PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 [8] 9 10 11 12 13 14 15 16 17 18 19

Metraton
05-10-2008, 23:19
@ Metraton
quando si clicca sul link al tuo programmino, AntiVir WebGuard avverte della presenza del trojan TR/Crypt.ASPM.Gen :eek:
ti assicuro che è un falso positivo...non avrei un motivo per mettere un virus all'interno di un programma che dovrebbe cancellarli...magari per la prossima versione cambio crypter :)...cmq la segnalazione viene effettuata in quanto non riesce a decomprimere il file prima dell'esecuzione del codice

riazzituoi
10-10-2008, 18:35
.

nV 25
11-10-2008, 13:04
Sembra che ci sia una vulnerabilità in Real-Time Defender:

Real-Time Defender v1.0 core of multiple denial of service vulnerability (http://209.85.135.104/translate_c?hl=it&sl=zh-CN&tl=en&u=http://hi.baidu.com/mj0011/blog/item/533b85ee1ce1f92f2cf53411.html&usg=ALkJrhiF-544LbWh_ug_o-d8DxJVlkPYGQ)
grazie per la preziosa segnalazione.


Se può consolare, cmq, dai test di MJ0011 sembrerebbe emergere che PS (ora RTD..) sia in buona compagnia, anzi, se niente c'è nel quadro generale degli hips puri ne esce addirittura benino...:stordita:


Che il cuore di RTD (ProSecur.sys) abbia bisogno "di lavoro" per essere migliorato/irrobustito, cmq, è evidente:
speriamo che i nuovi acquirenti del codice si facciano vivi in qualche maniera visto che di fatto, ad eccezione del "restiling dell'interfaccia", tutto sembrerebbe circondato da una impenetrabile cortina di silenzio...:muro:

eraser
11-10-2008, 21:54
ciao a tutti...ho realizzato un video con diversi anti-rootkit in cui si vede come questi strumenti non riescono a riconoscere un processo nascosto: http://www.youtube.com/watch?v=64DlK7dOpmI, ovviamente e a solo scopo illustrativo.

Salve,

sarei interessato, se possibile, ad un sample di questo rootkit (in privato).

Ti ringrazio comunque in anticipo

riazzituoi
15-10-2008, 11:40
.

Metraton
17-10-2008, 21:52
Ciao Metraton.
Ho visto il video e vorrei farti una domanda: visto che le prove risalgono, se non erro, a gennaio 2007, non sarebbe stato meglio postare un video con dei test più aggiornati, con le versioni attuali degli antirootkit? son passati quasi 2 anni....

nuovo video nuovo ark qui (http://www.onlysoft.it/Video/MetraRootkit_VS_RootRepeal.rar)

commi
17-10-2008, 23:13
nuovo video nuovo ark qui (http://www.onlysoft.it/Video/MetraRootkit_VS_RootRepeal.rar)
:eek:
E' davvero "hidden" quel processo.
Se anche RootRepeal ha fallito, figuriamoci gli altri....anzi mi sa che facciamo prima se ci dici se e quali antirootkit riescono a "vedere" il tuo programmino, giusto per renderci conto della valenza di questi programmi.:stordita:
Hai fatto anche delle prove con gli HIPS (Real Time Defender, Defense+, EQSecure etc.)?

Franz.
18-10-2008, 19:18
Un salutone a tutti. Volevo dire due cose: :)
La prima, per chi fosse interessato, è che su win magazine di novembre è allegato in versione completa Safe'n'Sec Pro Deluxe 3.0;
la seconda è che vorrei sapere da voi se mi conviene installarlo su un pc già "ricco".
Mi spiego meglio: l'eventuale installazione di Safe'n'Sec si aggiungerebbe ad un contesto comprensivo di: Asquared Anti Malware 4, Kaspersky IS 2009 e a disposizione on demand Superantispyware e Spybot S&D.

Non vorrei rischiare di appesantire troppo (ed inutilmente) il sistema, trovandomi la difesa proattiva del KIS (pseudo hips) in conflitto/concorrenza con Safe'n'Sec.
Cosa mi consigliate di fare? :confused: A me il buon senso mi dice che potrei pure fare a meno d'installare Safe'n'Sec, però.... :rolleyes: e poi un ultima considerazione: visto che tra una diecina di giorni mi scade il KIS, rivedreste questa configurazione modificandola inserendoci il Safe'n'Sec e rivedendo quindi antivirus e firewall. Che ne pensate? :rolleyes: Non vorrei andare troppo OT, Safe'n'Sec è pertinente al 3d, ma gli altri consigli no, però vista la situazione vi chiederei se possibile un eccezione, :) comunque in ogni caso, grazie ;)

erreale
18-10-2008, 20:49
Ciao...

A squared 4 = mamutu + denifinizioni antivirali

imho puoi fare a meno di safe'n'sec

visto che fra dieci giorni ti scade il kis, io lo sostituirei con Comodo Suite (ora in RC 2). Quindi avresti:

Comodo Suite = fw + av + hips
A squared 4 = mamutu (behavior) + denifinizioni antivirali

Leon87
18-10-2008, 22:18
-- EDIT --

Sbagliato topic

riazzituoi
05-11-2008, 11:53
.

Metraton
05-11-2008, 23:35
:eek:
E' davvero "hidden" quel processo.
Se anche RootRepeal ha fallito, figuriamoci gli altri....anzi mi sa che facciamo prima se ci dici se e quali antirootkit riescono a "vedere" il tuo programmino, giusto per renderci conto della valenza di questi programmi.:stordita:
Hai fatto anche delle prove con gli HIPS (Real Time Defender, Defense+, EQSecure etc.)?
ciao commi, nuovi test qui (http://www.onlysoft.it/Video/GDRootkit_2_0.wmv), attualmente non esistono programmi che riescano a rilevarlo ne come processo ne come driver, l'unico modo sarebbe bloccarne l'installazione

sampei.nihira
07-11-2008, 16:04
ciao commi, nuovi test qui (http://www.onlysoft.it/Video/GDRootkit_2_0.wmv), attualmente non esistono programmi che riescano a rilevarlo ne come processo ne come driver, l'unico modo sarebbe bloccarne l'installazione

Io sarei interessato a sapere se hai o meno soddisfatto la richiesta di Eraser.
Grazie.

nV 25
07-11-2008, 17:05
alla luce di quello che ho avuto modo di leggere anche su Sysinternals dove è stata fatta qualche richiesta analoga, direi che la risposta è no al 99%...



@ Metraton:
io, cmq, non riesco a vedere l'ultimo filmato...
Potresti uplodarlo (magari zippato..) da qualche altra parte?

Mi sembra di capire, poi, che stai lavorando ad un tuo tool Antirootkit...
C'è del vero o sei attratto solo dal lato oscuro, il "subverting"? :mbe:

levriero
07-11-2008, 19:58
Cavolo....tosto questo root...
Un po' lunghetto il video però l'ho seguito con interesse...
Eri sotto Kis e in Vm...dici ke sotto RTD o EQS3/4 il processo NON viene proprio rilevato?
Ho notato poi(anche x esp.pers.)ke molti tool sotto Vm "zoppicano" un pochino..
RootRepeal è ancora in fase testing.. mi sembra..percui attenderei la definitiva ke dovrebbe essere ormai imminente...
NON SO KE DIRE...Solo ke se x bloccarlo bisogna stoppare l'installazione...il compito sta all'Hips o all'Av...
Ma..questo Root è in grado d'uscire anche da SandBoxie?

nV 25
08-11-2008, 09:18
premessa: non sono riuscito a vedere il filmato (mi dà connessione al server fallita...), di conseguenza parte di quello che segue può essere scorretto...

Cominciamo allora dalle cose di cui sono sicuro.
...dici ke sotto RTD o EQS3/4 il processo NON viene proprio rilevato?
Qui c'è un errore di fondo.
Gli hips classici, infatti, *non* sono disegnati con tecnologie tali da consentirgli di rilevare (ad es..) processi nascosti cosi' come asserisci te.
Il loro fine, infatti, è SOLO quello di PREVENIRE (bloccare cioè a monte determinati comportamenti che, se ammessi [=autorizzati], potrebbero realmente dar luogo ad anomalie come per l'appunto il processo nascosto ecc)...

L'eventuale osservazione di quello che accade nel sistema in un 2° momento è eventualmente demandato ad altre soluzioni...

In quest'accezione, allora, gli hips puri o vedono (nel senso di "si accorgono che qualcosa stà succedendo") o sono ciechi ( qualora Metraton o chi per lui vada ad utilizzare ad es una funzione non documentata per arrivare ad un determinato obiettivo...)

Resta quindi da capire se "la tecnologia" utilizzata nel PoC di Metraton sia tesa a bypassare "gli occhi" dell'hips puro o se, invece, (come ritengo più probabile..) sia tesa a bypassare "gli occhi" dell'attuale generazione di AntiRootkit, che è cosa assai diversa.

Se la risposta è di questo tenore, allora, non sono stupito più di tanto:
è risaputo, infatti, che là dove si ammettano certi comportamenti, quello che ne può scaturire è potenzialmente devastante....

Arrivando dunque alle cose di cui non sono sicuro, mi sembra di capire che nel video si parli di KIS (7? 2009?)...

Per la v.7, l'unica tecnologia che ha il KIS per rilevare la presenza di processi nascosti (osservando quindi il sistema "ex post" come dicevo poc'anzi...) è contenuta in una particolare voce del PDM, la voce "Rootkit detection".
Se non dovesse rilevarla, ripeto, non sarei stupito più di tanto per i motivi descritti in precedenza...

E questo vale anche per gli AntiRootkit:
se non sanno dove (e come..) guardare, sono semplicemente ciechi specie se di fronte alle "novità" quali quelle (probabilmente) contenute nel lavoro di Metraton...





*EDIT*
questa, cmq, è la discussione nella quale Metraton ha presentato all'estero i suoi filmati: LINK! (http://forum.sysinternals.com/forum_posts.asp?TID=9630) ([I]da pag 18 in poi...)

sampei.nihira
08-11-2008, 14:02
@ Enne

Strano che non riesci a vedere il filmato !!
Hai per caso gli open DNS (che spesso sono dispettosi in tal senso) ?

Io l'ho visto sia sotto Windos che Linux senza problemi.

Io non credo che Metraton ha scritto (qui ) (se l'ha scritto non l'ho letto.....:rolleyes: ) che EQS e RTD non riescono ad intervenire.

E poi il filmato mostra una serie di "nulla di fatto" dei vari tool antirootkit (molti per la verità) frà i quali anche Gmer.

Si nella macchina del filmato c'è installato K. e PG.
Non ci dovrebbe essere nemmeno un HIPS tra quelli menzionati (se ricordo bene........) ma non si vede perchè parte delle icone sono nascoste dall'apposita funzione per me odiosa :D della barra.......

nV 25
08-11-2008, 14:12
Ciao, sampei.

Ho letto di corsa (stò uscendo...)

Eventuali commenti dopo.

Ciao! :)


............

Ecco i commenti, allora, e per farlo mi servo di una "forzatura" delle tue parole, che è la seguente:

sembrerebbe emergere che io "mi scaldi" quando vedo qualcuno che parla male di RTD, cosa che è falsa:
non ho mai avuto la presunzione di pensare ad RTD come La Panacea e i miei post NON vogliono essere difesa a priori di qualcosa...

Non credo peraltro, como ho avuto modo di dire, che obiettivo di Metraton fosse stato il "bucare" gli hips puri ma dimostrare che con le tecniche che usa riesce ad arrivare all'obiettivo (=l'invisibilità di un qualcosa) nel silenzio generale dei tool espressamente progettati per vedere "al di là del visibile"...

Ecco il senso del mio discorso che con RTD/EQS o chessò io c'incastra poco o nulla...

Ciò non toglie che potrei essere ugualmente curioso di sapere come si comporterebbero...


Che cmq PG, se non utilizzato come controllore di ciò che va in esecuzione, sia "in need of an update", è ormai noto ( vedi qui! (http://www.wilderssecurity.com/showthread.php?t=174012), ad es...)

levriero
08-11-2008, 17:34
NV25 "Chiedo venia.."
Credo comunque ke tu abbia colto nel segno....
Unica cosa ke mi lascia perplesso è ke lanciando l'eseguibile col semplice click.. ne' PG ne' KIS9 "rilevavano" alcun processo d'alcun tipo...NON ho visto richieste d'approvazione(se no'so cecato..ma potrebbe essere)...quindi hips baypassati...percui sarei curioso anch'io di vedere il comportamento con RTD o Eqs xkè qui il campo s'allarga

Metraton
08-11-2008, 22:02
@sampei.nihira:
D. "Io sarei interessato a sapere se hai o meno soddisfatto la richiesta di Eraser.
Grazie."
R. No

@nV 25:
D. "io, cmq, non riesco a vedere l'ultimo filmato...
Potresti uplodarlo (magari zippato..) da qualche altra parte?"
R. che errori ti da? codec?
D. "Mi sembra di capire, poi, che stai lavorando ad un tuo tool Antirootkit...
C'è del vero o sei attratto solo dal lato oscuro, il "subverting"?"
R. si è il mio obiettivo finale, sto sviluppando un tool anti-rootkit che riesce a rilevare anche il mio POC, purtroppo ora non ho il tempo per finirlo, comunque per le vacanze di dicembre pubblicherò la prima versione
D. "mi sembra di capire che nel video si parli di KIS (7? 2009?)..."
R. KIS IS 2009 v.8.0.0.357 (l'ultima versione)

@levriero:
D. "Eri sotto Kis e in Vm...dici ke sotto RTD o EQS3/4 il processo NON viene proprio rilevato?"
R. non li ho testati, comunque ho scoperto diverse falle nei sistemi di prevenzione malware testati non "tappati"
D. "Ma..questo Root è in grado d'uscire anche da SandBoxie?"
R. no, ancora no :)

gli hips installati nella macchina dove sono stati effettuati i test sono KIS e ProcessGuard

ecco le funzioni degli hips bypassate:
1) KIS:
----> Esecuzione senza firma digitale
----> Installazione driver
2) ProcessGuard
----> Installazione driver

Chukie
08-11-2008, 22:16
"Ma..questo Root è in grado d'uscire anche da SandBoxie?"
R. no, ancora no :)


Penso proprio che ancora a lungo non sarà in grado :rolleyes: :D

sampei.nihira
28-11-2008, 19:42
http://www.pianetapc.it/view.php?id=1141

Potevo inserire il link della notizia nel 3D dedicato al sw.
Ma ho preferito inserirlo in questo 3D per almeno 2 motivi:

1) anche altri HIPS seguono una via del tramonto simile.....

2) Ma per me, mooolto più importante,mi dispiace vedere relegato in seconda pagina questo ben più interessante 3D rispetto ad altri in prima s'intende !! ;)

riazzituoi
28-11-2008, 20:00
.

leolas
28-11-2008, 20:07
Se ne era già parlato, anche se non ricordo dove/quando.

Resteranno solo OA e Comodo, perchè hanno almeno un minimo di marketing e hanno vari sviluppatori, non sono software sviluppati solo dal propietario.. O, per essere più diretto, come l'utente del forum di SSM: [...] it ain't a pest click-festival like the comodo-ware and OA, making your daily computerlife nothing but irritation, I really wonder why there aren't enough sales, If you look at other products like Online Armor for example, just plain bugfests but their authors are assholes paying reviewers to give their crap a perfect score, SSM is so much better, lightweight, polished, stable, intuitive, smart....

:asd: :D

Mi dispiace per SSM, comunque, era un ottimo HIPS.

levriero
28-11-2008, 20:22
E' stato mio buon compagno per tanto tempo:cry:
Be' con RTD e EQS non lo rimpiango troppo...
comunque era un buon progetto..speriamo ke attecchisca nell'open source^^

nV 25
29-11-2008, 11:49
io, invece, andrò quasi sicuramente controtendenza e mi sparerò una licenza di Malware Defender quanto prima....


Allo stato attuale, infatti, MD manca ancora di alcune cosette (una, in particolare, critica per la sicurezza visto che ad oggi non intercetta azioni che coinvolgono l'SCM rendendolo di conseguenza vulnerabile a Rootkit del tipo Nulprot/Saturn che, per poter operare pienamente, compiono operazioni su driver caricati in memoria..), sebbene globalmente sia già un software che, sotto diversi punti di vista, dà le paghe ai vari "Comodi/Armature In Linea"...


Pur consapevole di quello che sarà l'inevitabile destino (anche) di questo prodotto che è destinato per sua natura a riscuotere il consenso di una ristrettissima cerchia di utenti, la sensazione di poter esercitare un controllo quasi intimo con il sistema (possibile solo con questi software estremamente specializzati...), vale da solo il prezzo di una licenza...


Per me, dunque, ecco definito con chiarezza il nome del successore di ProSecurity...

Non resta che attendere ancora qualche altro input da xiaolin, ma i tempi (ormai) sono sempre più maturi...

Aiò! :)

sampei.nihira
29-11-2008, 13:55
OA e Comodo hanno sicuramente più possibilità di riuscita in un mercato che predilige sempre più il "tutto in uno".
Io purtroppo non sono fatto così e sarò forse inevitabilmente destinato a soccombere (dal sistema Windows) come i prodotti di cui stiamo parlando.

Inoltre questi prodotti sono certamente più pesanti del mio EQS !!!
Che ha il notevole merito, che per me vale oro,di essere leggerissimo.......;)

Mi chiedo se il portatile reggerà,a livello hardware,se sarà possibile arrivare con un sistema di protezione simile a quello che ho attualmente al 2014 !!!

Naturalmente quando il supporto per XP sarà abbandonato il portatile in questione (se sarà ancora in vita) passerà a.....(miglior vita ? ).....forse !!!

sampei.nihira
29-11-2008, 14:01
io, invece, andrò quasi sicuramente controtendenza e mi sparerò una licenza di Malware Defender quanto prima....


Allo stato attuale, infatti, MD manca ancora di alcune cosette (una, in particolare, critica per la sicurezza visto che ad oggi non intercetta azioni che coinvolgono l'SCM rendendolo di conseguenza vulnerabile a Rootkit del tipo Nulprot/Saturn che, per poter operare pienamente, compiono operazioni su driver caricati in memoria..), sebbene globalmente sia già un software che, sotto diversi punti di vista, dà le paghe ai vari "Comodi/Armature In Linea"...


Pur consapevole di quello che sarà l'inevitabile destino (anche) di questo prodotto che è destinato per sua natura a riscuotere il consenso di una ristrettissima cerchia di utenti, la sensazione di poter esercitare un controllo quasi intimo con il sistema (possibile solo con questi software estremamente specializzati...), vale da solo il prezzo di una licenza...


Per me, dunque, ecco definito con chiarezza il nome del successore di ProSecurity...

Non resta che attendere ancora qualche altro input da xiaolin, ma i tempi (ormai) sono sempre più maturi...

Aiò! :)

Enne,ciao, noto (non adesso è molto che c'è) che su W. c'è un discreto interesse per questo prodotto.
Sicuramente hai testato la versione di prova,ma anche con il test Comodo ?
Se si com'è andata ?

nV 25
29-11-2008, 14:40
Fallisce tutta la parte che coinvolge direttamente l'aspetto firewall che infatti non è ancora implementato (quindi, ICMP/Dns test, Bits[?]..) e il RawDisk (MD, infatti, copre attualmente la scrittura ma non la lettura del disco a basso livello...)


Insomma, ancora un pò "giovane" ma moolto promettente...:)



-----------------------------------------------------------


Per gli esperti di D+, invece, ho una domanda a bruciapelo:

ho notato che alcuni processi girano senza che siano (apparentemente) definite apposite regole (è il caso di alg.exe, ad es, anche se ho rilevato altri processi che godono della stessa "libertà", come vmnat.exe e vmnetdhcp.exe per chi usa VM Ware)...

Nessuno lo ha notato?

Sarei curioso infatti di sapere come è possibile che D+ non li "intercetti"...


Per verificare se sono io in errore, confrontate processo per processo quello che vedete in taskmanager con quelli che sono i processi per i quali D+ ha definito apposite regole (la scheda cioè dove sono elencati quelli che comodo chiama "windows system applications, windows updater applications"...e le regole che D+ ha costruito in automatico..)

Grazie

@Sirio@
29-11-2008, 18:01
Provo a risponderti io anche se non mi sento un esperto del D+... inizio a capirlo adesso. :oink:

Potrebbe dipendere da questo: http://img529.imageshack.us/img529/3059/231tu6.th.png (http://img529.imageshack.us/my.php?image=231tu6.png)

Ho notato che tutti i servizi sotto services.exe (a parte svchost e spoolsv.exe che sono inclusi nella policy Windows System Applications) non hanno regole, e che le Windows System Applications hanno piena libertà: http://img388.imageshack.us/img388/3438/241pc9.th.png (http://img388.imageshack.us/my.php?image=241pc9.png)

Riguardo alla tua valutazione sugli HIPS di Comodo e OA ti volevo chiedere una cosa: Non hai notato nessun miglioramento nel D+ rispetto l'anno passato?

Ciao enne :)

manga81
30-11-2008, 09:36
cosa sapete dirmi di:
PC Tools Internet Security 2009


lo stanno dando in promozione gratis per 1 anno, qui spiega come averlo:
http://www.megalab.it/3484


il firewall sembra molto buono (ha pure un sistema hips?):
http://www.matousec.com/projects/firewall-challenge/results.php


l'antispyware è da molti considerato il migliore su piazza ( solo che è abbastanza pesante...)


l'antivirus è al momento forse il più leggero sul mercato:
http://www.megalab.it/2863/6

poco meno di 5mb in idle

18mb sotto scansione

done75
30-11-2008, 10:47
io, invece, andrò quasi sicuramente controtendenza e mi sparerò una licenza di Malware Defender quanto prima....


Allo stato attuale, infatti, MD manca ancora di alcune cosette (una, in particolare, critica per la sicurezza visto che ad oggi non intercetta azioni che coinvolgono l'SCM rendendolo di conseguenza vulnerabile a Rootkit del tipo Nulprot/Saturn che, per poter operare pienamente, compiono operazioni su driver caricati in memoria..), sebbene globalmente sia già un software che, sotto diversi punti di vista, dà le paghe ai vari "Comodi/Armature In Linea"...


Pur consapevole di quello che sarà l'inevitabile destino (anche) di questo prodotto che è destinato per sua natura a riscuotere il consenso di una ristrettissima cerchia di utenti, la sensazione di poter esercitare un controllo quasi intimo con il sistema (possibile solo con questi software estremamente specializzati...), vale da solo il prezzo di una licenza...


Per me, dunque, ecco definito con chiarezza il nome del successore di ProSecurity...

Non resta che attendere ancora qualche altro input da xiaolin, ma i tempi (ormai) sono sempre più maturi...

Aiò! :)


...io invece da grande fan del kis2009 (...e mi pare che pure tu eri\sei un kasperskiano...) volevo chiederti che ne pensi dell'HIPS del kis....a me soddisfa parecchio...

nV 25
30-11-2008, 18:19
Di fronte ad alcune delle domande che mi vengono poste mi trovo sinceramente in imbarazzo dato che non dispongo nè di bacchette magiche nè di conoscenze tali da permettermi di formulare sentenze...


Le mie affermazioni, dunque, anche se "importanti" (l'ultima a proposito di MD per il quale ho detto che "globalmente è già un software che...dà le paghe ai vari D+/OA..), vanno quindi relativizzate (chi le dice, infatti, conta come il 2 di picche quando briscola è cuori...) e lette:
per il mio modo di sentire, infatti, l'HIPS nudo e crudo, oltre a dover offrire un certo ventaglio di coperture, deve necessariamente trasmettere "al manico" una sensazione, e cioè quella di poter esercitare un controllo quasi intimo con la propria macchina, sensazione che non ho obiettivamente mai rinvenuto nei prodotti leader che sono di contro macchinosi (es, struttura delle regole in D+), confusi, ermetici (interpretazione del log per D+/assenza di fatto di un log in OA, semplicemente ridicolo sotto questo punto di vista)...


In termini di sicurezza pura, invece, (intesa come "canali monitorati"...), è possibile che D+ & OA siano *ad oggi* soluzioni sulla carta effettivamente superiori a qualsiasi altra...

E bug ovviamente permettendo, dato che la storia di D+ è condita da n pericolosi precedenti di brecce lasciate aperte a lungo...




---------------------------------------------------------


Quello che a me interessava su D+, cmq, era il discorso dei processi che sembrerebbero girare senza che siano (apparentemente) definite apposite regole...
E' possibile effettivamente che la spiegazione sia collegata a quello che @Sirio ha detto a proposito del 2° screen:
Alg.exe, infatti, come altri processi per i quali misteriosamente non esisterebbe regola, sono "child process" di services.exe...

levriero
30-11-2008, 19:27
Io invece qualke sassolino me lo sto togliendo con EQSv.3 ke con rules appropiate sembra proprio un bel muro ...l'unica cos ake NON condivido è il timer di decisione per i blokki..adesso lo sto testando akkoppiato con OA3(solo firewall)
Su un'altra macchina RTD con Comodo3(NO D+)...
Entrambe mi sembrano 2 sol.molto valide soprattutto per un utente medio.
Malware Defender lo seguo da un po' su Wilder...ho le stesse impressioni di N anke se in Vm ho rinunciato all'installazione...xkè s'inkrikkava la makkina...

sampei.nihira
30-11-2008, 21:35
Di fronte ad alcune delle domande che mi vengono poste mi trovo sinceramente in imbarazzo dato che non dispongo nè di bacchette magiche nè di conoscenze tali da permettermi di formulare sentenze...


Le mie affermazioni, dunque, anche se "importanti" (l'ultima a proposito di MD per il quale ho detto che "globalmente è già un software che...dà le paghe ai vari D+/OA..), vanno quindi relativizzate (chi le dice, infatti, conta come il 2 di picche quando briscola è cuori...) e lette:
per il mio modo di sentire, infatti, l'HIPS nudo e crudo, oltre a dover offrire un certo ventaglio di coperture, deve necessariamente trasmettere "al manico" una sensazione, e cioè quella di poter esercitare un controllo quasi intimo con la propria macchina, sensazione che non ho obiettivamente mai rinvenuto nei prodotti leader che sono di contro macchinosi (es, struttura delle regole in D+), confusi, ermetici (interpretazione del log per D+/assenza di fatto di un log in OA, semplicemente ridicolo sotto questo punto di vista)...


In termini di sicurezza pura, invece, (intesa come "canali monitorati"...), è possibile che D+ & OA siano *ad oggi* soluzioni sulla carta effettivamente superiori a qualsiasi altra...

E bug ovviamente permettendo, dato che la storia di D+ è condita da n pericolosi precedenti di brecce lasciate aperte a lungo...




---------------------------------------------------------


Quello che a me interessava su D+, cmq, era il discorso dei processi che sembrerebbero girare senza che siano (apparentemente) definite apposite regole...
E' possibile effettivamente che la spiegazione sia collegata a quello che @Sirio ha detto a proposito del 2° screen:
Alg.exe, infatti, come altri processi per i quali misteriosamente non esisterebbe regola, sono "child process" di services.exe...

Ho evidenziato un tuo passaggio.
Secondo le dichiarazioni di Erreale (Member of Comodo Malware Research Group) nel forum di PianetaPC:

http://www.pianetapc.it/forum/viewtopic.php?f=16&t=4730&start=120

siamo in presenza ancora di un caso simile.
Cito testualmente:

....Il bug consiste in una non corretta protezione dell'hips alla terminazione.....

Gli utenti possono da soli trarre le proprie conclusioni !!

@Sirio@
30-11-2008, 22:47
Le rimetto anche qui.

Dal forum ufficiale di Comodo le spiegazioni di Egemen: http://forums.comodo.com/leak_testingattacksvulnerability_research/new_matousec_firewall_challenge-t30896.0.html;msg222603#msg222603

@Sirio@
30-11-2008, 22:50
Di fronte ad alcune delle domande che mi vengono poste mi trovo sinceramente in imbarazzo dato che non dispongo nè di bacchette magiche nè di conoscenze tali da permettermi di formulare sentenze...


[...]

Thanks... volevo solo capire meglio le tue impressioni.

sampei.nihira
01-12-2008, 07:20
Io invece qualke sassolino me lo sto togliendo con EQSv.3 ke con rules appropiate sembra proprio un bel muro ...l'unica cos ake NON condivido è il timer di decisione per i blokki..adesso lo sto testando akkoppiato con OA3(solo firewall)
Su un'altra macchina RTD con Comodo3(NO D+)...
Entrambe mi sembrano 2 sol.molto valide soprattutto per un utente medio.
Malware Defender lo seguo da un po' su Wilder...ho le stesse impressioni di N anke se in Vm ho rinunciato all'installazione...xkè s'inkrikkava la makkina...

Scusa una curiosità hai inserito gli ultimi rules Alcyon,quelli del 29/11 ?

nV 25
01-12-2008, 09:45
....siamo in presenza ancora di un caso simile...


e questo, se vuoi, in una scala di gravità da 1->10 è grave moderatamente:
pensa un pò agli utenti che per n mesi (con n=2/3 min...) si sono trovati con il loro bel D+ che apparentemente intercettava azioni pericolosissime mentre in realtà si lasciava bypassare a prescindere da quella che fosse stata la loro reazione....:D

http://img46.imageshack.us/img46/4313/snap1tf7.th.jpg (http://img46.imageshack.us/my.php?image=snap1tf7.jpg) http://img386.imageshack.us/img386/7939/snap2zo1.th.jpg (http://img386.imageshack.us/my.php?image=snap2zo1.jpg)

(tratta da qui:1 (http://www.wilderssecurity.com/showthread.php?t=216750))

http://img46.imageshack.us/img46/9551/snap4am1.th.jpg (http://img46.imageshack.us/my.php?image=snap4am1.jpg)http://img184.imageshack.us/img184/8304/snap5lz0.th.jpg (http://img184.imageshack.us/my.php?image=snap5lz0.jpg)

(tratta da qui: 2 (http://www.wilderssecurity.com/showthread.php?t=216706))

Peraltro, di una di queste discussioni ne avevamo già parlato qualche pagina fà credendo fosse stato un abbaglio di Aigle, tant'era inverosimile il tutto...








Nell'ipotesi di BUG FREE, cmq, D+ è probabilmente quanto di meglio possa esserci attualmente in circolazione....

:tie:


:sperem:

levriero
01-12-2008, 10:46
[QUOTE=sampei.nihira;25241244]Scusa una curiosità hai inserito gli ultimi rules Alcyon,quelli del 29/11 ?[/QUO

Per ora uso le rules V.20081008 di Alcyon con alcuni accorgimenti presi da Wilders^^ tipo il blocco nella creazione/modifica di file,dll ecc ...dovrei aggiornare in giornata.
Hai notato problemi? Ci sono state un mucchio di beta prima di questa definitiva..ero perplesso...per ora NON hanno annunciano bug evidenti..confermi?

sampei.nihira
01-12-2008, 10:54
[QUOTE=sampei.nihira;25241244]Scusa una curiosità hai inserito gli ultimi rules Alcyon,quelli del 29/11 ?[/QUO

Per ora uso le rules V.20081008 di Alcyon con alcuni accorgimenti presi da Wilders^^ tipo il blocco nella creazione/modifica di file,dll ecc ...dovrei aggiornare in giornata.
Hai notato problemi?

Se devo essere sincero li ho installati ed usati pochissimo (ultimamente ho ripetuto il test Comodo con questi rules come ho postato nell'apposito 3D),ma sono sempre interessato alle novità,quindi ti esorto all'up !! ;)
E quindi alle tue impressioni.
Nessun problema per il tempo d'uso che ne ho fatto,ma è stato semi-fulmineo !!!

levriero
01-12-2008, 11:02
[QUOTE=levriero;25243452]

Se devo essere sincero li ho installati ed usati pochissimo (ultimamente ho ripetuto il test Comodo con questi rules come ho postato nell'apposito 3D),ma sono sempre interessato alle novità,quindi ti esorto all'up !! ;)
E quindi alle tue impressioni.
Nessun problema per il tempo d'uso che ne ho fatto,ma è stato semi-fulmineo !!!

Aggiorno e testo:cool: :cool:

levriero
01-12-2008, 12:09
io, invece, andrò quasi sicuramente controtendenza e mi sparerò una licenza di Malware Defender quanto prima....


Allo stato attuale, infatti, MD manca ancora di alcune cosette (una, in particolare, critica per la sicurezza visto che ad oggi non intercetta azioni che coinvolgono l'SCM rendendolo di conseguenza vulnerabile a Rootkit del tipo Nulprot/Saturn che, per poter operare pienamente, compiono operazioni su driver caricati in memoria..), sebbene globalmente sia già un software che, sotto diversi punti di vista, dà le paghe ai vari "Comodi/Armature In Linea"...


Pur consapevole di quello che sarà l'inevitabile destino (anche) di questo prodotto che è destinato per sua natura a riscuotere il consenso di una ristrettissima cerchia di utenti, la sensazione di poter esercitare un controllo quasi intimo con il sistema (possibile solo con questi software estremamente specializzati...), vale da solo il prezzo di una licenza...


Per me, dunque, ecco definito con chiarezza il nome del successore di ProSecurity...

Non resta che attendere ancora qualche altro input da xiaolin, ma i tempi (ormai) sono sempre più maturi...

Aiò! :)

Da quello ke ho letto su Wilder sembra ke Alcyon sembra interessato a partecipare allo sviluppo delle rules di questo hips^^

sampei.nihira
03-12-2008, 14:32
In tema.
C'è un 3D su W. dell'utente Kees1958:

http://www.wilderssecurity.com/showthread.php?t=226940

riazzituoi
04-12-2008, 20:06
.

@Sirio@
07-12-2008, 02:31
@ sampei.nihira e riazzituoi

Grazie per le preziose info. :)

Ciao.

levriero
10-12-2008, 01:30
Scusa una curiosità hai inserito gli ultimi rules Alcyon,quelli del 29/11 ?

New EQSecure Rules Update; 7th December 2008. Thank you once again Alcyon for your dedication in getting these rulesets as close to perfection as possible.

eqsecure.v3.41.winxp.rules.v20081207-exp

http://drop.io/eqsecure^^

levriero
18-12-2008, 22:53
Disponibile anke una 4.1+ di Eqs ma solo in lingua cinese...
Su Wilders http://www.wilderssecurity.com/showthread.php?t=227359
c'è un thread aperto...per ki vuole provare esiste una traduzione parziale...
La sol.sarebbe integrare i file della 4.1+ con quella precedente..ma certe righe sono ankora in cinese...
Quindi...per ora consiglio solo a konoscitori del programma^^
:oink:

riazzituoi
22-12-2008, 18:28
.

sampei.nihira
26-12-2008, 09:07
Nuovi Rules Alcyon per EQS in data 26/12/2008.

@ Riazzituoi

Ma Riazzi la nuova versione stabile di Returnil non era prevista in uscita a Dicembre ?
Ed ormai manca poco alla sua fine......:rolleyes:

riazzituoi
26-12-2008, 14:52
.

sampei.nihira
26-12-2008, 17:13
Sì, però non avevo specificato di quale anno :sofico:

Comunque credo che abbiano rinviato l'uscita della nuova versione a causa del problema di compatibilità con l'ibernazione di Vista. Pare che siano riusciti a risolvere il problema, e quindi presto verrà rilasciata un'altra beta della versione 2. Questa dovrebbe essere l'ultima prima del lancio della versione 3.

:D :D

Su PianetaPc, Alessandro Recchia, (Erreale) informa gli appassionati che anche Microsoft si interessa a sw di questo tipo:

http://www.pianetapc.it/articoli.php?id=119

Se c'è qualche utente che vuole provare il brivido......:) :)

riazzituoi
26-12-2008, 18:47
.

johnnyc_84
29-12-2008, 15:30
salve vorrei sapere se la mia configurazione di sicurezza è adeguata o se devo aggiungere qualcosa

antivir
online armor free
a squared free & super antispyware & malwarebyte's antimalware (tutti on demand)
uso firefox 3 con relative estensioni per la sicurezza
ccleaner

riazzituoi
30-12-2008, 14:56
.

riazzituoi
09-01-2009, 18:44
.

leolas
09-01-2009, 19:15
salve vorrei sapere se la mia configurazione di sicurezza è adeguata o se devo aggiungere qualcosa

antivir
online armor free
a squared free & super antispyware & malwarebyte's antimalware (tutti on demand)
uso firefox 3 con relative estensioni per la sicurezza
ccleaner

Questo thread è solo per gli HIPS. Se vuoi farti consigliare la configurazione, devi cheidere qui: http://www.hwupgrade.it/forum/showthread.php?t=1476319

Cmq imho va benissimo :p

levriero
10-01-2009, 02:20
Pikkolo problema con Oa3 free(ultima beta),Eqs ultime rules Alcyon ed Avira Pe
Il pc si pianta in fase d'avvio dell'AV sulla skermata di karikamento...tokka killare explorer.exe e riprenderlo con nuovo processo...poi tutto funge regolarmente.
Kredo un konflitto:muro:

cloutz
15-01-2009, 15:50
ho provato sia Malware Defender (2.0 beta5)che Netchina 3.5...

sono rimasto piacevolmente impressionato da MD, protezione granulare, popup chiari, ottimo Learning Mode, leggero sulla ram (sui 16 Mb)...davvero un ottimo software, anche se ammetto di non averlo provato al massimo delle sue potenzialità (e di non averlo testato con qualche rootkit)...

per quanto riguarda Netchina non mi è piaciuto...grandi potenzialità, ma ancora molto acerbo...grafica poco chiara, traduzione dal cinese all'inglese fatta male (approssimativa e talvolta mancante), popup criptici e le scelte possibili non sono per niente chiare anche per me...anche questo leggero (mai oltre i 10-16 Mb)...ottima protezione, produce molti avvisi, ma ha bisogno ancora di crescere, e si vede..

voi li avete provati?
che ne pensate?:D

Saluti

Bazz89
15-01-2009, 18:08
ciao cloutz
io provai qualke mese fa MD e mi ero trovato bene.....tranne che x un piccolo problema: i programmi in avvio automatico nn venivano piu avviati....anche l'antivirus e il firewall :confused:

sinceramente l'ho provato per poco tempo, e nn avevo tempo per combatterci tanto

ogni tanto mi viene voglia di riprovarlo....vedremo in futuro, quando la versione 2 non sarà piu beta :D

ciao :)

cloutz
15-01-2009, 18:38
ciao cloutz
io provai qualke mese fa MD e mi ero trovato bene.....tranne che x un piccolo problema: i programmi in avvio automatico nn venivano piu avviati....anche l'antivirus e il firewall :confused:

sinceramente l'ho provato per poco tempo, e nn avevo tempo per combatterci tanto

ogni tanto mi viene voglia di riprovarlo....vedremo in futuro, quando la versione 2 non sarà piu beta :D

ciao :)

eh si, mi sa che è meglio aspettare..certo, è pur sempre a pagamento, mentre Netchina è free:ciapet:
cmq speriamo bene, anche perchè la sfida a due (OA e D+) inizia a stufare :p

attualmente sto usando SSM Pro (dato che il mio amato EQSecure non funge sotto account limitato:muro::muro::muro:)..mi trovo benissimo, è un gran bel programma (peccato che lo sviluppo sia discontinuato), anche se si sente un pò la mancanza del FileProtection...

allora ho provato ad affiancargli SystemProtect, l'ho settato a dovere, ma si è rivelato eccessivamente assillante:D

per ora tengo SSM Pro puro e duro, che è comunque un'ottima soluzione, aspettando sviluppi di queste new entry, o di un Behaviour Blocker made in OA (http://www.hwupgrade.it/forum/showpost.php?p=25797237&postcount=1342)(utopia?:Prrr:)

Bazz89
15-01-2009, 18:47
eh si, mi sa che è meglio aspettare..certo, è pur sempre a pagamento, mentre Netchina è free:ciapet:
cmq speriamo bene, anche perchè la sfida a due (OA e D+) inizia a stufare :p

attualmente sto usando SSM Pro (dato che il mio amato EQSecure non funge sotto account limitato:muro::muro::muro:)..mi trovo benissimo, è un gran bel programma (peccato che lo sviluppo sia discontinuato), anche se si sente un pò la mancanza del FileProtection...

allora ho provato ad affiancargli SystemProtect, l'ho settato a dovere, ma si è rivelato eccessivamente assillante:D

per ora tengo SSM Pro puro e duro, che è comunque un'ottima soluzione, aspettando sviluppi di queste new entry, o di un Behaviour Blocker made in OA (http://www.hwupgrade.it/forum/showpost.php?p=25797237&postcount=1342)(utopia?:Prrr:)

hai provato Real Time Defender? il defunto Prosecurity?

dovrebbe essere ancora free:
http://www.wilderssecurity.com/showthread.php?t=218205

io lo provai e mi ero trovato bene

ciao :)

levriero
15-01-2009, 18:58
hai provato Real Time Defender? il defunto Prosecurity?

dovrebbe essere ancora free:
http://www.wilderssecurity.com/showthread.php?t=218205

io lo provai e mi ero trovato bene

ciao :)
La mia attuale conf.base di sikurezza unisce Comodo3, RTD e DriveSentry +Antivir...Direi ke è una kannonata..solo un po' appesantito dopo DriveSenry ma i le 2cpu lavorano bene..
Uniko problema notato è un crash nello svotare SandBoxie...
Su altro Pc Eqs3(+Oa Free) incomincia un po' a infastidire...impostato il blokko dei files..NON permette pratikamente di lavorarci...continui popup e log sempre aperto...NON kredo ke sia un male in termini d'efficacia...ma quando kapitano i files temporanei ed ho fretta...uff:muro:
Aspetto MD final e la Final di EQS4..il merkato hips..cresce^^ lento...ma kresce

Bazz89
15-01-2009, 19:06
La mia attuale conf.base di sikurezza unisce Comodo3, RTD e DriveSentry +Antivir...Direi ke è una kannonata..solo un po' appesantito dopo DriveSenry ma i le 2cpu lavorano bene..
Uniko problema notato è un crash nello svotare SandBoxie...
Su altro Pc Eqs3(+Oa Free) incomincia un po' a infastidire...impostato il blokko dei files..NON permette pratikamente di lavorarci...continui popup e log sempre aperto...NON kredo ke sia un male in termini d'efficacia...ma quando kapitano i files temporanei ed ho fretta...uff:muro:
Aspetto MD final e la Final di EQS4..il merkato hips..cresce^^ lento...ma kresce

ma nn c'è un po troppo? :D

DriveSentry è un mix tra hips e antivirus....

hai avira....hai RTD....:p

per nn parlare anbche di Comodo con il suo hips....:eek:

sarà una cannonata, ma per i miei gusti un po troppe cose, alcune accavallate....IMHO

e c credo che è un po pesante :asd:

ciao :D

cloutz
15-01-2009, 19:09
La mia attuale conf.base di sikurezza unisce Comodo3, RTD e DriveSentry +Antivir...Direi ke è una kannonata..solo un po' appesantito dopo DriveSenry ma i le 2cpu lavorano bene..
Uniko problema notato è un crash nello svotare SandBoxie...
Su altro Pc Eqs3(+Oa Free) incomincia un po' a infastidire...impostato il blokko dei files..NON permette pratikamente di lavorarci...continui popup e log sempre aperto...NON kredo ke sia un male in termini d'efficacia...ma quando kapitano i files temporanei ed ho fretta...uff:muro:
Aspetto MD final e la Final di EQS4..il merkato hips..cresce^^ lento...ma kresce

preferirei bermi una bottiglia di Jack Daniels piuttosto che gestire un pc con Comodo3 e D+, RTD, DriveSentry (che è cmq meglio di EQS e OA3...immagino la file protection:asd:)...:p

comunque RTD lo provai, mi sembrava pesantino...e poi è praticamente discontinuato anch'esso come SSM...sembra se ne siano dimenticati --'

leolas
15-01-2009, 19:13
Comodo + RTD + DriveSentry meglio di OA + EQS?! :confused:
Ma è così rompiballe, EQS? L'avrò usato sì e no mezza giornata tanto tempo fa :D

Romagnolo1973
15-01-2009, 19:22
La mia attuale conf.base di sikurezza unisce Comodo3, RTD e DriveSentry +Antivir...Direi ke è una kannonata..solo un po' appesantito dopo DriveSenry ma i le 2cpu lavorano bene..
Uniko problema notato è un crash nello svotare SandBoxie...
Su altro Pc Eqs3(+Oa Free) incomincia un po' a infastidire...impostato il blokko dei files..NON permette pratikamente di lavorarci...continui popup e log sempre aperto...NON kredo ke sia un male in termini d'efficacia...ma quando kapitano i files temporanei ed ho fretta...uff:muro:
Aspetto MD final e la Final di EQS4..il merkato hips..cresce^^ lento...ma kresce
Ipocondriaco :D
A parte gli scherzi e visto che hai citato la cannonata mi ricorda quel cannone costruito dai prussiani nella prima guerra mondiale la Grande Berta il cannone più grande al mondo ma che era talmente pesante da risultare inadeguato, comunque è una configurazione a prova di bomba se sei tanto paziente da dare tutti quei consensi

cloutz
15-01-2009, 19:26
I love EQS:p ...EQS è secondo me l'hips che consente una migliore gestione della protezione...
lasciato di default sfrutti il 20% delle sue capacità...creando dei ruleset specifici (come gli Alcyon Ruleset) puoi portarlo all'80-85%...sfruttare un software al 100% la ritengo fantascienza:D

può essere rompiballe come pochi, ma può anche essere silente, dipende dalle regole che crei (per questo dico che ha un controllo più granulare, come MalwareDefender);)

p.s.: anche io la ritengo una config eccessiva, però i gusti sò gusti:p

cloutz
15-01-2009, 20:43
e cmq Bazz89 neanche RTD lavora in ambienti limitati, come EQS e il suo predecessore ProSecurity...:cry:

levriero
15-01-2009, 21:39
Sì, effettivamente è un po' pesantino...soprattutto a causa di DriveSentry..ke gestisce anke una raffika di definizioni e log...tuttavia i blokki NON sono eccessivi xkè kambio raramente configurazione o soft su quel Pc e le rules..a distanza di tempo sono belle ke fatte^^
Comodo3 ha il D+ disattivato..era ovvio..
RTD è superbo...ma DriveSentry 3.1.2.32 ha una "visione un po'+ profonda nel disko"e una gestione dei Logs + dettagliata...gli da' un qualkosa in+ anke per le definizioni..
Lo scanner è on demand...
+ snello e + sobrio si è dimostrato Oa+Eqs...ma ripeto..ho provato la 4 parekki mesi fa(permetterebbe anke di soppiantare SandBoxie)..quindi aspetto la final...
Eqs è un po' komplikato da gestire ed ora NON ho il tempo di buttarmici su...lascio la 3 con le rules Alcyon ma la disattivo se ho fretta.
Con Oa c'è qualke problemino...ma va settato a dovere appunto.
MD kome si komporta? Dagli screen ke ho visto sembra addirittura poter agire + in profondità di Eqs3...anke se per effikacia leggevo ke c'è ankora mooolto da lavorare.

Dimentikavo...visto ke sono masokista..ho affiankato anke PG2 sempre attivo...^^..effettivamente è un po' lento ad avviare il tutto ma poi fa il suo dovere^^

cloutz
16-01-2009, 13:10
Sì, effettivamente è un po' pesantino...soprattutto a causa di DriveSentry..ke gestisce anke una raffika di definizioni e log...tuttavia i blokki NON sono eccessivi xkè kambio raramente configurazione o soft su quel Pc e le rules..a distanza di tempo sono belle ke fatte^^
Comodo3 ha il D+ disattivato..era ovvio..
RTD è superbo...ma DriveSentry 3.1.2.32 ha una "visione un po'+ profonda nel disko"e una gestione dei Logs + dettagliata...gli da' un qualkosa in+ anke per le definizioni..
Lo scanner è on demand...
+ snello e + sobrio si è dimostrato Oa+Eqs...ma ripeto..ho provato la 4 parekki mesi fa(permetterebbe anke di soppiantare SandBoxie)..quindi aspetto la final...
Eqs è un po' komplikato da gestire ed ora NON ho il tempo di buttarmici su...lascio la 3 con le rules Alcyon ma la disattivo se ho fretta.
Con Oa c'è qualke problemino...ma va settato a dovere appunto.
MD kome si komporta? Dagli screen ke ho visto sembra addirittura poter agire + in profondità di Eqs3...anke se per effikacia leggevo ke c'è ankora mooolto da lavorare.

Dimentikavo...visto ke sono masokista..ho affiankato anke PG2 sempre attivo...^^..effettivamente è un po' lento ad avviare il tutto ma poi fa il suo dovere^^

Malware Defender a mio parere è un'ottimo programma, credo uguale o (potenzialmente) addirittura superiore a ciò che è stato ProSecurity...
offre davvero un controllo superbo, molto personalizzabile...
credo superiore agli hips sia del D+ che di OA & concorrenti, indubbiamente deve far ancora un pò di rodaggio, poi si vedrà...
se fosse free lo userei al volo, senza neanche pensarci...:D

Blue Spirit
16-01-2009, 15:53
e cmq Bazz89 neanche RTD lavora in ambienti limitati, come EQS e il suo predecessore ProSecurity...:cry:

e questo, quantomeno per ciò che mi riguarda, è una mancanza imperdonabile;) avevo provato lo scorso anno eqsecure...mi piaceva, ma dopo aver verificato che in account limitato non partiva nemmeno, l'ho piallato al volo...

riazzituoi
20-01-2009, 16:52
.

omnikohh
01-02-2009, 17:50
ragazzi salve, vorrei chiedervi una cosa...ho bisogno di trovare un software diagnostico per i sistemi operativi di windows da installare sulla macchina del cliente e che mi invii giornalmente un report sullo stato del sistema del cliente, esiste?tnx

nV 25
03-02-2009, 21:10
In risposta a questo (http://www.hwupgrade.it/forum/showpost.php?p=26140666&postcount=193) post, ri-uppo la discussione per fornire (se pur per sommi capi...) una risposta alle domande (legittime..) di Sirio....

winsyst32.exe, cosi' come eapbeh.exe, non sono nient'altro che Rootkit della ormai famosa famiglia Rustock:
prima di installare silenziosamente il servizio (o caricare il loro driver...), scrivono su HD come NTFS data stream i rispettivi file, lzx32.sys nel caso di winsyst32.exe, e huy32.sys per eapbeh.exe...


Bene, se già in questa fase la scrittura dei file è impedita, i Rootkit in questione muoiono sul nascere senza arrivare neppure alle fasi successive del processo di infezione...
I miei screen, dunque, fanno vedere proprio l'intercettazione di questa fase, intercettazione che (onestamente) non avevo mai visto nè in PS nè in altri hips...

Nulla cmq di super-eclatante visto che è possibile fermare l'infezione nella fase successiva della creazione del servizio/caricamento driver ma tant'è...:)





Per rispondere poi anche alla domanda "che modifiche abbia apportato alla configurazione di D+", la risposta è semplice:
N E S S U N A.

D+ in Proactive Security & Paranoid mode, i processi "chiave" del S.O. settati con le loro policy di fabbrica, rundll32.exe senza alcun tipo di permessi fatto salvo la regola di default che dice che rundll32 è autorizzata ad eseguire qualsiasi eseguibile nella root di Windows...


Questa delle policy, peraltro, è stata una delle aree su cui ho cercato di concentrare il + possibile le mie attenzioni visto il grado di libertà di cui godono le applicazioni sottostanti (erreale, per citare un es., potrà confermare :D ).....



Cmq, per tagliarla corta e per quello che possa valere, le "pressioni" [:D] cui ho sottoposto ultimamente D+ hanno visto uscire D+ stesso senza le ossa rotte, e questo forse potrà solo fare piacere a qualcuno...:)

omnikohh
04-02-2009, 19:29
ragazzi salve, vorrei chiedervi una cosa...ho bisogno di trovare un software diagnostico per i sistemi operativi di windows da installare sulla macchina del cliente e che mi invii giornalmente un report sullo stato del sistema del cliente, esiste?tnx

up

Romagnolo1973
04-02-2009, 20:08
up
Sei completamente Off Topics , ho visto che un minuto prima di fare up hai postato nel 3d Programmi e Utility che è quello giusto, quindi qui non avrai info, guarda lì

@Sirio@
05-02-2009, 09:55
In risposta a questo (http://www.hwupgrade.it/forum/showpost.php?p=26140666&postcount=193) post, ri-uppo la discussione per fornire (se pur per sommi capi...) una risposta alle domande (legittime..) di Sirio....

winsyst32.exe, cosi' come eapbeh.exe, non sono nient'altro che Rootkit della ormai famosa famiglia Rustock:
prima di installare silenziosamente il servizio (o caricare il loro driver...), scrivono su HD come NTFS data stream i rispettivi file, lzx32.sys nel caso di winsyst32.exe, e huy32.sys per eapbeh.exe...


Bene, se già in questa fase la scrittura dei file è impedita, i Rootkit in questione muoiono sul nascere senza arrivare neppure alle fasi successive del processo di infezione...
I miei screen, dunque, fanno vedere proprio l'intercettazione di questa fase, intercettazione che (onestamente) non avevo mai visto nè in PS nè in altri hips...

Nulla cmq di super-eclatante visto che è possibile fermare l'infezione nella fase successiva della creazione del servizio/caricamento driver ma tant'è...:)





Per rispondere poi anche alla domanda "che modifiche abbia apportato alla configurazione di D+", la risposta è semplice:
N E S S U N A.

Come sempre apprezzo le tue spiegazioni.
Ti chiedevo, perché non mi sono mai capitati quelle richieste riguardanti gli ADS, pensavo riguardasse tutti gli ADS, invece credo che in questo caso vengano segnalati perché come scritto nelle Security Considerations dei popups: "...attempting to hide Izx32.sys... This is a typical virus behavior".
Per questo motivo ti domandavo se avessi apportato modifiche alla configurazione del D+... avevo dei dubbi.

D+ in Proactive Security & Paranoid mode, i processi "chiave" del S.O. settati con le loro policy di fabbrica, rundll32.exe senza alcun tipo di permessi fatto salvo la regola di default che dice che rundll32 è autorizzata ad eseguire qualsiasi eseguibile nella root di Windows...


Questa delle policy, peraltro, è stata una delle aree su cui ho cercato di concentrare il + possibile le mie attenzioni visto il grado di libertà di cui godono le applicazioni sottostanti (erreale, per citare un es., potrà confermare :D ).....

Le applicazioni sottostanti? A quali ti riferisci?

Cmq, per tagliarla corta e per quello che possa valere, le "pressioni" [:D] cui ho sottoposto ultimamente D+ hanno visto uscire D+ stesso senza le ossa rotte, e questo forse potrà solo fare piacere a qualcuno...:)

Ci puoi giurare :yeah:
Per me vale moltissimo... era proprio quello che volevo sentirti dire. ;)

Jeremy01
05-02-2009, 12:06
ragazzi sono novozio dell'HIPS ed è il "lato" della mia squadra di sicurezza che è rimasto scoperto....mi date qualche consiglio su come "iniziare"?

sampei.nihira
05-02-2009, 14:29
ragazzi sono novozio dell'HIPS ed è il "lato" della mia squadra di sicurezza che è rimasto scoperto....mi date qualche consiglio su come "iniziare"?

Posso consigliarti di orientarti da subito,verso un prodotto soggetto a sviluppo continuo.
Quindi OA o Comodo.

Le altre soluzioni devono avere un "motivo di fondo" per essere usate.

ShoShen
05-02-2009, 14:52
Posso consigliarti di orientarti da subito,verso un prodotto soggetto a sviluppo continuo.
Quindi OA o Comodo.

Le altre soluzioni devono avere un "motivo di fondo" per essere usate.

io al momento sto provando l'anti-execute di returnil :stordita:

Romagnolo1973
05-02-2009, 15:02
ragazzi sono novozio dell'HIPS ed è il "lato" della mia squadra di sicurezza che è rimasto scoperto....mi date qualche consiglio su come "iniziare"?
Dovresti chiarire come hai fatto sul 3d antimalware che hai OutpostPro come FW altrimenti tutti ti diranno Comodo col D+ o OnlineArmor
Poi non ho capito se hai vista64 o Xp su quel pc
Se hai Vista64 penso che passare a Comodo CIS (senza AV) ora o quando avrai esaurito la licenza sia una buona cosa, aumenterai la sicurezza e risparmierai $
se hai XP e vuoi mantenere OutpostPro invece penso potresti pensare a EQSecure con le Alcyon rules, trovi sia il programma che le regole qui http://drop.io/eqsecure
EQS non è più aggiornato perchè stanno partorendo la versione 4 ma hanno molti problemi, mentre Alcyon invece è un utente molto capace che sforna continue migliorie delle regole, insomma non è un prodotto abbandonato, anzi.

sampei.nihira
05-02-2009, 16:03
Io lo dico poi ognuno fà come gli pare....;)

EQS 3.41 anche con gli Alcyon Rules ultimi usciti è un prodotto insicuro.
E ciò è dimostrato perfino al test Comodo.
I test Injection KnownDlls e DupHandles sono falliti miseramente.
Per non parlare del test invasion Raw-Disk.

Invece altro paio di maniche è una simbiosi tra l'uso della riduzione dei privilegi (DMR) + EQS.

p.s. Peccato che quel 3D del test Comodo non è stato messo all'attenzione come importante !!

nV 25
05-02-2009, 18:04
...Le applicazioni sottostanti? A quali ti riferisci?

A queste:

http://img525.imageshack.us/img525/6872/snap1zz8.jpg

Poichè di fatto tutte le applicazioni regolate con le policy di cui sopra godono di una piena libertà, cosa succede se un malware, per perfezionare il suo processo di infezione, si avvale proprio di quei processi*?

E' chiaro che o D+ interviene prima che vi sia l'exploit dei processi in oggetto o ciccia visto che se se ne impossessa, alla luce di quelle che sono le loro policy potrà fare quello che gli pare...


Questa ipotesi, infatti, è ovviamente contemplata e coperta da D+ (le protezioni, in pratica, sono nella scheda "my protected COM components, in particolare le voci che rientrano nella sottosezione "pseudo COM interface privilegi e porte"....) ma visto che proprio non molto tempo fà D+ ha registrato un grosso problema a causa di un "raro bug che in rare circostanze...", ho voluto controllare personalmente come stessero realmente le cose con le nuove build della linea 3.5...

Ecco infatti il test che ho richiesto ad erreale, che anzi ringrazio per la pazienza dimostrata [:D]:
link! (http://www.pianetapc.it/forum/viewtopic.php?p=52246#p52246)

(il problema fu segnalato inizialmente dall'ottimo Aigle su Wilders, link! (http://www.wilderssecurity.com/showthread.php?t=216750))


Come si vede dal test di erreale, e a differenza di quanto mostra Aigle per EQS, il rootkit *NON* arriva neppure a coinvolgere il processo msiexec dato che D+ intercetta i tentativi del virus stesso di exploitarlo (foto 11/12 e 14 su pianetapc)....


............





Io, poi, ho integrato i test di erreale con un'altra batteria di prove, ma questa è tutta un'altra storia....:D





*in particolare, per processi intendo i processi critici quali svchost/services/msiexec ecc...



PS:
Sarà anche un caso, ma da quando Jie Dong lavora per Comodo (la sua mano si trova infatti a partire dal codice delle versioni 3.5 e successive...), D+ funziona lievemente meglio... :D

omnikohh
06-02-2009, 20:08
ragazzi salve, vorrei chiedervi una cosa...ho bisogno di trovare un software diagnostico per i sistemi operativi di windows da installare sulla macchina del cliente e che mi invii giornalmente un report sullo stato del sistema del cliente, esiste?tnx
tnx:mad:

Jeremy01
06-02-2009, 20:15
ragazzi sono novozio dell'HIPS ed è il "lato" della mia squadra di sicurezza che è rimasto scoperto....mi date qualche consiglio su come "iniziare"?

Dovresti chiarire come hai fatto sul 3d antimalware che hai OutpostPro come FW altrimenti tutti ti diranno Comodo col D+ o OnlineArmor
Poi non ho capito se hai vista64 o Xp su quel pc
Se hai Vista64 penso che passare a Comodo CIS (senza AV) ora o quando avrai esaurito la licenza sia una buona cosa, aumenterai la sicurezza e risparmierai $
se hai XP e vuoi mantenere OutpostPro invece penso potresti pensare a EQSecure con le Alcyon rules, trovi sia il programma che le regole qui http://drop.io/eqsecure
EQS non è più aggiornato perchè stanno partorendo la versione 4 ma hanno molti problemi, mentre Alcyon invece è un utente molto capace che sforna continue migliorie delle regole, insomma non è un prodotto abbandonato, anzi.

Si, specifico che ho outpost...."allo stato attuale" non essendo protetto sul lato HIPS, che posso fare?

nV 25
06-02-2009, 20:38
... ho outpost...."allo stato attuale" non essendo protetto sul lato HIPS, che posso fare?
in realtà, se hai installata una versione recente hai anche un modulo hips integrato che, infatti, figura tra le caratteristiche del prodotto (Link! (http://www.agnitum.com/products/outpost/features.php))

Quanto sia "effettivo", poi, è un altro paio di maniche....




..................




L'avere un hips come quelli oggetto del thread, cmq, non è un ordine del medico curante anche perchè richiede una forma mentis particolare [=si deve essere disposti ad accettare "nuovi fastidi", i famosi pop-up, ma più che altro si deve essere capaci di interpretarli andando a discriminare cioè quali di questi siano indotti da "pressioni esterne" (indicatori di malessere...) o da fenomeni fisiologici (normali comportamenti della macchina)]...

Se è chiaro questo punto, avvicinati pure al mondo hips, altrimenti passa la palla ad un bell'account limitato o a soluzioni di virtualizzazione/sandbox che sono decisamente più semplici da gestire....


Se dovessi infatti installare un software come Comodo (tanto per rimanere su un software strasuper gettonato...) ad un mio familiare perderei il mio tempo in partenza (indipendentemente peraltro dal futuro threatcast, semplicemete fallimentare visto quello che è il loro approccio con tutto ciò che è elettrico)...

Questo, forse, per dire che NON TUTTO VA BENE A TUTTI....
I motivi li ho espressi poc'anzi....

Saluti

erreale
06-02-2009, 20:54
in realtà, se hai installata una versione recente hai anche un modulo hips integrato che, infatti, figura tra le caratteristiche del prodotto (Link! (http://www.agnitum.com/products/outpost/features.php))

Quanto sia "effettivo", poi, è un altro paio di maniche....



Non definirei il sistema di protezione integrato in Outpost 2009 come Hips, o per lo meno non è al livello degli hips a cui noi siamo abituati. Ottimo nei leak, un po' meno nella "vita reale".

nV 25
06-02-2009, 20:58
Vedi?

Non per niente ho detto "Quanto sia effettivo, poi, è un altro paio di maniche...." :ciapet:

leolas
06-02-2009, 21:07
Perchè D+ e OA sarebbero HIPS, Outpost no?
Non lo provo da anni, ma dubito che possa passare tutti quei leak test senza un HIPS :stordita:

erreale
06-02-2009, 21:16
Perchè D+ e OA sarebbero HIPS, Outpost no?
Non lo provo da anni, ma dubito che possa passare tutti quei leak test senza un HIPS :stordita:


Non ho detto che non è un hips ma che..."non è al livello degli hips a cui noi siamo abituati". Ma se vuoi posso aggiungere che se si guarda la sola parte firewall, Outpost "da le paghe" come dice nv25, ad OA e CIS messi assieme.;)

cloutz
07-02-2009, 11:02
Non definirei il sistema di protezione integrato in Outpost 2009 come Hips, o per lo meno non è al livello degli hips a cui noi siamo abituati. Ottimo nei leak, un po' meno nella "vita reale".

posso chiederti perchè?:)
ammetto di non conoscere Outpost e l'hips integrato..
perchè l'hips non è al livello di ciò cui siamo abituati (immagino ti riferisca a OA e D+, i più blasonati)?
in cosa deficita nell'uso quotidiano, rispetto ai leak test (che a quanto dici lo fanno apparire ciò che non è)?

giusto per capire perchè lo giudicate così severamente:D

erreale
07-02-2009, 14:08
@ cloutz e leolas

Per chiarire meglio le idee ho eseguito di nuovo il test con Win32/TrojanClicker.Agent.BCI su un sistema protetto da Outpost.

Come potrete notare gli alert principali ci sono, ma ne mancano altri comunque importanti.
Negli alert non viene spiegato nulla sul comportamento o behavior in esecuzione.

Non si viene ad esempio avvisati della creazione di file nella cartella temp, nè tantomeno della loro esecuzione. Non si viene avvisati della creazione del driver ma solo del suo caricamento. Non si viene avvisati sulla creazione di msliksurcredo.dll

Per un confronto basta paragonare gli allert di CIS (http://www.pianetapc.it/forum/viewtopic.php?p=52246#p52246) e quelli di Outpost per capire la differenza.


http://img300.imageshack.us/img300/7734/anonimo1vz6.jpg

http://img300.imageshack.us/img300/6088/anonimo2xy2.jpg

http://img25.imageshack.us/img25/1338/anonimo3up4.jpg

http://img25.imageshack.us/img25/6233/anonimo4rr2.jpg

http://img12.imageshack.us/img12/9852/anonimo5eu9.jpg

http://img12.imageshack.us/img12/8570/anonimo6qp0.jpg

http://img12.imageshack.us/img12/3640/anonimo7em9.jpg

cloutz
07-02-2009, 14:51
@ cloutz e leolas

Per chiarire meglio le idee ho eseguito di nuovo il test con Win32/TrojanClicker.Agent.BCI su un sistema protetto da Outpost.

Come potrete notare gli alert principali ci sono, ma ne mancano altri comunque importanti.
Negli alert non viene spiegato nulla sul comportamento o behavior in esecuzione.

Non si viene ad esempio avvisati della creazione di file nella cartella temp, nè tantomeno della loro esecuzione. Non si viene avvisati della creazione del driver ma solo del suo caricamento. Non si viene avvisati sulla creazione di msliksurcredo.dll

Per un confronto basta paragonare gli allert di CIS (http://www.pianetapc.it/forum/viewtopic.php?p=52246#p52246) e quelli di Outpost per capire la differenza.


grazie mille, tutto più chiaro:)
ultima domanda: tutto ciò non è configurabile?
cioè non si possono modificare le aree da controllare?
se così non fosse sarebbe abbastanza immediato inserire qualche percorso, anche generico tipo *\Documents and Settings\*\Local Settings\Temp\ con l'alert su qualsiasi file o la creazione/caricamento/esecuzione di filetipe .sys in %systemroot%\WINDOWS...

questo per distinguere se si tratta di un problema di limitazione del software (limitato già di suo), oppure se, attraverso la creazione di regole ad hoc, la situazione può migliorare, ma di default non è granchè (come hai dimostrato tu):D


completamente d'accordo con te riguardo la scarsità d'informazioni inserite nei popup, ancora lontane dal D+ o OA:)

leolas
07-02-2009, 16:28
erreale

Gracias!! :)

Comunque mettono un HIPS meno potente, e dei popup illeggibili... Furbi :D :mc:

erreale
07-02-2009, 16:31
ultima domanda: tutto ciò non è configurabile?
cioè non si possono modificare le aree da controllare?

No, nessuna possibilità di configurazione.

Romagnolo1973
07-02-2009, 16:38
No, nessuna possibilità di configurazione.
Grazie Erreale gentilissimo come sempre, Outpost fa il "compitino" diciamo, sembra che l'Hips lo abbiano messo per passare i test e poco più, hanno pensato Zero all'utente finale che non capisce cosa succede, non puo' settare nulla e neppure sa quanta schifezza quel malware ha fatto a monte.
Non è certo un Hips granulare come ama dire Cloutz.

erreale
07-02-2009, 16:53
Outpost fa il "compitino" diciamo, sembra che l'Hips lo abbiano messo per passare i test e poco più,


Esatto. Non a caso avevo scritto :Ottimo nei leak, un po' meno nella "vita reale".

cloutz
07-02-2009, 18:47
Grazie Erreale gentilissimo come sempre, Outpost fa il "compitino" diciamo, sembra che l'Hips lo abbiano messo per passare i test e poco più, hanno pensato Zero all'utente finale che non capisce cosa succede, non puo' settare nulla e neppure sa quanta schifezza quel malware ha fatto a monte.
Non è certo un Hips granulare come ama dire Cloutz.

:D
più che altro zero personalizzazione...e non va per niente bene..

Grazie ancora una volta erreale:)

@Sirio@
08-02-2009, 10:28
A queste:

http://img525.imageshack.us/img525/6872/snap1zz8.jpg

Poichè di fatto tutte le applicazioni regolate con le policy di cui sopra godono di una piena libertà, cosa succede se un malware, per perfezionare il suo processo di infezione, si avvale proprio di quei processi*?

E' chiaro che o D+ interviene prima che vi sia l'exploit dei processi in oggetto o ciccia visto che se se ne impossessa, alla luce di quelle che sono le loro policy potrà fare quello che gli pare...

Non mi ero mai posto il problema :stordita: ...come sempre le tue spiegazioni sono per me illuminanti.

Questa ipotesi, infatti, è ovviamente contemplata e coperta da D+ (le protezioni, in pratica, sono nella scheda "my protected COM components, in particolare le voci che rientrano nella sottosezione "pseudo COM interface privilegi e porte"....) ma visto che proprio non molto tempo fà D+ ha registrato un grosso problema a causa di un "raro bug che in rare circostanze...", ho voluto controllare personalmente come stessero realmente le cose con le nuove build della linea 3.5...

È un po di tempo che la parte relativa alle My Protected COM Interfaces cattura la mia curiosità e tu mi hai dato l'input per approfondire e capire meglio.

Ecco infatti il test che ho richiesto ad erreale, che anzi ringrazio per la pazienza dimostrata [:D]:
link! (http://www.pianetapc.it/forum/viewtopic.php?p=52246#p52246)

(il problema fu segnalato inizialmente dall'ottimo Aigle su Wilders, link! (http://www.wilderssecurity.com/showthread.php?t=216750))


Come si vede dal test di erreale, e a differenza di quanto mostra Aigle per EQS, il rootkit *NON* arriva neppure a coinvolgere il processo msiexec dato che D+ intercetta i tentativi del virus stesso di exploitarlo (foto 11/12 e 14 su pianetapc)....


............





Io, poi, ho integrato i test di erreale con un'altra batteria di prove, ma questa è tutta un'altra storia....:D


Un piccolo esempio? Un assaggio, tanto per gradire... :D
Ovviamente sempre se ne hai voglia e tempo, se no grazie lo stesso.;)


[...]

@Sirio@
08-02-2009, 10:33
@ erreale

Grazie anche da parte mia per i test ed opinioni che hai dato, è tutto molto interessante.

Con l'occasione mi hai ricordato di RootRepeal... non sono mai riuscito a farlo girare sul vecchio pc, oggi ho provato di nuovo e... funziona. :D

Ciao ciao.

sampei.nihira
08-02-2009, 13:54
@ erreale

Grazie anche da parte mia per i test ed opinioni che hai dato, è tutto molto interessante.

Con l'occasione mi hai ricordato di RootRepeal... non sono mai riuscito a farlo girare sul vecchio pc, oggi ho provato di nuovo e... funziona. :D

Ciao ciao.

http://www.usec.at/rootkit.html

Perchè non provare anche RADIX ?

Su W. Easter ne sembra entusiasta.

Io l'ho scaricato,e và (si ma dove và ? :D :D :D )

commi
08-02-2009, 14:33
Ho eseguito il file "cheat.exe" allegato al post #6600 della guida ad Antivir 8 http://www.hwupgrade.it/forum/showthread.php?t=1514684&page=330
ed ho scoperto che il D+ del CIS (sia con la versione 3.5.57173.439 che con la 3.8.61948.459 Beta) non "vede" il tentativo del programma di simulare l'attività del mouse o della tastiera, attività che viene correttamente rilevata dal "vecchio" RTD.
Il file, se si prosegue ad acconsentire agli avvisi di RTD, porta al completo blocco del pc dato che sia la tastiera che il mouse divengono inutilizzabili e si deve, necessariamente, ricorrere al reset manuale.

Non so se si tratti di un bug, resta comunque il fatto che "bucare" tale rilevamento sia cosa abbastanza grave.

Questo ad ulteriore conferma che, allo stato attuale, non esiste "la soluzione" HIPS definitiva e che è sempre consigliabile, a mio parere, affidarsi ad un duplice controllo (con tutte le conseguenze dela caso: alerts a go go!).

N.B: resta inteso che, visto la mia precedente vicissitudine con la questione tra SpywareBlaster e RTD, faccio riferimento solo ed esclusivamente a quanto si è verificato sul mio pc, nel senso che, magari, su altre configurazioni il rilevamento viene eseguito :stordita:

Romagnolo1973
08-02-2009, 15:05
Ho eseguito il file "cheat.exe" allegato al post #6600 della guida ad Antivir 8 http://www.hwupgrade.it/forum/showthread.php?t=1514684&page=330
ed ho scoperto che il D+ del CIS (sia con la versione 3.5.57173.439 che con la 3.8.61948.459 Beta) non "vede" il tentativo del programma di simulare l'attività del mouse o della tastiera, attività che viene correttamente rilevata dal "vecchio" RTD.
Il file, se si prosegue ad acconsentire agli avvisi di RTD, porta al completo blocco del pc dato che sia la tastiera che il mouse divengono inutilizzabili e si deve, necessariamente, ricorrere al reset manuale.

Non so se si tratti di un bug, resta comunque il fatto che "bucare" tale rilevamento sia cosa abbastanza grave.

Questo ad ulteriore conferma che, allo stato attuale, non esiste "la soluzione" HIPS definitiva e che è sempre consigliabile, a mio parere, affidarsi ad un duplice controllo (con tutte le conseguenze dela caso: alerts a go go!).

N.B: resta inteso che, visto la mia precedente vicissitudine con la questione tra SpywareBlaster e RTD, faccio riferimento solo ed esclusivamente a quanto si è verificato sul mio pc, nel senso che, magari, su altre configurazioni il rilevamento viene eseguito :stordita:

Commi, ho segnalato il tuo post con mille raccomandazioni di non fare gli eroi :D sul 3d di Comodo CIS, vediamo se Erreale che ha gli strumenti adatti per farlo riuscirà a chiarire al cosa
Grazie

commi
08-02-2009, 15:29
Commi, ho segnalato il tuo post con mille raccomandazioni di non fare gli eroi :D sul 3d di Comodo CIS, vediamo se Erreale che ha gli strumenti adatti per farlo riuscirà a chiarire al cosa
Grazie
Resto sintonizzato! :D
Grazie a te. ;)

P.S.: Hai avuto modo di provare il file sul tuo pc?

commi
08-02-2009, 16:16
P.S.: Hai avuto modo di provare il file sul tuo pc?
@ Romagnolo1973
Opss...ho visto solo adesso il nuovo lavoro da te inziato con PrevX Edge: in bocca al lupo!! ;)

cloutz
08-02-2009, 16:17
Ho eseguito il file "cheat.exe" allegato al post #6600 della guida ad Antivir 8 http://www.hwupgrade.it/forum/showthread.php?t=1514684&page=330
ed ho scoperto che il D+ del CIS (sia con la versione 3.5.57173.439 che con la 3.8.61948.459 Beta) non "vede" il tentativo del programma di simulare l'attività del mouse o della tastiera, attività che viene correttamente rilevata dal "vecchio" RTD.
Il file, se si prosegue ad acconsentire agli avvisi di RTD, porta al completo blocco del pc dato che sia la tastiera che il mouse divengono inutilizzabili e si deve, necessariamente, ricorrere al reset manuale.

Non so se si tratti di un bug, resta comunque il fatto che "bucare" tale rilevamento sia cosa abbastanza grave.

Questo ad ulteriore conferma che, allo stato attuale, non esiste "la soluzione" HIPS definitiva e che è sempre consigliabile, a mio parere, affidarsi ad un duplice controllo (con tutte le conseguenze dela caso: alerts a go go!).

N.B: resta inteso che, visto la mia precedente vicissitudine con la questione tra SpywareBlaster e RTD, faccio riferimento solo ed esclusivamente a quanto si è verificato sul mio pc, nel senso che, magari, su altre configurazioni il rilevamento viene eseguito :stordita:

in Paranoid Mode con Maximum Security Level (non Optimum Security Level) non rileva la simulazione del mouse??:mbe:
azz:muro:

cloutz
08-02-2009, 16:26
Fatto analizzare dal Comodo Istant Malware Analysis...
qui il report:
http://camas.comodo.com/cgi-bin/submit?file=ce33f949104ff9bdf776402e33fb7df6594ef3ba37a1321ea0fa622afb8c58e9

Mandato anche a ThreatExpert, aspetto il report via mail;)

commi
08-02-2009, 16:28
in Paranoid Mode con Maximum Security Level (non Optimum Security Level) non rileva la simulazione del mouse??:mbe:
azz:muro:
Putroppo è proprio così: non riesce a rilevare la simulazione, nonostante il massimo livello di protezione e la modalità "paranoica".
Ho provato anche con una regola creata "ad hoc" per il file ma nisba.

cloutz
08-02-2009, 16:37
Putroppo è proprio così: non riesce a rilevare la simulazione, nonostante il massimo livello di protezione e la modalità "paranoica".
Ho provato anche con una regola creata "ad hoc" per il file ma nisba.

provato ad alzare l'Image execution Level?
disabilitare i trusted software vendors?
e ad alzare anche l'Alert Frequency (non ricordo come si chiama di preciso, nè dove si trova:D:D)?

Qui il report ThreatExpert:
http://www.threatexpert.com/report.aspx?md5=1503112ca86996f9ffbdad2950d1f90a

sampei.nihira
08-02-2009, 16:45
Ho eseguito il file "cheat.exe" allegato al post #6600 della guida ad Antivir 8 http://www.hwupgrade.it/forum/showthread.php?t=1514684&page=330
ed ho scoperto che il D+ del CIS (sia con la versione 3.5.57173.439 che con la 3.8.61948.459 Beta) non "vede" il tentativo del programma di simulare l'attività del mouse o della tastiera, attività che viene correttamente rilevata dal "vecchio" RTD.
Il file, se si prosegue ad acconsentire agli avvisi di RTD, porta al completo blocco del pc dato che sia la tastiera che il mouse divengono inutilizzabili e si deve, necessariamente, ricorrere al reset manuale.

Non so se si tratti di un bug, resta comunque il fatto che "bucare" tale rilevamento sia cosa abbastanza grave.

Questo ad ulteriore conferma che, allo stato attuale, non esiste "la soluzione" HIPS definitiva e che è sempre consigliabile, a mio parere, affidarsi ad un duplice controllo (con tutte le conseguenze dela caso: alerts a go go!).

N.B: resta inteso che, visto la mia precedente vicissitudine con la questione tra SpywareBlaster e RTD, faccio riferimento solo ed esclusivamente a quanto si è verificato sul mio pc, nel senso che, magari, su altre configurazioni il rilevamento viene eseguito :stordita:

Ho provato ad eseguirlo con EQS 3.41 con gli A.R. e poi a default.
Attività rilevata e segnalata da EQS anche a default.
Non posto alcun screen perchè mi aspetta "Operazione Valchiria".
Se qualche utente è curioso magari metto uno screen questa sera basta dirlo.

Io rimango del mio parere che è meglio/necessario integrare un qualsiasi HIPS con Prevx EDGE.

commi
08-02-2009, 16:58
provato ad alzare l'Image execution Level?
disabilitare i trusted software vendors?
e ad alzare anche l'Alert Frequency (non ricordo come si chiama di preciso, nè dove si trova:D:D)?
Tutto settato al massimo! Come "trusted vendors" c'è solo Comodo perchè non è possibile toglierlo. :D

Provato anche SSM Pro: anche lui fallisce. :cry:

Malware Defender, invece, se la cavicchia anche se con riserva, nel senso che se si consente l'esecuzione del file la tastiera ed il mouse diventano inutilizzabili fino a che non si ricorre al fatidico "ctrl+alt+canc", operazione che fa comparire il 1° alert riguardante l'accesso alla tastiera: resta comunque il fatto che non ha "beccato" il primo tentativo di accesso alla tastiera come, invece, ha fatto (alla grandissima) RTD.

RTD "rulla" ancora di brutto!! :D

Bazz89
08-02-2009, 17:03
provato ad alzare l'Image execution Level?
disabilitare i trusted software vendors?
e ad alzare anche l'Alert Frequency (non ricordo come si chiama di preciso, nè dove si trova:D:D)?

Qui il report ThreatExpert:
http://www.threatexpert.com/report.aspx?md5=1503112ca86996f9ffbdad2950d1f90a

Tutto settato al massimo! Come "trusted vendors" c'è solo Comodo perchè non è possibile toglierlo. :D

Provato anche SSM Pro: anche lui fallisce. :cry:

Malware Defender, invece, se la cavicchia anche se con riserva, nel senso che se si consente l'esecuzione del file la tastiera ed il mouse diventano inutilizzabili fino a che non si ricorre al fatidico "ctrl+alt+canc", operazione che fa comparire il 1° alert riguardante l'accesso alla tastiera: resta comunque il fatto che non ha "beccato" il primo tentativo di accesso alla tastiera come, invece, ha fatto (alla grandissima) RTD.

RTD "rulla" ancora di brutto!! :D

confermo: D+ tutto settato al max, nulla :rolleyes:

nV 25
08-02-2009, 17:12
...RTD "rulla" ancora di brutto!! :D

si, peccato che in molti se ne siano accorti solo DOPO che è diventato freeware mentre quando c'erano da cacciare 20 € di licenza **VITALIZIA** nessuno, tranne il sottoscritto e qualche altro bischero, se lo sia cagato decretandone di fatto la morte commerciale....

cloutz
08-02-2009, 17:50
si, peccato che in molti se ne siano accorti solo DOPO che è diventato freeware mentre quando c'erano da cacciare 20 € di licenza **VITALIZIA** nessuno, tranne il sottoscritto e qualche altro bischero, se lo sia cagato decretandone di fatto la morte commerciale....

...purtroppo ammetto l'ignoranza: ai tempi d'oro di ProSecurity avevo appena iniziato/imparato ad usare il D+...Comodo mi sembrava già un buon software, gratuito, e non vedevo motivo per cambiare..poi son diventato più smanettone ed ho apprezzato OA e EQSecure..
sono arrivato ad apprezzare PS (RTD) tardi..ripeto, vuoi per ignoranza, vuoi per scarsa pubblicità, utenza ristretta...vuoi perchè c'erano ottime alternative gratuite...
purtroppo col senno di poi...:rolleyes:

Tornando In Topic...solo EQS e RTD riescono a rilevare la simulazione del mouse e tastiera, mentre SSM Pro, D+ falliscono...
...non resta che provare OA adesso:D
Leo?:ciapet:

leolas
08-02-2009, 18:06
Tornando In Topic...solo EQS e RTD riescono a rilevare la simulazione del mouse e tastiera, mentre SSM Pro, D+ falliscono...
...non resta che provare OA adesso:D
Leo?:ciapet:

ehmmmm................... :fagiano:

Rileva l'esecuzione, e poi bona.. Non si accorge che è un keylogger o altro... Dopo provo in Modalità Protetta





Però ho già avvertito il team :D

cloutz
08-02-2009, 18:09
Rileva l'esecuzione, e poi bona.. Non si accorge che è un keylogger o altro... Dopo provo in Modalità Protetta


versione Paid o Free?:p
azz non mi aspettavo che i due più blasonati rispondessero così male:stordita:

edit: son scemo, scusa..se parli di mancata rilevazione di keylogger allora hai usato la vers. a pagamento:D

leolas
08-02-2009, 18:16
versione Paid o Free?:p
azz non mi aspettavo che i due più blasonati rispondessero così male:stordita:

edit: son scemo, scusa..se parli di mancata rilevazione di keylogger allora hai usato la vers. a pagamento:D

sì esatto, con la full :D
e sì, nemmeno io me lo aspettavo.
Ma in fondo, sono stati programmati per passare i test matousec :rolleyes: :stordita:

nV 25
08-02-2009, 18:32
Se dovessi indicare i motivi che, su tutto, mi hanno spinto ad adottare D+ direi da un lato l'esigenza di avere un prodotto il cui sviluppo è attivo, dall'altro il sapere che vi lavora come ricercatore l'ex sviluppatore di ProSecurity che ha goduto della mia fiducia incondizionata e con il quale ho più volte avuto l'onore di parlare sebbene in un inglese un pò maccheronico....


Se da un lato Comodo può quindi annoverare tra le sue fila un indiscusso talento, dall'altro sono sempre più convinto che parte del suo "genio", per quanto presente a partire dal codice della versione 3.5, sia annacquato dal fatto di lavorare a contatto con un manipolo di coglioni che a malapena conosce il funzionamento del Kernel Windows...


Imbastire un'organizzazione di centinaia di persone per avere una "resa" (in termini di effettività..) di poco superiore a quanto realizzato da una sola persona, che tristezza...

Per non parlare poi di come questa "resa" si esplicita (pop-up lontani dall'essere realmente informativi, una gestione dei permessi ridicola, un Log mediocre)...


Andiamo avanti e vediamo cosa succede, và...:rolleyes:

sampei.nihira
08-02-2009, 19:29
Ragazzi, sono appena tornato, c'è qualcuno che ha testato il comportamento di PREVX EDGE se può riferirlo per piacere ?

commi
08-02-2009, 19:32
si, peccato che in molti se ne siano accorti solo DOPO che è diventato freeware mentre quando c'erano da cacciare 20 € di licenza **VITALIZIA** nessuno, tranne il sottoscritto e qualche altro bischero, se lo sia cagato decretandone di fatto la morte commerciale....

Non credo che lo sviluppo di PS/RTD poteva subire un epilogo diverso con l'acquisto di una decina di licenze in più (e mi sono sbilanciato in eccesso...).
All'epoca (ma penso tuttora), infatti, il numero di persone interessate a questo tipo di software era (è) così esiguo in quanto, [come anche da te più volte chiarito in questo stesso 3d "Le soluzioni HIPS Behaviour Blocker puri (di fatto, quelli trattati più approfonditamente nel corso del thread...) *NON* si rivolgono ad un utenza di massa..."], per poter avere un accesso "full" al proprio pc dotato di HIPS bisogna "spendere" così tanto tempo ed "armarsi" di una pazienza tali da sfiancare anche l'utente più volenteroso.

Ed è proprio quello che è successo per me: abituato a SSM che lavorava con pochi alerts, non mi sono stati sufficienti i giorni della trial per capire come configurare a dovere il programma (lo stesso mi era capitato con EQSecure, abbandonato dopo una settimana seppure fosse da sempre "freeware") e, quindi, ho lasciato perdere, affidandomi poi al D+ incluso nel Comodo firewall che già usavo.

Poi, con l'avvento "a gratis" di RTD ho avuto il tempo necessario per capire un pò meglio il suo funzionamento ed apprezzarne appieno la sua "potenza".

Magari la nuova soft house che ne ha acquisito il codice rilasciasse la ver. 2 di RTD anche se a pagamento ;)

cloutz
08-02-2009, 20:01
Ragazzi, sono appena tornato, c'è qualcuno che ha testato il comportamento di PREVX EDGE se può riferirlo per piacere ?

Ho la versione Free di PrevxEdge, che comunque, una volta avviato il sample, lo rileva;)

sampei.nihira
08-02-2009, 20:13
Ho la versione Free di PrevxEdge, che comunque, una volta avviato il sample, lo rileva;)

Grazie Cloutz,questa sera ho veramente pochissimo tempo !! ;)

cloutz
08-02-2009, 20:23
Grazie Cloutz,questa sera ho veramente pochissimo tempo !! ;)

figurati, è un piacere:)

riazzituoi
08-02-2009, 21:56
.

leolas
08-02-2009, 21:58
Il file non è più disponibile :(
comunque mouse e tastiera bloccati sa di lamerata con la funzione BlockInput.


[strano che diversi HIPS non gestiscano bene le API d'interfaccia]

Edit by Chill-Out

Cos'è il BlockInput, comunque?

Chill-Out
08-02-2009, 22:00
Edit by Chill-Out

Cos'è il BlockInput, comunque?

Leo fammi capire lo rimuovo da un 3D e tu lo piazzi qui, dopo tutti i discorsi fatti a suo tempo.

leolas
08-02-2009, 22:08
Leo fammi capire lo rimuovo da un 3D e tu lo piazzi qui, dopo tutti i discorsi fatti a suo tempo.

Ah, non sapevo l'avessi rimosso tu :stordita: In effetti non mi sono chiesto perchè fosse già "scomparso" dall'altro thread :fagiano:

Visto che è solo un test, non l'avevo ritenuto pericoloso.. Però in effetti obbliga a riavviare il pc per sbloccarlo, quindi se lo avviasse la persona sbagliata, potrebbe dare di matto...

Facciamo che mando un PM a riazzi :O :D

xcdegasp
09-02-2009, 10:41
Ah, non sapevo l'avessi rimosso tu :stordita: In effetti non mi sono chiesto perchè fosse già "scomparso" dall'altro thread :fagiano:

Visto che è solo un test, non l'avevo ritenuto pericoloso.. Però in effetti obbliga a riavviare il pc per sbloccarlo, quindi se lo avviasse la persona sbagliata, potrebbe dare di matto...

Facciamo che mando un PM a riazzi :O :D

dovete farvi più scafati, tutte le volte vi fate abbindolare dal primo che vuole divertirsi con i vostri pc:
http://www.hwupgrade.it/forum/showpost.php?p=26215635&postcount=46

:muro:

riazzituoi
09-02-2009, 12:04
.

cloutz
09-02-2009, 13:21
dovete farvi più scafati, tutte le volte vi fate abbindolare dal primo che vuole divertirsi con i vostri pc:
http://www.hwupgrade.it/forum/showpost.php?p=26215635&postcount=46

:muro:
siamo noi che ci siam "divertiti" *:ciapet:
abbiam constatato che molti software hips, anche tra i più blasonati, non riescono ad intercettare un comportamento pseudo-malevolo...ed il fatto che sia uno *scherzo* ci fa capire quanto ci voglia per arrecar qualche danno:rolleyes:

Questo a dimostrazione, ancora, della bontà di PrevxEdge, che senza fare domanda alcuna lo riconosce tranquillamente (arrivando dove molti antivirus e hips falliscono miseramente):D

N.B.: io per PrevxEdge non uso settaggi di default, ma tutto impostato su High...forse per questo lo riconosce:stordita:


*si fa per vedere il bicchiere mezzo pieno:p

xcdegasp
09-02-2009, 14:32
giusta anche questa chiave di lettura però poteva essere interessante per riesumare quel thread "testiamo le nostre difese" :D

cloutz
09-02-2009, 18:17
ho installato MalwareDefender in VM...mi piace sempre di più:D :D

in primis la cosa più bella è la chiarezza nei popup (puliti, semplici graficamente, ed offrono molte opzioni):

http://img18.picoodle.com/img/img18/3/2/9/f_MD1m_8623ae3.png (http://www.picoodle.com/view.php?img=/3/2/9/f_MD1m_8623ae3.png&srv=img18)

e poi la leggerezza:

http://img32.picoodle.com/img/img32/3/2/9/f_MStasmgrm_1674dc3.png (http://www.picoodle.com/view.php?img=/3/2/9/f_MStasmgrm_1674dc3.png&srv=img32)

c'è ancor qualcosa che non mi piace, e non me lo fa ritenere al top..
non mi piace molto l'organizzazione delle regole, il soft che in assoluto preferisco (per semplicità di gestione dei permessi a portata di mano) è RTD...:rolleyes:
ma sorvoliamo senno nV si infiamma:D

MD stimola la mia curiosità..lo terrò sott'occhio:p

leolas
09-02-2009, 19:47
OA 3.1 sarà in grado di bloccarlo :D

Ad ogni modo, secondo Mike, allo stato attuale è molto improbabile che un virus utilizzi una tecnica simile, perchè tutti i virus più moderni sono interessati alle informazioni private, non a bloccare computer eccetera.
Ci sono molti più malware che se ne stanno silenziosi a registrare info private, piuttosto che malware che non ti consentono di usare il pc. :O

cloutz
09-02-2009, 19:55
Ad ogni modo, secondo Mike, allo stato attuale è molto improbabile che un virus utilizzi una tecnica simile, perchè tutti i virus più moderni sono interessati alle informazioni private, non a bloccare computer eccetera.
Ci sono molti più malware che se ne stanno silenziosi a registrare info private, piuttosto che malware che non ti consentono di usare il pc. :O

Condivido il pensiero...anche se cmq, io che uso un hips, desidererei che il mio prodotto mi permettesse di gestire/controllare tutto come dovrebbe, al di là di far filosofia sulle intenzioni dei virus writer*, per giustificare una falla...

*spunto nel complesso condivisibile, ma che lascia il tempo che trova in questo caso:stordita:

Il tutto riferito a Mike, ovviamente;)

leolas
09-02-2009, 19:57
Condivido il pensiero...anche se cmq, io che uso un hips, desidererei che il mio prodotto mi permettesse di gestire/controllare tutto come dovrebbe, al di là di far filosofia sulle intenzioni dei virus writer*...

*spunto nel complesso condivisibile, ma che lascia il tempo che trova in questo caso:stordita:

Condivido ;)

Il sorrisino prima l'ho fatto proprio perchè ci volevo io che segnalassi 'sto file, perchè proteggessero da minacce simili :rolleyes:
Ci avranno messo neanche un'ora per fare in modo che OA potesse bloccarlo :fagiano:

commi
09-02-2009, 20:13
dovete farvi più scafati, tutte le volte vi fate abbindolare dal primo che vuole divertirsi con i vostri pc:
http://www.hwupgrade.it/forum/showpost.php?p=26215635&postcount=46

:muro:
Perchè ritieni che ci siamo (io per primo che ho eseguito il file, tra l'altro ripetuto in ambiente reale e con account di amministratore) fatti abbindolare?
Nessuno ha fatto riferimento al fatto che il predetto file fosse un malware ed ai presunti danni che poteva arrecare, se non la necessità, una volta lasciato libero di agire, di ricorrere al reset manuale per poter rianimare il pc.
Si è trattato di un test come un altro, come poteva essere, ad esmpio, il comodo leak test. Non colgo la "stranezza" di eseguire il test. :confused:

Resta, comunque, il fatto che hips blasonati hanno "bucato" il rilevamento e questo episodio non ha fatto altro che confermare la necessità (molto personale) di ricorrere ad un "controllo doppio".

cloutz
09-02-2009, 20:21
Resta, comunque, il fatto che hips blasonati hanno "bucato" il rilevamento e questo episodio non ha fatto altro che confermare la necessità (molto personale) di ricorrere ad un "controllo doppio".

credo che il post del mod andasse inteso come una sollecitazione all'uso del 3d apposito per testare il malware (e non magari in macchina reale, più rischioso e imprudente, non conoscendo la natura del sample):) :
http://www.hwupgrade.it/forum/showthread.php?t=1823645

questa rimane cmq una mia interpretazione, quindi probabilmente sbagliata...

xcdegasp
10-02-2009, 09:31
credo che il post del mod andasse inteso come una sollecitazione all'uso del 3d apposito per testare il malware (e non magari in macchina reale, più rischioso e imprudente, non conoscendo la natura del sample):) :
http://www.hwupgrade.it/forum/showthread.php?t=1823645

questa rimane cmq una mia interpretazione, quindi probabilmente sbagliata...

esattamente, perchè nessuno poteva sapere a priori con certezza che tale exe non fosse in realtà un rootkit, pertanto con una rudimentale tecnica di socialenginering vi siete fatti allettare dalla curiosità

questo deve far riflettere proprio sulla leggerezza con cui avete agito, poteva andare molto peggio!
si potrebbe aggiungere che essendo utenti della sezione sicurezza si potesse pretendere che foste voi a segnalare la lammerata e non gli utenti delle sezioni hardware :D

ovviamente quanto scritto va inteso come un riguardo ai vostri pc e ai vostri dati personali, putrroppo il tenere in allegato e a portata di tutti un exe (di dubbia provenienza) non è salutare per nessuno indipendentemente dal thread e dalla sezione :O
;)

commi
10-02-2009, 15:34
esattamente, perchè nessuno poteva sapere a priori con certezza che tale exe non fosse in realtà un rootkit, pertanto con una rudimentale tecnica di socialenginering vi siete fatti allettare dalla curiosità

questo deve far riflettere proprio sulla leggerezza con cui avete agito, poteva andare molto peggio!
si potrebbe aggiungere che essendo utenti della sezione sicurezza si potesse pretendere che foste voi a segnalare la lammerata e non gli utenti delle sezioni hardware :D

ovviamente quanto scritto va inteso come un riguardo ai vostri pc e ai vostri dati personali, putrroppo il tenere in allegato e a portata di tutti un exe (di dubbia provenienza) non è salutare per nessuno indipendentemente dal thread e dalla sezione :O
;)
Mi sa tanto che qui c'è stato un errore di fondo: stiamo parlando di due situazioni un pò diverse :D:D
il file (speedtest 390kb) allegato nel 3d della sezione hardware, non è lo stesso che, invece, è stato allegato nel 3d di avira (cheat 5kb) :D :D che io ho eseguito e di cui si è parlato sia qui che nel 3d di Avira. :ciapet:

Tranquillo...:D nessuno della sezione sicurezza ha, quindi, agito con leggerezza ;)
come già scritto in precedenza, mi sono "azzardato" ad eseguire il file in ambiente reale e sotto un account amministrativo solo dopo aver "appurato" ;) che, oltre al reset manuale, non c'erano altre conseguenze :D

Poi perchè non affidarsi anche ad una "sana curiosità?" :ciapet:

P.S.: sarebbe senz'altro opportuno eliminare, dall'altro 3d ;), il link che consente di scaricare "l'altro file" visto che è ancora lì in bella mostra....:sofico:

Chill-Out
10-02-2009, 15:46
In entrambi i 3D aveva allegato cheat.exe :O

P.S.: sarebbe senz'altro opportuno eliminare, dall'altro 3d , il link che consente di scaricare "l'altro file" visto che è ancora lì in bella mostra....

Dove?

commi
10-02-2009, 16:08
In entrambi i 3D aveva allegato cheat.exe :O
A me non sembra che sia lo stesso file, anche perchè vengono eseguite delle "operazioni" un pò diverse......

Dove?
Ma se l'hai prima editato..... e dopo mi chiedi dove sia? :what:

Chill-Out
10-02-2009, 16:17
A me non sembra che sia lo stesso file, anche perchè vengono eseguite delle "operazioni" un pò diverse......


Ma se l'hai prima editato..... e dopo mi chiedi dove sia? :what:

A me non sembra che sia lo stesso file, anche perchè vengono eseguite delle "operazioni" un pò diverse......

In Sezione Processori aveva allegato entrambi i file, sia SpeedTest che cheat.exe

Ma se l'hai prima editato..... e dopo mi chiedi dove sia? :what:

:fiufiu:

effettivamente era sfuggito il Quote: ;)

commi
10-02-2009, 16:23
:fiufiu:

effettivamente era sfuggito il Quote: ;)
Ho avuto una seppur lieve sensazione che volessi tanto fregarmi :Prrr: :asd:

Chill-Out
10-02-2009, 16:24
Ho avuto una seppur lieve sensazione che volessi tanto fregarmi :Prrr: :asd:

Era per farci una risata ;)

nV 25
10-02-2009, 17:45
ehehe :p , non scherziamo, su':

deve ancora nascere il Syral di turno (si chiamava cosi'?) che, con le sue chiacchiere, mi "spinge" ad eseguire qualcosa se non nell'ambiente e nelle modalità che dico io...

Che non ho più scritto in fronte TABACCHI, infatti, è già qualche annetto...:D



PS: ma la mia nuova firma non l'ha vista ancora nessuno? :yeah:

@Sirio@
10-02-2009, 18:03
[...]



PS: ma la mia nuova firma non l'ha vista ancora nessuno? :yeah:

...un "tajo" :D :D :D

Imo la più bella che hai avuto da quando ti leggo.

leolas
10-02-2009, 18:21
Il file non è più disponibile :(
comunque mouse e tastiera bloccati sa di lamerata con la funzione BlockInput.


[strano che diversi HIPS non gestiscano bene le API d'interfaccia]

confermo, lamerata block input :D

commi
10-02-2009, 18:53
ehehe :p , non scherziamo, su':

deve ancora nascere il Syral di turno (si chiamava cosi'?) che, con le sue chiacchiere, mi "spinge" ad eseguire qualcosa se non nell'ambiente e nelle modalità che dico io...
Non credo che altri si siano spinti ad eseguire il file "direttamente" in modalità reale ;)


Che non ho più scritto in fronte TABACCHI, infatti, è già qualche annetto...:D
Ti è rimasto solo il SALE? :confused:









in zucca...intendevo :Prrr: :D


confermo, lamerata block input :D
Si, il file cheat richiamava quella funzione...
l'altro file (speedtest) no.....

Bazz89
10-02-2009, 22:48
ehehe :p , non scherziamo, su':

deve ancora nascere il Syral di turno (si chiamava cosi'?) che, con le sue chiacchiere, mi "spinge" ad eseguire qualcosa se non nell'ambiente e nelle modalità che dico io...

Che non ho più scritto in fronte TABACCHI, infatti, è già qualche annetto...:D



PS: ma la mia nuova firma non l'ha vista ancora nessuno? :yeah:

confermo :D

io vado costantemente alla ricerca di nuovi malware, ma mi prendo le precauzioni

nn solo sistema virtuale, ma anche pc-muletto ;)

Saluti :)

@Sirio@
11-02-2009, 09:54
http://www.usec.at/rootkit.html

Perchè non provare anche RADIX ?

Su W. Easter ne sembra entusiasta.

Io l'ho scaricato,e và (si ma dove và ? :D :D :D )

:D
Grazie sampei lo proverò. Le tue segnalazioni mi son sempre state utili... a partire da quella per il browser.

Ciao ciao :)

cloutz
13-02-2009, 21:56
riesumo la discussione un attimo:D

mi stavo rileggendo le osservazioni fatte in questo (http://www.hwupgrade.it/forum/showpost.php?p=26142754&postcount=1832) post in merito agli ADS (che ormai sono diventati la mia croce:p)...

dopo aver testato il sample in questione (winsyst32.exe) con SSM Pro e MalwareDefender, unico ad intercettare gli ADS, ho provato a svolgere il test con RealTimedefender...
ebbene mi pare abbia intercettato questo passaggio..

mandato in esecuzione il sample mi avverte subito che winsyst32.exe cerca di caricare C:\WINDOWS\system32:lzx32.sys..
http://img02.picoodle.com/img/img02/3/2/13/f_AltDataStrem_a965707.png (http://www.picoodle.com/view.php?img=/3/2/13/f_AltDataStrem_a965707.png&srv=img02)


qui uno screen dal log:
http://img02.picoodle.com/img/img02/3/2/13/f_ADSm_cfd82c2.png (http://www.picoodle.com/view.php?img=/3/2/13/f_ADSm_cfd82c2.png&srv=img02)

è un semplice caricamento del driver o RTD ha intercettato un ADS?
perchè nel test che avevo fatto con SSM il driver lzx32.sys è stato caricato alla fine praticamente, mentre qua subito*...


*come accaduto per Malware Defender:
12/02/2009 17:33:57 c:\windows\explorer.exe Create new process c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Permitted [App]* Cmd line: "C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\Rustoks\winsyst32.exe"
12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys

Saluti;)

nV 25
14-02-2009, 08:58
cloutz, non mi deludere, eh!

ProSecurity blocca ovviamente il sample in questione prevenendo a tutti gli effetti l'infezione ma, al contrario di D+ e MD, *non* intercetta la creazione/scrittura di lzx32.sys in C:\WINDOWS\system32:lzx32.sys...

Guarda infatti nel Log se PS mostra una qualche restrizione sul file in questione, cosa che a me non sembra...




Il Log che hai postato te su MD, invece, mostra chiaramente questo passaggio:

12/02/2009 17:34:14 c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\rustoks\winsyst32.exe Create file C:\WINDOWS\system32:lzx32.sys Permitted [File Group]System Executable Files -> [File]c:\windows\*; *.sys

Hai quindi permesso l'azione in questione che è per l'appunto la creazione/scrittura di lzx32.sys (come ADS...) in C:\WINDOWS\system32:lzx32.sys....

E infatti, come conseguenza diretta di questo permesso, il malware può passare alla sua 2° fase che è osservabile dal log che avevi postato sul thread "virus testing machine":
c:\windows\system32\services.exe Create registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
c:\windows\system32\services.exe Set registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386\ImagePath Permitted [Registry Group]Autostarts Locations -> [Registry]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath Data: \??\C:\WINDOWS\system32:lzx32.sys
c:\windows\system32\services.exe Load kernel driver c:\windows\system32:lzx32.sys Permitted [App]c:\windows\system32\services.exe
che è pari pari a quello che mostri te per ProSecurity ora....

cloutz
14-02-2009, 19:06
quindi l'evento che ho catturato io è la semplice creazione di un driver, non un ADS...?:stordita: :muro:

ma questo sample non dovrebbe, in ordine:
1. tentare la scrittura, come ADS, di lzx32.sys
2. modificare chiavi registro x avvio
3. fare altri passaggi, che non ci interessano..
4. richiamare lzx32.sys?

PS mi avvisa sulla creazione di un nuovo servizio (install of a service), immediatamente dopo l'avvio del rootkit...è questo che mi ha tratto in inganno, facendomi credere che avesse rilevato l'ADS...

ormai è tutto perso, dovrei ripetere il test e ricontrollare il log:cry:

nV 25
15-02-2009, 09:53
Grazie a cloutz che ha aperto un'apposita discussione su wilders, sappiamo che anche OA gestisce gli ADS [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405610&postcount=8)] cosi' come EQS con gli ultimi ruleset (v1.49.0213) [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405593&postcount=6)]...


*EDIT*:
a dispetto di quanto sembrerebbe voler far passare cloutz che si è intestardito su questi ADS, e cioè che il non intercettarli eventualmente in fase di creazione/scrittura possa rappresentare una vulnerabilità, il mio giudizio in proposito è decisamente più morbido visto che da un lato esistono n soluzioni capaci di rilevarli e che, dall'altro, il loro caricamento è facilmente intercettabile da qualsiasi soluzione...

A conferma arriva la spiegazione di alex_s che non a caso, tra le altre cose, dice che il motivo per il quale rimangano nascosti è legato esclusivamente al fatto che sia lo "standard shell (explorer.exe)" che altri "comanders" non li visualizzano [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405580&postcount=5)]...

In sostanza, sono "hidden" per modo di dire dato che è relativamente semplice farli emergere...

cloutz
15-02-2009, 11:28
Grazie a cloutz che ha aperto un'apposita discussione su wilders, sappiamo che anche OA gestisce gli ADS [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405610&postcount=8)] cosi' come EQS con gli ultimi ruleset (v1.49.0213) [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405593&postcount=6)]...


*EDIT*:
a dispetto di quanto sembrerebbe voler far passare cloutz che si è intestardito su questi ADS, e cioè che il non intercettarli eventualmente in fase di creazione/scrittura possa rappresentare una vulnerabilità, il mio giudizio in proposito è decisamente più morbido visto che da un lato esistono n soluzioni capaci di rilevarli e che, dall'altro, il loro caricamento è facilmente intercettabile da qualsiasi soluzione...

A conferma arriva la spiegazione di alex_s che non a caso, tra le altre cose, dice che il motivo per il quale rimangano nascosti è legato esclusivamente al fatto che sia lo "standard shell (explorer.exe)" che altri "comanders" non li visualizzano [LINK! (http://www.wilderssecurity.com/showpost.php?p=1405580&postcount=5)]...

In sostanza, sono "hidden" per modo di dire dato che è relativamente semplice farli emergere...

non vorrei essere frainteso:D
come già abbiamo osservato è possibile bloccare, con un qualsiasi hips, il caricamento del driver..la mia opinione è che sarebbe indiscutibilmente utile che un hips ne identificasse la creazione, pur non essendo una qualità necessaria, tantomeno una "vulnerabilità"...:)

a dimostrazione di ciò ultimamente ho usato SSM Pro, e attualmente sto usando RTD:p

per OA bisogna vedere se la versione freeware li intercetta (quella di alex_s è la AV+)..piacevolmente sorpreso dagli ultimi Alcyon Rulset per EQS(questo a dimostrazione della versabilità del prodotto in questione, qualità sempre apprezzata dal sottoscritto)...

Saluti:)

EDIT:
nV..sembra che tu abbia ritrovato l'interesse, la voglia (chiamala come vuoi), di partecipare al forum , con mio sommo piacere:)

il tutto in riferimento a questo post (http://www.hwupgrade.it/forum/showpost.php?p=26094405&postcount=174)..

@Sirio@
14-03-2009, 11:27
OA 3.1 sarà in grado di bloccarlo :D

Ad ogni modo, secondo Mike, allo stato attuale è molto improbabile che un virus utilizzi una tecnica simile, perchè tutti i virus più moderni sono interessati alle informazioni private, non a bloccare computer eccetera.
Ci sono molti più malware che se ne stanno silenziosi a registrare info private, piuttosto che malware che non ti consentono di usare il pc. :O

Anche CIS 3.9 sarà in grado di bloccarlo :cool:

Ho attaccato il pilotto a Egemen :asd: e alla fine sono riuscito a convicerlo... :D

cloutz
14-03-2009, 18:25
nuovo hips open source: WHIPS

http://www.wilderssecurity.com/showthread.php?t=236058

Saluti:D

nV 25
14-03-2009, 18:31
Ma non ci credo! :eek:

Mi hai anticipato di 5 secondi netti dato che stavo per postare io la notizia....:muro: :D

Ignorante Informatico
14-03-2009, 18:32
nuovo hips open source: WHIPS..
Spacciatore... di ottime notizie ;)

Fra l'altro, è pure un progetto italiano :D

cloutz
14-03-2009, 18:56
Ma non ci credo! :eek:

Mi hai anticipato di 5 secondi netti dato che stavo per postare io la notizia....:muro: :D

che tempismo eh:cool: :Prrr: :D

Spacciatore... di ottime notizie

Fra l'altro, è pure un progetto italiano

Lo prendo come un complimento (lo spacciatore si intende):p

cmq...l'avete provato per caso?:stordita:

erreale
14-03-2009, 21:15
Da quel che ho visto dal video non ha un "motore in real time" che avverte sul behavior dei programmi. Tutto deve essere impostato a priori. Dal video sembra avere un profondità di controllo di tutto rispetto sulle "chiamate" al kernel ma non sembra avere una difesa del registro e delle sue chiave più importanti.

riazzituoi
14-03-2009, 22:25
.

cloutz
15-03-2009, 07:34
per esempio qui kees, dal post #4 al #7, fa un elenco di chiavi da proteggere con ThreatFire...:

http://www.wilderssecurity.com/showthread.php?t=235984

credete che bastino per avere un buon controllo (anche su WHIPS)?

Saluti:)

edit:
mi sa che mi sono sbagliato..se si sinserissero quelle stringhe, non avendo monitor in realtime (= no avvisi), non si potrebbe più modificare nulla..:(

levriero
18-03-2009, 13:21
NON del tutto ufficiale...
ma sembra ke Alcyon NON supportera più le rules per EQS...
http://www.wilderssecurity.com/showthread.php?t=193905&page=20
Lo stesso kome già annunciato un paio di mesi fa...si sta dedikando alle rules di MalwareDefender...
NV25 c'ha visto lungo un'altra volta;)

cloutz
18-03-2009, 15:33
NV25 c'ha visto lungo un'altra volta;)

:ave:
grande nV:asd::D

erreale
21-03-2009, 07:32
Se a qualcuno interessa c'è una nuova suite all'orizzonte...Online Solutions Security Suite (http://www.online-solutions.ru/en/osss_security_suite.php)
Per ora in versione beta, ma sulla "carta" e dagli screenshot sembra avere buone caratteristiche sia in termini di protezione che di configurabilità...

http://www.online-solutions.ru/en/common/images/osss/osss_scr01.png
hips


http://www.online-solutions.ru/en/common/images/osss/osss_scr07.png
hips - protezione registro


http://www.online-solutions.ru/en/common/images/osss/osss_scr08.png
firewall


The "OSPD" (Online Solutions Proactive Defense) proactive security system provides the integrity of software environment and blocks the activity of known and unknown malicious code in advance.

The security core comprises several technological approaches: HIPS, SandBox, AntiRootkit, AntiSpyware and an antivirus.

The "OSPD" system protects the user's computer from unknown viruses and "Trojan horses" using the advantages of the behavioral analysis technology, but is not limited to it. The behavioral method is based on the analysis of what specifically applications do in the system: some actions may be legitimate and harmless, but their combination in a certain sequence can explicitly point to malicious intentions.

Functional capabilities:

* The "OSPD" kernel is loaded before all other system drivers and takes control of the system from the very start.

* The combination of a behavioral analysis unit with an anti-virus core supporting heuristic analysis and supplied with a large signature base of modern viruses, network and email worms, trojan horses, adware, spyware, dialers and rootkits, allows you to prevent known (or similar to known) malicious code from appearing and being executed on the user's system.

* The solution interacts with the operating system on the lowest level. Malicious code can be hooked on several levels to prevent it from bypassing parts of the defense system.

* Permanent analysis of CPU tables and the structures of the OS kernel. Control of integrity of kernel-mode system modules. Suppression of low-level hooking attempts used in rootkits. Detection and prevention of kernel-mode code execution by undocumented methods.

* Monitoring of installation and usage of system services and drivers. Constant monitoring of process and system drivers hiding.

* Application rules and their flexible configuration options allow you to explicitly restrict the abilities of each program both in terms of interprocess communication and interaction with the operating system. You can create a new rule or a set of rules and assign them to any action. Interprocess communication is monitored and controlled in over 10 different aspects: access to the memory of another process, thread generation in the address space of another process, injection of a new dynamic library, etc.

See also >> integration with a firewall (full control over the system's network activity).

* Control of integrity of all applications that have rules assigned to them. Automatic scanning of suspicious applications for known viruses.

* "OSPD" provides extensive monitoring capabilities and allows you to change the OS parameters that relate to the operation (explicit and implicit) of malicious code. That is why the treatment of an infected computer is possible both in automatic and manual modes (using an expert's help) if the system was infected before proactive defense was installed.

* Control over registry-related operations: autorun, system parameters and security policies.

* Control over the installation and use of ActiveX-objects and browser extensions (BHO).

* Warnings about sites with unwanted content and their blocking during web browsing.

* Prevention of known malicious activities: modification of executable files, saving of network-based virus loaders, DNS changes, modification of Internet Explorer parameters.

* Scanning of your hard drive, memory and any objects (upon user's request) for known viruses. Analysis of suspicious objects in the system.

* Control over own kernel integrity and access to it and all of its components. Protection of internal data structures and communication between their separate parts.

* Event logging system. The system allows you to analyze the actions of specific applications in the system.


...qualcuno che la prova?

levriero
22-03-2009, 00:01
Avevo letto i post su Wilders:cool:
Mi rikorda vagamente DriveSentry...
Kredo però ke aspetterò i test...1 xkè è una beta...2 xkè integra firewall+hips..sinceramente NON mi va di litigare kon Oa o Comodo
Ho l'impressione ke sia un po' pesantino..;)

erreale
22-03-2009, 07:23
Avevo letto i post su Wilders:cool:
Mi rikorda vagamente DriveSentry...
Kredo però ke aspetterò i test...1 xkè è una beta...2 xkè integra firewall+hips..sinceramente NON mi va di litigare kon Oa o Comodo
Ho l'impressione ke sia un po' pesantino..;)

Direi che più che ricordare DriveSentry e molto ma molto simile a Comodo o Online Armor. E' un hips con integrato un firewall. Nello specifico il firewall è più che buono. Devo ancora testare l'hips, ma lo farò quanto prima.

cloutz
22-03-2009, 07:40
Anche a me dà l'idea di essere pesante in base alle features che propone (HIPS, SandBox, AntiRootkit, AntiSpyware, Antivirus con euristica, Firewall), benchè il setup sia solo di 10 Mb...:stordita:

Poi, IMHO, non ci si improvvisa in questo campo...prima di creare un buon hips ce ne vuole, e secondo me questo programma cerca di fare troppe cose insieme..spero non le faccia in maniera approssimativa...

Comunque a me non si avvia in VM..solito problema kernel:fagiano:
adesso segnalo a Mihail Fradkov...

done75
01-04-2009, 13:47
premetto che ho letto il primo post e ho dato un'occhata veloce al resto del thread..a questo punot vorrei chiedere se è meglio usare un software come SpywareTerminator, oppure antispyware(come A Squared 4.0 Free, SpywareDoctor oppure Superantispyware) unito ad uno dei programmi indicati nel primo post; nel secondo caso quale è il migliore?

EDIT: System Safety Monitor non riesco a scaricarlo...il link è inesistente

System Safety Monitor è obsoleto come del resto penso anche il primo post di questo thread che a suo tempo fu una pietra miliare della Security...

x lamaggioranza degli utenti il miglior hips è il D+ integrato in comodo

Andrea9907
01-04-2009, 13:58
premetto che ho letto il primo post e ho dato un'occhata veloce al resto del thread..a questo punot vorrei chiedere se è meglio usare un software come SpywareTerminator, oppure antispyware(come A Squared 4.0 Free, SpywareDoctor oppure Superantispyware) unito ad uno dei programmi indicati nel primo post; nel secondo caso quale è il migliore?

EDIT: System Safety Monitor non riesco a scaricarlo...il link è inesistente
Beh, anche Spyware terminator è un antispyware, comunque io e diversi altri l'abbiamo provato e spesso lascia un pò a desiderare; S.Doctor è pesantuccio e, se non sbaglio, non blocca le minacce nella versione free.
Secondo me è sufficiente un antivirus + firewall (eventualmente con l'HIPS).
Ad es. un antivirus tra Antivir e Avast e un firewall tra Online Armor, Comodo3, PC Tools, ecc).
Per il resto A Squared 4.0 free + Superantispyware va benissimo.
Ciao ;)

Andrea9907
01-04-2009, 14:12
al momento ho avira e spyware terminator...cosa intendi per "Per il resto A Squared 4.0 free + Superantispyware va benissimo."?
Voglio dire che sono utili entrambi, anche perchè quello che non rileva uno lo rileva l'altro. Eventualmente potresti aggiungere anche Malwarebytes (http://filehippo.com/software/antispyware/)

Bazz89
01-04-2009, 16:52
grazie...avira e spywareterminator me li tengo?oppure spywareterminator sarebbe un doppione degli altri?

se vuoi un consiglio su antispyware/antimalware da accoppiare al tuo antivirus:
http://www.hwupgrade.it/forum/showthread.php?t=1825614

leggi la prima pagina

riguardo l'Hips, il D+ di Comodo è ottimo, te lo consiglio MA.....

..... specifico che per gestire un HIPS in generale, è necessario una certa conoscenza del computer, di windows e di tutte le sue componenti, nonche delle modalità con cui spesso i malware agiscono, ecc...

se sei realmente in grado di gestire i pop up di un Hips, con consapevolezza di ciò che fai, Comodo con il suo Hips è un buon punto di partenza x chi si affaccia al mondo degli Hips (fermo restando che il suo modulo HIPS nn è a livello di HIPS puri)

Comodo è sicuramente un ottimo prodotto nella sua completezza

topic ufficiale di Comodo:
http://www.hwupgrade.it/forum/showthread.php?t=1598794

Saluti :)

ps: x il futuro
http://www.hwupgrade.it/forum/showthread.php?t=1559053

nV 25
01-04-2009, 17:05
...Comodo con il suo Hips è un buon punto di partenza ....(fermo restando che il suo modulo HIPS nn è a livello di HIPS puri)..
in che senso?

Da quello che ho avuto modo di vedere, infatti, quanto ad efficacia non mi ha certo lasciato l'amaro in bocca...

Boh, attendo lumi...:)

Bazz89
01-04-2009, 20:10
in che senso?

Da quello che ho avuto modo di vedere, infatti, quanto ad efficacia non mi ha certo lasciato l'amaro in bocca...

Boh, attendo lumi...:)

nn intendo in termini di efficacia, ma di configurabilità

o sbaglio?

hips come malware defender o prosecurity nn hanno/avevano una maggiore configurazione?

menziono questi due, xchè sono gli unici che ho provato :D

nV 25
01-04-2009, 20:24
si, in quell'accezione, semplicemente imparagonabili (IMO):
diciamo anzi tutto 1 altro pianeta....:cry:

orione73
04-04-2009, 10:17
considerando che ne capisco di hisp quanto una scimmia africana ne capisce di fisica quantistica, e leggendo che ormail molti prog sono stati abbandonati..
volevo sapere se
1)
al momento drivesentry e' il programma freeware piu' semplice...
2)
se posso abbinarlo a geswall e winpatrol
grazie a tutti in anticipo

levriero
04-04-2009, 13:18
considerando che ne capisco di hisp quanto una scimmia africana ne capisce di fisica quantistica, e leggendo che ormail molti prog sono stati abbandonati..
volevo sapere se
1)
al momento drivesentry e' il programma freeware piu' semplice...
2)
se posso abbinarlo a geswall e winpatrol
grazie a tutti in anticipo

DriveSentry NON è un vero e proprio Hips...diciamo ke è un komplemento all'antivirus kon integrati moduli propri degli hips^^
E' strettamente legato ad un database online kondiviso tra utenti.
Nello specifiko si okkupa di limitare o meno l'accesso al disko da parte dei programmi ke ritieni "fidati o non".
Dire ke un soft di questo tipo sia semplice....mmm:mbe:
Diciamo ke è meno komplikato d'altri xkè NON ti assilla di domande a quiz:D
Per me è un ottimo prodotto..lo uso akkoppiato al D+ di Comodo.
Sino ad oggi mi ha dato noie solo kon un programma di lavoro..
Mi basta sospenderlo durante l'avvio di quel soft.^^
Kon Geswell e WinPatrol NON ho sentito nulla riguardo a konflitti
Qui http://forum.drivesentry.com/ il forum ufficiale
ma anke su Wilders trovi un buon supporto
Purtroppo è solo in inglese
Alternativa "similare" potrebbe essere Prevx...dipende dalle tue esigenze:cool:

orione73
05-04-2009, 08:49
ciao levriero e grazie per la risposta..
ieri ho fatto la prova ad installarlo..tutto ok e nessun conflitto almeno per ora..
tuttavia continuo a non capire come funziona ; ho aperto tutti i programmi, ho fatto copia incolla nelle cartelle protette tipo documenti ,musica etc.. ma nesuun avviso...bho..
alla fine l'ho tolto e penso che tornerò ad eqs oppure spyware terminator...

ma eqs e' ancora valido vero?
ciao a tutti

levriero
05-04-2009, 10:57
ciao levriero e grazie per la risposta..
ieri ho fatto la prova ad installarlo..tutto ok e nessun conflitto almeno per ora..
tuttavia continuo a non capire come funziona ; ho aperto tutti i programmi, ho fatto copia incolla nelle cartelle protette tipo documenti ,musica etc.. ma nesuun avviso...bho..
alla fine l'ho tolto e penso che tornerò ad eqs oppure spyware terminator...

ma eqs e' ancora valido vero?
ciao a tutti

Eqs kon le ruleset di Alcyon è sempre una roccia^^
Io l'ho fatto diventare portable e l'ho ankora li' in un kartelletta...aspettando sviluppi delle vers.4....kissà...
Spyware Terminator l'ho eliminato...ha avuto un buon periodo...poi ho inkominciato a ritenerlo superfluo.
DriveSentry x me è sempre una valida alternativa...lo tengo akkoppiato al D+..è una protezione maggiore del disko...
Il d+ fa già il suo dovere x karità..ma DriveSentry ha sempre un database di firme aggiornato^^
Piuttosto kome Ti dicevo...Prevx^^

cloutz
27-04-2009, 15:40
Il progetto RealTimeDefender (ex ProSecurity) che sembrava discontinuato sembra aver dato vita a qualcosa:

RTD Smart v1.0 Beta 1 released

SHA-1: e1594c89c4312efc72c47e83ee8060e6e362fdd7 SHA-1
checksum: e1594c89c4312efc72c47e83ee8060e6e362fdd7

For :
Win2000_sp4 WinXP_sp2/sp3 Support System: Win2000_sp4 WinXP_sp2/sp3

Real-time Defender Smart Description:

Real-time Defender Smart(RTD Smart)(Host-based Intrusion Prevention System) Real-time Defender Smart (RTD Smart) is a behavior-based detection technology fully integrated into the operating system kernel of the host intrusion prevention system (Host-based Intrusion Prevention System), the system concept from the new security architecture design .

Through the process of the system, the operating system kernel, registry, security-related documents such as object classification and analysis, the relationship between the logic of the strategy through a set of tight, to your three-dimensional defense system. Object to be protected like a shield was placed in isolation procedures were not authorized to access them. At the same time, through our carefully designed to substantially reduce the shell box, the user requirements of professional knowledge is very low.

RTD Smart The first time RTD Smart Wizard automatically open after installation, after the establishment of the system database, system software to import and set up a list of simple steps such as set up after the completion of the restart the system, system protection that is automatically open. In the normal course of the software, you almost do not feel its presence, only a threat that may arise when the system, it will alert you and block the threat.

RTD SmartTherefore, RTD Smart will protect the security of operating system files and system software of the three-dimensional high-intensity defense, and for different software, you can set for different types of software for different types of protection, to meet actual business .

RTD Smart also allow you to set up private folders, the need for a password before they can access, the protection of your private files will not be leaked, stolen.

RTD SmartRTD Smart can meet your online banking, network security and day-to-day needs of security and effective anti-virus, Trojans, hackers of all kinds of attacks, so that your day-to-day Internet, office, games do not have to fear.

Download now (http://www.rtdefender.com/downloads/rtdsmartbeta1.exe)

http://www.wilderssecurity.com/showthread.php?t=240526

lo sto installando, anche se in realtà dalla descrizione non si capisce molto (è scritto da cani), ma sembrerebbe lontano da un hips (come era PS)..
cmq tra un pò lo provo e posto tutto con tanto di screen ;)

:sperem:

sampei.nihira
27-04-2009, 15:56
Il progetto RealTimeDefender (ex ProSecurity) che sembrava discontinuato sembra aver dato vita a qualcosa:


http://www.wilderssecurity.com/showthread.php?t=240526

lo sto installando, anche se in realtà dalla descrizione non si capisce molto (è scritto da cani), ma sembrerebbe lontano da un hips (come era PS)..
cmq tra un pò lo provo e posto tutto con tanto di screen ;)

:sperem:

E noi li vedremo con curiosità. :)
Grazie a nome di tutti Cloutz.;)
Devo ammettere che personalmente sono sempre restio ad installare versioni beta di sw di sicurezza e questa "idiosincrasia" è molto più accentuata per gli HIPS e similari.......:D

cloutz
27-04-2009, 16:40
E noi li vedremo con curiosità. :)
Grazie a nome di tutti Cloutz.;)
Devo ammettere che personalmente sono sempre restio ad installare versioni beta di sw di sicurezza e questa "idiosincrasia" è molto più accentuata per gli HIPS e similari.......:D

si ma l'ho installato perchè avevo già in mente di ripristinare un'immagine di Acronis (avevo installato beta su beta di CIS per la traduzione:rolleyes:)..

adesso comunque l'ho installato..continuo nel post seguente...

nV 25
27-04-2009, 16:57
Sono curioso anch'io di leggere i tuoi sviluppi, e chissà che tu non riesca peraltro ad anticipare il thread di wilders con immagini e quant'altro...

La descrizione ricorda la terribile traduzione cinese>inglese di google...


edit h18.12:
saresti ancora in tempo per l'anteprima occidentale... :p

levriero
27-04-2009, 16:59
si ma l'ho installato perchè avevo già in mente di ripristinare un'immagine di Acronis (avevo installato beta su beta di CIS per la traduzione:rolleyes:)..

adesso comunque l'ho installato..continuo nel post seguente...
I) Versione smart....:mbe:
II) Sito kon karatteri cinesi...ma NON era stato acquisito il kodice da Comodo per il D+?:mbe:
Attendo tue news....:bimbo:

nV 25
27-04-2009, 17:02
...ma NON era stato acquisito il kodice da Comodo per il D+?:mbe:...
no, Comodo si è acquistato solo i servigi del suo ex sviluppatore, Jie Dong...

La RTD, invece, ha rilevato il codice che, fino ad oggi, invero, credevo gli fosse servito esclusivamente come carta igienica....

cloutz
27-04-2009, 17:14
Allora...scaricato il pacchetto dal link fornito sopra e avviato il setup..tutto normale finchè mi si apre un Wizard:

http://img30.picoodle.com/img/img30/2/4/27/kronos/f_Immagine1m_3ec6e3f.png

Questo processo dura parecchio (una mezzoretta abbondante), sembra che raccolga dati sui software installati e sulla mia configurazione attuale..ad ogni modo le informazioni fornite all'utente sono scarse, anzi nulle.

Al termine del Wizard riavvio..controllo il TaskManager e trovo 3 nuove voci:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_Immagine3m_6658bf8.png

Come si può notare è leggerissimo sulla ram, fa aumentare la memoria allocata di soli 14-6 Mb (a riposo, senza nulla in avvio automatico, il OS pesa circa 104 Mb, ora 118 Mb).

Aprendo l'interfaccia del programma ho notato (che acuto osservatore:O :D ) che molte voci non sono tradotte, o sono riportate con la scrittura ??????:mbe:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_statusm_8f09bc3.png

Questo rende pressochè indecifrabile la scheda Status. Cliccando anche sui link alla destra si apre il browser su una pagina (dovrebbe essere il forum in teoria), che però restituisce un errore.

Scheda Software:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_softwarem_e2c6c95.png

credo serva per poter inserire un nuovo software sotto il proprio controllo (o per escluderlo da esso)...

Scheda Log:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_logm_5195ec2.png

Scheda Config:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_configm_7fe55a2.png

Le opzioni per la lingua sono 2: una è "?????", l'altra "English"..quindi la scelta è obbligata direi:D

Appena installato queste opzioni sono tutte senza spunta, questo sarebbe come io ho deciso di configurare il programma...
mi aspettavo molto di più, mi ha deluso per la pochezza della configurabilità (punto di forza, invece, di ProSecurity)

Scheda Folder:

http://img27.picoodle.com/img/img27/2/4/27/kronos/f_folderm_5f5c85a.png

Qui non si apre nulla, qualunque tasto schiaccio:stordita:

la scheda Help, invece, non si apre neanche...


Conclusione:

Più che un hips sembra essere una sorta di software che in fase d'installazione controlla i file presenti e la configurazione in uso, per poi impostarti una policy personalizzata di default-deny che non permette modifiche (senza far apparire neanche un popup)...

...per fare questo, comunque, non gli serve il nome di HIPS e soprattutto basta un semplice riduttore di privilegi...

Deluso al 100%, facevano bene a lasciare RTD come era (praticamente ProSecurity), o ad usare il codice come carta igienica, come dice nV:rolleyes:

Queste restano considerazioni personali...

Fatta questa piccola prova, mi affretto a cancellare ogni traccia di questo "software" dal mio pc...

cloutz
27-04-2009, 17:21
Sono curioso anch'io di leggere i tuoi sviluppi, e chissà che tu non riesca peraltro ad anticipare il thread di wilders con immagini e quant'altro...

La descrizione ricorda la terribile traduzione cinese>inglese di google...


edit h18.12:
saresti ancora in tempo per l'anteprima occidentale... :p

Anticipati, mi sono accaparrato l'anteprima:D

ahah su w. hanno chiesto un pò di screen...:ciapet:

nV 25
27-04-2009, 17:43
a parte il fatto che hai sformato il thread con quelle foto di dimensioni ciclopiche (paura di perderti l'anteprima? :p ) e che, solo per questo, andresti talibanizzato (:boxe: :fiufiu: :D ), rilevo come l'anno di Sabba della RTD sia stato proprio speso malamente...


Interfaccia rosina, effeminata, "pulsanti" fatti col pennnato, ecc...
In sostanza, ciò che di buono era stato costruito da Jie è stato letteralmente spazzato via...

L'innovazione cmq c'è tutta vista che un grande passo è stato compiuto... INDIETRO, ma pur sempre un passo, dai...


Chissà risate si starà facendo il povero Jie....

cloutz
27-04-2009, 17:51
a parte il fatto che hai sformato il thread con quelle foto di dimensioni ciclopiche (paura di perderti l'anteprima? :p ) e che, solo per questo, andresti talibanizzato (:boxe: :fiufiu: :D ), rilevo come l'anno di Sabba della RTD sia stato proprio speso malamente...


Interfaccia rosina, effeminata, "pulsanti" fatti col pennnato, ecc...
In sostanza, ciò che di buono era stato costruito da Jie è stato letteralmente spazzato via...

L'innovazione cmq c'è tutta vista che un grande passo è stato compiuto... INDIETRO, ma pur sempre un passo, dai...


Chissà risate si starà facendo il povero Jie....

Ho corretto la grandezza delle immagini, non me n'ero reso conto:p

levriero
27-04-2009, 18:21
Azz....:doh:
Adesso vomito....:muro:
Si sono aggiudikati il :tapiro:

cloutz
27-04-2009, 19:05
Azz....:doh:
Adesso vomito....:muro:
Si sono aggiudikati il :tapiro:

ammetto che probabilmente i punti di domanda ????? possono essere dovuti al mio pc (magari non supporta qualche formato:boh:)...

ma per il resto non si salvano proprio...:O

commi
27-04-2009, 23:48
ammetto che probabilmente i punti di domanda ????? possono essere dovuti al mio pc (magari non supporta qualche formato:boh:)...

ma per il resto non si salvano proprio...:O
Questa è la schermata dello "status":
http://img253.imageshack.us/img253/2849/000n.png

A me, però, non scrive nessun log :D

Non sono riuscito, invece, a catturare la finestra dell'alert che appare all'avvio di un'applicazione non "catalogata" in precedenza, alert in linea con il programma: una delusione.

Speriamo che questo "smart" sia solo una versione destinata agli utenti che non amano gli alert.....nel forum cinese sembra che RTD Pro e RTD smart siano inseriti in due sezioni separate...:stordita:

sampei.nihira
28-04-2009, 16:08
Insomma nemmeno il fumo per non parlare dell' "arrosto".

commi
29-04-2009, 14:43
Insomma nemmeno il fumo per non parlare dell' "arrosto".
Infatti, nè l'uno e n'è l'altro.
Con RTD Smart sembra sia stata fatta, rispetto a RTD Pro, solo un'operazione di alleggerimento del numero di alert che viene proposto quando si esegue una nuova applicazione (eh sì, gli alert non hanno fatto la fortuna di Jie Dong, perchè continuare su quella strada? :() in aggiunta alla possibilità di configurazione/intervento dell'utente pressocchè ridotta a zero.

Ne è la riprova il fatto che con il test CLT si ottiene lo stesso punteggio riportato da RTD Pro in configurazione standard (260/340) (quindi l'"arrosto" è sempre quello), con l'enorme differenza, però, che in RTD Pro, con l'inserimento di alcune regole, si riesce a raggiungere il punteggio di 320/340, mentre con lo Smart o ti accontenti di quella minestra.......(con soli 2 alert, però :asd:)

cloutz
29-04-2009, 16:57
Infatti, nè l'uno e n'è l'altro.
Con RTD Smart sembra sia stata fatta, rispetto a RTD Pro, solo un'operazione di alleggerimento del numero di alert che viene proposto quando si esegue una nuova applicazione (eh sì, gli alert non hanno fatto la fortuna di Jie Dong, perchè continuare su quella strada? :() in aggiunta alla possibilità di configurazione/intervento dell'utente pressocchè ridotta a zero.

Ne è la riprova il fatto che con il test CLT si ottiene lo stesso punteggio riportato da RTD Pro in configurazione standard (260/340) (quindi l'"arrosto" è sempre quello), con l'enorme differenza, però, che in RTD Pro, con l'inserimento di alcune regole, si riesce a raggiungere il punteggio di 320/340, mentre con lo Smart o ti accontenti di quella minestra.......(con soli 2 alert, però :asd:)

sulla prima parte concordo, è stata concepita come versione più immediata di RTD Pro (me ne sono reso conto visitando il loro forum, finalmente up, in cui ci sono 2 sezioni: una per RTD Pro e una per la Smart, quindi entrambe sviluppate e free)...

dove hai trovato le info su RTD Smart vs CLT?:fagiano:
L'hai provato? Come sono gli alert (io non ne ho visto neanche uno:D)?

commi
29-04-2009, 19:18
sulla prima parte concordo, è stata concepita come versione più immediata di RTD Pro (me ne sono reso conto visitando il loro forum, finalmente up, in cui ci sono 2 sezioni: una per RTD Pro e una per la Smart, quindi entrambe sviluppate e free)...

dove hai trovato le info su RTD Smart vs CLT?:fagiano:
L'hai provato? Come sono gli alert (io non ne ho visto neanche uno:D)?
Nessuna info, ho provato CLT con RTD Smart (unico software di sicurezza nel sistema) e questo è il risultato del test:

http://img201.imageshack.us/img201/8140/001aod.th.png (http://img201.imageshack.us/my.php?image=001aod.png)

Gli screen degli alert credo sia impossibile farli perchè il programma, con l'alert a schermo, non consente di usare altre applicazioni, verificandosi la stessa situazione di RTD Pro quando risultata spuntata l'opzione "use own desktop" nei global settings (il desktop diventa scuro e puoi cliccare solo su allow / block dell'alert).

Se ho un pò di tempo ci riprovo (al momento l'ho piallato dal mio pc).

cloutz
29-04-2009, 23:18
Se ho un pò di tempo ci riprovo (al momento l'ho piallato dal mio pc).

Sisi tranquillo, era solo per la curiosità di sapere come sono:D

commi
30-04-2009, 00:18
Sisi tranquillo, era solo per la curiosità di sapere come sono:D
Sono riuscito a fare lo screen dei due soli alert prodotti da RTD Smart con il Comodo Leak Test mediante la classica accoppiata alt+print screen, andando, poi, di paint:
il primo è quello classico di ogni hips che avverte del lancio dell'applicazione (da notare lo sfondo :D):

http://img511.imageshack.us/img511/96/alert1.th.png (http://img511.imageshack.us/my.php?image=alert1.png)

oltre ai soliti allow / block, l'altro elemento selezionabile è quello in basso a sinistra "this application is...", cliccando sul quale vengono proposte 4 scelte:

http://img253.imageshack.us/img253/1435/alert2.th.png (http://img253.imageshack.us/my.php?image=alert2.png)

qui l'elemento più interessante sembra essere "This is a distrusted application, run it in testing mode" che dovrebbe garantire la massima copertura in termini di sicurezza, dando la possibilità di "testare" un software di cui non si ha la certezza che sia sicuro.

Optando per la prima opzione "This is a trusted install application" di ottiene quest'altro screen (le "righe nere" sono le applicazioni presenti nel mio pc :D):

http://img118.imageshack.us/img118/3589/alert3.th.png (http://img118.imageshack.us/my.php?image=alert3.png)

Molto simile allo screen precedente è quello proposto se si sceglie "This application belongs to software" (di cui non ho eseguito lo shot): viene proposto l'elenco dei software installati nel sistema, senza le prime 3 opzioni previste nello shot precedente (quelle su sfondo rosa).
Non ho avuto modo di provare quest'ultima opzione e nemmeno "This is a distrusted install application" (credo, però, assicuri una minore copertura rispetto al "testing mode", visto che al termine del CLT raggiunge "solo" 170/340).


Il secondo (e ultimo) screen che appare durante l'esecuzione del CLT è questo:

http://img402.imageshack.us/img402/6328/alert4.th.png (http://img402.imageshack.us/my.php?image=alert4.png)

Tutto sommato, quindi, non è che con lo Smart siano state introdotte nuove funzionalità o si sia raggiunto un maggiore grado di sicurezza rispetto a RTD Pro (che cmq ha le sue lacune). Anche le "nuove" opzioni "This is a distrusted install application" e "This is a distrusted application, run it in testing mode" credo siano solo un "rimescolamento" delle funzioni già presenti nella ver. Pro.
L'aspetto che mi ha deluso di più è la quasi impossibilità di configurare il programma secondo le proprie vedute/esigenze. Si nota, iinoltre, un certo "senso di confusione" nelle varie schermate del programma, ma è una ver. beta, quindi ci può anche stare.

Inutile per chi ha già un HIPS classico, imho.

nV 25
30-04-2009, 08:43
Nel complesso, i pop up sono gradevolucci:
la coccinellina sul suo bel filino d'erba con altre piantine in sottofondo :smack: che fanno un'atmosfera cosi' bucolica (sospiro...) :D

A me, insomma, me piace...:p

http://img300.imageshack.us/img300/9428/snap1c.jpg

Ignorante Informatico
30-04-2009, 10:45
..fanno un'atmosfera cosi' bucolica (sospiro...) :D
Eh, sì... richiama all'ottimismo :)

cloutz
30-04-2009, 13:20
Sono riuscito a fare lo screen dei due soli alert prodotti da RTD Smart con il Comodo Leak Test mediante la classica accoppiata alt+print screen, andando, poi, di paint:
il primo è quello classico di ogni hips che avverte del lancio dell'applicazione (da notare lo sfondo :D):



oltre ai soliti allow / block, l'altro elemento selezionabile è quello in basso a sinistra "this application is...", cliccando sul quale vengono proposte 4 scelte:



qui l'elemento più interessante sembra essere "This is a distrusted application, run it in testing mode" che dovrebbe garantire la massima copertura in termini di sicurezza, dando la possibilità di "testare" un software di cui non si ha la certezza che sia sicuro.

Optando per la prima opzione "This is a trusted install application" di ottiene quest'altro screen (le "righe nere" sono le applicazioni presenti nel mio pc :D):



Molto simile allo screen precedente è quello proposto se si sceglie "This application belongs to software" (di cui non ho eseguito lo shot): viene proposto l'elenco dei software installati nel sistema, senza le prime 3 opzioni previste nello shot precedente (quelle su sfondo rosa).
Non ho avuto modo di provare quest'ultima opzione e nemmeno "This is a distrusted install application" (credo, però, assicuri una minore copertura rispetto al "testing mode", visto che al termine del CLT raggiunge "solo" 170/340).


Il secondo (e ultimo) screen che appare durante l'esecuzione del CLT è questo:


Tutto sommato, quindi, non è che con lo Smart siano state introdotte nuove funzionalità o si sia raggiunto un maggiore grado di sicurezza rispetto a RTD Pro (che cmq ha le sue lacune). Anche le "nuove" opzioni "This is a distrusted install application" e "This is a distrusted application, run it in testing mode" credo siano solo un "rimescolamento" delle funzioni già presenti nella ver. Pro.
L'aspetto che mi ha deluso di più è la quasi impossibilità di configurare il programma secondo le proprie vedute/esigenze. Si nota, iinoltre, un certo "senso di confusione" nelle varie schermate del programma, ma è una ver. beta, quindi ci può anche stare.

Inutile per chi ha già un HIPS classico, imho.

effettivamente ero stato molto critico (forse troppo)...:p

IMHO buona l'idea dello zero popup, con più opzioni in cui catalogare l'exe in questione, spero cmq che continuino a sviluppare RTD Pro, magari con un pò più di lena..

a quanto pare avvisa solo sull'esecuzione di applicazioni esterne (=sconosciute) ed eventuali applicazioni da esse caricate (forse per richiedere se anche quest'ultima dev'essere avviata in testing mode, come la precedente, in questo caso)...

per gli sfondi...non mi esprimo:stordita:

Saluti

cloutz
12-05-2009, 18:05
Nuovo software:D :

EasyMalwareBlocker - Intrusion Prevention System


Features:

File Protection
Registry Protection
Delete Protection
Firewall protection
System Check Utilities
Parental Control



Sito Ufficiale: http://www.easymalwareblocker.com/
3d Wilders: http://www.wilderssecurity.com/showthread.php?t=241982
Download: http://www.easymalwareblocker.com/EMB_Download/downloadHome.html (http://www.easymalwareblocker.com/EMB_Download/downloadHome.htm)

pare giri su vecchi computer (700 MHz 256 MB RAM) ma solo con Windows XP ServicePack2 32-bit --'

Ignorante Informatico
12-05-2009, 20:34
..(700 MHz 256 MB RAM)..
A proposito di risorse esigue, ho provato DefenseWall HIPS e sono rimasto soddisfatto da:


leggerezza (provato in VM con CPU da 800 MHz e 256 MB di RAM);
semplicità d'uso, a cui contribuisce l'ottima organizzazione delle funzioni in categorie chiare ('trusted', 'untrusted', 'secured', 'excludes');
impostazioni di default (es.: inclusione dei browser fra le 'untrusted app.') che rende semplice la vita agli utenti meno avvezzi o, addirittura, tonti come il sottoscritto.


Una domanda scontata (ma non si sa mai): dato che sfrutta una tecnologia da sandbox, è normale che il firewall rilevi DW come parent app. al lancio di un'applicazione non fidata, no? :)


(voglio ringraziare erreale e tutto lo Staff di PianetaPc.it per la traduzione (http://www.softsphere.com/localizations/); aiuterà molti utenti)

cloutz
12-05-2009, 20:49
Ciao I.I.:)


Una domanda scontata (ma non si sa mai): dato che sfrutta una tecnologia da sandbox, è normale che il firewall rilevi DW come parent app. al lancio di un'applicazione non fidata, no? :)


Intendi la componente hips del firewall?
comunque sinceramente credo di si, in quanto DW ha bisogno di isolare tale processo dal resto del sistema, avviandolo (e qui scatta il tuo popup che lo vede come parent application)..

mi aveva colpito invece da GesWall, che spesso duplicava anche processi di sistema (explorer.exe ecc) con diritti limitati, nel caso in cui questi venissero utilizzati da processi, appunto, considerati come "untrusted" [credo che cmq lo stesso valga per DW]...

ma non ho mai approfondito la questione, non so neanche se sia realmente così o ricordo male io:O

Un abbraccio;)

Ignorante Informatico
12-05-2009, 21:10
Intendi la componente hips del firewall?
Sì :)

Temevo fosse una domanda scontata, deducibile - oltre che dalla tua spiegazione tecnica - anche dalla scritta che appare sulla finestra :D

..mi aveva colpito invece da GesWall, che spesso duplicava anche processi di sistema..
Questa è interessante: in generale, come trovi GesWall? Mi farebbe piacere conoscere una tua opinione a riguardo. Per DW, ad esempio, mi è bastato seguire la firma di nV 25 :asd:

Un abbraccio;)
Grazie mille e ricambio ;)

cloutz
12-05-2009, 21:58
Questa è interessante: in generale, come trovi GesWall? Mi farebbe piacere conoscere una tua opinione a riguardo.


GW l'ho provato solo per qualche giorno, poi comunque la mia configurazione era tale da non necessitare della sua presenza*..e l'ho tolto..

A grandi linee:

Può essere considerato utile per chi avesse la necessità di restare con un account amministratore, proprio per le sue qualità di policy sandbox, quindi di riduttore di privilegi... altrimenti, in caso si usasse già un account limitato, perderebbe parte della sua "magia" (= si inizia a svalutare):O

E' abbastanza facile da capire, si riceve qualche popup, soprattutto all'inizio, ma sono molto chiari e senza probemi...

La documentazione (Help) è ben fatto IMHO, molto chiaro e spiega abbastanza nel dettaglio le singole funzioni...

E' un pò una smaronata perchè ha solo alcune regole predefinite per i software noti, per altri bisogna rispondere ai popup (per quanto ne so la versione a pagamento dispone di un database maggiore, che ingloba regole predefinite per molti più programmi)...

La grafica è di una console mmc, credo che crei un profilo con le sue policy e gestisca tutto da lì...

Consumi bassi, non ricordo le cifre ma siamo circa ai livelli di DW..



In sostanza chi ha già una propria configurazione testata e sicura non credo necessiti di GW, anche perchè non avrebbe di certo aspettato il suo arrivo per ricorrere ad altri sistemi di "hardening" (restricted policy), a fronte di un consumo praticamente nullo...
E' utile per chi non ha/ha avuto voglia di sbattersi a configurare tutto manualmente: pappa pronta con zero (o quasi) stress...


forse proprio per quest'ultima mia affermazione, comunque, non mi ha entusiasmato:read: :fagiano:


Scusa ancora se son stato approssimativo e poco chiaro nella risposta, ma sai cosa mi aspetta in sti giorni:O :D

Saluti;)






*di un policy sandbox me ne faccio poco dietro LUA+SRP, sfrutterei di più una sandbox con un hips..ma vabbè:rolleyes:

Ignorante Informatico
12-05-2009, 22:37
GW l'ho provato solo per qualche giorno..
Tutto chiarissimo ;)

Seguo perfettamente la tua linea logica e, stando a quanto esposto, mi trovi concorde sulla poca utilità che GW potrebbe avere in un sistema già rinforzato a puntino :)

nV 25
13-05-2009, 19:57
Malware Defender spicca un deciso salto in avanti con la versione 2.2.0 beta:
è stata aggiunta finalmente la protezione contro accessi non autorizzati all'SCM (le "famiglie" Nulprot/Saturn, a questo punto, rimbalzano...), la protezione delle interfacce COM, il .dll loading, ecc...

Insomma, una bella release che non farà certo rimpiangere D+ nè OA...

Da acquistare...


http://www.wilderssecurity.com/showthread.php?t=242115

nV 25
14-05-2009, 21:58
Ok, sono reduce proprio ora da una veloce tornata di test...

Bè, sinceramente il commento è "IMBARAZZANTE"...

Senza colpo ferire (leggi, 0 pop-up), DNSChanger (ndisio.sys) + CLB Rootkit (http://www.malwarebytes.org/forums/index.php?showtopic=12709) (2 varianti testate, il dropper di UACx.sys e quello del Seneka.sys..) castrati...:nonsifa:



Quasi non mi diverto tanto è impietoso l'esito... :incazzed:
Della serie, ridatemi i miei amati pop-up che non vedo (in tempo reale...) cosa succede sul mio Pc! :cry: :D






Bè, a 'sto punto vi saluto tanto lo 0 pop up non intriga la piazza....:Prrr:

commi
14-05-2009, 23:29
Ok, sono reduce proprio ora da una veloce tornata di test...

Bè, sinceramente il commento è "IMBARAZZANTE"...

Senza colpo ferire (leggi, 0 pop-up), DNSChanger (ndisio.sys) + CLB Rootkit (http://www.malwarebytes.org/forums/index.php?showtopic=12709) (2 varianti testate, il dropper di UACx.sys e quello del Seneka.sys..) castrati...:nonsifa:



Quasi non mi diverto tanto è impietoso l'esito... :incazzed:
Della serie, ridatemi i miei amati pop-up che non vedo (in tempo reale...) cosa succede sul mio Pc! :cry: :D






Bè, a 'sto punto vi saluto tanto lo 0 pop up non intriga la piazza....:Prrr:

Ciao enne, vedo che già ci sono i primi segni di ripensamento....e dire che qualcun altro già l'aveva previsto :D

In effetti, rendersi conto che un malware non ha creato complicazioni senza vedere cosa è successo a "monte" o perfino a "valle" (quando ormai il "carro con i buoi" è andato) non è proprio il "massimo" o no? :sofico:

Visto l'altro tuo post, sono sicuro che hai già deciso per l'alternativa... a proposito, un pensierino ce l'avevo fatto anch'io: a quanti eurini corrispondono 39.95$? :D

Aspettiamo, però, che il cinese fixi l'ultima beta ;)

erreale
15-05-2009, 19:56
Ciao enne, vedo che già ci sono i primi segni di ripensamento....e dire che qualcun altro già l'aveva previsto :D

In effetti, rendersi conto che un malware non ha creato complicazioni senza vedere cosa è successo a "monte" o perfino a "valle" (quando ormai il "carro con i buoi" è andato) non è proprio il "massimo" o no? :sofico:

Visto l'altro tuo post, sono sicuro che hai già deciso per l'alternativa... a proposito, un pensierino ce l'avevo fatto anch'io: a quanti eurini corrispondono 39.95$? :D

Aspettiamo, però, che il cinese fixi l'ultima beta ;)

Beh...direi che se il carro non se n'è andato un zero popup è proprio il massimo. Al limite lo si può abbinare ad un d+ (nel caso qualcosa sfuggisca a DW). Cmq in alcuni test "privati" che io ed enne abbiamo condotto, alcuni Hips e/o blasonati antimalware hanno fallito il colpo, facendosi bucherellare da qualche rootkit. (enne ricordi?)

io affido la difesa di uno dei miei pc al trio CIS+Avira9+Dw e devo dire che l'assenza di popup di D+ è proprio sintomo di un funzionamento perfetto a monte di DW.

nV 25
15-05-2009, 20:04
Ciao, commi...

Non correre troppo, cmq:
DWall, negli ultimi 6/8 mesi, è cresciuto realmente un sacco passando dall'essere un software notevole ad un software ECCEZIONALE (il "notevole", ad es, può essere ricavato da questo vecchio test del mitico Kareldjag, link! (http://security.over-blog.com/article-3030160.html))....

L'effettività del programma, poi (aspetto cmq che ha un'importanza determinante...) si unisce ad un'altra qualità:
il *NON* richiedere nessuna accortezza in fase di set up (liberando cosi' l'utente da qualsiasi errore di configurazione)...

Se questo non bastasse, viene in soccorso l'essere concepito come prodotto che non richiede l'intervento dell'utente per "reagire" a minacce di varia natura (rendendolo di conseguenza STRA-adatto a chiunque, sia esso n00b o super scaltro)...

E, ciliegina sulla torta, il tutto ad un prezzo irrisorio (la sua struttura di costo, infatti, lo rende abbordabile a qualsiasi tasca)...

Alla luce di questo, non trovo un solo motivo per ritornare su vecchie posizioni...

Certo, posizionandomi a metà strada tra il n00b e il super scaltro e, più che altro, essendomi formato sulla logica di funzionamento degli HIPS puri, riconosco che mi mancano i pop up intesi come capacità di decidere cosa scremare dal cosa ammettere...

Da qui, cmq, a dire che questo sia motivo sufficiente per effettuare un nuovo cambio radicale ce ne corre...





E' peraltro palese che un software come Malware Defender mi sia sempre piaciuto e, nei limiti del possibile, non posso che sponsorizzarlo...


EDIT sugli eurini di MD:
40$ corrispondono ad una cazzata visto che ti porti a casa una licenza vitalizia e che hai un supporto che qualsiasi D+/KIS/ecc se lo sogna...
Avresti inoltre un software robusto e super configurabile, la possibilità di poterti creare le tue regole dal log come per ProSecurity e tante altre belle cose (il modulo antirootkit alla Gmer/RR, ecc)...

Semplicemente, MD si posiziona su un altro pianeta rispetto all'elefantiaca flemma/velocità cui ci hanno abituato le grandi software house per la risoluzione di BUG e l'implementazione di nuove funzionalità...

Pensaci seriamente, non credo tu sia figlio di 30€ (+ o -, infatti, questo è il valore di MD convertendo i $ in €-urini)...

erreale
15-05-2009, 21:37
Semplicemente, MD si posiziona su un altro pianeta rispetto all'elefantiaca flemma/velocità cui ci hanno abituato le grandi software house per la risoluzione di BUG e l'implementazione di nuove funzionalità...


Permettimi, ma su questo punto dissento. Cito una parte di un tuo post (http://www.hwupgrade.it/forum/showpost.php?p=27298890&postcount=8372)...

"1) @ commi:
MD?
Saranno 5 mesi che ho segnalato a Xiaolin che i Rootkit della famiglia "Saturn" sono capaci di aprire come un carciofo il suo software e ancora non ha implementato difese adeguate...
Date queste condizioni, dunque, l'idea di farmi 1 licenza non mi andava troppo giù...
E poichè, aggiungo, non è che possa stare dalla mattina alla sera a testare Rootkit, se già una "famiglia" lo fora, chissà quante altre sono in grado di farlo...

Per lo meno, in partenza dovevo essere nella condizione di sapere che l'hips che sarei andato ad usare era capace di reggere l'urto contro tutto (o quasi...) quello che era fuori fino ad oggi..."

commi
16-05-2009, 01:18
@ erreale,
Quando ho parlato del "carro con i buoi", mi riferivo alle occasioni in cui si eseguono i test dei malware.
Ovviamente, nell'uso quotidiano del pc, bloccare a priori qualsiasi comportamento malevolo prima che sia troppo tardi è senz'altro la situazione ideale. Se poi il tutto avviene senza la visualizzazione di pop-up può essere ancora meglio (ma non è il mio caso :))

Io, infatti, nel voler cercare di capire un pò di più riguardo il funzionamento, in generale, del pc, preferisco affidarmi a soluzioni che possano supportarmi in quel senso, anche se questo può comportare un significativo aumento del numero degli avvisi; ecco perchè continuo ad affiancare RTD (molto più "lineare" ed immediato) al D+, visto che quest'ultimo, in quanto a chiarezza dei pop-up, log ed organizzazione delle regole, lascia alquanto a desiderare, imho.


@ nV25
Se tu sei a "metà strada tra il n00b e il super scaltro" io, invece, per dirla in gergo calcistico, mi trovo a lottare per la "retrocessione" e, come detto poc'anzi, preferisco affidarmi ad altre soluzioni rispetto al DW....magari un domani, se mi troverò anch'io a lottare per un posto in "champions league"...:D

Riguardo MD (di cui non ho ancora provato l'ultima release, spero di poterlo fare al più presto) devo dire che mi sta tentando parecchio ;)

commi
16-05-2009, 01:27
Permettimi, ma su questo punto dissento. Cito una parte di un tuo post...

Suvvia, può darsi che enne e xiaolin non si siano capiti sulla questione "saturn" :p
è pur vero che uno parla l'italiano e l'altro il cinese, quindi due lingue non propriamente "facili"* :D

*....con questo non sto criticando il tuo inglese, enne, ci mancherebbe :Prrr:
mi riferisco al "cinese" :sofico:

A parte quest'episodio, a me pare che Xiaolin (che, chiaramente, fa, come logico che sia, i suoi interessi) mostri una certa "prontezza di riflessi" nell'affrontare e risolvere i vari bug che gli vengono segnalati su wilders.
Lo stesso dicasi per quanto riguarda Rabinovich, o sbaglio?

erreale
16-05-2009, 06:34
@ erreale
Io, infatti, nel voler cercare di capire un pò di più riguardo il funzionamento, in generale, del pc, preferisco affidarmi a soluzioni che possano supportarmi in quel senso, anche se questo può comportare un significativo aumento del numero degli avvisi; ecco perchè continuo ad affiancare RTD (molto più "lineare" ed immediato) al D+, visto che quest'ultimo, in quanto a chiarezza dei pop-up, log ed organizzazione delle regole, lascia alquanto a desiderare, imho.

Come già detto io ho ottenuto lo stesso risultato abbinando DefenseWall al D+. Questo per due semplici ragioni: la prima perchè se qualcosa dovesse "sfuggire"a DW ci sarebbero i popup di D+ a garantire una certa sicurezza. La seconda, perchè nel caso debba installare qualcosa con DW disabilitato o mettessi l'installer in trusted ci sarebbero gli alert di COMODO a "sorvegliare" l'installazione.

sampei.nihira
16-05-2009, 14:43
A me invece non piace spendere denaro per i sw, compresi quelli per la sicurezza.

Ritengo che sia più giusto spenderli altrove in cose più necessarie (vedasi questa settimana la visita oculistica a mia figlia e relative nuove lenti a contatto e nuove lenti per gli occhiali che non vi dico quanto sono costati nell'insieme altrimenti vi mettete a piangere.....io no...... purtroppo ci sono "abituato" :cry: ) o in cose che ne usufruisce l'intera famiglia.

Io non sono nè Paperon de Paperoni nè Rockerduck....:D :D

Devo ammettere che con questa crisi i soldi non bastano più e quindi occorre fare delle scelte (e quindi delle rinunce).

Anzi io sono un fortunato alcuni nostri utenti sono purtroppo in cassa integrazione o anche peggio ed a loro và tutta la mia solidarietà.

Comunque devo essere sincero se mi domandassero quale sono 2 sw per la sicurezza da acquistare io risponderei:

1) Prevx 3
2) Dw

Saluti a tutti.:)

riazzituoi
16-05-2009, 17:43
.

erreale
16-05-2009, 21:25
A me invece non piace spendere denaro per i sw, compresi quelli per la sicurezza.

Ritengo che sia più giusto spenderli altrove in cose più necessarie (vedasi questa settimana la visita oculistica a mia figlia e relative nuove lenti a contatto e nuove lenti per gli occhiali che non vi dico quanto sono costati nell'insieme altrimenti vi mettete a piangere.....io no...... purtroppo ci sono "abituato" :cry: ) o in cose che ne usufruisce l'intera famiglia.

Io non sono nè Paperon de Paperoni nè Rockerduck....:D :D

Devo ammettere che con questa crisi i soldi non bastano più e quindi occorre fare delle scelte (e quindi delle rinunce).

Anzi io sono un fortunato alcuni nostri utenti sono purtroppo in cassa integrazione o anche peggio ed a loro và tutta la mia solidarietà.

Comunque devo essere sincero se mi domandassero quale sono 2 sw per la sicurezza da acquistare io risponderei:

1) Prevx 3
2) Dw

Saluti a tutti.:)

Concordo su tutta la linea. Ho due bimbe piccole...una di due anni e l'altra di due mesi, quindi capisco bene quello che dici...

Io uso CIS (free), Avira 9 (free), DefenseWall (ho la licenza perchè l'ho tradotto), Returnil Pro (ho la licenza perchè l'ho tradotto).

Ignorante Informatico
17-05-2009, 19:20
..DefenseWall (ho la licenza perchè l'ho tradotto)..
Anche quello può essere utilizzabile dopo il periodo di prova, senza la possibilità, però, di poterlo aggiornare... o mi sbaglio?

Complimenti ancora per l'ottimo lavoro :cincin:

cloutz
17-05-2009, 19:29
Anche quello può essere utilizzabile dopo il periodo di prova, senza la possibilità, però, di poterlo aggiornare... o mi sbaglio?

Complimenti ancora per l'ottimo lavoro :cincin:

che io sappia il periodo di prova è di 30 giorni, poi nessuno sconto, non funge proprio più:cry:


p.s.: l'ho installato, avete provato a scaricare archivi?:D
ho avuto una bella sorpresina..scaricato uno zip da browser (untrusted), quindi anche lo zip era untrusted...peccato che una volta scompattato con Izarc lo stato della nuova cartella creata sia cambiato a Trusted:fagiano:

ho risolto mettendo Izarc tra le Untrusted Applications, così ogni cosa che gli passa sotto mano esce cmq e sempre Untrusted:rolleyes:

consiglio anche a voi (chi lo usa, ossia erreale e nV) di controllare, in caso non ci abbiate fatto caso, ma suppongo la mia raccomandazione sia superflua:)

Saluti

Ignorante Informatico
17-05-2009, 19:41
EDIT

Blue Spirit
17-05-2009, 19:47
:cincin:

con tutte le alternative gratuite (sia software che OS) non ha molto senso spendere soldi per prodotti dedicati "alla sicurezza del PC".
Poi ovviamente uno i suoi soldi li usa come meglio crede.

straquoto :cincin:

a titolo di cronaca, io sul mio pc ho solo ed esclusivamente software freeware/opensource (escluso windows, ma sto pianificando di effettuare a breve il grande salto a linux :stordita: ) e mi trovo più che bene...in particolare per la sicurezza uso cis, avira 9, sandboxie, winpatrol, superantispyware, malwarebytes e spywareblaster, più account limitato :)

erreale
17-05-2009, 20:30
p.s.: l'ho installato, avete provato a scaricare archivi?:D
ho avuto una bella sorpresina..scaricato uno zip da browser (untrusted), quindi anche lo zip era untrusted...peccato che una volta scompattato con Izarc lo stato della nuova cartella creata sia cambiato a Trusted:fagiano:

ho risolto mettendo Izarc tra le Untrusted Applications, così ogni cosa che gli passa sotto mano esce cmq e sempre Untrusted:rolleyes:


Per caso hai attivato la modalità "esperto"?

cloutz
17-05-2009, 20:57
Per caso hai attivato la modalità "esperto"?

no no...a quanto ho capito la modalità esperto non fa "ereditare" i diritti untrusted da parent a child application (che andrebbero riconfermati, quindi, manualmente)...giusto? in tal caso non me lo sognerei mai:D


a voi non succede?

edit: ho riprovato, stesso risultato...se scarico lo zip e lo apro in una cartela con Izarc, questa mi diventa sempre Trusted, se Izarc è Trusted:boh:
per ora ho risolto mettendo Izarc come Untrusted, e la cartella mi eredita diritti Untrusted (sintomo che non sono in Expert Mode)...

Saluti

nV 25
17-05-2009, 21:06
Sinceramente, di fronte ad alcune affermazioni mi trovo in imbarazzo...

In alcune, infatti, si citano sacrifici, scelte, figli, ecc, problematiche insomma importanti sulle quali non vado certo a sindacare e che anzi rispetto..




Allo stesso tempo, e senza voler risultare sgarbato o insensibile, preferirei riportare su un alveo più superficiale la discussione che ha ad oggetto dei prodotti materiali...

Alcuni sono gratuiti, altri a pagamento (aimè)...

Su questo thread si può parlare liberamente di entrambi ed essere "faziosi" nei limiti della decenza (se cosi' si può dire, infatti, e se mi passate il moto di arroganza, sotto la mia "moderazione" potranno essere stati spesi euri superflui ma mai cmq per prodotti farlocchi...)

E chiaro che non ho mai avuto nessun interesse a spingere verso prodotti a pagamento se non il credere nella bontà di quello che andavo "sponsorizzando"...

E se errore c'è stato, dunque, è stato indotto esclusivamente dalla passione (o amore...) verso queste soluzioni:
l'attenuante "passionale", dunque, spero mi venga riconosciuta in fase di giudizio...


Seriamente:
quello che ho potuto constatare e che ho tentato (e tenterei...) di trasmettervi non tanto per arroganza ma perchè ho avuto la fortuna di vivere in 1° persona la cosa, è la dedizione allo sviluppo, la passione, il calore, la serietà e l'altissima professionalità che trasuda dalle piccole/piccolissime software house per le quali una licenza in più o in meno può rappresentare realmente la discriminante tra la sopravvivenza o la morte dei progetti...

Peraltro, se ci pensiamo bene, l'ascolto e tutto quello che vi ruota intorno (la passione, appunto, la professionalità, la velocità nei tempi di reazione...) sono le uniche leve competitive che permettono in qualche maniera a questi piccoli organismi di reggere alle pressioni che arrivano dai grandi gruppi di interesse...
In un certo senso, costituiscono il loro "nutrimento", il loro "ossigeno", un qualcosa insomma da cui non possono prescindere dall'offrire alla propria clientala..

E io questo valore aggiunto intendo premiarlo perchè percepisco e immagino tutti i sacrifici che stanno a monte di un progetto (pur) piccolo ma onesto fin dal principio oltre chè EFFETTIVO (=efficace)...

nV 25
17-05-2009, 21:16
Ad erreale sulla "nota" che mi ha mosso:
mai pensato cmq che implementare la tecnologia per controllare certe azioni contando solo su 10 dita e 1 cervello possa richiedere certe tempistiche che evidentemente sono diverse da quelle rese possibili da una grande società?

Io, almeno, la vedo cosi' e sarei moderatamente critico specie poi perchè il progetto MD è un progetto molto giovane..

Certo, 2 mesi fà mi sono trovato a dover decidere su cosa investire (o "puntare...) e ho scelto DW per i motivi che hai quotato...

Ora, però, sono il 1° felice di prendere atto dell'avvenuta evoluzione...

Ciao, Ale!

nV 25
17-05-2009, 21:22
@ commi sul saturn:

bè, guarda, non credere poi che sia tanto difficile comunicare con un cinese se disponi di "argomenti" validi che poi sono il disporre del sample giusto, il sapere + o - a grandi linee come testarlo ed eventualmente spedirglielo dicendogli:

o cicci [:D], guarda che semmai se autorizzo la 1° esecuzione ed eventuali caricamenti di alcune .dll il tuo software va a pecorina, eh! :D

erreale
17-05-2009, 21:28
Ad erreale sulla "nota" che mi ha mosso:
mai pensato cmq che implementare la tecnologia per controllare certe azioni contando solo su 10 dita e 1 cervello possa richiedere certe tempistiche che evidentemente sono diverse da quelle rese possibili da una grande società?

Io, almeno, la vedo cosi' e sarei moderatamente critico specie poi perchè il progetto MD è un progetto molto giovane..

Certo, 2 mesi fà mi sono trovato a dover decidere su cosa investire (o "puntare...) e ho scelto DW per i motivi che hai quotato...

Ora, però, sono il 1° felice di prendere atto dell'avvenuta evoluzione...

Ciao, Ale!

Nessuna nota mossa.... O per lo meno non a te ..;)

5 mesi sono eccessivi per implementare il controllo all'scm! Punto e basta. Sono poche righe di codice...

Sii sincero...Ilya ci avrebbe impiegato 5 mesi o 5 minuti per sistemare la questione?

Anche Ilya ha 10 dita.....vorrà dire che le sue le fa funzionare meglio.;)

nV 25
17-05-2009, 21:46
non credo siano 5 righe di codice e cmq, anche lo fossero, non credo sia tanto banale sviluppare il meccanismo corretto per filtrare certe chiamate...


Determinante, cmq, credo sia stato in questo caso la maturità del prodotto e (aimè) le entrate:
impegnare nuove risorse (xiaolin..), quindi studio, ricerca, sviluppo, se non hai idea di che entrate tu possa contare nei (diciamo) 12 mesi successivi non credo sia facile...


@ commi:
se hai trovato un problema per DW (uno zip non riconosciuto di default?), puoi gentilmente segnalarlo ad Ilya?
Il mio tempo, infatti, è prox allo 0...

Ciao

cloutz
17-05-2009, 21:56
se hai trovato un problema per DW (uno zip non riconosciuto di default?), puoi gentilmente segnalarlo ad Ilya?
Il mio tempo, infatti, è prox allo 0...

Ciao
:read:
segnalo segnalo:O :D

Saluti:)

nV 25
17-05-2009, 22:04
grazie...

Cosi' anche te ti rendi conto di quanto tempo passa tra una mail e la risposta e potrai dirci se le mie (ma non solo..) sono allargate quando parlo di supporto incredibile...

Good luck! :D


PS: dalle 10 di sera a circa le 7 di mattina cmq stacca anche lui anche perchè, diciamo, 2 avventurelle sotto le lenzuola e qualche ora di sonno gliele vorremo concedere, no?...:D

cloutz
17-05-2009, 22:10
grazie...

Cosi' anche te ti rendi conto di quanto tempo passa tra una mail e la risposta e potrai dirci se le mie (ma non solo..) sono allargate quando parlo di supporto incredibile...

Good luck! :D


PS: dalle 10 di sera a circa le 7 di mattina cmq stacca anche lui anche perchè, diciamo, 2 avventurelle sotto le lenzuola e qualche ora di sonno gliele vorremo concedere, no?...:D

:sofico:

gli sto scrivendo, 2 minuti ed ho finito;)

p.s.: elimino il quote del post prima..:p

Ignorante Informatico
17-05-2009, 22:11
..2 avventurelle sotto le lenzuola e qualche ora di sonno gliele vorremo concedere, no?...:D
Sempre a proposito di HIPS, no? ;)

nV 25
17-05-2009, 22:16
@ cloutz:
tu elimina/edita il quote che io invece lascio l'errore in bella mostra...
che vedano quanto sono somaro!....:stordita:


@ I.I.:
spero invece per lui che un attimo di evasione se lo prenda...:p

Ignorante Informatico
17-05-2009, 22:19
..spero invece per lui che un attimo di evasione se lo prenda...:p
No, ma anch'io... hips era inteso nel senso che più piace a noi tutti :asd:

commi
17-05-2009, 23:15
@ commi sul saturn:

bè, guarda, non credere poi che sia tanto difficile comunicare con un cinese se disponi di "argomenti" validi che poi sono il disporre del sample giusto, il sapere + o - a grandi linee come testarlo ed eventualmente spedirglielo dicendogli:

o cicci [:D], guarda che semmai se autorizzo la 1° esecuzione ed eventuali caricamenti di alcune .dll il tuo software va a pecorina, eh! :D

Mi tocca, allora, mandargli quel file che girava su HWU qualche mesetto fa, quello che simula la pressione dei tasti perchè MD fa cilecca e segnalargli, inoltre, che il test RawDisk del CLT non è ancora "protected".

Purtroppo, non ho ancora avuto il tempo necessario per testare anche DW, ma tanto ci sta pensando cloutz ;)

ShoShen
18-05-2009, 01:00
edit

cloutz
18-05-2009, 19:45
sto sentendo Ilya su quel presunto problema di Izarc..

comunque io con CLT in account amministratore con DW ottengo un 290/340..
fallisce FileDrop, ICM test, DNS Test, ExplorerasParent, Coat (mentre in account limitato, se non sbaglio, il FileDrop lo passava):D

Saluti

nV 25
18-05-2009, 20:11
nulla di nuovo...

Segnala anche quello se vuoi, ma attengono tutti la parte controllo processi in uscita il cui "filtraggio" è demandato alla componente Firewall assente nell'attuale DW...

Dalla 2.60+, infatti, ci sarà anche un simple outbound filtering....:p

*edit: il file drop, in DW come in Sandboxie & GW, non ha alcun significato visto che il file è si scritto su HD (o nel contenitore virtuale, la Sandbox...), ma in stato "disarmato/temporaneo e virtuale" a seconda del tipo di HIPS considerato (policy based o Sandbox puro)...

Ciao

nV 25
18-05-2009, 20:14
Cmq, giusto per completezza, Ilya stesso dichiara che:

"DefenseWall HIPS does not block:

* E-mail worms without autorun functions, i.e.: worms which read your address book send their message without modification to the system's funtionality.
* Weak system passwords that could be broken with word analysis, buffer overflow (so far), phishing (that is anti-physhing toolbar's job), Internet connections/browser hijack (that is your firewall's job).
* Advanced Keyloggers from logging due to flaws in Windows security architecture. Note that No Anti-keyloggers can stop these advanced techniques. DefenseWall HIPS will protect system integrity however, and it is recommended to Hit the Big Red Button ("Close all untrusted processes") prior to doing online banking or other activities where privacy is a must.

All other threats are covered by DefenseWall HIPS..."

Della serie, nessuno è perfetto...


Grazie cmq dell'aiuto (mail, ecc...) e delle osservazioni che muovi...
PS: ti ha risposto e se si, a che ora/quante volte? :D

cloutz
18-05-2009, 20:30
sisi, ma non intendevo mettere in dubbio la qualità di DW dicendo quei 290/340...anche perchè in ogni caso DW sarebbe solo un tassello di una configurazione, poi un firewall (per quanto banale-elementare) e un antivirus ci vogliono...

ed in tal caso i pieni voti si avrebbero...pensavo si fosse capito:)
anche perchè alcuni test non gli competono neanche..

--------------

per Ilya..mi ha risposto dopo 4 ore (probabilmente era il fuso), poi sono stato assente io fino ad ora, appena gli ho risposto cmq ci siamo scambiati 5-6 messaggi quasi in tempo reale..

gli ho fatto i miei complimenti per la qualità e la celerità del supporto, meritati imho;)

p.s.: il problema per Izarc c'è, ma solo se aperto da menu contestuale, se aperto con doppio click funzia...mi ha fatto provare la beta 2.55 x vedere se funzionava ed era tutto ok:D
ci ha messo 5 minuti, forse neanche, a correggere la 2.55...

...della serie, uno con le palle...:asd:

Saluti

nV 25
18-05-2009, 20:37
bravo coutz per l'aiuto che dai a me e agli altri e, più che altro, perchè la tua storia dimostra quello che da ieri vado dicendo con una certa forza....


Io, sinceramente, questo valore lo apprezzo e sono disposto a pagarlo...

cloutz
18-05-2009, 20:54
Io, sinceramente, questo valore lo apprezzo e sono disposto a pagarlo...

va be, ognuno ha le proprie idee:O
anche a me non dispiacerebbe acquistarlo, per ora cmq aspetto, me lo studio bene...diciamo che valuto, non mi andrebbe di deludere le mie aspettative a causa di una sbagliata "analisi", per poi trovari sul groppone una licenza che uso solo xke l'ho comprata....sfrutto la trial per ora, sennò che le fanno a fare??:ciapet:


per chi volesse, comunque la risposta "tecnica" alla mia richiesta di maggiori dettagli è stata:

"It's because IZarc encode names with gaps."

p.s.: dimenticavo, è un tipo anche molto conciso:D
va be, con tutto quello che avrà da fare...

commi
18-05-2009, 21:20
Anche da quest'altro lato (MD) Xiaolin non ha tardato a rispondere alla mia mail. :)
Gli ho inviato il file, anzi i file sono 2, ne ho aggiunto un altro: vediamo che mi dice.

Riguardo il RawDisk fallito mi ha risposto che MD rileva solo i tentativi di scrittura e non le operazioni di lettura del disco come quella eseguita dal test.
Cmq, già gli ho buttata lì la richiesta per una futura implementazione, facendogli notare che sia il D+ che RTD (seppur discontinuato) rilevano quel tipo di operazione :Perfido:

Attendo :O

Lor3nzo
18-05-2009, 21:24
Ho appena scaricato DefenseWall, si autoconfigura? O devo confiìgurare io?

cloutz
18-05-2009, 22:15
Ho appena scaricato DefenseWall, si autoconfigura? O devo confiìgurare io?

fa tutto lui, una volta installato devi solo stare attento a cosa considerare trusted o untrusted (via tasto dx sull'applicazione);)

ti ricordo che è a pagamento cmq, in trial di 30 giorni...

Saluti

commi
22-05-2009, 16:34
DefenseWall HIPS acquistabile con lo sconto del 50% il 29 maggio prossimo
su http://www.bitsdujour.com/software/defensewall-hips/
(tenere conto del fuso orario per l'inizio ed il termine dell'offerta ;))

Per la licenza, sul sito ufficiale c'è scritto "lifetime" ma:
"however updates, email notifications and first-queue support expire after 1 year unless you renew (extend, prolongate) your license" :mbe:

--------
MD aggiornato alla ver. 2.2.0 final che contiene anche il fix al file che gli avevo inviato. In quanto al supporto, quindi, nulla da eccepire; tra l'altro, gli ho fatto presente che nel suo programma lo scroll del mouse non mi funziona: mi ha scritto subito e siamo tutt'ora in contatto per risolvere :sperem: