooolto disponibile a risolvere qualsiasi problema. Un grande!

sampei.nihira
28-06-2008, 17:30
bene, non ci crederete ma mi ha risposto...:D


L'emoticons LOL, cmq, è probabilmente l'unica cosa positiva che rinvengo nella mail che mi ha mandato....:cry:

E qui arriviamo alla bomba (o NEWS):
il codice di ProSecurity è stato ceduto a terzi (un certo sentore che qualcosa stava accadendo, cmq, l'avevo percepito quando circa 3 mesi fà mi comunicò di essere alle prese con un progetto alternativo che fosse più facilmente fruibile dalla massa...)

Ha poi aggiunto altre cose che riguardano "il nostro rapporto" e altre piccole quisquiglie...


L'unica cortesia che chiedo a questa platea è di tener gelosamente custodite queste informazioni che *NON* sono ancora reperibili ufficialmente on-line*...

Personalmente sono molto addolorato e confuso...

La mia mail di risposta, cmq, sarà volta a capire meglio in cosa consiste il suo nuovo progetto e se i nuovi programmatori siano persone capaci e in grado di portare avanti quello che si è dimostrato fin da (quasi) subito un progetto vincente per quanto mi siano già state fornite ampie rassicurazioni in proposito...

Vedremo il corso degli eventi cosa riserverà...




* per gelosamente custodite intendo di parlarne, se uno vuole, *MA SOLO* in lingua italiana evitando post su wilders o altre piazze...

Sicuramente ha ragione Bluevik gli HIPS non rendono sul mercato......

nV 25
28-06-2008, 20:28
spedita l'ultima mail...

Vedremo se mi risponde lui o il nuovo staff anche se, per ora, preferirei la prima soluzione visto che con lui avevo costruito un minimo di rapporto e, se pur in inglese scolastico, ci parlavamo abbastanza pane-al-pane/vino-al-vino...

Mi mancherà*...





* e cosi', è uscita anche una vena malinconica dalle mie ultime parole...:(

Blue Spirit
29-06-2008, 13:38
spedita l'ultima mail...

Vedremo se mi risponde lui o il nuovo staff anche se, per ora, preferirei la prima soluzione visto che con lui avevo costruito un minimo di rapporto e, se pur in inglese scolastico, ci parlavamo abbastanza pane-al-pane/vino-al-vino...

Mi mancherà*...





* e cosi', è uscita anche una vena malinconica dalle mie ultime parole...:(

argh...ti vedo davvero giù...pure la firma hai cambiato...:eek:

riazzituoi
29-06-2008, 21:39
.

nV 25
29-06-2008, 22:16
argh...ti vedo davvero giù...pure la firma hai cambiato...:eek:

bè, in fondo non è troppo lontano dal vero visto che sono un buon...mediocre (spero solo cmq in campo informatico che è un qualcosa in più di un tenero amore...)




Effettivamente l'ultima mail di Jie mi ha (quasi) strappato la lacrima:
nulla è infallibile quando altri possono giocare d'anticipo, ma i risultati che questo semplice software ha raggiunto erano a dir poco impressionanti (tanti bug, nessuno xò realmente critico per la sicurezza..)
Il tutto, costruito minuziosamente dalla pazienza certosina di 1 solo programmatore che alla fine ha mollato sfinito da uno sviluppo che ne deve aver drenato tanto risorse economiche che emotive...

BRAVO JIE, che da solo hai lottato contro l'indifferenza generale METTENDO ALLA FRUSTA fior di "factory" tracciando peraltro sistematicamente la roadmap di questo universo...

E' fuori discussione, cmq, il fatto che dopo PG ho perso anche la 2° scommessa...

Vediamo...

Per ora resto con PS a manetta poi conoscerò anche i nuovi dev della rtdefender e farò le mie scelte di conseguenza...
Anche loro, infatti, dovranno capire che sono un cliente parecchio rognoso che peraltro le cose non le manda a dire ma che rompe le pelotas a go-go se qualcosa non gli sfagiola...

sampei.nihira
30-06-2008, 08:45
Ieri sera ho fatto un test curioso.
Lo metto alla vostra attenzione.

Ho approfittato del fatto che ANTIVIR ieri sera (anche adesso) identificava il trojan del sito internet vvv.controlpage.info e ho fatto una serie di prove per stressare i software.

Ho aperto il sito con Opera ed ecco il primo avvertimento JAVA che si evidenzia sempre.
Sia rispondendo "accetta" che "rifiuta" interviene sempre il guard di AVIRA.

http://img32.picoodle.com/img/img32/4/6/29/t_Antivir2m_7c43997.jpg (http://www.picoodle.com/view.php?img=/4/6/29/f_Antivir2m_7c43997.jpg&srv=img32)

Nel caso l'antivirus NON riconosce il trojan interviene l'HIPS:

http://img27.picoodle.com/img/img27/4/6/29/t_Antivir1m_d735070.jpg (http://www.picoodle.com/view.php?img=/4/6/29/f_Antivir1m_d735070.jpg&srv=img27)

Quando l'antivirus riconosce il trojan appare il solito pop-up di Antivir:

http://img29.picoodle.com/img/img29/4/6/29/t_Antivir3m_37eb266.jpg (http://www.picoodle.com/view.php?img=/4/6/29/f_Antivir3m_37eb266.jpg&srv=img29)

Naturalmente sempre sotto il controllo dell'HIPS.

Mi sono chiesto ma aprendo e chiudendo in continuazione il sito in questione e naturalmente rispondendo sempre "DENY ACCESS" ci sarà un momento in cui antivirus e HIPS possono entrare in conflitto e quindi annullare un'azione protettiva a vicenda ?

In teoria NO !!

Non ho preso appunti e quindi non sò quante volte ho aperto e chiuso il sito in questione.
E naturalmente ho sempre risposto al pop-up di Avira come sopra.
Non ho mai evidenziato un pop-up di EQS come la seconda immagine.

Dopo una serie discreta di aperture (che non sò quantificare) la riprova.
Ho fatto uno scan con Antivir.

Ebbene è stato evidenziato 1 trojan.
Nessun dubbio quel...trojan !!

http://img34.picoodle.com/img/img34/4/6/30/t_Antivirm_8265a8d.jpg (http://www.picoodle.com/view.php?img=/4/6/30/f_Antivirm_8265a8d.jpg&srv=img34)

Il pc naturalmente non ha subito blocchi e freeze.

Dopo l'infezione ho provato a replicare l'accaduto ebbene......NIENTE !!
Non è passato NULLA !!

Fatalità ?

Possibilità remota ?

BOH !!

Devo ammettere che questo test ha rafforzato in me la decisione di usare in fase da navigazione il System Virtual !!

p.s naturalmente ho sempre impostato l'opzione di svuotare la cache di Opera all'uscita:

http://img34.picoodle.com/img/img34/4/6/30/t_Antivir4m_6b42745.jpg (http://www.picoodle.com/view.php?img=/4/6/30/f_Antivir4m_6b42745.jpg&srv=img34)

done75
30-06-2008, 11:07
Per ora resto con PS a manetta poi conoscerò anche i nuovi dev della rtdefender e farò le mie scelte di conseguenza...


...e dell' hips integrato nel kis 2009 che ne pensi???

mi ha impressionato favorevolmente:)

riazzituoi
02-07-2008, 16:16
.

Nuz
03-07-2008, 11:40
Sono in cerca di un Behaviour Blocker (o HIPS se preferite) free, compatibile con Vista, che abbia una "buona" blacklist in modo da sostituire completamente l'antivirus, visto l'impatto sulle risorse di questi ultimi, e senza ritrovarmi con troppi pop-up Allow-Deny. Insomma che mi avvisi sopratutto delle minacce reali, senza dover autorizzare ogni bit che si "sposta" nel pc. Come sappiamo purtroppo i test di questi software scarseggiano o non ce ne sono affatto.
Quali conoscete con le caratteristiche descritte?
Avevo inizialmente pensato a Threatfire, ma lo scanner antivirus di PCTools è piuttosto scarsino in quanto a percentuali di rilevazione e ciò mi fa dubitare sulla blacklist. Inoltre manca la possibilità di scansionare singoli file e/o cartelle.
Che ne pensate di DriveSentry 3.1? Ho letto che oltre alla blacklist ha anche una whitelist. Lo sto mettendo alla prova con il test Antivirus n.2 di SSupdater.com per vedere come si comporta*. L'ho testato con TrojanSimulator e il test di Comodo e si è comportato bene. Qualcuno lo ha provato?

:)

* Impressioni parziali: la scansione dell'archivio rar non rileva nulla :confused: , estraendone il contenuto invece la rilevazione "si sveglia" e pare anche molto buona, però la scansione è molto molto lenta, probabilmente perchè di default è impostata la quarantena automatica.
Impressioni finali: in effetti era proprio quello che dava problemi. Togliendo l'impostazione la scansione è stata rapidissima. I risultati sono molto buoni. Li ho postati qui:

http://www.hwupgrade.it/forum/showpost.php?p=23159655&postcount=7

riazzituoi
03-07-2008, 17:19
.

riazzituoi
06-07-2008, 15:40
.

sampei.nihira
07-07-2008, 11:17
Perchè non parliamo un pò di GeSWall ?
E' un IPS free ed è aggiornato alla versione 2.7.1

C'è qualcuno che lo usa ?

Potrebbe essere un buon prodotto per coloro che vogliono avvicinarsi alla protezione 0-days con un prodotto free non "eccessivamente complicato" come un HIPS.....oppure no ?

http://www.pianetapc.it/downloads.php?id=248

Lo chiedo un pò per inesperienza di questa categoria di software ed un pò perchè vedo che all'estero è un prodotto usato mentre qui da noi mi sembra un pò "sconosciuto"..........:rolleyes:

O no ? :mbe:

P.S. Ho fatto un esempio (ma ben vengano altri) che naturalmente non posso verificare perchè l'installazione del soft presuppone l'uso di un file system NTFS mentre io nel portatile uso un FAT32 !!

Nuz
07-07-2008, 11:53
Perchè non parliamo un pò di GeSWall ?
E' un IPS free ed è aggiornato alla versione 2.7.1

C'è qualcuno che lo usa ?

Potrebbe essere un buon prodotto per coloro che vogliono avvicinarsi alla protezione 0-days con un prodotto free non "eccessivamente complicato" come un HIPS.....oppure no ?

http://www.pianetapc.it/downloads.php?id=248

Lo chiedo un pò per inesperienza di questa categoria di software ed un pò perchè vedo che all'estero è un prodotto usato mentre qui da noi mi sembra un pò "sconosciuto"..........:rolleyes:

O no ? :mbe:

P.S. Ho fatto un esempio (ma ben vengano altri) che naturalmente non posso verificare perchè l'installazione del soft presuppone l'uso di un file system NTFS mentre io nel portatile uso un FAT32 !!

L'ho provato alcuni mesi fa nella VM. L'ho trovato molto semplice nell'utilizzo. Si tratta di un SandBoxes tipo Sandboxie.
Qui puoi trovare altre info:

http://wiki.castlecops.com/Lists_of_freeware_sandboxes

P.S. Nello stesso link puoi vedere che c'è anche DriveSentry che oltre a essere un SandBox è anche un Behaviour Blocker (o HIPS) e che mi sembra molto interessante.
:)

Blue Spirit
07-07-2008, 15:30
Perchè non parliamo un pò di GeSWall ?
E' un IPS free ed è aggiornato alla versione 2.7.1

C'è qualcuno che lo usa ?

Potrebbe essere un buon prodotto per coloro che vogliono avvicinarsi alla protezione 0-days con un prodotto free non "eccessivamente complicato" come un HIPS.....oppure no ?

http://www.pianetapc.it/downloads.php?id=248

Lo chiedo un pò per inesperienza di questa categoria di software ed un pò perchè vedo che all'estero è un prodotto usato mentre qui da noi mi sembra un pò "sconosciuto"..........:rolleyes:

O no ? :mbe:

P.S. Ho fatto un esempio (ma ben vengano altri) che naturalmente non posso verificare perchè l'installazione del soft presuppone l'uso di un file system NTFS mentre io nel portatile uso un FAT32 !!

lo uso io:D e forse sono l'unico del forum, dato che in passato ho chiesto info e nessuno mi ha risposto:stordita: cmq ho cominciato ad usarlo dopo che me l'aveva consigliato nv25 circa un annetto fa...che dire...lo trovo ottimo...per certi aspetti meno invasivo di sandboxie e inoltre non si lascia sfuggire nulla, non appena un qualsiasi browser o media player o reader cerca di aprirsi, ti chiede se vuoi lanciarlo in modalità isolata...d'altra parte, si beve più ram rispetto a sandboxie (circa il doppio) ed è più invasivo nel senso che è praticam impossibile disattivarlo...senza contare che marchia tutti i file modificati dalle applicazioni isolate come "restricted" però non crea una vera e propria sandbox separata e isolata come sandboxie...la cosa può piacere oppure no...per quel che mi riguarda è stata una scelta praticam obbligata dato che con sandboxie mi sono trovato maluccio, non solo perchè è più macchinoso, ma anche perchè non mi funzionava bene nè con messenger nè con IE7...e quando si è rifiutato pure di lavorare con firefox 3, ciao ciao sandboxie...cmq, non lo userei mai in ALTERNATIVA ad un hips, ma sempre in affiancamento...infatti continuo ad usare il D+ di comodo3...

Chill-Out
07-07-2008, 16:01
L'ho provato alcuni mesi fa nella VM. L'ho trovato molto semplice nell'utilizzo. Si tratta di un SandBoxes tipo Sandboxie.
Qui puoi trovare altre info:

http://wiki.castlecops.com/Lists_of_freeware_sandboxes

P.S. Nello stesso link puoi vedere che c'è anche DriveSentry che oltre a essere un SandBox è anche un Behaviour Blocker (o HIPS) e che mi sembra molto interessante.
:)

Ciao Nuz se può interessare http://www.wilderssecurity.com/showthread.php?t=209764

è un pò che seguo l'evoluzione di questo software dire che è più assimilabile ad un HIPS che a un Sandbox

Nuz
07-07-2008, 18:36
Ciao Nuz se può interessare http://www.wilderssecurity.com/showthread.php?t=209764

è un pò che seguo l'evoluzione di questo software dire che è più assimilabile ad un HIPS che a un Sandbox

Sono totalmente d'accordo. Hai fatto bene a precisarlo, da quello che ho scritto prima si poteva capire altro.
Rientra nella lista dei Sandboxes di Castelcops (http://wiki.castlecops.com/Lists_of_freeware_sandboxes) solo per una caratteristica:

DriveSentry is a fairly new entry (and it differs quite a bit from the other entries in this section as it covers *only* file/directory restrictions)

:)

sampei.nihira
08-07-2008, 16:14
http://www.wilderssecurity.com/showthread.php?t=214392

Qualche novità.......:rolleyes:

erreale
09-07-2008, 22:05
E' uscita una nuova beta di Returnil

riazzituoi
10-07-2008, 10:03
.

nV 25
19-07-2008, 21:44
L'ormai defunto brand "ProSecurity", almeno stando a quanto risulta qui! (http://www.wilderssecurity.com/showthread.php?t=215421), stà avanti (as usual...) a D+?

Muà...:rolleyes:

1° fase [si dà l'OK]:
http://img529.imageshack.us/img529/8379/53611217xb4.th.jpg (http://img529.imageshack.us/my.php?image=53611217xb4.jpg)

2° fase (parte interessante) [si NEGA]:
http://img169.imageshack.us/img169/1509/62229132qc6.jpg

3° fase [si dà l'OK]:
http://img529.imageshack.us/img529/6418/88285928jx9.th.jpg (http://img529.imageshack.us/my.php?image=88285928jx9.jpg)

[Riassunto di ciò che si è proibito]:
http://img297.imageshack.us/img297/7650/72988348td5.jpg

Risultato:
*NULLA* è invisibile a Process Explorer della Sysinternals (ora MS) nè a Taskmanager:
http://img139.imageshack.us/img139/8812/82972602gr3.jpg



Se si da invece il proprio assenso al caricamento del servizio e alle successive creazioni/scrittura nelle chiavi critiche relative ai servizi di sistema (http://img295.imageshack.us/img295/7105/6arj5.th.jpg (http://img295.imageshack.us/my.php?image=6arj5.jpg) http://img152.imageshack.us/img152/953/6bok2.th.jpg (http://img152.imageshack.us/my.php?image=6bok2.jpg) http://img295.imageshack.us/img295/9974/6cxj3.th.jpg (http://img295.imageshack.us/my.php?image=6cxj3.jpg)),
ecco che Firefox (ad es..) scompare senza (ovviamente) alcun avviso dal'HIPS...

http://img253.imageshack.us/img253/3884/24188636ki6.jpg

Enjoy! :)


EDIT:
parlando di cose serie, questo è molto interessante (no hips ma rootkit detector by EP_X0FF):
CsrWalker (http://rapidshare.com/files/130338856/cwalker.rar.html)

Link Sysinternals:
http://forum.sysinternals.com/forum_posts.asp?TID=15457&PID=74973#74973

Allo stesso modo, super-interessante è quest'altro (by a d 13):
http://rootrepeal.googlepages.com/
RootRepeal 1.0.2 (http://rootrepeal.googlepages.com/RootRepeal_1.0.2.rar)

erreale
19-07-2008, 21:55
L'ormai defunto brand "ProSecurity", almeno stando a quanto risulta qui! (http://www.wilderssecurity.com/showthread.php?t=215421), stà avanti (as usual...) a D+?

In tutta sincerità non avevo dubbi. (as usual...)

@Sirio@
20-07-2008, 12:05
Ho provato con il DEFENSE+ di Comodo. Lanciato HideProc.exe il primo avviso

http://img410.imageshack.us/img410/7745/52454661tg4.th.png (http://img410.imageshack.us/my.php?image=52454661tg4.png)

accettando l'avvio dell'eseguibile appare la seconda richiesta

http://img501.imageshack.us/img501/743/68346762jt4.th.png (http://img501.imageshack.us/my.php?image=68346762jt4.png)

HideProc.exe non può essere riconosciuto e vuole ottenere privilegi sul System Time (:boh: qualcuno sa spiegarmi che c'entra il System Time), sia dando l'assenso che negando questa richiesta il risultato non cambia.
Subito dopo ho avuto quest'ultima richiesta, la più importante,

http://img501.imageshack.us/img501/7867/69774640gt4.th.png (http://img501.imageshack.us/my.php?image=69774640gt4.png)

il pop-up dice sempre che HideProc.exe non può essere riconosciuto e vuole l'accesso al Service Control Manager. Poi viene spiegato che il Service Control Manager può essere usato per compiere operazioni privilegiate tra cui l'attribuzione di alti diritti per un'applicazione o l'installazione di drivers.
Dando l'assenso, il processo flaggato in HideProc scompare (solamente dal Task Manager, in realtà il processo rimane funzionante, viene solo nescosto).
Bloccandolo invece HideProc non riuscirà a nascondere il processo ed esso sarà sempre visibile in PE (o nel Task Manager).
L'unica cosa che mi lascia un pò perplesso è: come mai flaggando la casella in HideProc il D+ non segnala niente?

Questo è il Log del D+ con l'evento bloccato

http://img180.imageshack.us/img180/3482/62197433zo8.th.png (http://img180.imageshack.us/my.php?image=62197433zo8.png)

Ciao :p

erreale
20-07-2008, 15:24
Perchè non parliamo un pò di GeSWall ?
E' un IPS free ed è aggiornato alla versione 2.7.1

C'è qualcuno che lo usa ?

Potrebbe essere un buon prodotto per coloro che vogliono avvicinarsi alla protezione 0-days con un prodotto free non "eccessivamente complicato" come un HIPS.....oppure no ?

http://www.pianetapc.it/downloads.php?id=248

Lo chiedo un pò per inesperienza di questa categoria di software ed un pò perchè vedo che all'estero è un prodotto usato mentre qui da noi mi sembra un pò "sconosciuto"..........:rolleyes:

O no ? :mbe:

P.S. Ho fatto un esempio (ma ben vengano altri) che naturalmente non posso verificare perchè l'installazione del soft presuppone l'uso di un file system NTFS mentre io nel portatile uso un FAT32 !!

Anche se nella scheda ho usato il termine di IPS, Geswall è più propriamente un sandbox. E per la precisione un policy sandbox: ovvero un prodotto che nega l'utilizzo, lettura, modifica di cartelle, chiavi e servizi, grazie a vere proprie policy. Più o meno come avviene nelle group policy della consolle di XP. Che in linguaggio tradotto dall'informatichese all'italiano parlato corrisponderebbe al: "questo non lo puoi fare", "questa chiavi di registro la puoi leggere e quest'altra non la puoi modificare". Altro famoso policy sandbox è l'ottimo DefenceWall. Prodotto dievrso è invece SandboxIe che arriva allo stesso scopo dei precedenti prodotti, senza utilizzare policy, ma usando un vero driver che "sandboxa" (si può dire sandboxa?;) ) il sistema e virtualizza al contempo il registro. Di fatto ogni applicazione sarà "libera" di scorrazzare" (ma sempre all'interno della sandbox) per sistema facendo più o meno quello che gli pare (molto meno e poco più). Le differenze fra i due concetti di difesa non sono poi molte. Ci sono alcuni aspetti a favore dell'uno ed a sfavore dell'altro. GW deve necessariamente partire in automatico, mentre il servizio di sandboxie può essere impostato su manuale e fatto partire all'occorrenza. Per contro GW permette una configurazione maggiore grazie anche alla gui sicuramente più curata dal punto di vista concettuale di sandboxie. Quest'ultimo a sua volta permette una gestione dei programmi installati un tantino più accorta: ad esempio è possibile impostare con pochi clik di mouse, la possibilità di accedere alla rete ai software untrusted. Cosa che in Gw si può fare solo modificando a manina le policy.

Per dirla tutta...io preferisco sandboxie, ma solo per un aspetto tecnico che amo del mio sistema e nei software che utlizzo: ovvero devo essere io a decidere quando eseguirli. Ci sono alcuni aspetti a favore dell'uno ed a sfavore dell'altro. GW deve necessariamente partire in automatico, mentre il servizio di sandboxie può essere impostato su manuale e fatto partire all'occorrenza.

Il mio xp pro sp3 si avvia e si connette utilizzando solo 6 servizi in avvio automatico. Altri 4 sono in manuale mentre gli altri sono tutti "disabled". Fw, hips ed av devono partire quando lo decido io. Si lo so: è una mania, ma non piacciono decine e decine di servizi o applicazioni che si avviano quando non serve.

nV 25
20-07-2008, 21:17
Ok...

Ho riflettuto sul senso dell'ultimo test e, specie grazie all'aiuto di un commento che ho trovato su wilders (post n°21 di Rasheed187, solito thread), è emerso tanto il mio limite (= il non sapere appieno...) quanto il bandolo di tutta la matassa.

In sostanza, gli HIPS classici (PG, PS, EQS, D+, [..], SSM(?)) *se bypassati* (= se si dà il proprio assenso al caricamento di un driver come in questo caso...) *NON* hanno alcuna funzionalità volta ad individuare il processo di mascheramento che si inizializza non appena si flagga in HideProc la casellina di un qualsiasi processo in esecuzione...

Punto.

Funzionalità che ha ThreatFire (che, per l'appunto NON E' un hips puro..) e, credo, il PDM di KIS 8 (se non ricordo male, infatti, c'era qualche voce che mi ricordava un controllo di questo tipo...)


Gli HIPS puri, infatti, devono giocare sulla PREVENZIONE (e in questo caso, il tasso di successo è 100% [at least for PS..]) e non curarsi su cosa potrebbe accadere in seno al Pc *per tutte le altre fasi POSTE A VALLE* del controllo a monte operato dall'hips stesso (esula infatti dai suoi compiti se il filtro è posto in cima a tutta la catena degli eventi...)*


Ho sbagliato io a non capire al volo questo test e a proporlo...




A questo punto, per completezza, sarebbe interessante se qualcuno con KAV/KIS 8 potesse fare una prova per vedere se ricordo bene...



*siccome è possibile che non si capisca una mazza di quello che voglio dire, ricorro ad un semplice esempio condito da notevoli licenze poetico-informatiche...:D

Pensiamo ad un sistema condito da una marea di punti di criticità ciascuno operante, xò, in momenti (=tempi) diversi.
Se in questa sequenza temporale mi focalizzo SOLO su alcuni punti critici perchè consapevole che saranno SEMPRE anteriori ad altri, è inutile soffermarsi su tutte le fasi a valle coprendo di conseguenza l'intero ventaglio di criticità...

Banale....

Se quindi si bypassano di proposito tutti i controlli dell'hips (l'esecuzione, il caricamento librerie ecc..), è inutile poi lagnarsi delle conseguenze visto che l'ALLARME lo avevamo abbondantemente avuto...

Nel mio es, allora, il "lagnarsi" è il veder "sparire un processo" dopo che ho dato l'OK di proposito ai 100 pop-up precedenti...

Lineare...

I BB, invece, (PDM/TF/MAMUTU..), funzionando su binari parzialmente diversi, è logico e auspicabile che tengano in considerazione una sequenza di eventi flaggati come (potenzialmente) pericolosi...

Insomma, sarà ma per me la filosofia di fondo è veramente semplice...

Altro famoso policy sandbox è l'ottimo DefenceWall..
aimè, almeno a casa mia (VM..) c'è un rootkit che se lo dipana (=non lo contiene..):
runtime2.sys- famiglia Cutwail (http://ca.com/securityadvisor/virusinfo/virus.aspx?ID=62470)....
Strano che Ilya non ne sia al corrente...

Avevo trovato poi una variante di Rustock.B che faceva fare la stessa figura miserrima a DW, sempre a casa mia, ovvio...

Non sono cmq mai tra le mie 4 mura (se non giusto la sera) per dedicarmi al Pc come vorrei per fare prove su prove...

sampei.nihira
21-07-2008, 11:31
Ok...

Ho riflettuto sul senso dell'ultimo test e, specie grazie all'aiuto di un commento che ho trovato su wilders (post n°21 di Rasheed187, solito thread), è emerso tanto il mio limite (= il non sapere appieno...) quanto il bandolo di tutta la matassa.

In sostanza, gli HIPS classici (PG, PS, EQS, D+, [..], SSM(?)) *se bypassati* (= se si dà il proprio assenso al caricamento di un driver come in questo caso...) *NON* hanno alcuna funzionalità volta ad individuare il processo di mascheramento che si inizializza non appena si flagga in HideProc la casellina di un qualsiasi processo in esecuzione...

Punto.

Funzionalità che ha ThreatFire (che, per l'appunto NON E' un hips puro..) e, credo, il PDM di KIS 8 (se non ricordo male, infatti, c'era qualche voce che mi ricordava un controllo di questo tipo...)


Gli HIPS puri, infatti, devono giocare sulla PREVENZIONE (e in questo caso, il tasso di successo è 100% [at least for PS..]) e non curarsi su cosa potrebbe accadere in seno al Pc *per tutte le altre fasi POSTE A VALLE* del controllo a monte operato dall'hips stesso (esula infatti dai suoi compiti se il filtro è posto in cima a tutta la catena degli eventi...)*


Ho sbagliato io a non capire al volo questo test e a proporlo...




A questo punto, per completezza, sarebbe interessante se qualcuno con KAV/KIS 8 potesse fare una prova per vedere se ricordo bene...



*siccome è possibile che non si capisca una mazza di quello che voglio dire, ricorro ad un semplice esempio condito da notevoli licenze poetico-informatiche...:D

Pensiamo ad un sistema condito da una marea di punti di criticità ciascuno operante, xò, in momenti (=tempi) diversi.
Se in questa sequenza temporale mi focalizzo SOLO su alcuni punti critici perchè consapevole che saranno SEMPRE anteriori ad altri, è inutile soffermarsi su tutte le fasi a valle coprendo di conseguenza l'intero ventaglio di criticità...

Banale....

Se quindi si bypassano di proposito tutti i controlli dell'hips (l'esecuzione, il caricamento librerie ecc..), è inutile poi lagnarsi delle conseguenze visto che l'ALLARME lo avevamo abbondantemente avuto...

Nel mio es, allora, il "lagnarsi" è il veder "sparire un processo" dopo che ho dato l'OK di proposito ai 100 pop-up precedenti...

Lineare...

I BB, invece, (PDM/TF/MAMUTU..), funzionando su binari parzialmente diversi, è logico e auspicabile che tengano in considerazione una sequenza di eventi flaggati come (potenzialmente) pericolosi...

Insomma, sarà ma per me la filosofia di fondo è veramente semplice...


aimè, almeno a casa mia (VM..) c'è un rootkit che se lo dipana (=non lo contiene..):
runtime2.sys- famiglia Cutwail (http://ca.com/securityadvisor/virusinfo/virus.aspx?ID=62470)....
Strano che Ilya non ne sia al corrente...

Avevo trovato poi una variante di Rustock.B che faceva fare la stessa figura miserrima a DW, sempre a casa mia, ovvio...

Non sono cmq mai tra le mie 4 mura (se non giusto la sera) per dedicarmi al Pc come vorrei per fare prove su prove...

Enne perdonami ma non ho capito una mazza......:D :D

Scherzo !! ;) (ma mica tanto.......:cry: )

Vediamo di capire tutti un pò meglio.

Tu saresti per consigliare agli utenti che vogliono avvicinarsi ad una soluzione HIPS di installare sia l'HIPS che scelgono,ed anche TF se non hanno installato il kav/kis.
Se invece hanno questo ultimo solleciti un test in tal senso ?

Perchè in entrambi i casi avrebbero il cu** meglio parato da eventuali involontarie cazz***.

Sicuramente non ho capito un tubo e quindi chiedo se ciò che ho riassunto è quello che volevi dire ? ;)

Un salutone e grazie per la risposta.

Ignorante Informatico
21-07-2008, 18:28
..Tu saresti per consigliare agli utenti che vogliono avvicinarsi ad una soluzione HIPS di installare sia l'HIPS che scelgono,ed anche TF se non hanno installato il kav/kis..
Anche a me par di capire la medesima cosa (spero sia così, se non altro per non avere la conferma di aver scritto una cosa (http://www.hwupgrade.it/forum/showpost.php?p=23364242&postcount=2997) insensata :D).

nV 25
21-07-2008, 19:45
gli ultimi 2 interventi denotano in effetti come non si sia capito nulla di quello che ho voluto dire...


Quello che secondo le parole di sampei consiglierei, inoltre, è pura fantasia (francamente non mi raccapezzo neppure sul passo del mio intervento che avrebbe fatto nascere questa conclusione...)

Se ho tempo, vedrò di spiegarmi ulteriormente ma per ora si è completamente fuori...

Senza offesa...

Ignorante Informatico
21-07-2008, 19:53
..Senza offesa...
E chi si offende... io non capisco queste cose per diritto di natura :)

nV 25
21-07-2008, 23:11
Stringendo:

1°) non pensavo di risultare cosi' ermetico...
2°) per quanto non mi addentri nei meandri del problema che è cosa ben più grande di quanto io sia in grado di esprimere, vorrei limitare il più possibile figure meschine nella malaugurata ipotesi in cui qualcuno più tecnico dovesse leggere i miei commenti...
2a) o si capisce pertanto quello che voglio dire o sarà eventualmente compito di altri far arrivare il mio messaggio...
3°) [ma non ultimo], si prega di non dare LETTURE FORZATE a quanto a momenti vado a dire...


La storia:
a seguito di un recente thread che ho rintracciato su wilders, ho provato anch'io a vedere cosa succedeva sul mio Pc se sottoposto alla stessa "pressione" evidenziata nella discussione cui facevo cenno...

Ho mal interpretato, xò, quello che quella pressione comportava arrivando di conseguenza a trarre conclusioni scorrette.

In una CATENA DI EVENTI, infatti, ci sono appunto situazioni che a livello temporale si sviluppano IN SEQUENZA (dunque, prima una poi l'altra...) E **NON** CONTEMPORANEAMENTE.

Se questi eventi, oltre che situazioni che si producono, le vedessi come CRITICITA', invece che catena di eventi avrei....una catena (o insieme...) di CRITICITA'...

Criticità che, come tali, meriterebbero di essere monitorate...

ORA:

il fine di un hips puro NON E' controllare (cosa forse impossibile) ogni singolo evento MA SOLO gli eventi che, nella catena cui facevo cenno, si sviluppano PRIMA di altri e che, al contempo, sono RITENUTI ESTREMAMENTE DELICATI perchè vanno ad aprire (se autorizzati) una serie di BRECCE...

Questi eventi particolarmente delicati si sviluppano [quasi] SEMPRE e A MONTE cmq di tutta la catena...


Un pò come un fiume che sgorga SEMPRE da una sorgente e che segue SEMPRE il suo corso fino al mare...


Io, almeno, un fiume che nasce dal mare e arriva fino all'Abetone non l'ho mai visto...


L'hips, quindi, si concentra *SOLO* su questi eventi trascurando ciò che avviene a valle di tutta la catena...

Il fiume, dunque, è come se avesse delle chiuse nel suo percorso verso il mare...

Se non si controlla il livello dell'acqua e si tengono le chiuse APERTE, va da se che la possibile inondazione... me la sono un pò cercata, o no?

Il cercarsela, allora, è l'autorizzare tutti gli eventi che porteranno il programmino [HideProc] a caricare il suo driver, ecc ecc..



Un hips anomalo come il comportamentale, invece, funziona su binari leggermente diversi ed è forse per questo che produce il tanto agognato allarme del "mascheramento del processo" dal Taskmanager...

Piove-> cresce il livello dell'acqua nel fiume-> alla prima diga registrano l'innalzamento del livello ma lasciano passare-> la portata dell'acqua cresce anche in corrispondenza della 2° diga-->> si decide per chiudere la chiusa della diga 1 e quella della diga 2 tentando di contenere il tutto...


+ o -, e con molte licenze poetiche, questo è il nocciolo...

O si capisce...


Giudicare quindi PS, o EQS, o che sò io, perchè non riesce a vedere il mascheramento QUANDO SI E' PRECEDENTEMENTE AUTORIZZATO tutti gli eventi che PORTERANNO a celare il processo, è ILLOGICO...


E io, ammetto, c'ero caduto come un piccione...



Consiglierei quindi qualcosa?
E da dove dovrebbe emergere?

Ho solo tentato (a fatica) di spiegare come mai 2 cose funzionino IN MODO DIVERSO senza dare giudizi circa la > o < bontà di un approccio anche se il mio pensiero in proposito, dopo circa 3 anni, dovrebbe essere abbastanza chiaro...

@Sirio@
22-07-2008, 10:03
Allora anche io avevo una concezione sbagliata dell'HIPS "puro", mi aspettavo (penso sia logico per una persona non tecnica come me), che alla spunta in HideProc l'HIPS segnalasse l'evento, e solamente grazie alle tue deduzioni/spiegazioni (imo senza metafore sei più chiaro :sofico:) ho capito quanto ignoravo.
Per me non hai sbagliato a proporre il test.... anzi, questi post sono stati illuminanti.
Appena posso rifaccio il test e lo posto in maniera più seria.
Saluti.:)

sampei.nihira
22-07-2008, 21:44
Questa sera ho fatto un test in un sito infetto in modo cronico.

Il trojan del sito è riconosciuto dal mio antivirus cioè AVIRA.
Con antivirus attivo c'è un avviso JAVA e poi l'intervento solito dell'antivirus.

Ho voluto simulare l'apertura di un sito infetto non riconosciuto dall'antivirus quindi ho disattivato l'ANTIVIR GUARD ENABLE.
Appare come al solito il pop up java:

http://img32.picoodle.com/img/img32/4/7/22/t_antivirusm_07a4457.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_antivirusm_07a4457.jpg&srv=img32)

Ho premuto "RIFIUTA" nessun intervento dell'HIPS.
Poi ho proceduto ad uno scan con AVIRA,risultato pulito.

Poi ho aperto nuovamente il sito infetto,sempre ad antivirus disattivato ed all'apparire del pop up JAVA ho premuto "ACCETTA".
Sempre con ANTIVIR GUARD DISATTIVO.
Si è evidenziato l'intervento dell'HIPS.
Ho premuto blocca:

http://img28.picoodle.com/img/img28/4/7/22/t_Antivirus1m_6cbdac5.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_Antivirus1m_6cbdac5.jpg&srv=img28)

Poi ho fatto uno scan successivo:

http://img29.picoodle.com/img/img29/4/7/22/t_Antivirus2m_20021b2.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_Antivirus2m_20021b2.jpg&srv=img29)

Il processo è stato bloccato ma lo scan mette in evidenza in modo inequivocabile la presenza del virus.
Il log di hijackthis è pulito.
Del resto era prevedibile:

In ogni caso, per quanto riguarda root kit e Trojan, il software non ha mancato un colpo, coprendo senza il minimo problema tutte le aree interessate dalle attività virali: cartelle di sistema e cartelle temporanee di Windows vengono monitorate e chiuse, le prime alla scrittura e le seconde all'esecuzione, senza nemmeno formulare domande all'utente; il registro viene protetto da tutti gli attacchi possibili e anche i rootkit trovano un muro di cemento armato, contro cui possono solo battere la testa.

Buona parte dei processi virali rimane comunque in esecuzione, benché i suoi effetti siano negati, e basta un semplice riavvio per poterli dimenticare. Al resto ci pensa Eqsecure.

I test parte 2
Anche dopo un assalto combinato di tutti i malware, i log di hijackthis e gmer risultano molto puliti e, a parte un file missing di un file non scritto, non c'è la benché minima traccia di un'attività virale in corso, né fra i processi in avvio automatico, né fra le impostazioni di Internet Explorer.

Fonte http://www.megalab.it/articoli.php?id=1100&pagina=2

Test fatto con Opera limitato nei privilegi.
Java e Javascript attivi,svuota cache all'uscita.
Returnil attivo.

Mi chiedo come si comporterebbe FF3 ?

p.s.

Il sito usato per il test è xxx.neurochirurghi.com/Elombare/index.htm

Se ne sconsiglia l'apertura in mancanza di adeguate protezioni.


Naturalmente il messaggio di avvertimento sopra è doveroso !!

nV 25
22-07-2008, 22:08
...Il processo è stato bloccato ma lo scan mette in evidenza in modo inequivocabile la presenza del virus...

Scusa, sampei, ma qui si è FUORI....

L'avviso che ti dà EQS è un avviso di *PRIMA ESECUZIONE* (che te hai negato...) e *NON* un avviso di *TENTATIVO DI CREAZIONE* (e scrittura...), indicatore del fatto che il file in questione [lsxcujsl.exe] è stato precedentemente scritto in quella locazione (%Documents and Settings%\..\) *SENZA* che sia intervenuto nessun tipo di filtro che ne abbia impedito la scrittura (fisica) sull'HD.

Date queste condizioni, cosa vuoi che segnali Antivir se non la presenza del malware?
Presenza che, cmq, NON E' indice di malware ATTIVO:
un malware inattivo, infatti, equivale a qualche kb di spazio occupato e basta...


Costrusici in EQS una regola che ti consenta di avere un pop-up di avviso per tentativi di creazione/scrittura per quella locazione e poi mi fai risapere se Antivir ti risegnala qualcosa....


Per cortesia, parliamo a ragion veduta, dai...

nV 25
22-07-2008, 22:14
Se un AV ha nel suo database la firma per un malware ed è dotato di WEB Antivirus, questo (idealmente) si comporta come un HIPS nudo e crudo con regola impostata di fabbrica per IMPEDIRE la CREAZIONE di quel particolare file indipendentemente da quella che sarà la sua destinazione fisica su HD...


Il processo di trasferimento dati, quindi, è interrotto subito (o quasi)..


Andiamo, su...:rolleyes:

sampei.nihira
22-07-2008, 22:15
Scusa, sampei, ma qui si è FUORI....

L'avviso che ti dà EQS è un avviso di *PRIMA ESECUZIONE* (che te hai negato...) e *NON* un avviso di *TENTATIVO DI CREAZIONE* (e scrittura...), indicatore del fatto che il file in questione [lsxcujsl.exe] è stato precedentemente scritto in quella locazione (%Documents and Settings%\..\) *SENZA* che sia intervenuto nessun tipo di filtro che ne abbia impedito la scrittura (fisica) sull'HD.

Date queste condizioni, cosa vuoi che segnali Antivir se non la presenza del malware?
Presenza che, cmq, NON E' indice di malware ATTIVO:
un malware inattivo, infatti, equivale a qualche kb di spazio occupato e basta...


Costrusici in EQS una regola che ti consenta di avere un pop-up di avviso per tentativi di creazione/scrittura per quella locazione e poi mi fai risapere se Antivir ti risegnala qualcosa....


Per cortesia, parliamo a ragion veduta, dai...

Tu dici che sia una cosa indispensabile ?

nV 25
22-07-2008, 22:37
ti propongo un semplice esempio sperando che serva a chiarirti questo discorso visto che è la 2° volta in pochi gg che posti la stessa identica cosa....


Nel tuo Pc hai 2 risorse:
Antivir + EQS (o cosi' almeno mi sembra di capire: il Firewall, cmq, in questo caso c'entra come cavoli a merenda quindi lasciamolo perdere...)

Antivir ha il modulo web AV:
in sostanza, tramite il meccanismo delle firme, ogni volta che Antivir vede un file che ha certe caratteristiche, te lo isola PRIMA che venga fisicamente scritto su HD...

Il file, quindi, NON esisterà...

Disattivi il web AV-->il file viene creato e scritto regolarmente su HD visto che EQS *NON E' SETTATO DI FABBRICA* per bloccare la creazione/scrittura di certi file in determinate posizioni dell HD..


A questo punto, interviene l'*EXECUTION CONTROL* che ti avvisa che quel nuovo file, impostato evidentemente per avviarsi non appena scritto sul disco rigido, stà per l'appunto tentando di avviarsi...

Qualche millisecondo dopo (dipende cmq da come è settato Antivir..), anche Antivir comincerà a scalpitare grazie al suo modulo real time...

Ma che è difficile da capire?


Se xò personalizzi EQS (o quello che ti pare..) per coprire determinate locazioni (nel tuo caso era %Documents and Settings%\..\), stai sicuro che anche con il modulo web AV *SPENTO* il real-time NON RILEVERA' MAI NULLA visto che, di fatto, è impedita la presenza materiale di quel file sul disco rigido....



Indispensabile?
Assolutamente no!

Un malware "spento", cmq, è come la pubblicità nella cassetta delle lettere speciale dei condomini dove nessun condomino va però a raccoglierla:
inutile, fastidiosa MA NON PERICOLOSA...

E andiamo, su...

eraser
23-07-2008, 02:01
Funzionalità che ha ThreatFire (che, per l'appunto NON E' un hips puro..) e, credo, il PDM di KIS 8 (se non ricordo male, infatti, c'era qualche voce che mi ricordava un controllo di questo tipo...)
[/SIZE]

ThreatFire, PDM e tutti quei programmi (HIPS, software di analisi comportamentale vari, altro) che includano tecnologie antirootkit.


Malware quarantine and removal, rootkit and antivirus scanner, advanced custom rules settings and more!


http://www.threatfire.com/about/

Dove antirootkit indica in questo caso la capacità del software di individuare rootkit attivi e non, come invece è inteso per software HIPS quali PS, la semplice capacità di prevenire ai rootkit di caricare i propri driver/dll.

PS: enne, ammazza quanto scrivi :D C'ho messo un bel po a legge tutto :Prrr: :)

eraser
23-07-2008, 02:16
Se xò personalizzi EQS (o quello che ti pare..) per coprire determinate locazioni (nel tuo caso era %Documents and Settings%\..\), stai sicuro che anche con il modulo web AV *SPENTO* il real-time NON RILEVERA' MAI NULLA visto che, di fatto, è impedita la presenza materiale di quel file sul disco rigido....


Non è sempre vero, non per quei malware bodyless :)

levriero
23-07-2008, 10:09
M'intrometto e non so se era già segnalato(o forse m'è sfuggito)..è disponibile la 4 di EQS(4.0beta3). Qualcuno l'ha provato? Consigliabile o meglio-come al solito-attendere la final(sempre se free^^)? La mia attuale conf.su xp sp3 è Comodo 2.4+ SSM free 2.08.585+Nod32 v.2.7 e devo dire che NON fanno per nulla a cazzotti..anzi. Da quel che ho letto EQS dovrebbe essere più leggero di SSM ed anche più efficace(?), con maggior possibilità di configurazione.Vorrei capire meglio questa possibilità di creare rules per settori di cui parla nv 25 e l'efficacia...thks^^

sampei.nihira
23-07-2008, 17:12
@ ENNE

http://img37.picoodle.com/img/img37/4/7/23/t_EQSm_915d18e.jpg (http://www.picoodle.com/view.php?img=/4/7/23/f_EQSm_915d18e.jpg&srv=img37)

Pazientate per l'immagine.....
Fatto.
Ho creato una regola per la cartella (DaS) che contiene quella incriminata.
Adesso in caso di creazione del file vengo allertato e posso premere block.

"Uso" un HIPS da pochissimo e naturalmente non ho la tua esperienza.

Contenuto Editato per nuova situazione che rende impossibile fare un confronto con la prova di ieri sera.

@Sirio@
23-07-2008, 17:26
Questa sera ho fatto un test in un sito infetto in modo cronico.

Il trojan del sito è riconosciuto dal mio antivirus cioè AVIRA.
Con antivirus attivo c'è un avviso JAVA e poi l'intervento solito dell'antivirus.

Ho voluto simulare l'apertura di un sito infetto non riconosciuto dall'antivirus quindi ho disattivato l'ANTIVIR GUARD ENABLE.
Appare come al solito il pop up java:

http://img32.picoodle.com/img/img32/4/7/22/t_antivirusm_07a4457.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_antivirusm_07a4457.jpg&srv=img32)

Ho premuto "RIFIUTA" nessun intervento dell'HIPS.
Poi ho proceduto ad uno scan con AVIRA,risultato pulito.

Poi ho aperto nuovamente il sito infetto,sempre ad antivirus disattivato ed all'apparire del pop up JAVA ho premuto "ACCETTA".
Sempre con ANTIVIR GUARD DISATTIVO.
Si è evidenziato l'intervento dell'HIPS.
Ho premuto blocca:

http://img28.picoodle.com/img/img28/4/7/22/t_Antivirus1m_6cbdac5.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_Antivirus1m_6cbdac5.jpg&srv=img28)

Poi ho fatto uno scan successivo:

http://img29.picoodle.com/img/img29/4/7/22/t_Antivirus2m_20021b2.jpg (http://www.picoodle.com/view.php?img=/4/7/22/f_Antivirus2m_20021b2.jpg&srv=img29)

Il processo è stato bloccato ma lo scan mette in evidenza in modo inequivocabile la presenza del virus.
Il log di hijackthis è pulito.
Del resto era prevedibile:



Fonte http://www.megalab.it/articoli.php?id=1100&pagina=2

Test fatto con Opera limitato nei privilegi.
Java e Javascript attivi,svuota cache all'uscita.
Returnil attivo.

Mi chiedo come si comporterebbe FF3 ?

p.s.

Il sito usato per il test è xxx.neurochirurghi.com/Elombare/index.htm

Se ne sconsiglia l'apertura in mancanza di adeguate protezioni.


Naturalmente il messaggio di avvertimento sopra è doveroso !!


Ho provato anche io... non sono riuscito :( perchè ho tutti i browser aggiornati.
:O Con K-Meleon 1.1.6 non appare nemmeno la finestra di richiesta Java... sembra inattaccabile, "ermetico" :D.

Con Internet Explorer 7 ho provato ad installare l'ActiveX ma l'installazione non va a buon fine perchè l'autore non è riconosciuto.

In sostanza non ho avuto nessuna richiesta dal D+ e nessun avvertimento da AntiVir :sob:

sampei.nihira
23-07-2008, 18:14
Ho provato anche io... non sono riuscito :( perchè ho tutti i browser aggiornati.
:O Con K-Meleon 1.1.6 non appare nemmeno la finestra di richiesta Java... sembra inattaccabile, "ermetico" :D.

Con Internet Explorer 7 ho provato ad installare l'ActiveX ma l'installazione non va a buon fine perchè l'autore non è riconosciuto.

In sostanza non ho avuto nessuna richiesta dal D+ e nessun avvertimento da AntiVir :sob:

Ho letto solo adesso.
Ho provato anche io.
Con regole eliminate in via precauzionale.

In effetti (attualmente) nessun avviso dal modulo GUARD di AVIRA.......:mbe:
Ieri sera invece c'erano eccome !!!

p.s.

Fatto adesso:

http://img27.picoodle.com/img/img27/4/7/23/t_Scanm_afd310c.jpg (http://www.picoodle.com/view.php?img=/4/7/23/f_Scanm_afd310c.jpg&srv=img27)

nV 25
23-07-2008, 19:53
@ eraser:
è sempre un'onore leggerti...

...enne, ammazza quanto scrivi :D C'ho messo un bel po a legge tutto :Prrr: :)
sapevo che eri un tipo paziente e mi sono lasciato un pò andare...:p

Non è sempre vero, non per quei malware bodyless :)

avevo specificato, infatti, che sarei stato di proposito lacunoso e serioso visto che volevo "limitare il più possibile figure meschine nella malaugurata ipotesi in cui qualcuno più tecnico dovesse leggere i miei commenti"...

Te, appunto, sei l'incomodo di turno che ride alle mie spalle...:incazzed:

:D

Interessante cmq il tuo appunto, anzi:
se puoi, approfondisci...

L'execution control, cmq, rimane fermo anche in quel caso visto che non ho mai visto un malware avviarsi per osmosi/forza del pensiero...:D

...
Adesso in caso di creazione del file vengo allertato e posso premere block.
[allargameno mode on] perchè, avevi dei dubbi a riguardo? :mbe: [allargameno mode off]
Non piace perchè adesso sia che L' "antivir guard enable" è attivo o disattivo interviene sempre l'HIPS.
In esclusiva.

Muààà :rolleyes:

Allora perseveri a non capire il significato di "a valle/a monte"...

EQS ti avviserà *sempre e comunque*, anche se Antivir dovesse cannare...e, certamente, prima di Antivir..

Ti avvisa, ti permette di scegliere se creare & scrivere e, come se non bastasse, di scegliere se eseguire..

INDIPENDENTEMENTE da quanto dice Antivir..

Te, con quel file, hai poi la possibilità (prima di eseguirlo...) di processarlo su Virustotal o di lasciarlo "fermentare" (si, come il vino..) per vedere se (per caso..) il giorno successivo dovesse cambiar qualcosa in termini di "verdetto"...


Insomma, e senza offesa/con tutto il mio affetto, STUDIA di più che a settembre ci sono gli esami di riparazione...:D




Amici, cmq...:flower:

:)

sampei.nihira
23-07-2008, 20:12
@ Enne

Certo che devo studiare !!
L'argomento di questo 3D è materia tua io sono l'ultimo arrivato !! :D

C'è tempo non mi corre dietro nessuno ed io sono un tipo ostinato !! ;)

p.s. Anche se mi chiedo chi me lo fà fare (se non un certo grado di masochismo e curiosità forse.....) visto che ormai linux è su 3/4 dei miei pc.

Grazie di tutto !!

nV 25
23-07-2008, 20:18
...HideProc.exe non può essere riconosciuto e vuole ottenere privilegi sul System Time...

Subito dopo ho avuto quest'ultima richiesta, la più importante,
...
IMO, sul system time vai (quasi) sicuro che D+ "svagella"...[ricordi quando in tempi non sospetti dissi che D+ identificava la quasi totalità dei processi come processi aventi caratteristiche di Keylogger/Rootkit, problema (per fortuna...) corretto poi in una delle sue ultime rev.?

.
Dando l'assenso, il processo flaggato in HideProc scompare...
Bloccandolo, invece, HideProc non riuscirà a nascondere il processo ed esso sarà sempre visibile...
L'unica cosa che mi lascia un pò perplesso è: come mai flaggando la casella in HideProc il D+ non segnala niente?

Ma scusa, ma se l'ho spiegato qualche post fà?? :muro:
Ma allora proprio si fa finta di non intendere o parlo veramente difficile...?!?:rolleyes:

Hai (praticamente) autorizzato HideProc a fare quel che gli pare!!!
(Riprendendo l'es. del fiume, hai assistito indifferente alla crescita smodata del suo livello lasciando le chiuse APERTE e alla fine ti sfavi perchè il fiume arrivato in prossimità della foce TRACIMA inondando le campagne circostanti??

L'HIPS puro, se si da l'ok a tutto, non serve ad un emerita sega...
Quindi, dov'è la perplessità dato che quando dici che il processo "scompare" hai precedentemente autorizzato proprio te (di fatto..) questo discorso?
Oltretutto ricorda che, come avevo detto all'inizio di tutta questa storia, un hips puro non ha proprio le caratteristiche per rilevare processi nascosti SE A MONTE si è autorizzato l'input che poi da origine a tutto, il caricamento di HideProcDrv.sys...

Anche te, con sampei, a studiare!!







PS:
Vi chiedo cmq scusa se in queste ultime risposte mi sono posto un attimino troppo sul piedistallo..
Diciamo che, anche se "scripta manet" e tutti possono vedere la mia [apparente] superbia verso di voi, in realtà il tutto è detto con uno spirito molto giocoso..

Non vogliatemene...

eraser
23-07-2008, 20:26
L'execution control, cmq, rimane fermo anche in quel caso visto che non ho mai visto un malware avviarsi per osmosi/forza del pensiero...:D

Un malware può non esistere assolutamente sull'hard disk, ma esclusivamente in memoria. Cosa succede se attraverso un exploit di un software viene iniettato il codice nocivo ma il payload non è quello di scrivere un malware nell'hard disk bensì esclusivamente di allocare il codice malevolo in memoria (nel contesto del processo bucato) ed eseguirlo da lì? Nessun processo viene eseguito.

Esempio di un worm bodyless: http://research.eeye.com/html/advisories/published/AL20010717.html

nV 25
23-07-2008, 20:43
..e io ti rispondo che, se il processo attaccato è attivo in memoria, l'exploit dovrà andare a modificare in una qualche maniera il suo spazio di memoria ed è proprio in quel frangente che l'hips ti dovrebbe avvisare? [ con un warning (almeno) di tipo read/write/inject process memory?
O, anche qui, c'è osmosi e il codice è iniettato per volontà divina?]

O che, pur se inattivo, se è iniettato qualcosa e il (falso) processo inizialmente pulito e con la sua bella regolina, tentando di inizializzarsi, genera un warning trovandosi con il checksum modificato?

Follie?

Cmq leggerò con calma il tuo interessantissimo contributo...

Txs..

eraser
23-07-2008, 20:55
..e io ti rispondo che, se il processo attaccato è attivo in memoria, l'exploit dovrà andare a modificare in una qualche maniera il suo spazio di memoria ed è proprio in quel frangente che l'hips ti dovrebbe avvisare? [ con un warning (almeno) di tipo read/write/inject process memory?
O, anche qui, c'è osmosi e il codice è iniettato per volontà divina?]

Potrebbe farlo, ma stavamo comunque parlando di execution control ;)


O che, pur se inattivo, se è iniettato qualcosa e il (falso) processo inizialmente pulito e con la sua bella regolina, tentando di inizializzarsi, genera un warning trovandosi con il checksum modificato?


Il checksum è calcolato alla creazione del processo, nel momento in cui il file eseguibile viene eseguito e il sistema operativo inizializza il processo. La modifica avviene in memoria, a processo già attivo, e lì rimane.

nV 25
23-07-2008, 21:13
insomma:

è chiaro che mi vai via in prima e che di fronte a te (almeno..) ho tutto da imparare...
Cosi' come era vero che stavamo parlando di execution control, pardon...


Diciamo che la cosa è molto interessante e che meriterebbe di essere sicuramente approfondita e, in qualche maniera, "rappezzata"...



Ora, se hai finito di mettermi a disagio, ritornatene nel tuo limbo a far il professore...con i professori! :D
Resto sintonizzato, cmq:

è sempre un onore e un piacere (piacere che, cmq, centellini *sempre troppo* con il misurino...:banned: )





PS:
come è possibile notare, tutti hanno il loro "settembre di riparazione"...:D

Chi viene a studiare sotto l'ombrellone con me, sampei e sirio? :help: :sofico:

eraser
23-07-2008, 21:35
Ora, se hai finito di mettermi a disagio, ritornatene nel tuo limbo a far il professore...con i professori! :D

SignorSì signore :mano: Torno a fare una cosa che forse (spero) apprezzerai tra un po di tempo :D

PS: complimenti, come sempre, per il lavoro che stai facendo :) Cavolo, mi sei migliorato in maniera esponenziale e continui ogni giorno :p

@Sirio@
24-07-2008, 10:10
Ho letto solo adesso.
Ho provato anche io.
Con regole eliminate in via precauzionale.

In effetti (attualmente) nessun avviso dal modulo GUARD di AVIRA.......:mbe:
Ieri sera invece c'erano eccome !!!

p.s.

Fatto adesso:

http://img27.picoodle.com/img/img27/4/7/23/t_Scanm_afd310c.jpg (http://www.picoodle.com/view.php?img=/4/7/23/f_Scanm_afd310c.jpg&srv=img27)



Lo screen che hai postato e la scansione della pagina web?

AntiVir: Found Nothings :wtf:

Peccato, avrei voluto provare sul campo i vari SW di sicurezza.
Ciao sampei.:)

@Sirio@
24-07-2008, 10:23
IMO, sul system time vai (quasi) sicuro che D+ "svagella"...[ricordi quando in tempi non sospetti dissi che D+ identificava la quasi totalità dei processi come processi aventi caratteristiche di Keylogger/Rootkit, problema (per fortuna...) corretto poi in una delle sue ultime rev.?

Ricordo. Quel pop-up (System Time) l'ho avuto mentre provavo su Vista, invece provando su XP oltre l'avviso per l'eseguibile ho avuto solo quello relativo al Service Control Manager. :boh:

Ma scusa, ma se l'ho spiegato qualche post fà?? :muro:
Ma allora proprio si fa finta di non intendere o parlo veramente difficile...?!?:rolleyes:

Hai (praticamente) autorizzato HideProc a fare quel che gli pare!!!
(Riprendendo l'es. del fiume, hai assistito indifferente alla crescita smodata del suo livello lasciando le chiuse APERTE e alla fine ti sfavi perchè il fiume arrivato in prossimità della foce TRACIMA inondando le campagne circostanti??

L'HIPS puro, se si da l'ok a tutto, non serve ad un emerita sega...
Quindi, dov'è la perplessità dato che quando dici che il processo "scompare" hai precedentemente autorizzato proprio te (di fatto..) questo discorso?
Oltretutto ricorda che, come avevo detto all'inizio di tutta questa storia, un hips puro non ha proprio le caratteristiche per rilevare processi nascosti SE A MONTE si è autorizzato l'input che poi da origine a tutto, il caricamento di HideProcDrv.sys...

Si si, avevo capito, e te lo avevo già scritto un paio di post dopo: #1599, ho scritto così per far capire a chi legge... per la sequenza dei post. :D
Ti avevo detto che i tuoi post sono stati illuminanti. Prima pensavo che un HIPS intercettasse ogni azione del sistema, ora ho capito che si concentra solo sui meccanismi a monte di tutto.
Tnx

Anche te, con sampei, a studiare!!

Ok prof, basta che a settembre mi promuovi :p

[...]

@Sirio@
24-07-2008, 10:26
edit

:D :D
Per quanto mi riguarda "perdo tempo" per semplice curiosità.

sampei.nihira
24-07-2008, 15:05
Si si....... tutti sotto l'ombrellone a studiare !! :D :D :D

@ Sirio

Ricambio lo ciao Sirio.;)

Sai te lo dico in un orecchio così (Enne) non ci sente....... ma in fondo Lui (notare la maiuscola) è contento che "qualche gatto in più" :D si interessi di questi "infernali aggeggi".......

:D :D

p.s. @ Sirio ho letto solo adesso (ho un pò da fare oggi e sono al pc velocemente nei ritagli di tempo ) un'altra pagina infetta.
Infetta in modo cronico come quella che ho inserito negli interventi precedenti.

xxx.controlpage.info/

Ho inviato il file al VirusScan Jotti

http://img29.picoodle.com/img/img29/4/7/24/t_scanm_c09cbdd.jpg (http://www.picoodle.com/view.php?img=/4/7/24/f_scanm_c09cbdd.jpg&srv=img29)

Ancora una volta i maggiori antivirus.........

Ho inviato adesso il file ai laboratori AVIRA.

p.s. AGGIORNAMENTO

Naturalmente il responso (non c'erano dubbi a proposito) mi è arrivato adesso via e-mail

MALWARE !!!

http://analysis.avira.com/samples/details.php?uniqueid=FFVkY55s5jYkATJrkVhEGJO8B2PAqbCS&incidentid=182576

@Sirio@
24-07-2008, 17:37
Si si....... tutti sotto l'ombrellone a studiare !! :D :D :D

@ Sirio

Ricambio lo ciao Sirio.;)

Sai te lo dico in un orecchio così (Enne) non ci sente....... ma in fondo Lui (notare la maiuscola) è contento che "qualche gatto in più" :D si interessi di questi "infernali aggeggi".......

:D :D

..lo sospettavo :D :sofico:

p.s. @ Sirio ho letto solo adesso (ho un pò da fare oggi e sono al pc velocemente nei ritagli di tempo ) un'altra pagina infetta.
Infetta in modo cronico come quella che ho inserito negli interventi precedenti.

xxx.controlpage.info/

Ho inviato il file al VirusScan Jotti

http://img29.picoodle.com/img/img29/4/7/24/t_scanm_c09cbdd.jpg (http://www.picoodle.com/view.php?img=/4/7/24/f_scanm_c09cbdd.jpg&srv=img29)

Ancora una volta i maggiori antivirus.........

Ho inviato adesso il file ai laboratori AVIRA.


E si è... anche per questa pagina stesso discorso di ieri: K-Meleon niente di niente, IE 7 non lo installa (nelle impostazioni avanzate ho provato a flaggare: consente di eseguire e installare il software anche se la firma non è valida, ma anche così niente), AntiVir muto e il D+ altrettanto.
Forse dovrei provare con IE 6..
Ciao e grazie per il link. ;)

sampei.nihira
25-07-2008, 15:36
Oggi la situazione è cambiata sicuramente per la mia segnalazione di ieri.
Sono un tipo che pensa ad alta voce e mi piace fissare sulla carta (questo 3D quindi ) i miei pensieri.
Quindi per qualcuno ciò che scrivo sarà ovvio, per qualcun'altro magari sarà interessante,non sò, io lo scrivo lo stesso !!!

All'apertura della pagina con Opera si rileva sempre il pop-up iniziale JAVA.

1) Se rispondo RIFIUTA ho (dopo un pò) un intervento in esclusiva dell'antivirus.

2) Se disabilito il guard e rispondo RIFIUTA non si evidenziano azioni ulteriori.

2a) Se disabilito il guard e rispondo ACCETTA ho naturalmente l'intervento in esclusiva di EQS.

Ma secondo me l'aspetto più interessante è a guard attivo se rispondo ACCETTA.
3) In questa fase interviene immediatamente EQS ma veramente poco tempo prima di AVIRA.
E quindi ho 2 pop up a video.

http://img26.picoodle.com/img/img26/4/7/25/t_Ernia3m_24bf196.jpg (http://www.picoodle.com/view.php?img=/4/7/25/f_Ernia3m_24bf196.jpg&srv=img26)

E' strabiliante (almeno per me) notare l'interazione tra antivirus e HIPS che cooperano per salvare il sistema da una minaccia.
Infatti ci sono delle variazioni di avvisi nel tempo in base alle risposte.
Se rispondiamo prima all'HIPS e poi all'antivirus o viceversa.

Sono proprio contento di aver installato questo software !!!

murack83pa
25-07-2008, 16:37
Salve a tutti, ragazzi

mi intrometto solo per dire una cosa (inutile, ma per me necessaria): GRAZIE!

lo dico veramente: è grazie ad utenti come voi ( Sampei, Enne e Sirio) che emerge chiaramente la vera utilità di un forum

attraverso i vostri confronti, la vostra curiosità, i vostri esperimenti e la volontà di confrontarsi, che crescete sia voi stessi (scusate la presunzione) e (sopratutto) fate "crescere" anche chi vi legge, come il sottoscritto

era tanto che nn leggevo in questo topic, e mi sono letto con calma e con molto piacere queste due pagine e ho capito un po di piu sul fantastisco mondo degli HIPS :D

mi fate venire voglia di installare un HIPS e di bloccare l'utilizzo del pc alla mia famiglia...:sofico:

@ Enne: come detto da qualcun'altro prima, imho, riesci ad essere piu chiaro anche senza usare metafore :D (mi rifersco alla metafora del fiume)

Saluti :)

sampei.nihira
25-07-2008, 17:02
Salve a tutti, ragazzi

mi intrometto solo per dire una cosa (inutile, ma per me necessaria): GRAZIE!

lo dico veramente: è grazie ad utenti come voi ( Sampei, Enne e Sirio) che emerge chiaramente la vera utilità di un forum

attraverso i vostri confronti, la vostra curiosità, i vostri esperimenti e la volontà di confrontarsi, che crescete sia voi stessi (scusate la presunzione) e (sopratutto) fate "crescere" anche chi vi legge, come il sottoscritto

era tanto che nn leggevo in questo topic, e mi sono letto con calma e con molto piacere queste due pagine e ho capito un po di piu sul fantastisco mondo degli HIPS :D

mi fate venire voglia di installare un HIPS e di bloccare l'utilizzo del pc alla mia famiglia...:sofico:

@ Enne: come detto da qualcun'altro prima, imho, riesci ad essere piu chiaro anche senza usare metafore :D (mi rifersco alla metafora del fiume)

Saluti :)

Murack ti è mai capitato dal medico tu sei l'ultimo arrivato e poi dopo di te arriva un altro paziente che chiede alla platea:

"Chi è l'ultimo ?"

Se io rispondo prima di tutti gli altri non dico IO come sarebbe giusto ma indicando il tipo che ha posto la domanda dico:

"LEI".

E' lei l'ultimo arrivato !!

:D :D

Quindi se installi l'HIPS (dai installalo) tu prendi il mio posto di ultimo arrivato.....almeno guadagno una posizione !!! :D :D ;)

Ignorante Informatico
25-07-2008, 17:04
..mi intrometto solo per dire una cosa (inutile, ma per me necessaria): GRAZIE!..
Mi accodo, con molto piacere, alle parole dell'ottimo murack83pa ;)

.."LEI".

E' lei l'ultimo arrivato !!..
Non lo fare mai: rischi la rissa!! :D

murack83pa
25-07-2008, 17:05
Murack ti è mai capitato dal medico tu sei l'ultimo arrivato e poi dopo di te arriva un altro paziente che chiede alla platea:

"Chi è l'ultimo ?"

Se io rispondo prima di tutti gli altri non dico IO come sarebbe giusto ma indicando il tipo che ha posto la domanda dico:

"LEI".

E' lei l'ultimo arrivato !!

:D :D

Quindi se installi l'HIPS (dai installalo) tu prendi il mio posto di ultimo arrivato.....almeno guadagno una posizione !!! :D :D ;)

:sbonk:

ok, ma tu quanto mi paghi? :asd:

cmq, sii fiducioso: prima o poi mi devo comprare un pc tutto mio e allora....suonerà tutt'altra musica :asd:

ciaoo:)

erreale
25-07-2008, 17:39
"Chi è l'ultimo? ... LEI"..... "E' lei l'ultimo arrivato!!"


@Sampei

Bellissima!!!!!!!!!!!!!!!!!!!!!! Da mettere in firma su un forum e/o da usare senza ritegno nella vita reale.

@Sirio@
25-07-2008, 21:49
@ Sampei

Ho provato a visitare la pagina infetta con JAVA attivo...:stordita: e guarda un pò

http://img262.imageshack.us/img262/9334/60487784ys9.th.png (http://img262.imageshack.us/my.php?image=60487784ys9.png) http://img262.imageshack.us/img262/4100/65942347ls0.th.png (http://img262.imageshack.us/my.php?image=65942347ls0.png)

ho eseguito, ed ho avuto subito l'avvertimento del mio fido programmino :D che blocca il download dei file che si vogliono intrufolare di nascosto.

http://img180.imageshack.us/img180/4007/55604685wa4.th.png (http://img180.imageshack.us/my.php?image=55604685wa4.png)

e un'attimo dopo senza aver ancora risposto ad alcun pop-up interviene anche il D+

http://img180.imageshack.us/img180/3699/86469882xo8.th.png (http://img180.imageshack.us/my.php?image=86469882xo8.png) http://img149.imageshack.us/img149/7232/47938933nk8.th.png (http://img149.imageshack.us/my.php?image=47938933nk8.png)

purtroppo mi sono dovuto fermare qui (non avevo modo di poter "Returnil" :stordita: ), sarebbe stato molto interessante (almeno per me) vedere gli altri avvisi dell'HIPS mentre si andava avanti con le autorizzazioni.

P.S. Ma perchè a me AntiVir non rileva niente? Forse non ha avuto tempo perchè ho impedito il download e quindi il codice non è mai arrivato in memoria? :wtf:

nV 25
25-07-2008, 21:53
...mi intrometto solo per dire una cosa (inutile, ma per me necessaria): GRAZIE!
ullallà:
se te la davo, allora, avresti dovuto regalarmi per lo meno un Carrera per poter rispettare la stessa proporzione... :Perfido: :D
...è grazie ad utenti come voi...che emerge chiaramente la vera utilità di un forum...
...crescete sia voi stessi...e ...chi vi legge...
ullallà 2...

Ad eccezione di sporadici (e preziosi) interventi di qualche SUPER-utente, cmq, sono mancati sempre interventi di laureandi/laureati in informatica per darci realmente (ove possibile..) la possibilità di fare un salto di qualità...

Forse (questi ultimi..) troppo presi dai loro algoritmi per dedicarci 5 minuti la settimana...
Chissà...

Peccato, perchè almeno da parte mia (per lo meno in termini di buona volontà..), l'interesse a crescere c'era tutto...



Detto questo, famoci forza anche se vincere sarà cosa parecchio durina visto che la materia non è propriamente delle più banali...

Blue Spirit
25-07-2008, 21:58
Oggi la situazione è cambiata sicuramente per la mia segnalazione di ieri.
Sono un tipo che pensa ad alta voce e mi piace fissare sulla carta (questo 3D quindi ) i miei pensieri.
Quindi per qualcuno ciò che scrivo sarà ovvio, per qualcun'altro magari sarà interessante,non sò, io lo scrivo lo stesso !!!

All'apertura della pagina con Opera si rileva sempre il pop-up iniziale JAVA.

1) Se rispondo RIFIUTA ho (dopo un pò) un intervento in esclusiva dell'antivirus.

2) Se disabilito il guard e rispondo RIFIUTA non si evidenziano azioni ulteriori.

2a) Se disabilito il guard e rispondo ACCETTA ho naturalmente l'intervento in esclusiva di EQS.

Ma secondo me l'aspetto più interessante è a guard attivo se rispondo ACCETTA.
3) In questa fase interviene immediatamente EQS ma veramente poco tempo prima di AVIRA.
E quindi ho 2 pop up a video.

http://img26.picoodle.com/img/img26/4/7/25/t_Ernia3m_24bf196.jpg (http://www.picoodle.com/view.php?img=/4/7/25/f_Ernia3m_24bf196.jpg&srv=img26)

E' strabiliante (almeno per me) notare l'interazione tra antivirus e HIPS che cooperano per salvare il sistema da una minaccia.
Infatti ci sono delle variazioni di avvisi nel tempo in base alle risposte.
Se rispondiamo prima all'HIPS e poi all'antivirus o viceversa.

Sono proprio contento di aver installato questo software !!!

è interessante notare come questo pestifero sito venga invece contrassegnato come pulito sia da finjan url analysis che da exploit prevention labs:stordita:

nV 25
25-07-2008, 22:13
Visto che ci sono, approfitto della platea per chiedere AIUTO!

trovatemi per cortesia il modo di loggarmi su questo sito, autentica fucina di discussioni super-interessanti:
http://66.102.9.104/translate_c?hl=it&sl=zh-CN&tl=en&u=http://bbs.kafan.cn/&usg=ALkJrhg1OlJUzNfD2pQ_gY107UoinD4fvg

Non potendo vedere le immagini postate, infatti, e con la traduzione dal cinese all'inglese che è quella che è, non riesco a capire se non pochissime cose...
Cose che, peraltro, anche altri potrebbero utilizzare "per condivisione"...


Edgar?
Ci leggi e, più che altro, puoi aiutarci?

Eraser?
Nello staff hai gente che parla cinese?


Edit:
dimenticavo il buon gavel..!?!
Son sicuro che prima o poi arriverai a leggere anche questo thread..

Dai, su', che so che sei in Cina per lavoro...:stordita:

@Sirio@
25-07-2008, 22:17
Salve a tutti, ragazzi

mi intrometto solo per dire una cosa (inutile, ma per me necessaria): GRAZIE!

lo dico veramente: è grazie ad utenti come voi ( Sampei, Enne e Sirio) che emerge chiaramente la vera utilità di un forum

attraverso i vostri confronti, la vostra curiosità, i vostri esperimenti e la volontà di confrontarsi, che crescete sia voi stessi (scusate la presunzione) e (sopratutto) fate "crescere" anche chi vi legge, come il sottoscritto

Che belle parole murack.. mi viene quasi da :cry: per la commozione :D

era tanto che nn leggevo in questo topic,

certo...:mad: te ne stavi al mare invece di studiare con me e Sampei..

[...]

Ciao:)

riazzituoi
26-07-2008, 11:10
.

Ignorante Informatico
26-07-2008, 12:01
Qui c'è una discussione interessante su come sia possibile bypassare vari software per la sicurezza..
Premessa: perdonate, per favore, la probabile castroneria e la pochezza/inadeguatezza dei termini informatici.

In pratica, i pericoli (accesso diretto ad alcuni settori del disco) possono derivare anche da istruzioni veicolate dalle interfacce IDE/SCSI/ATA? Se sì, in quale ipotetico scenario ciò potrebbe accadere?

sampei.nihira
26-07-2008, 14:29
@ Sampei

Ho provato a visitare la pagina infetta con JAVA attivo...:stordita: e guarda un pò

http://img262.imageshack.us/img262/9334/60487784ys9.th.png (http://img262.imageshack.us/my.php?image=60487784ys9.png) http://img262.imageshack.us/img262/4100/65942347ls0.th.png (http://img262.imageshack.us/my.php?image=65942347ls0.png)

ho eseguito, ed ho avuto subito l'avvertimento del mio fido programmino :D che blocca il download dei file che si vogliono intrufolare di nascosto.

http://img180.imageshack.us/img180/4007/55604685wa4.th.png (http://img180.imageshack.us/my.php?image=55604685wa4.png)

e un'attimo dopo senza aver ancora risposto ad alcun pop-up interviene anche il D+

http://img180.imageshack.us/img180/3699/86469882xo8.th.png (http://img180.imageshack.us/my.php?image=86469882xo8.png) http://img149.imageshack.us/img149/7232/47938933nk8.th.png (http://img149.imageshack.us/my.php?image=47938933nk8.png)

purtroppo mi sono dovuto fermare qui (non avevo modo di poter "Returnil" :stordita: ), sarebbe stato molto interessante (almeno per me) vedere gli altri avvisi dell'HIPS mentre si andava avanti con le autorizzazioni.

P.S. Ma perchè a me AntiVir non rileva niente? Forse non ha avuto tempo perchè ho impedito il download e quindi il codice non è mai arrivato in memoria? :wtf:

Sono un pò di fretta adesso......
Per quanto ciò che chiedi di Antivir dò per scontato che anche tu hai settato AVIRA al massimo delle sue possibilità.

Se vedi la mia immagine quella con i 2 pop up noterai che è proprio quella dove ho impostato la regola che mi ha consigliato nV25.

Ed io non ho premuto ne allow ne block quando ho preso l'immagine.

E' la situazione che quindi appare senza alcun intervento dell'utente (a parte) la risposta al pop up Java.

Prova a fare qualche modifica.....fammi sapere !! ;)

p.s. RVS 2008 è talmente semplice da usare (ma soprattutto è così leggero e per me questo è il fatto più importante) che dopo averlo installato non noterai praticamente nessuna differenza rispetto a prima !!

levriero
26-07-2008, 20:06
Sampei,..giusto a titolo informativo...come si comporta MySecurer..lo sto testando anch'io affiancato a Comodo 2.4, Antivir, EQS e ThreatFire
Per ora tutto ok.. no conflict ma prima o poi temo che si prenderanno a cazzotti...
L'idea è quella di sostituire ThreatFire(CyberHawk mi ha già impallinato il Pc una volta..)che trovo piuttosto invasivo e NON mi garba per tutte quelle connessioni al database comune(?)....

riazzituoi
26-07-2008, 20:48
.

Ignorante Informatico
26-07-2008, 21:33
..Comunque rootkit in grado di bypassare gli ISR sono già in circolazione..
Questo, purtroppo, lo temevo :(

Mi ha incuriosito (preoccupato) la storia delle interfacce, ma (come hai scritto tu) non se ne sa ancora molto... non ci resta che aspettare l'anelato masticatore di mandarino ;)

@Sirio@
27-07-2008, 10:59
Sampei,..giusto a titolo informativo...come si comporta MySecurer..lo sto testando anch'io affiancato a Comodo 2.4, Antivir, EQS e ThreatFire
Per ora tutto ok.. no conflict ma prima o poi temo che si prenderanno a cazzotti...
[...]

Ciao levriero,
tempo fa avevo chiesto nel forum cosa ne pensavano... e qui (http://www.hwupgrade.it/forum/showthread.php?t=1728631) puoi vedere quello che mi hanno risposto.

@Sirio@
27-07-2008, 11:25
Sono un pò di fretta adesso......
Per quanto ciò che chiedi di Antivir dò per scontato che anche tu hai settato AVIRA al massimo delle sue possibilità.

si, solamente l'euristica a livello medio.

Se vedi la mia immagine quella con i 2 pop up noterai che è proprio quella dove ho impostato la regola che mi ha consigliato nV25.

Ed io non ho premuto ne allow ne block quando ho preso l'immagine.

E' la situazione che quindi appare senza alcun intervento dell'utente (a parte) la risposta al pop up Java.

Prova a fare qualche modifica.....fammi sapere !! ;)

Ho capito.. riproverò.

p.s. RVS 2008 è talmente semplice da usare (ma soprattutto è così leggero e per me questo è il fatto più importante) che dopo averlo installato non noterai praticamente nessuna differenza rispetto a prima !!

:O L'ho provato in 3 occasioni.... e per come sono abituato a lavorare al PC (come dite voi toscani :D ) non mi garba.
Cmq siccome voglio riprovare il test, lo installerò per la quarta volta.
Alla prossima..

@Sirio@
27-07-2008, 11:33
Ecco appunto, questo è un altro motivo...

Qui c'è una discussione interessante su come sia possibile bypassare vari software per la sicurezza, come virtualizzatori, sandbox, ecc...

http://forums.comodo.com/comodo_diskshield/helpless_and_useless_disk_shield-t24731.15.html

E' linkato anche un articolo in Cinese (http://tech.qq.com/a/20080320/000261.htm), scritto dall'utente 3DNow (che credo sia proprio mj0011 (http://hi.baidu.com/mj0011/blog/item/0b453934becde73e5bb5f5a8.html)).
Se qualcuno mastica il mandarino si faccia avanti :D

nV 25
27-07-2008, 20:09
@ erreale (che tanto sono sicuro che mi legge..) :D :

sei su Sysinternals :sofico:


"AD your tool gets international feedback, in this case from italy" seguito poi da questo link: http://www.pianetapc.it/view.php?id=1099

http://forum.sysinternals.com/forum_posts.asp?TID=12914&PN=39






Un grande e un grazie, poi, a fcukdat (che per inciso mi ha passato diversi rootkit mesi fà per testing...:fiufiu: ) per le sue costanti & preziose valutazioni sui vari tool ARTs:

inch.sys, della famiglia DNS Trojan + Rustock.C:
Link 1 (http://www.wilderssecurity.com/showpost.php?p=1287689&postcount=12")

PoC (Unreal, Phide_ex):
Link 2 (http://www.wilderssecurity.com/showpost.php?p=1287691&postcount=13)


Uno che decisamente ci chiappa, questo fcukdat...



;)

sampei.nihira
28-07-2008, 13:32
Ecco appunto, questo è un altro motivo...

C'è chi abbina due softwares virtualizzator tipo Sandbox e Returinil (o similari) proprio per ridurre questo possibile rischio.

A me non piace concettualmente questo metodo.

E poi se andiamo avanti così alla fine.......

Comunque è innegabile che avere un virtual system è sempre un vantaggio !!!

Ad esempio io nel sito in questione sono arrivato fino all'infezione del pc virtualizzato vedendo (e facendo esperienza) di tutti gli avvisi dell'HIPS e dell'antivirus (che ho poi disabilitato altrimenti ogni istante mi appariva il pop-up di AVIRA).

E poi le house che curano questi softs prima o poi si daranno da fare per tappare queste falle giusto ?

Speriamo prima possibile !! ;)


p.s. E poi hai visto questo ?

http://www.wilderssecurity.com/showthread.php?t=216194

Non voglio naturalmente farti preoccupare.......ci mancherebbe !!

Saluti !!

f250gto
28-07-2008, 13:59
Uso software HIPS da circa due anni, prima SSM free ed adesso il defense + di Comodo Firewall, e devo ammettere che questi software se si capisce davvero come funzionano rendono il pc quasi immune da infezioni.
Il problema principale è la comprensione dei messaggi che questi software inviano all'utente quando si apre una nuova applicazione sul pc.
Purtroppo l'uso di questi software per principianti e soprattutto che non sanno l'inglese diventano più un fastidio che una protezione per la sicurezza del pc.
Vi dico questo perché ho provato ad installare SSM free sul pc di mia madre e mia sorella, e nonostante abbia spiegato come funziona il programma, dopo un quarto d'ora di funzionamento, mi hanno detto di togliere immediatamente questa rottura di scatole.
Vengo al dunque, vorrei comunque installare un Hips semplice da usare e possibilmente in italiano anche di tipo sandbox per aumentare la sicurezza del pc di mia mamma.
Scartando a priori D+, EQS che sono in inglese, quale hips mi consigliereste di provare?
Spero di non avervi annoiato, e vi ringrazio in anticipo.

@Sirio@
28-07-2008, 20:19
C'è chi abbina due softwares virtualizzator tipo Sandbox e Returinil (o similari) proprio per ridurre questo possibile rischio.

A me non piace concettualmente questo metodo.

E poi se andiamo avanti così alla fine.......

Comunque è innegabile che avere un virtual system è sempre un vantaggio !!!

Ad esempio io nel sito in questione sono arrivato fino all'infezione del pc virtualizzato vedendo (e facendo esperienza) di tutti gli avvisi dell'HIPS e dell'antivirus (che ho poi disabilitato altrimenti ogni istante mi appariva il pop-up di AVIRA).

E poi le house che curano questi softs prima o poi si daranno da fare per tappare queste falle giusto ?

Speriamo prima possibile !! ;)

Forse mi sono espresso male, non metto in discussione l'utilità dei virtualizzatori, ma non mi piacciono per l'uso di tutti i giorni.. a me danno fastidio.

p.s. E poi hai visto questo ?

http://www.wilderssecurity.com/showthread.php?t=216194

Non voglio naturalmente farti preoccupare.......ci mancherebbe !!

Saluti !!

Grazie per l'interessante link cmq non mi preoccupo, :) forse ad aigle non piace il D+ (mi piacerebbe farla questa prova, pure con HideProc diceva che il D+ falliva ma come ho dimostrato non è così), come non piace a nV, e li posso anche capire: il D+ IMHO sembra che lavori con una logica tutta sua e di difficile comprensione, diversamente da EQS imo molto "lineare" e con una logica semplice da capire.

Però se da un lato il D+ "ragiona strano", il pop-up mostrato nel test ci dice chiaramente che quell'attività potrebbe essere opera di un malware e quindi anche i meno esperti non avranno dubbi su come rispondere. Mentre al pop-up EQS penso che ne avrebbero.

Ricordo che nelle prime versioni di CFP3 il malware heuristic analysis non esisteva (prima si aveva un pop-up tipo quello di EQS, dovrei avere ancora gli screen di quando feci AKLT test) è stato aggiunto dopo, penso proprio per rendere più semplice la comprensione delle richieste.
Questo per dire che imo Comodo ha preso una strada diversa dagli altri, cioè quella di un' interazione minima da parte dell'utente e di richieste più chiare possibile (chissà dove arriveranno.. :wtf:).

Sarei veramente curioso di vedere gli altri pop-up dell'uno e dell'altro.

Ciao Sampei. :)

nV 25
28-07-2008, 20:45
...E poi hai visto questo ?
che dimostra come, naturalmente, pochi siano in grado di svolgere test su basi realmente serie (nel senso di incontrovertibili...)
Quello che emerge in quel thread, infatti, è che Aigle ha cannato...
E che la sua cannata, al 99%, è legata alla sua firma:
usare + software (magari) eccellenti se utilizzati da soli ma che, assieme, producono una grande frittata regalando per di più una sensazione di FALSA sicurezza a chi usa il Pc...


Ma anche là dove cosi' non fosse, è logico pensare ad un problema suo, localizzato magari sulla sua macchina dato che altri registrano (per fortuna..) valori diversi dai suoi
Non voglio naturalmente farti preoccupare.......ci mancherebbe !!

Appunto:
ho spiegato che il test è mal condotto in qualche suo frangente...


Qui cmq PS sul mio sistema reale (la ricerca di questo PoC, grazie all'ennesimo input di fcuckdat, è diventata infatti cosa elementare...):

http://img230.imageshack.us/img230/3338/76748406rr4.jpg
L'accesso in lettura/scrittura alla memoria fisica (\Device\PhysicalMemory), infatti, è condizione necessaria perchè il test possa essere condotto...
Il gioco, dunque, è prevenirlo e non dovrebbe essere un problema per nessun hips degno di nota...




Per la cronaca, KIS 7 lo rileva a mezzo euristica

http://img352.imageshack.us/img352/5622/13494175qp5.jpg

leolas
28-07-2008, 22:06
@Sirio
Provato con google translate? qualcosina si capisce....
http://translate.google.com/translate?hl=it&u=http%3A%2F%2Ftech.qq.com%2Fa%2F20080320%2F000261.htm

:sofico:

@Tutti

[cut]

nV te che hai già "giocato" con lo phide, mi sai dire se è una minaccia vera, o se è solo un test? perchè ne ho trovati parecchi, ma dato che l'eseguibile è nella cartella "test" e si chiama "test.exe", mi è venuto il dubbio che non fosse un rootkit "pericoloso" e che quindi posso testarlo su xp, evitando di usare la virtual machine su linux....

riazzituoi
29-07-2008, 08:50
.

@Sirio@
29-07-2008, 09:08
Grazie per la precisazione riazzituoi..:) mi state insegnando un sacco di cose interessanti.

@Sirio@
29-07-2008, 09:10
@Sirio
Provato con google translate? qualcosina si capisce....
http://translate.google.com/translate?hl=it&u=http%3A%2F%2Ftech.qq.com%2Fa%2F20080320%2F000261.htm

:sofico:

:mbe: Scusa leo, sarò tardo ma non l'ho capita. A cosa ti riferisci?

leolas
29-07-2008, 11:17
E' bene precisare che quella non è, attualmente, una minaccia reale per la sicurezza, ma soltanto uno studio e una ricerca atta a dimostrare come sia possibile bypassare tutti gli attuali strumenti per la sicurezza del PC (e quindi non solo i virtual system/ISR).

ah ottimo, quindi posso evitare di usare la VM su Linux

:mbe: Scusa leo, sarò tardo ma non l'ho capita. A cosa ti riferisci?

è il sito cinese di cui non capivi un pazzo :mbe:

EDIT: ah ciao! Ne aveva parlato riazzi, non tu :D

murack83pa
29-07-2008, 12:05
ah ottimo, quindi posso evitare di usare la VM su Linux



è il sito cinese di cui non capivi un pazzo :mbe:

EDIT: ah ciao! Ne aveva parlato riazzi, non tu :D

veramente ne parlava il nostro caro Enne :p :sofico:

ciao leo :)

@Sirio@
29-07-2008, 12:17
:D
ultimamente il ragazzo dorme poco :p ;)

leolas
29-07-2008, 12:31
:wtf: :huh:

gavel
29-07-2008, 18:11
Ciao il grande nV 25

Ti hanno pescato da nuovo, lo sapevo che non chi occorreva tanto, bastasse fissare l'esca all'amo !

Proposito la registrazione su ://bbs.kafan.cn/, non riesco farla, prova comunicare con loro hnlb321@126.com, se la fai, fa un squillo, sarebbe interessante!.

________________________________________________________

@Sirio@
29-07-2008, 20:05
@ erreale (che tanto sono sicuro che mi legge..) :D :

sei su Sysinternals :sofico:


"AD your tool gets international feedback, in this case from italy" seguito poi da questo link: http://www.pianetapc.it/view.php?id=1099

http://forum.sysinternals.com/forum_posts.asp?TID=12914&PN=39

Anche se era diretto ad errale cerco sempre di apprendere dai tuoi post con tante info interessanti..
Non ti ho domandato prima perchè cercavo di capire.
Ho scaricato e sto provandoo RootRepeal.. ho un problema con lo scan dei files: appena l'avvio schermata blu di win. Sai per caso da cosa potrebbe dipendere? Sono XP SP3 ho disattivato Antivir Guard e chiuso CFP3.


Un grande e un grazie, poi, a fcukdat ([I]che per inciso mi ha passato diversi rootkit mesi fà per testing...:fiufiu: )

E a me niente, :cry: anche se mi hai già dato spiegazioni ci riprovo... chissà.. magari ti becco in un momento di generosità.. :D

[...]

[...]
Qui cmq PS sul mio sistema reale (la ricerca di questo PoC, grazie all'ennesimo input di fcuckdat, è diventata infatti cosa elementare...):

http://img230.imageshack.us/img230/3338/76748406rr4.jpg
L'accesso in lettura/scrittura alla memoria fisica (\Device\PhysicalMemory), infatti, è condizione necessaria perchè il test possa essere condotto...

Prof..:p va bene non usare metafore però adesso non sto capendo una mazza.. :sofico:
Cosa vuoi dire?


[...]

Ciao nV 25 :)

nV 25
29-07-2008, 20:11
...
nV te che hai già "giocato" con lo phide, mi sai dire se...

Era sufficiente cmq fare una ricerca su google a partire dall'MD5 del PoC in questione ricavandolo dal post di fcukdat...:p

http://img165.imageshack.us/img165/3082/snap1gf0.jpg

** LINK RIMOSSO per sicurezza...**
Il modo per arrivare al Poc, cmq, l'ho dato...

L'autore dice che
"Phide (che stà per "process hide") is the engine for the low level process manipulating on kernel level.." e che "Process management is done through the playing with EPROCESS structures. Thread that calls engine MUST have read/write access to \Device\PhysicalMemory, otherwise engine will fail"...

Dopo aver spiegato poi la tecnica di funzionamento (che cmq esula dalle mie capacità di comprensione..), aggiunge una notarellina, e cioè che "il processo di mascheramento usato è analogo a quello di un vero rootkit, il famoso anche se anziano "fu" da cui però si discosta per il fatto di non richiedere accesso al ring 0 tramite driver realizzando invece lo stesso obiettivo direttamente dal ring 3 dopo aver però letto/scritto direttamente nella memoria fisica...("Process hiding technique is the same, as in the 'fu' rootkit, but my goal was to make a small engine callable from r3"...)

Dalla 1° pagina (ormai obsoleta), si vede infatti

http://img353.imageshack.us/img353/5686/snap2en4.jpg

Ci sono anche mie rielaborazioni e quindi anche possibili errori...

Cmq un PoC, quindi nulla di pericoloso anche se cmq chi non sà cosa stà facendo è bene si diletti con altri diversivi piuttosto che mettere a repentaglio la propria piattaforma di lavoro...


Che poi l'euristica del KIS rilevi questo PoC come possibile malware, bè, meglio...



NB:
trattare il link che ho fornito poc'anzi con i guanti dato che contiene molti virus veri e propri...:read:

@ gavel:
CIAO E GRAZIE DELL'INPUT:
vedrò di farne un buon uso...

@Sirio@
29-07-2008, 20:48
Era sufficiente cmq fare una ricerca su google a partire dall'MD5 del PoC in questione ricavandolo dal post di fcukdat...:p

http://img165.imageshack.us/img165/3082/snap1gf0.jpg

** LINK RIMOSSO per sicurezza...**
Il modo per arrivare al Poc, cmq, l'ho dato...
[...]

Mille grazie...:) scaricato, domani spero di poter provare.

Bye

Andrea9907
29-07-2008, 23:47
In un PC di uso domestico e senza essere collegato ad altri PC, è bene avere un HIPS?
E' una domanda da 1 milione di $ se chiedo quali possono essere dei HIPS free validi per tale PC? (possibilmente che siano anche poco invasivi)
:rolleyes:

leolas
30-07-2008, 14:35
cut

Grazie di tutto :D Già testato con OA e run safer, ma dato che non sono a casa posterò i risultati più avanti, magari... vabbè.. comunque qui dove sono adesso c'è anche un tipo che studia cinese (oltre a 3 cinesi), quindi se ci sarà un momento in cui non avremo niente da fare, posso provare a chiedere di tradurre *quel* sito.. ;)

NB:
trattare il link che ho fornito poc'anzi con i guanti dato che contiene molti virus veri e propri...:read:

Bè ci sono siti in cui si trova roba peggiore, anche se già quello è pauroso.. Infatti mi stupisco sempre che con google e le giuste parole si trova di tutto :doh:

@Sirio@
31-07-2008, 00:07
In un PC di uso domestico e senza essere collegato ad altri PC, è bene avere un HIPS?
E' una domanda da 1 milione di $ se chiedo quali possono essere dei HIPS free validi per tale PC? (possibilmente che siano anche poco invasivi)
:rolleyes:

Hai dato uno sguardo in prima pag.? ;)

@Sirio@
31-07-2008, 00:16
Mi sono divertito con Phide, ecco i risultati. Questi sono con il D+ in Clean PC Mode.

Appena si tenta di aprire test.exe appare la richiesta, il malware euristic analysis ci avvisa del possibile malware

http://img293.imageshack.us/img293/3484/65056632nl7.th.png (http://img293.imageshack.us/my.php?image=65056632nl7.png)

dando l'assenso vediamo che il programmino tenta di rinominare "explorer.exe" con "hi guys!" e ci riesce visto che ho acconsentito

http://img293.imageshack.us/img293/1593/54698271iu3.th.png (http://img293.imageshack.us/my.php?image=54698271iu3.png)

poi mi appare questo

http://img146.imageshack.us/img146/9427/24069224ed5.th.png (http://img146.imageshack.us/my.php?image=24069224ed5.png)

forse perchè tentavo di aprire cfp3, ed infine

http://img155.imageshack.us/img155/420/20711964bq3.th.png (http://img155.imageshack.us/my.php?image=20711964bq3.png)

Continuando... visto che hi guys! ha preso il posto di explorer.exe, ogni operazione che andremo a fare apparirà la richiesta del D+ che ci chiede se "hi guys!" (ex explorer.exe) può fare quello che gli abbiamo chiesto..

Il secondo test l'ho fatto con il D+ in Paranoid Mode e l'image execution control settings su aggressive... in questo caso il DEFENSE+ diventa sul serio paranoico: ogni cosa va autorizzata.

http://img293.imageshack.us/img293/3484/65056632nl7.th.png (http://img293.imageshack.us/my.php?image=65056632nl7.png)

Accettando appare questa situazione, e a differenza di quando ero in Clean PC Mode possiamo vedere che l'esecuzione di test.exe rimane in attesa

http://img292.imageshack.us/img292/4311/95470660rs9.th.png (http://img292.imageshack.us/my.php?image=95470660rs9.png)

accetto e continuo

http://img292.imageshack.us/img292/307/78592986ur6.th.png (http://img292.imageshack.us/my.php?image=78592986ur6.png)

questo penso sia perchè stavo facendo gli screen

http://img141.imageshack.us/img141/1961/33700487tt6.th.png (http://img141.imageshack.us/my.php?image=33700487tt6.png)

poi di nuovo questo

http://img141.imageshack.us/img141/9400/29485553bm7.th.png (http://img141.imageshack.us/my.php?image=29485553bm7.png)

e quest'altro anche se avevo AntiVir disattivato :boh:

http://img141.imageshack.us/img141/3576/98364571iq6.th.png (http://img141.imageshack.us/my.php?image=98364571iq6.png)

ed infine

http://img170.imageshack.us/img170/1685/50116031jv2.th.png (http://img170.imageshack.us/my.php?image=50116031jv2.png)

Come possiamo vedere l'HIPS cerca di farci capire in tutti i modi che sta avvenendo un'infezione, i pop-up durante quest'infezione si susseguono a raffica tipo come quando stiamo installando un'applicazione... però a differenza di un'installazione legittima, cioè avviata da noi, l'infezione dovrebbe avvenire di nascosto, e questo secondo me è uno dei motivi per cui possiamo accorgerci della differenza. Voglio dire che per comprendere le richieste, dobbiamo collegarle a quello che stiamo facendo in quell'istante.. in questo modo impareremo a capire meglio come lavora il sistema e a preverire un'infezione.

Saluti :)

leolas
31-07-2008, 12:54
Hai dato uno sguardo in prima pag.? ;)

bè, la prima pagina purtroppo non è aggiornatissima.. :fagiano: :(

sampei.nihira
31-07-2008, 17:56
Mi sono divertito con Phide, ecco i risultati. Questi sono con il D+ in Clean PC Mode.

Appena si tenta di aprire test.exe appare la richiesta, il malware euristic analysis ci avvisa del possibile malware

http://img293.imageshack.us/img293/3484/65056632nl7.th.png (http://img293.imageshack.us/my.php?image=65056632nl7.png)

dando l'assenso vediamo che il programmino tenta di rinominare "explorer.exe" con "hi guys!" e ci riesce visto che ho acconsentito

http://img293.imageshack.us/img293/1593/54698271iu3.th.png (http://img293.imageshack.us/my.php?image=54698271iu3.png)

poi mi appare questo

http://img146.imageshack.us/img146/9427/24069224ed5.th.png (http://img146.imageshack.us/my.php?image=24069224ed5.png)

forse perchè tentavo di aprire cfp3, ed infine

http://img155.imageshack.us/img155/420/20711964bq3.th.png (http://img155.imageshack.us/my.php?image=20711964bq3.png)

Continuando... visto che hi guys! ha preso il posto di explorer.exe, ogni operazione che andremo a fare apparirà la richiesta del D+ che ci chiede se "hi guys!" (ex explorer.exe) può fare quello che gli abbiamo chiesto..

Il secondo test l'ho fatto con il D+ in Paranoid Mode e l'image execution control settings su aggressive... in questo caso il DEFENSE+ diventa sul serio paranoico: ogni cosa va autorizzata.

http://img293.imageshack.us/img293/3484/65056632nl7.th.png (http://img293.imageshack.us/my.php?image=65056632nl7.png)

Accettando appare questa situazione, e a differenza di quando ero in Clean PC Mode possiamo vedere che l'esecuzione di test.exe rimane in attesa

http://img292.imageshack.us/img292/4311/95470660rs9.th.png (http://img292.imageshack.us/my.php?image=95470660rs9.png)

accetto e continuo

http://img292.imageshack.us/img292/307/78592986ur6.th.png (http://img292.imageshack.us/my.php?image=78592986ur6.png)

questo penso sia perchè stavo facendo gli screen

http://img141.imageshack.us/img141/1961/33700487tt6.th.png (http://img141.imageshack.us/my.php?image=33700487tt6.png)

poi di nuovo questo

http://img141.imageshack.us/img141/9400/29485553bm7.th.png (http://img141.imageshack.us/my.php?image=29485553bm7.png)

e quest'altro anche se avevo AntiVir disattivato :boh:

http://img141.imageshack.us/img141/3576/98364571iq6.th.png (http://img141.imageshack.us/my.php?image=98364571iq6.png)

ed infine

http://img170.imageshack.us/img170/1685/50116031jv2.th.png (http://img170.imageshack.us/my.php?image=50116031jv2.png)

Come possiamo vedere l'HIPS cerca di farci capire in tutti i modi che sta avvenendo un'infezione, i pop-up durante quest'infezione si susseguono a raffica tipo come quando stiamo installando un'applicazione... però a differenza di un'installazione legittima, cioè avviata da noi, l'infezione dovrebbe avvenire di nascosto, e questo secondo me è uno dei motivi per cui possiamo accorgerci della differenza. Voglio dire che per comprendere le richieste, dobbiamo collegarle a quello che stiamo facendo in quell'istante.. in questo modo impareremo a capire meglio come lavora il sistema e a preverire un'infezione.

Saluti :)

Si esatto è questa la vera utilità di un HIPS.
Cerca in ogni modo anche a costo di essere rompic****** di farti capire che stà avvendendo nel sistema qualcosa che lo può danneggiare.
L'utente deve fare mente locale su ciò che stà facendo in quel momento.

Comunque ho notato,da nuovo utente,che alcuni avvisi innoqui sono per così dire comprensibili per tutti.

Ad esempio se si aggiorna il java si hanno in sequenza una marea di avvisi ma tutti comprensibilissimi.

Altri avvisi,sempre innoqui, invece lo sono un pò meno.

L'uso di un HIPS è piuttosto inutile se l'utente non sà discernere un avviso innoquo da uno pericoloso.

Hai mai provato a vedere gli avvisi di Panda Antirootkit ?

Sono veramente astrusi !!!

Ma come per ogni cosa è solo questione di abitudine all'uso.;)

pistolino
31-07-2008, 21:30
Si esatto è questa la vera utilità di un HIPS.
Cerca in ogni modo anche a costo di essere rompic****** di farti capire che stà avvendendo nel sistema qualcosa che lo può danneggiare.
L'utente deve fare mente locale su ciò che stà facendo in quel momento.
(...)
Ma come per ogni cosa è solo questione di abitudine all'uso.;)

Innanzitutto premetto che, anche se ho deciso di "tagliare" la parte centrale del tuo post (esclusivamente per rendere più agevole la lettura ;) ), mi trovi sostanzialmente in linea con il tuo pensiero.

I software HIPS puri, a meno di bug spaventosi, offrono un elevatissimo livello di affidabilità, proprio in virtù della loro "stupidità" che, come hai evidenziato, produce avvisi e richieste per qualsiasi operazione, a prescindere dalla sua presunta legittimità.

Proprio in questo senso, si pone la questione dell'utilità di un HIPS in un ambiente "quotidiano": un utente che clicca su qualsiasi cosa, a causa delle sue limitate competenze tecniche, finisce inevitabilmente per autorizzare indiscriminatamente qualsiasi azione rilevata dall'HIPS.

Viceversa, l'utente più "esperto" è in grado di comprendere meglio le notifiche da parte dell'HIPS e, dunque, di negare determinate azioni che potrebbero indicare la presenza di software malevoli sul sistema. Ma, allo stesso tempo, si presume che il medesimo utente "esperto", per sua natura, non clicchi su ogni cosa che gli capita sotto il mouse. Un utente accorto - voglio dire (e adesso sento che mi sto tirando addosso una valanga :D ) - anche senza un software HIPS saprebbe bene in che modo utilizzare il PC senza incorrere in software dannosi. Al limite, un antivirus come "scrupolo" sarebbe indicato, per far fronte a determinate minacce quali gli script nocivi che, oggettivamente, risultano difficili da individuare "a occhio nudo", nel momento in cui infettano siti noti che si considerano affidabili.
Ma per il resto, soprattutto su un sistema utilizzato per la produttività, la gestione di un HIPS può diventare a tutti gli effetti un impegno non da poco (configurazione regole, eventuali avvisi anche per azioni desiderate e legittime etc...).

Io stesso, che fino a qualche tempo utilizzavo software HIPS, ho deciso di affidarmi a KIS 8 e al suo HIPS, largamente automatizzato (fin troppo largamente a dire il vero, ma con qualche ritocco alle regole si ottiene un buon compromesso).
Perché, in fondo, ritengo che con un po' di accortezza sia possibile essere comunque protetti di fronte alla stragrande maggioranza delle minacce, senza dover necessariamente impiegare del tempo nell'utilizzo di HIPS puri.

OK ho detto la mia opinione e ho lanciato il sasso nello stagno. :D Spero che da questo commento possa nascere qualche confronto. Magari con il sommo nV 25 che da tanto tempo non leggevo, anche a causa della mia scarsissima permanenza sul forum in questi ultimi tempi. :)

Regards

leolas
01-08-2008, 12:51
una domanda che non c'entra niente col discorso di prima.. Un HIPS si può usare per bloccare un programma in una rete? O bisogna usare per forza NIPS, IDS et similia, ergo programmi troppo complicati per me? :confused:

riazzituoi
01-08-2008, 14:33
.

@Sirio@
01-08-2008, 19:14
[...]

Ma come per ogni cosa è solo questione di abitudine all'uso.;)

Vero... mi sto abituando a RVS 2008 :D adesso non mi da così fastidio, ricordavo peggio.

@Sirio@
01-08-2008, 19:17
bè, la prima pagina purtroppo non è aggiornatissima.. :fagiano: :(

..vabbè, almeno un'idea se la fa. :Prrr: ;)

@Sirio@
01-08-2008, 19:45
Innanzitutto premetto che, anche se ho deciso di "tagliare" la parte centrale del tuo post (esclusivamente per rendere più agevole la lettura ;) ), [...]

Il tuo discorso lo trovo giusto.. credo anche io che questi "aggeggi infernali" :D siano rivolti a chi ha una passione e curiosità verso queste cose.

Però penso anche che ci sarà un'evoluzione per rendere sempre più semplici e "intelligenti" questo tipo di SW (ad esempio il KIS 8 di cui parlavi o OA2), proprio perchè sono in grado di prevenire.

Saluti. :)

nV 25
01-08-2008, 20:21
...dato che non è più possibile acquistare il programma e non è più supportato ufficialmente, è possibile postare un link per il download di questa versione?

Jie, prima di congedarsi, mi assicurò cmq che il progetto PS non era destinato a morire con la cessione del codice per cui dò per scontato il rilascio di una nuova revision ASAP...


Effettivamente, cmq, su kafan stà circolando da una mesata la versione 1.43 PRO appositamente lavorata per togliere il meccanismo di attivazione, ecc..., e credo proprio che il link postato da xuesisi sia proprio di derivazione kafan...


Detto questo, senza la registrazione (e quindi la possibilità di vedere immagini e altro per le istruzioni a video..), credo che la cosa sia parecchio impraticabile dato che, almeno ai miei occhi, la trad. cinese->inglese restituisce delle frasi con un senso prossimo ad un dialogo tra briai...

E proprio perchè paiono (quasi) tutti dei RINCO** quando parlano, credo che la motivazione sia esclusivamente ascrivibile a quanto detto poc'anzi visto che mi riesce difficile vedere gente del calibro di quelli che postano su quella piazza alla stregua di deficienti....

Posto il link cosi' vedete anche voi:

http://66.102.9.104/translate_c?hl=it&sl=zh-CN&tl=en&u=http://bbs.kafan.cn/thread-279612-1-1.html&usg=ALkJrhi3APuIIziXezCG_eHyOfrt41KNXg

La soluzione + semplice, dunque, rimane contattare il tizio in questione su wilders in PVT per farsi girare il link....
Se xò qualcuno, per dei miseri 20 euri, si fosse sparato una licenza, *FORSE* non saremmo arrivati dove invece siamo (meglio, sono!)...


Un GRAZIE di cuore per il vostro scetticismo che ha davvero premiato...

riazzituoi
01-08-2008, 20:52
.

nV 25
01-08-2008, 21:18
non mi farei grossi problemi dato che su kafan il link è alla luce del sole e con il benestare della nuova proprietà...

Su wilders il link è stato rimosso perchè sono ammessi solo i link dei siti ufficiali...

Anzi, se questa storia dovesse aver corso e vuoi postere sul thread che aprii io per dare maggiori info agli altri...

done75
02-08-2008, 09:07
Io stesso, che fino a qualche tempo utilizzavo software HIPS, ho deciso di affidarmi a KIS 8 e al suo HIPS, largamente automatizzato (fin troppo largamente a dire il vero, ma con qualche ritocco alle regole si ottiene un buon compromesso).

Regards

anch'io ho fatto la stessa scelta (solo KIS 2009)...in pratica se uno mette tutte le apps settate su "Prompt.." in Application Filtering hai un popup per ogni azione,giusto?

levriero
02-08-2008, 13:08
Qualcuno è riuscito a provare EQS V4 BETA2?
Il mio pc non digerisce i mandarini....

riazzituoi
02-08-2008, 13:40
.

erreale
02-08-2008, 18:16
Jie, prima di congedarsi, mi assicurò cmq che il progetto PS non era destinato a morire con la cessione del codice per cui dò per scontato il rilascio di una nuova revision ASAP...

C'è qualche novità (http://www.pianetapc.it/forum/viewtopic.php?p=49726#p49726)...

manga81
03-08-2008, 13:47
C'è qualche novità (http://www.pianetapc.it/forum/viewtopic.php?p=49726#p49726)...

ho letto...io preferirei avere quei prodotti ma come antivirus preferirei antivir che da sempre fa un ottimo antivirus...l'antivirus di comodo non è un granchè ;)

sampei.nihira
03-08-2008, 16:56
C'è qualche novità (http://www.pianetapc.it/forum/viewtopic.php?p=49726#p49726)...

Anche su W. se ne parla:

http://www.wilderssecurity.com/showthread.php?t=216720

levriero
03-08-2008, 20:04
prova Prosecurity, adesso lo puoi scaricare gratuitamente.

E c'è pure la traduzione in italiano fatta da nV 25
Link in particolare?^^
THNKS^^

orione73
04-08-2008, 08:34
ciao a tutti,
una domandina veloce veloce: ho installato antivir ed online armor free,e' necessario installare un altro hisp puro (tipo eqs) oppure basta l'hidp fi ONA?
grazie a tutti

levriero
04-08-2008, 11:46
Link in particolare?^^
THNKS^^
Intendevi quella in cinese?^^

riazzituoi
04-08-2008, 15:03
.

levriero
04-08-2008, 15:09
http://www.hwupgrade.it/forum/showthread.php?t=1696613&page=3

Avevo capito^^ comunque hai fatto bene a linkare^^
Adesso ho solo una domandina...e forse Sampei o Nuz ci possono aiutare...
Il modulo hips di Rising, NON è che fa a cazzotti con altri soft.hips?Meglio quindi disabilitarlo o basta modificare l'active defense?

sampei.nihira
04-08-2008, 17:14
Avevo capito^^ comunque hai fatto bene a linkare^^
Adesso ho solo una domandina...e forse Sampei o Nuz ci possono aiutare...
Il modulo hips di Rising, NON è che fa a cazzotti con altri soft.hips?Meglio quindi disabilitarlo o basta modificare l'active defense?

E' proprio quello l'aspetto interessante di Rising !! ;)

Anzi io mi aspetto che dopo aver provato per un pò il soft (se ti è piaciuto) tu decidi di aprire un 3D ufficiale per fare una guida per aiutare altri utenti che magari sono incuriositi da questo nuovo prodotto. ;)

Non posso rispondere alla tua domanda perchè io non installerei mai 2 softwares che hanno le medesime funzioni.
E quindi che potrebbero sovrapporsi.
Devo dire che non l'ho mai fatto e mai lo farò.

Ma il mio pensiero non è (grazie a Dio :D ) univoco.

Ne è un esempio un 3D molto frequentato nel forum dove si consigliano 2 antivirus contemporaneamente senza apparenti problemi......

riazzituoi
04-08-2008, 18:29
.

nV 25
04-08-2008, 19:26
ringraziare nV 25 per aver spinto Jie ad estendere la funzionalità installazione driver/servizi ad un amalgama più completa che comprendesse proprio operazioni di "controllo" (stoppare/pausare driver and so on, Nulprot docet...)


:sofico:

levriero
04-08-2008, 19:30
E' proprio quello l'aspetto interessante di Rising !! ;)

Anzi io mi aspetto che dopo aver provato per un pò il soft (se ti è piaciuto) tu decidi di aprire un 3D ufficiale per fare una guida per aiutare altri utenti che magari sono incuriositi da questo nuovo prodotto. ;)

Non posso rispondere alla tua domanda perchè io non installerei mai 2 softwares che hanno le medesime funzioni.
E quindi che potrebbero sovrapporsi.
Devo dire che non l'ho mai fatto e mai lo farò.

Ma il mio pensiero non è (grazie a Dio :D ) univoco.

Ne è un esempio un 3D molto frequentato nel forum dove si consigliano 2 antivirus contemporaneamente senza apparenti problemi......

Ok^^ ci torneremo su....per ora testo un po'^^

@Sirio@
04-08-2008, 19:47
[...] (a differenza di altri "prodotti" :rolleyes: )

[...]

..le prove, voglio le prove. :D

Comunque scherzo, mi piace giocare.. ho quasi 38 anni ma me ne sento 15 :sofico:

Saluti a tutti.

riazzituoi
04-08-2008, 20:48
.

gavel
05-08-2008, 00:05
___________________________________________________

Con tutti 'sti HIPS, chi potrebbe fare il test con questo aggeggio:editato l'indirizzo

____________________________________________________

sampei.nihira
05-08-2008, 00:08
Stavo facendo una riflessione.
La pongo alla vostra attenzione con tutti i suoi (presumo) limiti.

A quanto sembra (la vicenda di Comodo e Prosecurity l'abbiamo letta) c'è una specie di rincorsa delle varie softhouse ad "inglobare" nei propri prodotti dei moduli HIPS.

Ma di qui a breve sarà una mossa vicente ?

Come si evolverà il sistema Microsoft futuro ?

Già nel 2010 dovrebbe uscire il successore di Vista e presumibilmente quando il supporto esteso per XP cesserà, cioè nel 2014, la gran parte dei pc windows avrà già installato un sistema operativo diverso da XP.

Anche i test che ci vengono proposti che indubbiamente dimostrano l'utilità di un HIPS avrebbero per lo meno minore eclatanza se fossero svolti da account limitato.

Ma non c'è solo " l'account limitato" con il progetto Midori Microsoft ambisce ad una rivoluzione direi epocale.

Mah........ chi vivrà vedrà !!!

levriero
06-08-2008, 10:17
Allego le prime immagini del test di Comodo su Rising AV con l'hips settato al massimo(allegato). La finestra di settaggio che si trova in setting/active defense, è protetta dalla richiesta d'un codice casuale e random da ricopiare

levriero
06-08-2008, 10:25
Procedendo col test si hanno le prime avvisaglie del modulo hips

manga81
06-08-2008, 10:28
leggere qui :

http://www.megalab.it/articoli.php?id=511

:D

levriero
06-08-2008, 10:29
Secondo avviso

levriero
06-08-2008, 10:30
Terzo avviso:viene caricata la dll

levriero
06-08-2008, 10:36
Ecco il risultato se si permette tutto(1) e se invece si decide di bloccare(2).
NB:i popups concedono un tempo max per rispondere.
NON ho potutocaricare RootRepeal perchè è comparsa la schermata blu:doh:

levriero
06-08-2008, 10:38
Bloccando^^
Fallito solo il test Hijack
(scusate ma non so per quale motivo NON riuscivo a gestire gli allegati con Opera...:doh: )

sampei.nihira
06-08-2008, 15:33
Bloccando^^
Fallito solo il test Hijack
(scusate ma non so per quale motivo NON riuscivo a gestire gli allegati con Opera...:doh: )

Il comportamento del modulo HIPS di Rising in questo test è ottimo.
Il test è migliore di EQS e SSM.

p.s. Levriero le immagini sono un pò piccoline,non mi lamento io che ho una vista d'aquila ma......:D ;)

levriero
14-08-2008, 15:20
Ho eseguito il test di Comodo su ProSecurity(vers.chinese con trad.DI NV25^^), EQSV4b4(new^^del 13/08) e OA V2(non la 3 per ovvi problemi con Vbox).
Parto col dire che m'interessava effettuare il test su EQSV4BETA4(e questa è un'anteprima). Il tutto rigorosamente in VirtualBox^^
Per rendere utilizzabile EQSV4 ho utilizzato un piccolo trucchetto per superare i ben noti problemi con la lingua cinese^^.
Ho reso praticamente portable il programma: scaricata la versione beta3 ufficiale, l'aggiornamento b4 dal forum e il file lingua inglese per la Vb2 da wilders security^^.
Estratti i files dell'eseguibile ho compattato tutto in una cartella ed ho avviato in sequenza il service.exe e poi l'eseguibile del programma...variato la lingua da cinese a inglese et voila'^^
Premetto che la traduzione ha coperto gran parte del programma(ma NON tutto)e la nuova interfaccia NON mi è stato possibile fruirne...però ha "startato"^^. NON ho aggiunto pacchetti rules, solo quelli originali di EQS4.
NB:Unica perplessità che service.exe ha tentato una connessione in porta80 ma prontamente bloccata da OA.
Eseguita scansione su VirusTotal: risultato solo Esafe ha dato file sospetto. Posto le immagini del test così articolato:
ProSecurity
Prosecurity+Oa no hips
Prosecurity+OA hips
OA no hips
OA hips
EQS4
EQS4 +OA no hips
EQS4 +OA hips

POSTO LE IMMAGINI^^

levriero
14-08-2008, 15:25
PROSECURITY

levriero
14-08-2008, 15:28
PROSECURITY+OA NO HIPS

levriero
14-08-2008, 15:33
PROSECURITY +OA HIPS ATTIVO

levriero
14-08-2008, 15:38
OA HIPS NON ATTIVO
Ovviamente il test NON viene superato ma è intervenuto ugualmente ProSecurity nonostante fossi uscito dal programma..che dire..."fico"!!!

levriero
14-08-2008, 15:40
OA V2 HIPS ATTIVATO(Per la felicità di Leoolas^^)

levriero
14-08-2008, 15:46
EQS V4B4 screen^^
Presente anche la funzione SandBox^^

levriero
14-08-2008, 15:52
Connessione di eqservice.exe
Si può vedere in basso a dx OA che fa il suo dovere

levriero
14-08-2008, 15:54
EQS 4Vb4 VS Comodo Test

levriero
14-08-2008, 15:57
EQSV4b4 +OA hips NON attivo

levriero
14-08-2008, 15:58
EQSV4b4 + OA hips attivo

levriero
14-08-2008, 16:28
Posto l'immagine del task dei processi di EQS4
CONFERMO che anche ProSecurity ha bloccato il tentativo di connessione di EQSService.exe ad un determinato ip percui ora provvederò ad eliminare la cartella...anche se in realtà è bastato bloccare TCP dell'eseguibile sulla porta 80. ProSecurity ha bloccato anche la modifica di numerose chiavi di registro...^^scienza, NON fantascienza^^
Il tutto è servito comunque al mio scopo dimostrativo^^
Per la cronaca l'ip apparteneva a Microsoft...OO

sampei.nihira
15-08-2008, 15:57
Ho eseguito il test di Comodo su ProSecurity(vers.chinese con trad.DI NV25^^), EQSV4b4(new^^del 13/08) e OA V2(non la 3 per ovvi problemi con Vbox).
Parto col dire che m'interessava effettuare il test su EQSV4BETA4(e questa è un'anteprima). Il tutto rigorosamente in VirtualBox^^
Per rendere utilizzabile EQSV4 ho utilizzato un piccolo trucchetto per superare i ben noti problemi con la lingua cinese^^.
Ho reso praticamente portable il programma: scaricata la versione beta3 ufficiale, l'aggiornamento b4 dal forum e il file lingua inglese per la Vb2 da wilders security^^.
Estratti i files dell'eseguibile ho compattato tutto in una cartella ed ho avviato in sequenza il service.exe e poi l'eseguibile del programma...variato la lingua da cinese a inglese et voila'^^
Premetto che la traduzione ha coperto gran parte del programma(ma NON tutto)e la nuova interfaccia NON mi è stato possibile fruirne...però ha "startato"^^. NON ho aggiunto pacchetti rules, solo quelli originali di EQS4.
NB:Unica perplessità che service.exe ha tentato una connessione in porta80 ma prontamente bloccata da OA.
Eseguita scansione su VirusTotal: risultato solo Esafe ha dato file sospetto. Posto le immagini del test così articolato:
ProSecurity
Prosecurity+Oa no hips
Prosecurity+OA hips
OA no hips
OA hips
EQS4
EQS4 +OA no hips
EQS4 +OA hips

POSTO LE IMMAGINI^^

Almeno con la versione 3.41, se intendi i "rules Alcyon", non modificano questo test in maniera significativa.
E la beta che hai testato tu ha già un comportamento migliore (rootkit 2) rispetto alla 3.41.

p.s. E' uscito un'aggiornamento di Rising Antivirus.

levriero
15-08-2008, 16:52
La mia V.di Rising s'è aggiornata in automatico alla 20.57.42.
Thnks^^
Segnalo inoltre che è uscito oggi il file lingua ed interfaccia per le 4beta di EQSecure in inglese http://drop.io/eqsecure
^^

levriero
15-08-2008, 17:27
posto l'immagine dell'interfaccia in inglese^^

levriero
15-08-2008, 17:36
E la beta che hai testato tu ha già un comportamento migliore (rootkit 2) rispetto alla 3.41.

Adesso che è in standalone e tradotta...cavolo direi che si piazza secondo solo a ProSecurity^^.
Ps:il fatto che sia standalone ne permette comunque l'avvio con winzozz^^
integra un modulo SandBox spettacolare^^
Questo hips è davvero avanti e lo sviluppo è stato incrementato notevolmente.
Tra le varie cose...la beta è già preticamente una stable^^
Per chi ha già avuto a che fare con SSM direi che NON ci sono problemi ad ambientarsi.

sampei.nihira
17-08-2008, 19:43
Adesso che è in standalone e tradotta...cavolo direi che si piazza secondo solo a ProSecurity^^.
Ps:il fatto che sia standalone ne permette comunque l'avvio con winzozz^^
integra un modulo SandBox spettacolare^^
Questo hips è davvero avanti e lo sviluppo è stato incrementato notevolmente.
Tra le varie cose...la beta è già preticamente una stable^^
Per chi ha già avuto a che fare con SSM direi che NON ci sono problemi ad ambientarsi.

Io comunque aspetto la versione stabile.
Spero che il modulo Sandbox sia compatibile con RVS......:rolleyes: :rolleyes:

Si credo sia un soft piuttosto avanti per usare una tua espessione, leggo che anche su W. ,stà facendo una buona impressione

Purtroppo c'è anche un altro motivo (mi riallaccio al discorso che avete fatto altrove) del perchè la massa non predilige molto questi softs.
Un ulteriore motivo sono le varie incompatibilità tra i softs.
Anche gli HIPS non sfuggono a questa regola ed anzi creano problemi direi piuttosto astrusi per utenti esperti mi immagino per utenti meno esperti.

Io ne ho trovata una di recente.
Una incompatibilità tra EQS (la versione che uso io naturalmente) e CDBurnXP se si selezionano alcune opzioni nella masterizzazione dei cd audio !! :rolleyes:

levriero
18-08-2008, 06:57
Io comunque aspetto la versione stabile.
Spero che il modulo Sandbox sia compatibile con RVS......:rolleyes: :rolleyes:

Si credo sia un soft piuttosto avanti per usare una tua espessione, leggo che anche su W. ,stà facendo una buona impressione

Purtroppo c'è anche un altro motivo (mi riallaccio al discorso che avete fatto altrove) del perchè la massa non predilige molto questi softs.
Un ulteriore motivo sono le varie incompatibilità tra i softs.
Anche gli HIPS non sfuggono a questa regola ed anzi creano problemi direi piuttosto astrusi per utenti esperti mi immagino per utenti meno esperti.

Io ne ho trovata una di recente.
Una incompatibilità tra EQS (la versione che uso io naturalmente) e CDBurnXP se si selezionano alcune opzioni nella masterizzazione dei cd audio !! :rolleyes:

Purtroppo devo dire che CdBurnXP ha dato notevoli problemi anche a me in passato...ho bruciato una quantità industriale di cd...Ho risolto drasticamente passando a Infrarecorder che si è dimostrato decisamente + affidabile.

sampei.nihira
23-08-2008, 20:23
Noto un fatto,anche nell'altro 3D "prosecurity traduz......." molti screen che sono indice di molto tempo a disposizione.

Sempre con lo scopo di aumentare la diffusione di questi programmi mi piacerebbe proporre l'apertura di qualche 3D specifico.

Specifico per software.

Faccio qualche esempio di softs che mi sembra ultimamente stanno calamitando notevoli attenzioni RTD,EQS.....o altri come SSM.

Non dovrebbe essere difficile ad esempio seguire uno schema simile a quello di Leolas per OA.

Gli utenti che decidessero di farlo potrebbero specificare che richiedono la collaborazione (che credo non mancherebbe) degli utenti del forum per sopperire ad eventuali mancanze di competenze.

Sarebbe un lavoro di gruppo che permetterebbe a tutti,nessuno escluso,di contribuire ed imparare.

Sappiamo tutti che gli HIPS sono software "piuttosto complicati".

Nessuna paura per l'eventuale "temerario" (eh eh) che deciderà di cimentarsi nell'impresa......quindi !!

Quindi signori e signore c'è qualche volontario Kamikaze tra noi ?

cloutz
24-08-2008, 11:36
ragazzi un informazione..
la versione 4 beta di EQS sapete quanto consuma di ram?
integra anche una sandbox e un modulo firewall giusto?

in tal caso aspetto l'uscita stabile di questo prodotto piuttosto che cimentarmi nell'arduo studio approfondito di RTD (il cui nome peraltro fa cagare, preferivo ProSecurity:D )

leolas
24-08-2008, 13:57
Quindi signori e signore c'è qualche volontario Kamikaze tra noi ?

tu? :sofico:

sampei.nihira
24-08-2008, 17:54
tu? :sofico:

Purtroppo i "giorni di kamikaze" sono passati per Sampei........:cry: :cry:
Sono giorni che ricordo spesso.
"Nel mezzo del cammin di nostra vita" ci sono altri doveri ed incombenze e non sempre il nostro tempo libero è veramente nostro.....appartiene ad altre persone !! ;)
E' un onere (e credo un onore a cui non posso sottrarmi) che è dovuto come sono dovute le varie incombenze che seguono.

Ma in questo forum ci sono tanti validi "cavalieri" che posso duellare e giostrare portando in alto i "miei colori". :D

ps "miei colori" = "miei pensieri e speranze"

Il Medioevo mi è sempre piaciuta come epoca se avessi una macchina del tempo ma questa è un'altra storia.......;)

Ciao Leo.

@Sirio@
24-08-2008, 21:10
Noto un fatto,anche nell'altro 3D "prosecurity traduz......." molti screen che sono indice di molto tempo a disposizione.

Sempre con lo scopo di aumentare la diffusione di questi programmi mi piacerebbe proporre l'apertura di qualche 3D specifico.

Mi piacciono sempre molto le tue proposte di lavori di gruppo :) ...però penso sia un'utopia.

Specifico per software.

In che senso? Un thread per ogni SW?

Faccio qualche esempio di softs che mi sembra ultimamente stanno calamitando notevoli attenzioni RTD,EQS.....o altri come SSM.

Non dovrebbe essere difficile ad esempio seguire uno schema simile a quello di Leolas per OA.

Gli utenti che decidessero di farlo potrebbero specificare che richiedono la collaborazione (che credo non mancherebbe) degli utenti del forum per sopperire ad eventuali mancanze di competenze.

Invece io nutro forti dubbi a riguardo, almeno per la mia esperienza in questo forum.
Guarda ad esempio questo 3D:

NOTE:

23/01/08: *FINE* del mio SUPPORTO su questo thread che, per quanto mi riguarda, può considerarsi MORTO:
il progetto probabilmente era nato male e comunque sono SEMPRE stato lasciato SOLO....[...]

Sarebbe un lavoro di gruppo che permetterebbe a tutti,nessuno escluso,di contribuire ed imparare.

Sappiamo tutti che gli HIPS sono software "piuttosto complicati".

Nessuna paura per l'eventuale "temerario" (eh eh) che deciderà di cimentarsi nell'impresa......quindi !!

Quindi signori e signore c'è qualche volontario Kamikaze tra noi ?

Condivido in pieno quello che ha scritto nV 25, come d'altra parte con il mio thread... vedo che, come nella vita quotidiana, anche qui c'è molta invidia, perchè poi... non serve a niente e a nessuno.
Forse sono io... che stasera ho una visione pessimistica, magari domani mattina mi sveglio e provo a farlo, perchè nonostante tutto credo sempre nelle persone.

Un salutone sampei. :)

levriero
05-09-2008, 09:08
Finalmente è uscita^^

EQS V.4final

http://translate.google.com/translate?hl=it&sl=zh-CN&u=http://www.eqsecure.com/&sa=X&oi=translate&resnum=3&ct=result&prev=/search%3Fq%3Deqsecure%26hl%3Dit%26client%3Dopera%26rls%3Den%26hs%3DwoB

link download:http://translate.google.com/translate?hl=it&sl=zh-CN&u=http://www.eqsecure.com/&sa=X&oi=translate&resnum=3&ct=result&prev=/search%3Fq%3Deqsecure%26hl%3Dit%26client%3Dopera%26rls%3Den%26hs%3DwoB

@Sirio@
05-09-2008, 10:52
Ciao levriero, Romagnolo1973 mi diceva che per ora è solo in cinese, vero?

levriero
05-09-2008, 12:17
Trovato su Wilders^^:

quoto: I decided to post on EQSecure's bbs for an official response on the English translation issue:

http://bbs.eqsecure.com/read.php?tid=11180&page=e&#a

e...

Open your eq folder and open these two files.
EQSysSecure.xml and EQSysSecure.xml.default
see that? they look quite alike except for the language and some parameters.
lets have a try.
1 rename eqsyssecure.xml to eqsyssecure.xml.xxx and launch eq to see if it can load the default language (english).

2 if step doesnt work, rename the .default file to eqsyssecure.xml and relaunch eq. see if this works.

if all failed. please rename them to original. anyhow I believe there must english interface there, we just dont know how to activate it.

forget it, I have tried that on another computer. It wont work


Vedo comunque che la traduzione della beta precedenti va ancora abbastanza bene...solo qualche campo in cirillico..ma se possiedi la 3 tradotta..puoi rimediare.
Purtroppo NON ho il tempo per smanettarci...mi aspettano le ferie domani^^ e visto che passo dalle loro parti magari chiedo di farmi tradurre i pezzi inediti...eheheheheh^^

Devo dire che sono molto soddisfatto con RTD... per ora(EQS si presta bene alle configurazioni personali)

@Sirio@
05-09-2008, 19:05
Grazie :)
...allora buone vacanze... e lascia sta le traduzioni... pensa alla cinesine, che è meglio.;)

sampei.nihira
05-09-2008, 19:11
Io invece mi trovo (non che mi perda facilmente però ogni tanto accade....:D ) meglio con EQS per la sua leggerezza.
Sono una frana con le lingue quindi preferisco aspettare la "pappa scodellata" inglese.......:rolleyes: :rolleyes:

@Sirio@
05-09-2008, 19:20
Rispetto a quale sampei? A RTD?

sampei.nihira
05-09-2008, 19:24
Rispetto a quale sampei? A RTD?

Si.
Anzi sarei piuttosto curioso di sapere che impatto avrà nel mio pc la final 4 (che naturalmente non ho ancora provato) rispetto alla 3.41.
Perchè io sono piuttosto esigente in fatto di leggerezza di soft......
Senza contare che il pc non è che sia proprio una Ferrari....:cry: :cry:

O.T.

Avete visto che SECUNIA ha rinnovato il sito ?

Fine O.T.

@Sirio@
05-09-2008, 19:31
Si.
Anzi sarei piuttosto curioso di sapere che impatto avrà nel mio pc la final 4 (che naturalmente non ho ancora provato) rispetto alla 3.41.
Perchè io sono piuttosto esigente in fatto di leggerezza di soft......
Senza contare che il pc non è che sia proprio una Ferrari....:cry: :cry:

:D A chi lo dici... :stordita:

O.T.

Avete visto che SECUNIA ha rinnovato il sito ?

Fine O.T.

No, è più bello? :D

sampei.nihira
05-09-2008, 19:36
:D A chi lo dici... :stordita:

O.T.

[COLOR="Navy"]

No, è più bello? :D

Vedi e decidi !! ;)

@Sirio@
05-09-2008, 19:43
Vedi e decidi !! ;)

Si, andrò a controllare.... ora è meglio che vado a mangiare, con lo stomaco vuoto dico un sacco di stupidaggini.

Ciao.

lupin87
06-09-2008, 06:50
scusate ragà ma cos' è precisamente un hips?
il defense + di comodo è un hips?
qaul 'è l' hips migliore?

cloutz
06-09-2008, 08:12
trovi risposta in prima pagina...
il defense+ è un hips...altrimenti i migliori sono RTD e EQS...

@Sirio@
06-09-2008, 18:40
[...]
O.T.

Avete visto che SECUNIA ha rinnovato il sito ?

Fine O.T.

Non ricordo benissimo quello precedente... questo nuovo cmq mi sembra in linea con la nuova tendenza: essenziale e pulito.
Mi piace. :)

qasert
18-09-2008, 00:03
eset smart sec.3.0.657 ha software hips?qual 'è la migliore suite(firewall+antiv+spyware)?

Romagnolo1973
18-09-2008, 00:23
eset smart sec.3.0.657 ha software hips?qual 'è la migliore suite(firewall+antiv+spyware)?
Eset non fa e mai farà prodotti free, che sappia io è trial 30 giorni e sì ingloba un software hips
Per rimanere in Topics ti dico che è utile avere per esempio un Firewall con HIPS ti consiglierei
COMODO 3 oppure Online Armor 3 beta in questo forum trovi 2 stupende guide di Sirio e Leolas, entrambi i programmi hanno un modulo hips, quello di comodo che io uso penso sia più completo di quello di OA che però non ho mai testato
Per l'antivirus senza paura di smentite ti consiglio Avira8 trovi sempre qui una fantastica guida di Juninho su come configurarlo
Per l'antyspyware ne servono 3 on demand cioè con scan a richoesta dell'utente e sono ASquared3.5 - Superantispyware - Malwarebytes
Ne servono 3 perchè uniti fanno la forza :D ovvero essendo free ognuno ha un focus su cui è megli degli altri e i 3 combinati danno risultati superiori a uno a pagamento. Se poi usi FF3 con Noscript+AdblockPlus oppure Opera allora sei notevolmente protetto e tutto FREE gratuito, che vuoi di più un lucano ?:D

murack83pa
18-09-2008, 09:32
eset smart sec.3.0.657 ha software hips?qual 'è la migliore suite(firewall+antiv+spyware)?

piccola precisazione: se vuoi consigli sulla configurazione di sicurezza, chiedi nell'apposito 3d, ovvero:

http://www.hwupgrade.it/forum/showthread.php?t=1476319

;)

riazzituoi
23-09-2008, 11:23
.

Ignorante Informatico
26-09-2008, 11:09
..L'autore mostrerà questa tecnica ... alla XCon 2008 Security Conference a Beijing (in novembre)...
Non ci resta che vedere quanto sarà convincente tale dimostrazione, allora :)

levriero
01-10-2008, 13:11
Grazie :)
...allora buone vacanze... e lascia sta le traduzioni... pensa alla cinesine, che è meglio.;)

Raga.. di cinesine e orientali in genere ne ho viste di tutti i tipi...quasi quasi mi trasferisco..eheheh soprattutto per le australiane^^
Comunque...
ho provato OA3 in coppia con RTD e confermo che i due fanno a cazzotti su XP Pro sp3 anche se l'hips di OA è disattivato(messaggio di disco non leggibile). Adesso sto testando Comodo3(solo firewall)con RTD mentre su un altro pc porto avanti Comodo2+Eqs3. I sistemi mi sembrano piuttosto stabili. Sirio, che ne pensi della prima coppia?^^

riazzituoi
01-10-2008, 17:43
.

levriero
01-10-2008, 18:03
Solo 5 prodotti testati(di cui solo Prevx e Sand molto diffusi)...versione vecchia di SandBoxie...mmm...solita pappardella. Oramai anche alcuni hips come EQS V.4 integrano una SandBoxie e poi dire hips in questo caso è riduttivo.

@Sirio@
02-10-2008, 12:51
Raga.. di cinesine e orientali in genere ne ho viste di tutti i tipi...quasi quasi mi trasferisco..eheheh soprattutto per le australiane^^
Comunque...
ho provato OA3 in coppia con RTD e confermo che i due fanno a cazzotti su XP Pro sp3 anche se l'hips di OA è disattivato(messaggio di disco non leggibile). Adesso sto testando Comodo3(solo firewall)con RTD mentre su un altro pc porto avanti Comodo2+Eqs3. I sistemi mi sembrano piuttosto stabili. Sirio, che ne pensi della prima coppia?^^

Bentornato :)

Parli di OA con RTD? Non ho ancora potuto provare OA. Metre CFP3 (solo firewall - con l'HIPS inactive) e RTD vanno alla grande.

Ciao.

@Sirio@
02-10-2008, 12:55
@ riazzituoi

Ti ho scritto nel nuovo thread Virus Testing Machine (http://www.hwupgrade.it/forum/showthread.php?t=1823645)

lupin87
02-10-2008, 15:48
ma non c'è una classifica dove vengono testati tutti o quasi gli hips invece di solo quei 5?

ckingpin
03-10-2008, 14:03
ciao a tutti i frequentatori di questo topic su HIPS, posso chiedervi un aiuto per questo mio post (http://www.hwupgrade.it/forum/showpost.php?p=24402353&postcount=4308)?

vi ho messo il link per evitare di fare crosspost in questo topic, ringrazio chi mi risponderà di là!

Metraton
05-10-2008, 18:01
ciao a tutti...ho realizzato un video con diversi anti-rootkit in cui si vede come questi strumenti non riescono a riconoscere un processo nascosto: http://www.youtube.com/watch?v=64DlK7dOpmI, ovviamente e a solo scopo illustrativo.

commi
05-10-2008, 19:10
ciao a tutti...ho realizzato un video con diversi anti-rootkit in cui si vede come questi strumenti non riescono a riconoscere un processo nascosto: http://www.youtube.com/watch?v=64DlK7dOpmI, ovviamente e a solo scopo illustrativo.
Ciao Metraton.
Ho visto il video e vorrei farti una domanda: visto che le prove risalgono, se non erro, a gennaio 2007, non sarebbe stato meglio postare un video con dei test più aggiornati, con le versioni attuali degli antirootkit? son passati quasi 2 anni....

Metraton
05-10-2008, 22:22
Ciao Metraton.
Ho visto il video e vorrei farti una domanda: visto che le prove risalgono, se non erro, a gennaio 2007, non sarebbe stato meglio postare un video con dei test più aggiornati, con le versioni attuali degli antirootkit? son passati quasi 2 anni....

ciao commi...le prove risalgono al gennaio di quest anno...presto aggiornerò il video magari con qualche nuovo anti-rootkit...cmq approfitto per segnalare un programmino scritto da me (http://www.onlysoft.it/Programmi/FileFreezer/FileFreezer_v1.1.zip) che serve per cancellare "qualsiasi" tipo di file presente nel sistema (sia esso usato da un altro processo o un processo in esecuzione oppure un processo critico :oink: ) ed inoltre per terminare processi interminabili :D (e.g. l'eseguibile di ZoneAlarm), magari potrebbe essere utile per la cancellazione di qualche programma malevolo ciao

leolas
05-10-2008, 22:36
ciao commi...le prove risalgono al gennaio di quest anno...presto aggiornerò il video magari con qualche nuovo anti-rootkit...cmq approfitto per segnalare un programmino scritto da me (http://www.onlysoft.it/Programmi/FileFreezer/FileFreezer_v1.1.zip) che serve per cancellare "qualsiasi" tipo di file presente nel sistema (sia esso usato da un altro processo o un processo in esecuzione oppure un processo critico :oink: ) ed inoltre per terminare processi interminabili :D (e.g. l'eseguibile di ZoneAlarm), magari potrebbe essere utile per la cancellazione di qualche programma malevolo ciao

figo :D

però.. volevo provarlo, ma quando l'ho avviato mi ha dato Error 90; sai quale potrebbe esserne la causa? :stordita:

Metraton
05-10-2008, 22:43
figo :D

però.. volevo provarlo, ma quando l'ho avviato mi ha dato Error 90; sai quale potrebbe esserne la causa? :stordita:
ciao leolas...potresti dirmi qual'è il tuo sistema operativo...ed anche se hai la seguente chiave nel registro di configurazione: HKEY_CLASSES_ROOT\*\shell ?

commi
05-10-2008, 23:06
@ Metraton
quando si clicca sul link al tuo programmino, AntiVir WebGuard avverte della presenza del trojan TR/Crypt.ASPM.Gen :eek: