PDA

View Full Version : Prevenire è meglio che curare :) Software HIPS


Pagine : 1 2 3 4 5 6 7 8 [9] 10 11 12 13 14 15 16 17 18 19

nV 25
22-05-2009, 20:04
..
Per la licenza, sul sito ufficiale c'è scritto "lifetime" ma:
"however updates, email notifications and first-queue support expire after 1 year unless you renew (extend, prolongate) your license" :mbe:...
la struttura di costo di DW è proprio congegnata nel modo indicato poc'anzi:

25€ iniziali che danno diritto ad avere aggornamenti del prodotto + altri servizi accessori fino ad un massimo di 1 anno decorso il quale è si possibile continuare ad usare DW in perpetuo ma senza più poterlo aggiornare alle nuove versioni, ecc (di fatto DW rimane "congelato" all'ultima release ufficiale rilasciata nell'arco del 1° anno di abbonamento)..

Decorso l'anno stesso, dunque, si è chiamati a pagare un rinnovo annuale di circa 12€...

Questa particolare struttura della licenza consente allo sviluppatore di "campare" (grazie ai probabili rinnovi...) anche nell'ipotesi in cui in una certa fase storica le vendite del software dovessero ristagnare....

Lo trovo un ragionamento più che accettabile...


Sulla serietà (anche) di Xiaolin, nulla da eccepire.

Ciao, commi :)

cloutz
23-05-2009, 20:30
uscita la nuova 2.55 di DW che corregge i problemi riscontrati con IZarc


Sulla serietà (anche) di Xiaolin, nulla da eccepire.


ci saranno novità in merito a MD...ho sentito X. e probabilmente lo tradurrò..
xo rimane ancora un'idea buttata lì, prendetela in quanto tale...

Dopo CIS anche MD...:O :p

p.s.:non volevo svelarlo, ma non ci sono riuscito:D
p.p.s.:ovviamente chiedo massima discrezione a chi legga, cioè di non dirlo in altri forum, prendetela come una "confidenza"....almeno finchè non sarà ufficiale la cosa. Grazie

commi
23-05-2009, 21:49
Ottima notizia, cloutz! ;)


Ora, però, tocca fare delle scelte ...chi buttiamo giù dalla torre? :)


Io ci sto provando a farli convivere "civilmente", ma se in passato non erano sorti problemi, adesso, con le nuove versioni, iniziano un pò a fare a cazzotti :boxe:
..bhè c'è da dire che son anche in tre :ciapet:

P.S.: ho compreso il motivo del problemino dello scrolling non funzionante in MD: è incompatibile con un'utility del mouse che utilizzo/avo

------

@ enne

Che si dice sul fronte DW?
(permettimi la battutaccia):

tutto tace? :D :D

Ciao :)

nV 25
23-05-2009, 22:04
Attualmente, l'uso che faccio del mio Pc è quello di un qualunque nonnetto che sa navigare a malapena sulla home page del proprio quotidiano on line...


Inoltre, chi tace acconsente...:D





PS:
ma tacere su cosa, poi? :mbe:

Che novità ci dovrebbero essere sul fronte DW se non il fatto che "si sa" che è alle prese con un (realmente) "simple outbound control" che sia "in linea" con la filosofia di DWall? :D

In tempi brevi, cmq [NEWS!], un test "dinamico" di AV-Comparatives su DW...
Aloa...

EDIT: anticipo lo score che è stato100%...

nV 25
23-05-2009, 22:09
Ottima l'idea della trad di MD:
anzi, se cloutz la dovesse fare prometto di fargli una ricarica di 5€ sulla carta PostePay...

commi
23-05-2009, 23:02
PS:
ma tacere su cosa, poi? :mbe:

Ciao enne,
"tutto tace" era inteso nel senso di mancata visualizzazione degli alert a schermo con DW (..sai non riesco ancora ad immaginarti senza).
Solo una battuta su quello e nient'altro ;)

cloutz
24-05-2009, 07:42
Ottima l'idea della trad di MD:
anzi, se cloutz la dovesse fare prometto di fargli una ricarica di 5€ sulla carta PostePay...

Non serve, non serve nV;)

stanotte ho ricevuto il file da X., si è rivelato molto gentile..il lavoro c'è ed è molto, considerando che devo portare avanti anche la traduzione di CIS (per fortuna lì ci sono anche i nostri BIG :asd:)

gli ho fatto una prospettiva di quanto, secondo me, ci vorrà per terminare il lavoro..è rimasto soddisfatto...mi ha dato carta bianca anche in caso volessi aiuto, x far entrare nel "team di traduzione" qualcun altro...

e m'ha regalato una licenza a vita di MD:sofico:

Saluti a tutti

nV 25
24-05-2009, 19:44
E allora sponsorizzalo visto che ad oggi è almeno alla pari di OA Full/D+ quanto ad efficacia...

Per di più, il "preziosismo" della raffinatezza con cui è possibile impostare le regole & la capacità di crearle partendo dalla pagina di log ne fanno un must! per qualsiasi utente avanzato...



La ricarica di 5€, cmq, è una promessa a patto che tu abbia (ovviamente) postepay...

Ciao e...buon lavoro! :)


PS @ commi:
di assenza di pop-up, in fondo, si vive anche se se ne sente la mancanza...

commi
25-05-2009, 20:53
Per di più, il "preziosismo" della raffinatezza con cui è possibile impostare le regole & la capacità di crearle partendo dalla pagina di log ne fanno un must! per qualsiasi utente avanzato...

Come non condividere in pieno le tue osservazioni? E' davvero un'opportunità a cui è difficile rinunciare una volta conosciuta (sotto questo aspetto come per altri, RTD ha fatto scuola o sbaglio?)


@ cloutz
mi dispiace non poter raccogliere il tuo invito per quanto riguarda la traduzione di MD, oltre che per mancanza di tempo, soprattutto perchè io e l'inglese non siamo mai stati in "buoni rapporti" :(

cloutz
25-05-2009, 21:26
@ cloutz
mi dispiace non poter raccogliere il tuo invito per quanto riguarda la traduzione di MD, oltre che per mancanza di tempo, soprattutto perchè io e l'inglese non siamo mai stati in "buoni rapporti" :(

Facendo la traduzione mi sto rendendo conto di quanto sia versatile/duttile/polifunzionale questo programma: man mano che traduco vado a vedere a cosa serve quella funzione o quella voce...davvero qualcosa di incredibile, raramente ho trovato roba di questo calibro...

con un semplice tasto dx puoi gestire una ventina di opzioni, con tabelle di ricerca per ogni file/chiave/processo/voce di avvio sulla parte bassa dello schermo..in un niente accedi al Log, dettagliato, da cui puoi creare regole..

si può saltare da una scheda all'altra, creare una regola o modificarne la priorità, con un click da tasto dx...

Il tutto a portata di mano, per una quindicina di Mb (si intende anche memoria virtuale attenzione)...insomma organizzato granchè bene come software:O :p


es.: in una sola schermata ho a disposizione regole/processi/moduli/reti/hook/file/registro/log + ricerche per ogni elemento sopra elencato...poi basta cliccare su un processo, e posizionarsi sopra di esso, per vedere quel menù dove sono presenti tutti i permessi per quel processo...
semplicemente sublime...
http://img31.picoodle.com/img/img31/2/5/25/kronos/t_Immagine3m_8db2ff5.png (http://www.picoodle.com/view.php?img=/2/5/25/kronos/f_Immagine3m_8db2ff5.png&srv=img31)

commi
25-05-2009, 21:39
Facendo la traduzione mi sto rendendo conto di quanto sia versatile/duttile/polifunzionale questo programma: man mano che traduco vado a vedere a cosa serve quella funzione o quella voce...davvero qualcosa di incredibile, raramente ho trovato roba di questo calibro...

con un semplice tasto dx puoi gestire una ventina di opzioni, con tabelle di ricerca per ogni file/chiave/processo/voce di avvio sulla parte bassa dello schermo..in un niente accedi al Log, dettagliato, da cui puoi creare regole..

si può saltare da una scheda all'altra, creare una regola o modificarne la priorità, con un click da tasto dx...

Il tutto a portata di mano, per una quindicina di Mb (si intende anche memoria virtuale attenzione)...insomma organizzato granchè bene come software:O :p

Possibilità analoghe all'altro hips vero? :asd:

P.S.: non ritrovo lo screen ma ricordo che nel CLT test MD falliva il solo RawDisk. Appena posso rifaccio test e shot.

cloutz
25-05-2009, 22:55
Possibilità analoghe all'altro hips vero? :asd:


PS non l'ho mai studiato così a fondo, quindi non saprei dirti:boh:

commi
25-05-2009, 23:27
Ho di nuovo eseguito il CLT con MD:

http://www.hwupgrade.it/forum/showpost.php?p=27600073&postcount=186

levriero
26-05-2009, 08:14
Segnalo questo post da Wilders:

It looks like there is another EQS version. 4.2

http://www.3dprotect.com/en/downloads.html
English Download

http://dd.pctutu.com/soft/en/eqsecure42-en.exe <--This is the link for the button.
All I get is "404".

Please note, eqsecure42-en.exe.

Punta alla 4.2 di Eqs tradotta in inglese.
S potrebbe testarla....
se solo riuscissi a skarikarla...
^^:cool:

cloutz
26-05-2009, 20:08
Ho di nuovo eseguito il CLT con MD:

http://www.hwupgrade.it/forum/showpost.php?p=27600073&postcount=186

riesci a postare il log di quel test? magari in Multi-line format [tasto dx > Copy (multi-line format)]... perchè io continuo a non passare ICMPTest:stordita:

dal log riesco a vedere quale regola ti produce l'avviso, magari il problema è lì ...

nV 25
26-05-2009, 20:22
Facendo la traduzione mi sto rendendo conto di quanto sia versatile/duttile/polifunzionale questo programma...davvero qualcosa di incredibile, raramente ho trovato roba di questo calibro...
(so di non offenderti dicendo) nulla di nuovo...

Non a caso si ritrovano per MD i soliti utenti che a suo tempo furono utenti di PS (il newyorkese nick s, bella persona peraltro, e tanti altri) e, sempre non a caso, quelle che sono le tue osservazioni sono pari pari le limitazioni che si trascina dietro da sempre D+ (ad es..) e che già segnalai tempo addietro nel TU dell'ormai defunto PS...


Insomma, MD dimostra ancora una volta che HIPS puri super-validi non solo esistono ma sono solitamente frutto della dedizione/capacità di talentuosissimi giovani programmatori "CEI" (:D) di minuscole software house...

cloutz
26-05-2009, 20:45
(so di non offenderti dicendo) nulla di nuovo...

Non a caso si ritrovano per MD i soliti utenti che a suo tempo furono utenti di PS (il newyorkese nick s, bella persona peraltro, e tanti altri) e, sempre non a caso, quelle che sono le tue osservazioni sono pari pari le limitazioni che si trascina dietro da sempre D+ (ad es..) e che già segnalai tempo addietro nel TU dell'ormai defunto PS...


Insomma, MD dimostra ancora una volta che HIPS puri super-validi non solo esistono ma sono solitamente frutto della dedizione/capacità di talentuosissimi giovani programmatori "CEI" (:D) di minuscole software house...

concordo su tutto...però, ad oggi, D+ l'ho visto all'opera contro diverse minacce, quindi il suo valore è "indiscutibile"...MD, essendo molto giovane e poco popolare, non l'ho visto all'opera come si deve...

Quello che mi fa pensare al suo futuro in maniera positiva, è appunto questa sorta di versatilità che lo caratterizza, cosa molto difficile da trovare (indice, anche, di una elasticità mentale non indifferente del suo progettatore)...

poi un pò di prove sul campo sicuramente mi permetteranno di vedere come sia realmente, non solo a parole*...fermo restando che fino ad ora mi ha rapito:D:D

*si, per carità, belli i log dettagliati e a portata di mano...ma di fronte a infezioni reali?

nV 25
26-05-2009, 20:54
...e io per primo sarò lieto di leggere i risultati dei tuoi test:
ma a pelle (e la mia pelle, si sà, è parecchio coriacea in queste cose...) vedo una situazione nella quale ciò che "scoprirai" sarà solo cosa buona e non certo seconda a quanto ti abbia abituato D+ & Company, anzi...

Good luck! :)



PS: puoi contattare erreale?
Ciao

commi
27-05-2009, 17:56
riesci a postare il log di quel test? magari in Multi-line format [tasto dx > Copy (multi-line format)]... perchè io continuo a non passare ICMPTest:stordita:

dal log riesco a vedere quale regola ti produce l'avviso, magari il problema è lì ...
Scusa cloutz, ma hai ragione te!!!
Sono io che ha fatto un errore madornale: ho fatto il test senza essere online :muro: :muro: (maledizione e son due con il CLT:doh:)

Il fatto è che sono stato abituato troppo bene da RTD che rileva il tentativo di accesso ad internet eseguito dal test ICMP anche se non si è connessi ad internet (neanche il D+ riesce a farlo).

MD, quindi, non passa l'ICMP test :cry:, anche se viene inserita una regola specifica, sia per il CLT.exe che nelle Global Network Rules.
Cmq, ti posto l'alert di RTD riguardo l'ICMP test (non si sa mai, probabile io abbia preso n'altra cantonata):

http://img10.imageshack.us/img10/3867/018s.th.png (http://img10.imageshack.us/my.php?image=018s.png)


@ enne

Ho letto la prova di AV-Comparatives su DW.
Dimmi quello che vuoi, ma io non ti ci vedo proprio tra questi a cui il programma è maggiormente rivolto (secondo quanto riportato da AV-C):
"who are not well-versed in computers" :D

cloutz
27-05-2009, 19:03
Scusa cloutz, ma hai ragione te!!!
Sono io che ha fatto un errore madornale: ho fatto il test senza essere online :muro: :muro: (maledizione e son due con il CLT:doh:)

Il fatto è che sono stato abituato troppo bene da RTD che rileva il tentativo di accesso ad internet eseguito dal test ICMP anche se non si è connessi ad internet (neanche il D+ riesce a farlo).

MD, quindi, non passa l'ICMP test :cry:, anche se viene inserita una regola specifica, sia per il CLT.exe che nelle Global Network Rules.
Cmq, ti posto l'alert di RTD riguardo l'ICMP test (non si sa mai, probabile io abbia preso n'altra cantonata):

http://img10.imageshack.us/img10/3867/018s.th.png (http://img10.imageshack.us/my.php?image=018s.png)

mi sembrava strano:D


@ enne

Ho letto la prova di AV-Comparatives su DW.
Dimmi quello che vuoi, ma io non ti ci vedo proprio tra questi a cui il programma è maggiormente rivolto (secondo quanto riportato da AV-C):
"who are not well-versed in computers" :D
bè, al posto dell'av si può sempre usare un hips con DefenseWall..così si ha controllo con restrizioni(DW), su esecuzioni ed eventuali altri strani comportamenti (hips), senza problemi di firme...almeno questa è la mia opinione:O

magari usare un bel MD, hips puro, leggero:Prrr: ..o anche OA, che era in promozione su giveaway...Comodo non lo nomino, perchè nV lo conosce troppo bene, poi non c'è gusto:p

nV 25
27-05-2009, 22:43
....

@ enne

Ho letto la prova di AV-Comparatives su DW.
Dimmi quello che vuoi, ma io non ti ci vedo proprio tra questi a cui il programma è maggiormente rivolto (secondo quanto riportato da AV-C):
"who are not well-versed in computers" :D


sono stato tacciato più volte di essere arrogante & di far uso della leva della falsa modestia come strumento per prevaricare sul pensiero degli altri...

L'usare un programma poco reclamizzato e "da n00b" mi ha quindi permesso di rientrare nell'ombra dell'anonimato facendo cessare quindi lo stress che evidentemente provocavo su alcuni a causa di scomode verità che andavo professando con sempre maggior forza...:D


Seriamente:
con la scelta che ho fatto non credo certo di essere sceso a compromessi in termini di "effettività/efficacia" e per di più, specie alla luce del poco tempo libero, mi sono sottratto in particolare dallo "stress da configurazioni, learning mode/installing mode ecc" che un HIPS classico si porta dietro...

Insomma:
avevo bisogno di armonia e DWall mi ha permesso di raggiungerla...



Ciò non toglie che continui a guardare con interesse alle dinamiche degli HIPS puri e, in particolare, alle "vicende" di MD che è indubbiamente il programma più affine a come mi senta...




Ne approfitto cmq per segnalare questo test [link (http://www.wilderssecurity.com/showthread.php?t=243496)]


Ciao a tutti...

nV 25
01-06-2009, 19:45
@ cloutz:
ho visto il tuo post su Wilders a proposito di MD...

In effetti, sotto LUA ricordo di aver registrato anch'io il solito problema della "dimenticanza" delle regole per i processi (credo) non di sistema...
Peccato non poter(ti) aiutare in qualche modo ad isolare il tutto...

cloutz
01-06-2009, 20:00
@ cloutz:
ho visto il tuo post su Wilders a proposito di MD...

In effetti, sotto LUA ricordo di aver registrato anch'io il solito problema della "dimenticanza" delle regole per i processi (credo) non di sistema...
Peccato non poter(ti) aiutare in qualche modo ad isolare il tutto...

ho appena scritto a X., in quanto la cosa è abbastanza noiosa...:mad:

esempio: se installo un programma uso l'Installing Mode, poi riavvio in Learning Mode (almeno il primo reboot, ho visto che lo stesso X. lo consiglia)...bene, MD mi passa automaticamente in Normal Mode, dimenticando le regole appena create in Learning...risultato: il programma non si avvia, in quanto gli mancano le regole del primo avvio...
e pure a farle manualmente vengono cancellate dopo poche ore..
questo solo un caso, poi altri inconvenienti legati alla dimenticanza delle regole ce ne sono..

e X. nega:boh:

ora, va bene tutto, ma che mi si prenda x il culo no:D
dato che anche un mod, non il primo arrivato imho, ti dice che ha verificato lo stesso problema, come anche altri utenti..almeno pensaci.
ok che il tuo codice non ha problemi, ma se non funziona a più di un utente allora qualcosa che non va c'è...

per evitare polemiche, cmq, gli ho scritto un email spiegando in maniera dettagliata il problema..mettendomi a disposizione per eventuali dettagli tecnici necessari alla risoluzione...il tutto sottolineando il mio interesse affinchè il problema venga studiato.

:sperem:

edit:
scusate lo sfogo, ma quando si mettono a disposizione energie per qualcosa in cui "si crede", si ripongono in esso anche speranze (seppur virtuali, sono sempre speranze)...da qui, poi, il non esser adeguatamente preso in considerazione ti fa girare un pò:rolleyes:

nV 25
01-06-2009, 20:14
Grande cloutz.

Non credo cmq si tratti di "non considerare" l'utente bensi' non aver inquadrato con esattezza le linee di codice dove possa risiedere il "trucco"...:p

Credo che, specie alla luce della tua mail 1 pò + tecnica e delle altre conferme, la cosa sarà osservata da X. con la dovuta attenzione nel futuro prossim(issim)o...


A breve, cmq, e tempo permettendo,"RI-scatta" di nuovo un check anche sulla mia VM...:D

...
@ enne

Ho letto la prova di AV-Comparatives su DW... :D
al di là di vedermici o meno (aspetto peraltro già affrontato..), la prova di AV Comparatives, per quanto interessante visto che inquadra il programma sotto il punto di vista della sua > o < "fruibilità" nell'uso quotidiano (può il programma tal dei tali essere installato e funzionare correttamente sebbene sotto le restrizioni di DW?), mi ha deluso se guardato nell'aspetto del testing dei malware dato che non si fà menzione alcuna dei nomi dei sample nè di altro...
Molto meglio, sotto questo punto di vista, la "vecchia" comparativa...

cloutz
01-06-2009, 20:19
A breve, cmq, e tempo permettendo,"RI-scatta" di nuovo un check anche sulla mia VM...:D

;)

nV 25
01-06-2009, 20:36
sai com'è ma in questo preciso momento sono alle prese con altro...:fiufiu:

http://img37.imageshack.us/img37/459/snap2x.th.jpg (http://img37.imageshack.us/my.php?image=snap2x.jpg)

(PS: non badare al programmino che mi è scaduto...:D

Con questo Linux, cmq, non sento il trasporto che provo con XP [7?]...)

cloutz
01-06-2009, 20:45
sai com'è ma in questo preciso momento sono alle prese con altro...:fiufiu:

[/URL]

(PS: non badare al programmino che mi è scaduto...:D

Con questo Linux, cmq, non sento il trasporto che provo con XP [7?]...)

è la KK (Karmic Koala)?:eek:

che voglia che hai di provare un alpha1:D

...o è solo una distro normale?

nV 25
01-06-2009, 22:02
è la semplice distribuzione Ubuntu (9.04 ufficiale un pelo intopata...) :)

Non provo cmq 1 grande trasporto...:(

cloutz
01-06-2009, 22:25
Non provo cmq 1 grande trasporto...:(

io tengo sempre un ubuntu in dual boot, ma non lo uso mai...alla fine il mio Win è più veloce, più performante, e più sicuro (lo so, sembrerà strano, ma almeno conosco il OS..ne conosco i limiti e i rischi, insomma lo so gestire..cosa che non so fare, pienamente, con Linux):D

BTW continuo ad indagare su MD...

Saluti

commi
02-06-2009, 00:28
edit:
scusate lo sfogo, ma quando si mettono a disposizione energie per qualcosa in cui "si crede", si ripongono in esso anche speranze (seppur virtuali, sono sempre speranze)...da qui, poi, il non esser adeguatamente preso in
considerazione ti fa girare un pò:rolleyes:

Sinceramente anch'io mi sarei aspettato un qualcosina in più riguardo le cosette che gli ho fatto notare: certo, non sono esperto e, magari, per lui queste saranno state caxxate, ma tant'è, per me posso essere anche importanti, magari le ho fatte per "vederci meglio" ;):

- gli ho fatto notare il mancato riconoscimento del caricamento di alcune dll da parte di MD con applicazioni come Autoruns, ProceXp ma anche con il regedit; risposta: vengono riconosciute solo le librerie "dinamiche", perchè il controllo su quelle "statiche" porterebbe il programma al crash (e vabbè, qui ci posso anche stare);

- ho richiesto se era possibile aggiungere il controllo MD5 sugli eseguibili; risposta: il controllo andrebbe esteso anche alle librerie dll, cosa che appesantirebbe troppo il sistema, quindi ciccia (e qui non va bene....) :rolleyes: (tra l'altro, è la stessa risposta data ad un utente su wilders che gli chiedeva un'altra cosa...forse sono risposte pre-confezionate? :D);

- ho chiesto se era possibile editare le regole pre-impostate perchè preferirei avere il massimo controllo possibile su cosa autorizzare e cosa non (non mi piace, ad esempio, avere la regola sul ctfmon.exe, un eseguibile che ho anche disabilitato sul mio pc); risposta: sono solo pochi permessi che non si possono editare! quindi ari-ciccia (e, per me, ari-non va bene); :rolleyes:

- per un altro file che gli avevo mandato, un simil-keylogger, mi ha risposto che non era importante (però, guarda caso, DW lo blocca :cool:).

Ho ancora in serbo un'altra richiesta e, dopo aver fatto le opportune verifiche, gliela propino e qui non credo possa rispondere ciccia. :huh:

Infine, (ribadisco che parlo da untente non esperto) non vedo la necessità, da parte di MD, di andare a scrivere nella memoria dei file/applicazioni di sistema e non. :stordita:



P.S: per doverosa considerazione (seppur ripetitiva):
le richieste che ho avanzato sono frutto delle cattive abitudini che ho acquisito con l'uso di RTD, che già di suo contempla alcune caratteristiche mancanti in MD e che non fanno altro che far crescere il rimpianto per un software che considero tuttora il "top" in quanto a configurabilità e funzionalità (in quanto ad efficacia, dice ancora la sua, considerato che è un progetto "in coma").




@enne

vista, soprattuto, la coincidenza dei "tempi", la prova di Av-C su DW mi ha fatto pensare al ciclista (Av-Comparatives) che tira la volata allo sprinter (in questo caso l'offerta scontata del 50%):
sinceramente, ammetto di essere uno di quelli che poi ha oltrepassato il traguardo :D non fosse altro perchè sono stato colui che l'ha segnalata qui e per il fatto che ne avevo bisogno sul portatile dove, per l'uso che ne faccio, non ho affatto tempo per mettermi a smanettare; poi, visto il costo (11,39) se poteva fà.
Per ora, seppur installato da poco, non si vede e non si sente.

sampei.nihira
02-06-2009, 07:20
sai com'è ma in questo preciso momento sono alle prese con altro...:fiufiu:

http://img37.imageshack.us/img37/459/snap2x.th.jpg (http://img37.imageshack.us/my.php?image=snap2x.jpg)

(PS: non badare al programmino che mi è scaduto...:D

Con questo Linux, cmq, non sento il trasporto che provo con XP [7?]...)

Occorre applicarsi !! :) :D
Ubuntu è molto semplice.
Ci sono altre distro specie le "minimali" dove ogni personalizzazione è molto più difficile.
E se cerchi su internet trovi "consigli" su come risolvere un tuo problema che sono delle vere "bestialità".
Io ad esempio nella distro sotto che gira sul mio celeron 600 Mhz 192 mb ram ero alle prese con una "personalizzazione" di thunderbird.
Adesso ho risolto.:D

http://img140.imageshack.us/img140/6978/desktopd.th.png (http://img140.imageshack.us/my.php?image=desktopd.png)

La distro è Dreamlinux.;)

cloutz
02-06-2009, 07:53
dopo un lungo scambio di mail con Xiaolin, siamo giunti alla conclusione che MD ha difficoltà a modificare chiavi di registro e scrivere regole in LUA (in determinate circostanze, specifica lui)!

bella scoperta..:muro:

in sti giorni, quindi, dovrò usare l'account amministratore...oppure inventarmi qualcosa tipo Surun (che odio:mad:)

spero che risolva in fretta, ammesso che riesca a capire dov'è il problema..

cloutz
02-06-2009, 11:23
dati i problemi in LUA (e dato che non posso fare a meno dei diritti limitati), ho proposto a X. lo sviluppo di una nuova feature che lìmiti i diritti delle applicazioni...una sorta di Run Safer di OA...

il tutto ovviamente opzionale, nel senso che di default rimane un hips puro...

così si avrà, durante un popup, l'avviso per trattare l'applicazione come Installer, Trusted, Blocked e Limited....
in più in Tools > Options > General si potrà spuntare un opzione per avviare ogni nuova applicazione con diritti limitati

questo secondo la mia proposta...l'idea gli interessa...staremo a vedere;)




p.s.: ritengo che la stessa cosa si possa fare manualmente agendo sui permessi di ogni singola applicazione, nonostante sia abbastanza sbatti...per esempio che ne dite di Opera così? potrei modificare ancora qualcosa?

http://img36.picoodle.com/img/img36/2/6/2/kronos/t_Immagine1m_317c5df.png (http://www.picoodle.com/view.php?img=/2/6/2/kronos/f_Immagine1m_317c5df.png&srv=img36)

nV 25
02-06-2009, 20:42
@ commi:

non farmi ripensare a come è andata a finire per PS che ci tiro dei moccoli...
Un progetto & una fine intelligenza/conoscenza letteralmente andata a putt...ane per una mera questione di denaro:
perchè si, Jie in Comodo è impiegato per far cose che potrebbero fare tranquillamente altri (attività di debugging + firme che, al 90%, ne spiegano quasi sicuramente la totalità del tempo trascorso nei laboratori Comodo di Pechino)...


La cosi' detta valorizzazione interna delle risorse, insomma...:muro:

Pur consapevole di fare una forzatura, è come se Einstein si fosse dato alla coltivazione di cipolle:
per carità, la botanica probabilmente ne avrebbe giovato ma la fisica, parallelamente, ne avrebbe sicuramente perso...


Felice cmq di sapere che sei diventato anche te 1 utente (pur mediamente convinto..) di DW:
in questo caso, infatti, meglio accompagnati che soli...:D


Su MD:
non demordete/non rassegnatevi perchè X. sarà sicuramente capace di risolvere la magagna legata all'account limitato e di dare la giusta priorità all'analisi delle vostre idee e conseguente traduzione di queste in nuove linee di codice là dove ne rinvenga un'utilità...

Questi, almeno, ascoltano e si pronunciano:
altri, invece, non cagano neppure di striscio, anzi, QUASI rompi loro i coglioni sebbene siano lor stessi a spacciarsi per i salvatori della patria [e chi glielo ha chiesto, poi?
Hanno messo gli utenti quasi nella condizione psicologica di essere in debito con loro...
Il caso Comodo, in tal senso, suona infatti molto emblematico visto il senso di riverenza che trasuda nella sua utenza...

Ma mi facciano il piacere (il management Comodo)...

Per fortuna sono ritornato nella posizione di dire che A ME ME LO PUPPANO, loro e i loro software (effettivo, sicuramente, ma NON l'unico effettivo in circolazione)...]

commi
02-06-2009, 21:36
@ enne:
Le "differenze" tra i vari HIPS io le noto quando li uso contemporaneamente e li configuro con le stesse regole per un determinato processo/applicazione. Attualmente sto con RTD e MD: almeno per ora, il primo non si riesce a superare, troppe differenze a suo favore.

Esempio: ho visto che MD, seppur spuntando la casellina nell'alert per creare una regola permanente per una determinata applicazione, non la ricorda SE sul desktop viene visualizzata la finestra dell'edit delle regole dello stesso programma... X. mi aveva già accennato qualcosa del genere quando gli scrissi che MD non rilevava un file, facendo riferimento alla posizione "foreground" (primo piano)...mah :rolleyes:
niente di questo in RTD, altro che primo piano... secondo piano... basta andare su "refresh" e via.

Questa proprio non mi va giù come il fatto che MD scriva nella memoria dei processi..mò gli scrivo per entrambe le cose. :mad:

DW? dorme beato....:D

Ignorante Informatico
02-06-2009, 21:50
[..loro e i loro software (effettivo, sicuramente, ma NON l'unico effettivo in circolazione)...]
Certo, frasi forti... a cui mi associo :D

In realtà, ho seguito l'evolversi delle cose attraverso quanto scritto in questo thread e, per altre cose, su WS, ma mi sembra sia stato riportato tutto in modo chiaro e non troppo zelante.

cloutz
02-06-2009, 22:24
In linea generale sono un pò più moderato nei giudizi, rispetto ad nV..

nel senso che ok, critico MD per questi problemi (cmq non indifferenti), ma ne riconosco la validità, sottolineando come sia un software ancora giovane...questo credo, sia la motivazione che sta dietro a tutto..
per questo spendo ancora tempo a scrivere a X. e a proporgli idee..

nn nascondo anche che lo stesso DW ha un costante sviluppo, incessante..ogni mese esce una nuova release che sistema problemi parecchio importanti, a livelli bassi..e questo non è roba da poco, imho..
ma rimane uno tra i software più innovativi e completi, con forse il miglior supporto mai visto...

CIS è una suite che in questo momento ad avercene, gratis...la maggior parte della gente che risponde sul loro forum, mod in primis, non sono stipendiati ma sono volontari...per questo non si può pretendere molto..ma non credo ci sia molto da lamentarsi, alla fin della fiera [apparte qualche caso isolato...]

e così via dicendo...

ognuno ha la propria croce, e abbiamo imparato (a nostre spese) che questo è il mondo...:)

Buona notte a tutti

Ignorante Informatico
02-06-2009, 22:46
..ma non credo ci sia molto da lamentarsi, alla fin della fiera [apparte qualche caso isolato...]..
Se posso permettermi di interpretare il pensiero di nV 25, a cui chiedo scusa in caso di errore, credo lui biasimi certi atteggiamenti dell'area amministrativa di COMODO; non a caso, mi pare abbia evidenziato la buona qualità del prodotto, che comunque non è l'unico ad offrire una soluzione ad alta efficacia :)

cloutz
03-06-2009, 11:08
Se posso permettermi di interpretare il pensiero di nV 25, a cui chiedo scusa in caso di errore, credo lui biasimi certi atteggiamenti dell'area amministrativa di COMODO; non a caso, mi pare abbia evidenziato la buona qualità del prodotto, che comunque non è l'unico ad offrire una soluzione ad alta efficacia :)

so bene che non è l'unico, ma gli va riconosciuto il merito di essere uno dei migliori programmi...è un programma in cui credo, altrimenti non avrei impegnato neanche 5 minuti del mio tempo a contribuire alla sua causa, per questo lo "difendo":)
riconosco anche il tono con cui alcuni addetti ai lavori (anche amministratori) del forum internazionale rispondono agli utenti, ed a suo tempo ciò mi infastidì molto...risposte e spiegazioni generiche, poco approfondite, anche in merito a segnalazioni bug importanti, come se gli desse fastidio risponderti...insomma se la tirano un pò:D

poi il mondo non è tutto Comodo, per questo credo in molti altri programmi, che anche loro, cmq, hanno i loro grossi problemi...

Vabbuò, torno a studiare:O

Saluti

commi
03-06-2009, 14:57
Felice cmq di sapere che sei diventato anche te 1 utente (pur mediamente convinto..) di DW:
in questo caso, infatti, meglio accompagnati che soli...:D
Il fatto è anche un altro.... prima ero già diventato un "lifetime user" di MD e, quindi, anche in considerazione del differente esborso, mi vedo costretto a dare, per una mera questione economica :D, uno spazio proporzionalmente maggiore all'uno invece che all'altro :sofico:

Comunque, nello spiraglio di tempo riservato a DW, ho avuto modo di constatare che, tra gli hips da me provati, è l'unico che risulta meglio predisposto sul "keylogging".
Altri approfondimenti non ho avuto modo di farli; spero di averne quanto prima la possibilità....

sai, non vorrei che ti sentissi troppo solo :ciapet:

Ciao.

nV 25
03-06-2009, 22:40
Si, l'interpretazione corretta è quella di I.I. .....

Ne approfitto per salutare tutti, è un periodo un pò particolare...


(PS: eraser, ci leggi qualche volta? :p

PSS: qualcuno parla di "nei ritagli di tempo, ho fatto alcune prove ecc":
se serve "materiale" con cui mettere alla frusta tanto DW che MD, fare un fischio che si guarda di provvedere...)

commi
03-06-2009, 23:08
PSS: qualcuno parla di "nei ritagli di tempo, ho fatto alcune prove ecc":
se serve "materiale" con cui mettere alla frusta tanto DW che MD, fare un fischio che si guarda di provvedere...
Se ti va, me lo puoi tranquillamente mandare o indicarmi dove è possibile reperirlo. ;)
Poi, lo spiraglio/ritaglio di tempo per eseguire i test cercherò di trovarlo ed ampliarlo: difficile ma non impossibile :)

Andrea9907
04-06-2009, 22:34
Ieri il firewall mi ha mostrato una finestra per dire che cosa dovevo fare con uno strano nome, e cioè AQAOUSO.exe:
Di che cosa si tratta? Secondo me è un trojan o cose simili perchè prima Superantispyware, nell'analisi, lo ha classificato tale...

Chill-Out
04-06-2009, 22:37
Ieri il firewall mi ha mostrato una finestra per dire che cosa dovevo fare con uno strano nome, e cioè AQAOUSO.exe:
Di che cosa si tratta? Secondo me è un trojan o cose simili perchè prima Superantispyware, nell'analisi, lo ha classificato tale...

http://www.hwupgrade.it/forum/showpost.php?p=27712254&postcount=5307

Andrea stai postando dappertutto tranne che nel posto giusto

http://www.hwupgrade.it/forum/forumdisplay.php?f=125

Andrea9907
04-06-2009, 22:47
Andrea stai postando dappertutto tranne che nel posto giusto
Intendi dire non solo questo messaggio che ho appena scritto?
Scusate se ognio tanto sbaglio

Chill-Out
04-06-2009, 22:52
Intendi dire non solo questo messaggio che ho appena scritto?
Scusate se ognio tanto sbaglio

Mi riferisco anche al precedente http://www.hwupgrade.it/forum/showpost.php?p=27712254&postcount=5307 comunque la sezione corretta dove postare la tua richiesta è la seguente http://www.hwupgrade.it/forum/forumdisplay.php?f=125

la richiesta di andare a spasso, da parte di quel file col nome random AQAOUSO.exe non è nulla di buono ;)

eraser
05-06-2009, 02:23
eraser, ci leggi qualche volta? :p

Io vi leggo sempre e quando posso rispondo :D Contrariamente a chi legge e volutamente non risponde :p ;)

Mi piace leggere, imparo sempre da ogni vostro thread :)

cloutz
05-06-2009, 13:34
Io vi leggo sempre e quando posso rispondo :D
[cut]

:ave: :ave:

Mi piace leggere, imparo sempre da ogni vostro thread :)

eh seeee...come dire che Kakà (tanto per dirne uno) impara da una squadra di esordienti provinciali:O :O :Prrr:

-----------------------------------

Rilasciato Malware Defender 2.2.2, ora compatibile con Windows7!

http://www.wilderssecurity.com/showpost.php?p=1480245&postcount=78


Saluti a tutti

eraser
05-06-2009, 16:09
eh seeee...come dire che Kakà (tanto per dirne uno) impara da una squadra di esordienti provinciali:O :O :Prrr:

Ho letto tanti esperimenti che avete fatto che a me neanche mi erano venuti in mente :D Sono veramente utili :)

cloutz
05-06-2009, 17:13
Ho letto tanti esperimenti che avete fatto che a me neanche mi erano venuti in mente :D Sono veramente utili :)

Many thanks:)




comunque oggi, x caso, ho avuto tra le mani la versione 4.2 di EQS e l'ho provata in VM..

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqsm_d608a67.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqsm_d608a67.png&srv=img29)

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqs2m_b6f7ef4.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs2m_b6f7ef4.png&srv=img29)

- traduzione da cani
- problema di maschere GUI
- questa versione (standard edition, l'unica 4.2 disponibile a quanto so) è molto limitata, in quanto non è possibile modificare nulla (neanche creare regole) se non 3 opzioni per i popup: Ignore, Prompts, Automatically select the operation
- la sandbox non l'ho capita, cmq non è settabile nulla se non il colore del bordo delle applicazioni sandboxate

Ho fatto un piccolo test con il solito CLT, impostando EQS su Prompt...Avvio l'eseguibile, non mi avverte neanche sull'esecuzione e ricevo solo un popup:
http://img30.picoodle.com/img/img30/2/6/5/kronos/t_eqs3m_1f37d29.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs3m_1f37d29.png&srv=img30)

tutti gli altri attacchi li blocca senza fare domande, ottenendo un 180/340 (fallisce il RawDisk, PhysicalMemory, FileDrop, SetWinEventHook, SetWindowsHookEx, ProcessInject, KnownDlls, DupHandles, CreateRemoteThread, APC dll injection, AdvancedProcessTermination, OLE automation, BITS, SupersedeServiceDll, StartupPrograms, ActiveDesktop)..

insomma mi sembra ben lontatno dall'essere un hips, per ora:stordita:

i risultati, cmq, sarebbero diversi con opportuni ruleset..peccato che in questa versione non sia possibile neanche creare regole:rolleyes:

Saluti

sampei.nihira
05-06-2009, 19:56
Many thanks:)




comunque oggi, x caso, ho avuto tra le mani la versione 4.2 di EQS e l'ho provata in VM..

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqsm_d608a67.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqsm_d608a67.png&srv=img29)

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqs2m_b6f7ef4.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs2m_b6f7ef4.png&srv=img29)

- traduzione da cani
- problema di maschere GUI
- questa versione (standard edition, l'unica 4.2 disponibile a quanto so) è molto limitata, in quanto non è possibile modificare nulla (neanche creare regole) se non 3 opzioni per i popup: Ignore, Prompts, Automatically select the operation
- la sandbox non l'ho capita, cmq non è settabile nulla se non il colore del bordo delle applicazioni sandboxate

Ho fatto un piccolo test con il solito CLT, impostando EQS su Prompt...Avvio l'eseguibile, non mi avverte neanche sull'esecuzione e ricevo solo un popup:
http://img30.picoodle.com/img/img30/2/6/5/kronos/t_eqs3m_1f37d29.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs3m_1f37d29.png&srv=img30)

tutti gli altri attacchi li blocca senza fare domande, ottenendo un 180/340 (fallisce il RawDisk, PhysicalMemory, FileDrop, SetWinEventHook, SetWindowsHookEx, ProcessInject, KnownDlls, DupHandles, CreateRemoteThread, APC dll injection, AdvancedProcessTermination, OLE automation, BITS, SupersedeServiceDll, StartupPrograms, ActiveDesktop)..

insomma mi sembra ben lontatno dall'essere un hips, per ora:stordita:

i risultati, cmq, sarebbero diversi con opportuni ruleset..peccato che in questa versione non sia possibile neanche creare regole:rolleyes:

Saluti

Grazie Cloutz per aver condiviso con noi ciò.
Anche io ho provato al 3D specifico su W. ed il link adesso funziona mentre qualche gg fà era out.
Comunque far uscire sw in questo stato (pietoso) mi mette un'amarezza......:cry: :cry:
Per fortuna che io, diversamente da te e nV25, mi stò trovando anche a mio agio con altri OS.

nV 25
05-06-2009, 20:12
....e allora, se (pur distrattamente...) ci legge, salutiamolo questo cancellino, autentico Kakà nel panorama delle tecnologie antirootkit come diceva giustamente cloutz...:p

Sapere infatti che questi personaggi hanno cmq modo di farsi 2 risate su questo thread invece che in quello della raccolta dei pinoli o della spremitura delle olive è sempre motivo di orgoglio! :D

nV 25
05-06-2009, 20:27
@ sampei:
si, in effetti, con Linux ti senti relativamente sereno sul piano della sicurezza (i motivi? Dibattuti in altre sedi ben più autorevoli, 1° su tutti la bassisima % di OS Linux sul totale delle macchine installate che di fatto azzera un qualsiasi interesse ad attaccarlo da parte delle organizzazioni criminali, perchè di questo si tratta...) ma lo trovo ancora "rigido" per un uso a 360°...

@ commi:
per quella cosetta ci si attiva, no problem..

Il vero problema, da parte mia, è l'assenza di tempo:
ciò non toglie che non possa girarti via PM 2 o 3 indirizzi di "Supermercati" di malware(s)...

Credo peraltro che anche erreale possa essere interessato o 2 o 3 esperimenti di "brute force" VS MD/D+/OA/DW...:p


.........


L'unica nota, semmai, potrebbe essere il fatto che sembrerebbe essere un periodo relativamente tranquillo cosi' che, gira e rigira, quello che si potrebbe "acquistare" sarebbe sempre la solita zuppa... :stordita:

Gli scaffali, infatti, mi sembra propongano merci ormai abbondantemente "mature"...

Bah, vediamo eh!

sampei.nihira
05-06-2009, 21:09
@ sampei:
si, in effetti, con Linux ti senti relativamente sereno sul piano della sicurezza (i motivi? Dibattuti in altre sedi ben più autorevoli, 1° su tutti la bassisima % di OS Linux sul totale delle macchine installate che di fatto azzera un qualsiasi interesse ad attaccarlo da parte delle organizzazioni criminali, perchè di questo si tratta...) ma lo trovo ancora "rigido" per un uso a 360°...

Si in effetti è ancora un pò rigido, Windows è più versatile.
Ma soppesando pregi e difetti si intuisce perchè il fenomeno Linux è in ascesa e si può parlare anche di rivoluzione come scrive un utente su Megalab articolo che ti consiglio di leggere:

http://www.megalab.it/4394//gnu-linux-la-rivoluzione-culturale

Il segreto quindi potrebbe essere quello di prendere (contemporaneamente) i pregi di entrambi i OS.;)

levriero
05-06-2009, 23:11
Many thanks:)




comunque oggi, x caso, ho avuto tra le mani la versione 4.2 di EQS e l'ho provata in VM..

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqsm_d608a67.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqsm_d608a67.png&srv=img29)

http://img29.picoodle.com/img/img29/2/6/5/kronos/t_eqs2m_b6f7ef4.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs2m_b6f7ef4.png&srv=img29)

- traduzione da cani
- problema di maschere GUI
- questa versione (standard edition, l'unica 4.2 disponibile a quanto so) è molto limitata, in quanto non è possibile modificare nulla (neanche creare regole) se non 3 opzioni per i popup: Ignore, Prompts, Automatically select the operation
- la sandbox non l'ho capita, cmq non è settabile nulla se non il colore del bordo delle applicazioni sandboxate

Ho fatto un piccolo test con il solito CLT, impostando EQS su Prompt...Avvio l'eseguibile, non mi avverte neanche sull'esecuzione e ricevo solo un popup:
http://img30.picoodle.com/img/img30/2/6/5/kronos/t_eqs3m_1f37d29.png (http://www.picoodle.com/view.php?img=/2/6/5/kronos/f_eqs3m_1f37d29.png&srv=img30)

tutti gli altri attacchi li blocca senza fare domande, ottenendo un 180/340 (fallisce il RawDisk, PhysicalMemory, FileDrop, SetWinEventHook, SetWindowsHookEx, ProcessInject, KnownDlls, DupHandles, CreateRemoteThread, APC dll injection, AdvancedProcessTermination, OLE automation, BITS, SupersedeServiceDll, StartupPrograms, ActiveDesktop)..

insomma mi sembra ben lontatno dall'essere un hips, per ora:stordita:

i risultati, cmq, sarebbero diversi con opportuni ruleset..peccato che in questa versione non sia possibile neanche creare regole:rolleyes:

Saluti

Mi hai anticipato...
mamma mia ke disastro...:doh:
niente a ke vedere kon la V.3:nonsifa:
:cool:

cloutz
06-06-2009, 09:02
Grazie Cloutz per aver condiviso con noi ciò.
Anche io ho provato al 3D specifico su W. ed il link adesso funziona mentre qualche gg fà era out.
Comunque far uscire sw in questo stato (pietoso) mi mette un'amarezza......
Per fortuna che io, diversamente da te e nV25, mi stò trovando anche a mio agio con altri OS.
Le mie osservazioni vanno cmq prese con le pinze, non sono un esperto..è possibile che abbia sbagliato qualcosa...

anzi controllando ho sbagliato:stordita::
le regole si possono creare, ma bisogna aprire il Log viewer da prompt e da lì fare Add new rule
http://www.wilderssecurity.com/showpost.php?p=1480510&postcount=66

qualcosa di più complicato potevano farlo..no??:muro:

Mi hai anticipato...
mamma mia ke disastro...:doh:
niente a ke vedere kon la V.3:nonsifa:
:cool:

bè deve ancora sistemarsi, e poi non capisco perchè mettano a disposizione solo la basic version:mbe:
mi sembra ancora troppo acerba per essere consigliata come soluzione, nella macchina reale mi ha dato un BSOD:read:

poi ci sono ancora problemi pesanti nella GUI, non c'è una frase che si legge per intero...

Saluti

nV 25
06-06-2009, 19:44
OK.

erreale, via mail, mi informa che si propone volentieri tanto come fornitore di sample quanto come tester...

Mi informa altresi' che è impossibilitato a poter postare a causa di un problema di corruzione del suo account il che spiega perchè sia io a riportare le sue "volontà"...


Se qualcuno (dei noti...) fosse interessato a riprendere i "giochi" alla "virus testing machine (http://www.hwupgrade.it/forum/showthread.php?t=1823645)" (magari in un modo + elastico...), in qualche maniera vi metto in contatto con erreale...


Edit ore 00:25
resta fermo il fatto che, secondo quello che è il mio modo di percepire il discorso, chi si presta al testing dovrà necessariamente segnalare eventuali anomalie agli sviluppatori dei vari software contestualmente alla pubblicazione dei risultati...

Va da sè, poi, vista la complessità del modus operandi di alcuni sample, che la metodologia di testing deve prevedere l'impiego di almeno 2 software antirootkit dedicati & , al contempo, rinomati (fondamentalmente Prevx/Gmer/RootRepeal) che dovranno essere lanciati PRIMA del test al fine di consentire la registrazione dello stato del sistema ex-ante cosi' da poterlo confrontare con lo stato ex-post alla ricerca di eventuali discrepanze...

Mi rendo conto che non è facile e che, anzi, è proprio una menata ma, d'altro canto, non vedo altra metodologia seguibile se si va un pò alla cieca...


Nel frattempo, ho provveduto a selezionare una 15-cina di sample(s) che dovrebbero essere sufficientemente interessanti (gli MD5 posso farli circolare entro domani sera...)

cloutz
07-06-2009, 09:55
OK.

erreale, via mail, mi informa che si propone volentieri tanto come fornitore di sample quanto come tester...

Mi informa altresi' che è impossibilitato a poter postare a causa di un problema di corruzione del suo account il che spiega perchè sia io a riportare le sue "volontà"...


Se qualcuno (dei noti...) fosse interessato a riprendere i "giochi" alla "virus testing machine (http://www.hwupgrade.it/forum/showthread.php?t=1823645)" (magari in un modo + elastico...), in qualche maniera vi metto in contatto con erreale...


Edit ore 00:25
resta fermo il fatto che, secondo quello che è il mio modo di percepire il discorso, chi si presta al testing dovrà necessariamente segnalare eventuali anomalie agli sviluppatori dei vari software contestualmente alla pubblicazione dei risultati...

Va da sè, poi, vista la complessità del modus operandi di alcuni sample, che la metodologia di testing deve prevedere l'impiego di almeno 2 software antirootkit dedicati & , al contempo, rinomati (fondamentalmente Prevx/Gmer/RootRepeal) che dovranno essere lanciati PRIMA del test al fine di consentire la registrazione dello stato del sistema ex-ante cosi' da poterlo confrontare con lo stato ex-post alla ricerca di eventuali discrepanze...

Mi rendo conto che non è facile e che, anzi, è proprio una menata ma, d'altro canto, non vedo altra metodologia seguibile se si va un pò alla cieca...


Nel frattempo, ho provveduto a selezionare una 15-cina di sample(s) che dovrebbero essere sufficientemente interessanti (gli MD5 posso farli circolare entro domani sera...)



un paio d'ore nei prossimi giorni le spendo volentieri;)

se vuoi girameli pure..io preferirei occuparmi di MD, anche perchè è mio interesse conoscerlo meglio, a fronte dell'impegno preso con X...per il D+ credo che qualcuno dei fedelissimi riesca fare qualche test in VM...idem per OA


p.s.: però lavoriamo sui log? postare tutti gli avvisi è dispersivo, e almeno ci evitiamo lo sbattimento, non indifferente, di passare 3/4 d'ora a hostare venti screen:O :D
poi cmq quei 2-3 avvisi principali si postano..

Saluti

commi
07-06-2009, 11:16
Anch'io confermo la mia disponibilità a ricevere ed a testare i sample con i software di sicurezza in mio possesso.

Spero di potervi dedicare il tempo che è nelle mie intenzioni; in tal senso, prima li ricevo e meglio è.... del doman non v'è certezza:stordita:

nV 25
07-06-2009, 21:05
...
p.s.: però lavoriamo sui log? postare tutti gli avvisi è dispersivo, e almeno ci evitiamo lo sbattimento, non indifferente, di passare 3/4 d'ora a hostare venti screen:O :D
poi cmq quei 2-3 avvisi principali si postano..

Saluti
Perchè, nei miei "test" mi hai mai visto postare l'intera sequenza dei pop up o solo la sequenza delle righe di log relative agli eventi bloccati?

Non a caso, poi, nicM nella sua prova "brutal unhooking malwares" (o Unhookers Tests), per ogni Software fece vedere proprio i pop up degli eventi fondamentali rimandando ad una semplice descrizione discorsiva il resto...

E' chiaro, dunque, che per me questo tipo di approccio è considerato l'unico "viable" (feasible)...








Al di là dei buoni propositi, personalmente mi trovo a confrontarmi con una gestione del tempo libero che è praticamente 0 il che, di fatto, mi esclude da qualsiasi considerazione...
Provvedo cmq a farvi avere in pvt tanto l'indirizzo del supermercato, gli MD5 e la mail di erreale...

Se poi altri dei noti volessero contribuire, sarete voi a comunicare le cose..

Ciao e..vi leggo!

PS: DW, cmq, provvedo anch'io a testarlo :D anche se non sò se avrò tempo di postarne screen ecc...

Aloaaa

nV 25
07-06-2009, 21:13
pvt spediti...:p


EDIT:
ho dimenticato di dirvi che la password dei sample è infected...

cloutz
07-06-2009, 22:02
Ciao nV, grazie del PM;)

intanto per tenermi allenato ho fatto un breve test con dei rootkit che mi avevi mandato (per la precisione vedxg3am1et3)..

qui il log di MD, per comodità mi sono permesso di sottolineare la mia risposta:

Ho permesso al malware di avviarsi, creare il driver, crearne un altro..gli ho perfino permesso di avviare il driver, ma da quando ha cercato di avviare un kernel driver ho bloccato tutto...

07/06/2009 22:10:14 Create new process Permitted
Process: c:\windows\explorer.exe
Target: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Cmd line: "C:\Documents and Settings\testVM\Desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe"
Rule: [App]*

07/06/2009 22:10:23 Write file Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\system32\drivers\beep.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:10:36 Start driver or service Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Beep
Rule: [App]*

07/06/2009 22:10:53 Create file Permitted
Process: c:\windows\system32\winlogon.exe
Target: C:\WINDOWS\system32\drivers\beep.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:10:59 Write file Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\system32\drivers\beep.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:11:20 Start driver or service Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Cdaudio
Rule: [App]*


Da qui inizio a negare, dal Kernel driver:

07/06/2009 22:11:27 Load kernel driver Denied
Process: c:\windows\system32\services.exe
Target: c:\windows\system32\drivers\cdaudio.sys
Rule: [App]c:\windows\system32\services.exe

07/06/2009 22:11:30 Create file Denied
Process: c:\windows\system32\winlogon.exe
Target: C:\WINDOWS\system32\dllcache\beep.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:11:30 Write file Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\system32\drivers\cdaudio.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:11:31 Write file Denied
Process: c:\windows\system32\winlogon.exe
Target: C:\WINDOWS\system32\dllcache\beep.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys

07/06/2009 22:11:32 Create file Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\System32\Drivers\Changer.sys
Rule: [File Group]System Executable Files -> [File]c:\windows\*; *.sys


+n altre voci uguali con nomi random..in pratica tenta di scrivere/creare altri file..una marea!

da qui in poi il malware cerca di stoppare i servizi dei programmi installati (avevo Antivir e Nod, non in realtime e non attivi):

07/06/2009 22:11:53 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Virtual Machine Additions Services Driver
File path: System32\drivers\vmsrvc.sys
Rule: [App]*

07/06/2009 22:12:03 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Driver ACPI Microsoft
File path: \SystemRoot\system32\DRIVERS\ACPI.sys
Rule: [App]*

07/06/2009 22:12:06 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: AFD
File path: \SystemRoot\System32\drivers\afd.sys
Rule: [App]*

07/06/2009 22:12:07 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: AMON
File path: \SystemRoot\system32\drivers\amon.sys
Rule: [App]*

07/06/2009 22:12:10 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Controller disco rigido IDE/ESDI standard
File path: \SystemRoot\system32\DRIVERS\atapi.sys
Rule: [App]*

07/06/2009 22:12:17 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: avgio
File path: \??\C:\Programmi\Avira\AntiVir PersonalEdition Classic\avgio.sys
Rule: [App]*

[...]

07/06/2009 22:12:41 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Driver redirector periferica Terminal Server
File path: system32\DRIVERS\rdpdr.sys
Rule: [App]*

07/06/2009 22:12:42 Stop driver or service Denied
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Driver filtro Serenum
File path: system32\DRIVERS\serenum.sys
Rule: [App]*


Qui mi ero altamente rotto (ho snellito il log, avrò negato 30 avvisi sulla creazione di .sys..ne crea una marea!) e ho cliccato il tasto magico Deny and Kill the process:

07/06/2009 22:12:44 Stop driver or service Denied and killed the process
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Driver della porta seriale
File path: system32\DRIVERS\serial.sys
Rule: [App]*


Bene, fatto ciò non trovo nulla di nuovo nè nel Kernel Modules di MD nè con RootRepeal...infezione pienamente contenuta nonostante il driver fosse stato avviato...in realtà sarebbe carino consentire di più e iniziare a negare dopo (magari quando inizia a stoppare i servizi, non al caricamento del kernel driver)..ma vabbè, era una cosa buttata lì :)

Saluti

commi
08-06-2009, 00:10
Grazie enne anche da parte mia ;)
che dici, ce la faremo in 3/4 mesi a provarli tutti? :stordita:

Intanto ho iniziato a scaricarli :p
così mi trovo già a buon punto.... o no? :ciapet:

P.S.: si posta qui?
.... sempre che ci si riesca a provarne almeno uno, chiaro! :D

Qui mi ero altamente rotto (ho snellito il log, avrò negato 30 avvisi sulla creazione di .sys..ne crea una marea!) e ho cliccato il tasto magico Deny and Kill the process

Quel tasto è davvero una "genialata" ;)

cloutz
08-06-2009, 11:45
P.S.: si posta qui?
.... sempre che ci si riesca a provarne almeno uno, chiaro! :D


io direi di postare in virus testing machine...
ho postato qui il mio "test" perchè non era fatto granchè bene, era solo un log buttato lì;)

p.s.: dividiamoci i sample, sennò facciamo un lavoro doppio:D

Quel tasto è davvero una "genialata"
:asd:

commi
08-06-2009, 15:08
io direi di postare in virus testing machine...
ho postato qui il mio "test" perchè non era fatto granchè bene, era solo un log buttato lì;)

p.s.: dividiamoci i sample, sennò facciamo un lavoro doppio:D

Ok, si può anche postare dall'altra parte, però, se possibile, preferirei soffermare la nostra attenzione soprattutto sulle capacità degli hips di rilevare il prima possibile un comportamento anomalo, senza stare lì a vedere necessariamente cosa succede se si concede il consenso alle azioni successive.

In tal senso, eviterei (ma poi ognuno chiaramente fà quello che ritiene opportuno) di dare il permesso all'esecuzione del primo alert successivo a quello in cui il comportamento "anomalo" è lampante:
per esempio, se si ottiene un pop-up relativo al caricamento in memoria di una dll "non di sistema" oppure ad un tentativo di iniezione di codice in un processo legittimo, non credo sia indispensabile proseguire, tanto si sa che non ne viene nulla di buono. :)
Il tutto imo, s'intende, soprattutto perchè, nel mio caso, eseguo i test non in VM bensì in ambiente sandboxato che è leggermente diverso, nel senso che se per caso/errore dò l'assenso ad un'azione particolare, come già avvenuto, non mi resta poi che affidarmi a San Acronis ed i miracoli, si sa, non avvengono tutti i giorni. ;)

Quindi, anche perchè il tempo a disposizione è quanto mai ristretto (figuriamoci per crearmi una VM), riterrei superfluo allegare i log dei vari SysInspector/GMER/RootRepeal quando questi non rilevano cambiamenti rispetto alla condizione di partenza.



D'accordo con te, cloutz, sul dividerci i compiti: per te va bene dedicarti alla seconda metà della lista di enne, cioè dal sample n. 8 al n. 14?
Sai, ho un conto aperto con un sample che si trova nei primi 7... :)
Poi, magari, tempo permettendo, ci si dedica agli altri che al momento non consideriamo.

cloutz
08-06-2009, 15:59
D'accordo con te, cloutz, sul dividerci i compiti: per te va bene dedicarti alla seconda metà della lista di enne, cioè dal sample n. 8 al n. 14?
Sai, ho un conto aperto con un sample che si trova nei primi 7... :)
Poi, magari, tempo permettendo, ci si dedica agli altri che al momento non consideriamo.

si ma non credo che dovremo farli tutti i test di quei malware:sofico:
cmq x me va bene di prendere dal 8 al 14 ma ripeto, ne testerò 3 o 4, non tutti...


Ok, si può anche postare dall'altra parte, però, se possibile, preferirei soffermare la nostra attenzione soprattutto sulle capacità degli hips di rilevare il prima possibile un comportamento anomalo, senza stare lì a vedere necessariamente cosa succede se si concede il consenso alle azioni successive.

l'hips rileva qualsiasi comportamento, anomalo e non...se dovessi fermarmi ai primi rilevamenti, col D+ blocco tutto sin dall'esecuzione se l'heuristica mi dice che è un possibile malware?:mbe:



In tal senso, eviterei (ma poi ognuno chiaramente fà quello che ritiene opportuno) di dare il permesso all'esecuzione del primo alert successivo a quello in cui il comportamento "anomalo" è lampante:
per esempio, se si ottiene un pop-up relativo al caricamento in memoria di una dll "non di sistema" oppure ad un tentativo di iniezione di codice in un processo legittimo, non credo sia indispensabile proseguire, tanto si sa che non ne viene nulla di buono. :)

dissento:D
è troppo comodo bloccare appena viene caricata la prima dll esterna, che senso ha? non è un comportamento malevolo, qualunque install lo fa...idem per tutta una serie di comportamenti che, di per sè, sono buoni...

secondo me il controllo si dovrebbe spostare più a valle che a monte..più ci si avvicina all'esecuzione, più è facile arginare il malware...

la cosa si fa più complicata quando invece consenti di avviarsi, crearsi un driver, caricarlo, ma interrompi ad un certo punto..lì dev'ssere ottimo il programma, in grado di arginare l'infezione da quel momento in poi (quindi la "bravura" è maggiore tanto è maggiore la capacità di arginare il problema a valle, quindi dopo, con l'infezione già in circolo)...
e qui, il tasto "magico" di MD è una manna dal cielo:O :D

questo imho...

[...] nel mio caso, eseguo i test non in VM bensì in ambiente sandboxato che è leggermente diverso, nel senso che se per caso/errore dò l'assenso ad un'azione particolare, come già avvenuto, non mi resta poi che affidarmi a San Acronis ed i miracoli, si sa, non avvengono tutti i giorni. ;)

per la VM va bè, fai come vuoi...io lo faccio x me, non mi va di sputtanarmi ulteriormente il pc..poi ognuno:D

commi
08-06-2009, 20:02
si ma non credo che dovremo farli tutti i test di quei malware:sofico:
cmq x me va bene di prendere dal 8 al 14 ma ripeto, ne testerò 3 o 4, non tutti...


l'hips rileva qualsiasi comportamento, anomalo e non...se dovessi fermarmi ai primi rilevamenti, col D+ blocco tutto sin dall'esecuzione se l'heuristica mi dice che è un possibile malware?:mbe:



dissento:D
è troppo comodo bloccare appena viene caricata la prima dll esterna, che senso ha? non è un comportamento malevolo, qualunque install lo fa...idem per tutta una serie di comportamenti che, di per sè, sono buoni...

secondo me il controllo si dovrebbe spostare più a valle che a monte..più ci si avvicina all'esecuzione, più è facile arginare il malware...

la cosa si fa più complicata quando invece consenti di avviarsi, crearsi un driver, caricarlo, ma interrompi ad un certo punto..lì dev'ssere ottimo il programma, in grado di arginare l'infezione da quel momento in poi (quindi la "bravura" è maggiore tanto è maggiore la capacità di arginare il problema a valle, quindi dopo, con l'infezione già in circolo)...
e qui, il tasto "magico" di MD è una manna dal cielo:O :D

questo imho...



per la VM va bè, fai come vuoi...io lo faccio x me, non mi va di sputtanarmi ulteriormente il pc..poi ognuno:D

Scusa, cloutz, ammetto di non essere stato molto chiaro :)
non mi riferivo (come pensavo poteva sembrare ovvio), al primo caricamento di una libreria oppure al rilevamento euristico perchè, in entrambi i casi, equivarrebbe a non eseguire affatto il test visto che lo stesso si ritroverebbe "strozzato" al primo alert :D

Nel caso specifico, ho fatto genericamente riferimento al caricamento di una libreria dopo aver constatato quello che è successo nel test del 1° sample:
avevo già in precedenza consentito al malware di accedere al registro di sistema per l'inserimento di un proprio "servizio" e di modificare il servizio di Sandboxie (Sbviesvc); concedere l'autorizzazione alla libreria non ha fatto altro che dare il "la" all'infezione che ha poi inserito anche un proprio driver.

L'ultima cosa che non ho autorizzato è stata la cancellazione del malware stesso dalla posizione originaria: ma, ormai, la frittata era fatta....quindi, penso di essere andato proprio "a fondo" invece che "a valle" :D

Il test non l'ho eseguito con MD, ma dubito che il "tasto magico", una volta arrivati a quel punto, poteva essere molto d'aiuto, comunque ci si riprova :p

nV 25
08-06-2009, 20:06
...come vado dicendo da qualche giorno,il mio contributo più in là del leggere non può spingersi.

Detto questo, ho cmq tempo sufficiente per far almeno osservare a cloutz una cosa, e cioè il modo con cui ha condotto il test col Rootkit della famiglia nullprot(saturn) di cui è stato postato il log.

Premesso che (ma è solo una ragione di ordine "estetica"..) mi piacerebbe vedere lo screenshot della pagina di log invece che il copia incolla degli eventi registrati nella pagina di log stessa, secondo me hai già in partenza "fallato" il test...

Il 1° evento, infatti, è la creazione di un nuovo processo:
Ok, è "normale" acconsentirlo...

22:10:14 Create new process Permitted
...
Target: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe


In 2° battuta, hai la scrittura di un sys, nello specifico beep.sys....
22:10:23 Write file Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\system32\drivers\beep.sys

Bene:
ecco il 1° nocciolo.

Una scrittura che avviene senza una precedente creazione sintomo che siamo di fronte ad una sovrascrittura di un file legittimo...
Un controllo sull'MD5 su beep.sys, infatti, restituirebbe già in questa fase con una probabilità del 99,9...9% un valore diverso da quello corretto...

Il malware, in sostanza, rimpiazza l'originale con una copia "ad hoc" che, una volta richiamata, gli consente di operare cosi' come voluto dal suo programmatore.

Non a caso, il 3° evento è il caricamento del beep.sys *modificato!!*,
07/06/2009 22:10:36 Start driver or service Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Beep

Insomma, se ci si presta a questo tipo di test è possibilissimo (fatto salvo questo particolare rootkit che tenta di stoppare 1 bel filotto di driver caricati in memoria..) che il tutto duri poche battute:
non esistono infatti vie di mezzo, una sorta di "castrare parzialmente" il sample...

Gli eventi autorizzabili in questo tipo di test, dunque, possono essere solo quelli relativi a file (se preceduti da un pop-up di creazione formando il binomio creazione-scrittura ), la creazione (+caricamento) di processi e dll...


il resto *DEVE* essere prevenuto!!

nV 25
08-06-2009, 20:14
PS:
si fà ovviamente per parlare, poi è chiaro che per arrivare a Roma esistono n strade diverse...

L'importante è trovare la via maestra (tracciata poc'anzi..) che, secondo me, è l'unica perseguibile perchè possa esservi piena attendibilità.

cloutz
08-06-2009, 20:37
...come vado dicendo da qualche giorno,il mio contributo più in là del leggere non può spingersi.

Detto questo, ho cmq tempo sufficiente per far almeno osservare a cloutz una cosa, e cioè il modo con cui ha condotto il test col Rootkit della famiglia nullprot(saturn) di cui è stato postato il log.

Premesso che (ma è solo una ragione di ordine "estetica"..) mi piacerebbe vedere lo screenshot della pagina di log invece che il copia incolla degli eventi registrati nella pagina di log stessa, secondo me hai già in partenza "fallato" il test...

Il 1° evento, infatti, è la creazione di un nuovo processo:
Ok, è "normale" acconsentirlo...

22:10:14 Create new process Permitted
...
Target: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe


In 2° battuta, hai la scrittura di un sys, nello specifico beep.sys....
22:10:23 Write file Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: C:\WINDOWS\system32\drivers\beep.sys

Bene:
ecco il 1° nocciolo.

Una scrittura che avviene senza una precedente creazione sintomo che siamo di fronte ad una sovrascrittura di un file legittimo...
Un controllo sull'MD5 su beep.sys, infatti, restituirebbe già in questa fase con una probabilità del 99,9...9% un valore diverso da quello corretto...

Il malware, in sostanza, rimpiazza l'originale con una copia "ad hoc" che, una volta richiamata, gli consente di operare cosi' come voluto dal suo programmatore.

Non a caso, il 3° evento è il caricamento del beep.sys *modificato!!*,
07/06/2009 22:10:36 Start driver or service Permitted
Process: c:\documents and settings\testvm\desktop\rootkits\rootkits\rootkits\vedxg3am1et3.exe
Target: Beep

Insomma, se ci si presta a questo tipo di test è possibilissimo (fatto salvo questo particolare rootkit che tenta di stoppare 1 bel filotto di driver caricati in memoria..) che il tutto duri poche battute:
non esistono infatti vie di mezzo, una sorta di "castrare parzialmente" il sample...

Gli eventi autorizzabili in questo tipo di test, dunque, possono essere solo quelli relativi a file (se preceduti da un pop-up di creazione formando il binomio creazione-scrittura ), la creazione (+caricamento) di processi e dll...


grazie nV,

per il log sapevo che non sarebbe andato bene, ma si tratta di una cosa fatta in mezzoretta..x questo non è stato approfondito..
e ammetto, aimè, di non aver colto la sovrascrittuta di beep.sys:(

vabbè, ho solo da imparare:)


Saluti

nV 25
08-06-2009, 20:47
Per carità, qui da imparare ci sarebbe solo se parlasse eraser, tanto per rimanere tra gli "illuminati" :p che conosciamo....


Cmq da parte mia solo un OTTIMO! visto che con il mio discorso sopra non volevo certo sminuire il tuo (vostro) lavoro!


Io vi leggo, nei ritagli di tempo :mc:, ma leggo...

Ciao ciao!


PS: cerco di far girare qualcosa con DW di quei sample che ho girato e vediamo, eh...:sofico:

commi
08-06-2009, 21:15
PS: cerco di far girare qualcosa con DW di quei sample che ho girato e vediamo, eh...:sofico:
Se permetti che ti dia un consiglio, io sceglierei il primo sample della lista ;)

nV 25
08-06-2009, 21:18
Sorprese? :p


Cmq il tempo di salvare uno snap della VM e si parte! :sperem: :tie:


EDIT:
installato DW 2.55, 1° reboot effettuato....
--------------------------
Non avevo neppure winrar :D :
i tempi si allungano...:muro: :p

--------------------------
E' già qualcosa:
ne ho scaricati 2...
--------------------------
OK:
provato il 1° sample, ma non vedo nulla di eclatante.
Si, il dropper "scompare" ma solo perchè evidentemente il suo set up ha un comando per "cancellarlo"...

Attualmente, infatti, nulla è hidden, non ci sono servizi attivi, ecc ecc.
L'OS, apparentemente, è integro *SENZA* aver ricevuto alcun pop-up...

nV 25
08-06-2009, 21:53
Con DW, cmq, mostrare lo screen del log ha davvero poco senso visto che solo selezionando una data riga di log si ha una descrizione dettagliata dell'evento.

A minuti, cmq, quando "cessa" l'indagine, screen + log che, in questo caso, è realmente necessario.

EDIT:
0!

Nulla di nulla.
Il sample 1, è innocuo e DW vince ;)http://img248.imageshack.us/img248/4373/snap4.jpg

http://img248.imageshack.us/img248/2803/snap5.jpg

nV 25
08-06-2009, 22:17
il 2°:

anche qui, nulla...:p


PS: ci vuole + tempo a postare foto/log che a verificare il sistema...

http://img198.imageshack.us/img198/7461/46825610.jpg

Rootrepeal:
http://img198.imageshack.us/img198/1593/54544903.jpg

PS: Tavola SSDT ok, no hidden services/driver, and so on.
Verificato prima & dopo il reboot della VM....

PS 2: notare che con DW, oltre a me anche un demente registrerebbe il solito risultato...

nV 25
08-06-2009, 22:28
Ok:

Anche il 3° ripassa dal via visto che stasera non era serata e il sottoscritto è stanco e desideroso di andarsene a letto. :D

http://img93.imageshack.us/img93/7959/49833037.jpg

http://img93.imageshack.us/img93/7936/41948319.jpg

nV 25
08-06-2009, 22:40
il 4° e il 6° non vogliono saperne di partire in VM:
forse sono fallati...

Il 5°, invece, ritorna al via in compagnia del sample 1,2,3...


Terminato via "grande pulsante rosso" dato che crea numerose righe di log e DW gestisce solo 50 eventi (il 51° cancella il 1°, il 52° il 2° e cosi' via)...


Questo delle 50 righe, cmq, non è buono anche se non ho mai preso la briga di segnalarlo...


Ora, cmq, vado realmente a nanna...
Spero solo di aver stimolato la discussione...

Se potete, passate gli MD5 anche a eraser...

Ciao

commi
08-06-2009, 23:04
Si enne, l'hai "capati" per bene questi sample... :Prrr: :D

Li ho provati (velocemente) quasi tutti anch'io (tranne il 4 e l'11 che non vanno) e sembra che DW non ne buchi nessuno.


PS 2: notare che con DW, oltre a me anche un demente registrerebbe il solito risultato...

Forse è proprio questo che a me non convince: DW ti fa sembrare davvero tale, vista l'interazione con il programma stesso che è molto vicina allo zero, così come le possibilità di capire quelle "finezze" come quella da te segnalata qualche post addietro (la scrittura/sostituzione di un file).

Per me, poi, vale sempre il detto che "sbagliando s'impara" :D

commi
09-06-2009, 00:29
Al sample n. 6 ci penso allora io :D

Screen del messaggio di errore relativo al framework e di quello successivo nel caso si scelga di ricorrere al tasto Quit*

http://img413.imageshack.us/img413/9117/003g.png (http://img413.imageshack.us/my.php?image=003g.png)


* ci si fida del fatto che nei titoli delle finestre ci sia riportato "non attendibile" anche se, sinceramente, non è che DW aiuti molto ai fini della comprensione di quello che è accaduto :(

franchetiello
09-06-2009, 10:45
salve a tutti, come segnalato nel thread relativo alle promozioni, oggi su giveawayoftheday si trova safe'n sec in promozione.premesso che mi trovo benissimo con prevx e online armor full volevo chiedervi, trattandosi di thread apposito per gli hips, un po di informazioni tecniche su questo programma, aggiungendo che wot vede la sua homepage non gradita.
(se poi il thread iu' appropriato fosse quello relativo a valutazione software fatemelo sapere, ma vorrei saperne di piu' prorpio sotto il profilo hips e v.i.p.o)

Chill-Out
09-06-2009, 10:53
salve a tutti, come segnalato nel thread relativo alle promozioni, oggi su giveawayoftheday si trova safe'n sec in promozione.premesso che mi trovo benissimo con prevx e online armor full volevo chiedervi, trattandosi di thread apposito per gli hips, un po di informazioni tecniche su questo programma, aggiungendo che wot vede la sua homepage non gradita.
(se poi il thread iu' appropriato fosse quello relativo a valutazione software fatemelo sapere, ma vorrei saperne di piu' prorpio sotto il profilo hips e v.i.p.o)

In prima pagina (anche se datate) trovi alcune info http://www.hwupgrade.it/forum/showpost.php?p=10216833&postcount=1

franchetiello
09-06-2009, 10:59
In prima pagina (anche se datate) trovi alcune info http://www.hwupgrade.it/forum/showpost.php?p=10216833&postcount=1

grazie come sempre chill, non trovando discussioni recenti pensavo il software fosse come dire "superato", ora le leggo attentamente.;)

cloutz
09-06-2009, 14:39
informo che nella mia VM non parte neanche un malware...:incazzed:

http://img27.picoodle.com/img/img27/2/6/9/kronos/f_Immagineerrm_a831b99.png

nV 25
09-06-2009, 20:00
...
Forse è proprio questo che a me non convince: DW ti fa sembrare davvero tale, vista l'interazione con il programma stesso che è molto vicina allo zero, così come le possibilità di capire quelle "finezze" come quella da te segnalata qualche post addietro (la scrittura/sostituzione di un file)...

In effetti, effettività molta ma "soddisfazione" 0:
tipi come noi si divertono molto di più con software come MD piuttosto che con DW...



PS: la mia VM è l'ultima release di Virtualbox (la 2.2.4)...

nV 25
09-06-2009, 20:10
salve a tutti, come segnalato nel thread relativo alle promozioni, oggi su giveawayoftheday si trova safe'n sec in promozione.premesso che mi trovo benissimo con prevx e online armor full volevo chiedervi, trattandosi di thread apposito per gli hips, un po di informazioni tecniche su questo programma, aggiungendo che wot vede la sua homepage non gradita.
(se poi il thread iu' appropriato fosse quello relativo a valutazione software fatemelo sapere, ma vorrei saperne di piu' prorpio sotto il profilo hips e v.i.p.o)


Sinceramente non mi porrei neppure il problema se cambiare Prevx+OA per Safe'n'Sec anche se, in verità, non ho più seguito le vicende di quest'ultimo software...

I 2 che usi, cmq, oltre che perfettamente complementari, sono super rodati ed effettivi!


PS:
ho indicato ad erreale come provvedere per la fornitura di sample "seri":
spero che provveda quanto prima e ci faccia sapere l'esito della ricerca anche se il periodo dovrebbe essere abbastanza fermo in termini di "innovazioni" e quindi per noi, parallelamente, questa relativa stagnazione equivale a smorzarci un pò il gusto delle prove..

Vediamo cmq quello che si prospetta all'orizzonte...


EDIT:
In prima pagina (anche se datate) trovi alcune info...
Come più volte anche da me segnalato, chi volesse riaprire un nuovo TU aggiornato si *deve* sentire libero di farlo senza vedermi come un peso o un impedimento...

Autorizzo anche a ricopiare pari pari pensieri e altro purchè si abbia la decenza di tagliare le parti più esilaranti presenti anche nel 1° post (l'onere di scovarli, xò, ricade sul nuovo volontario) :p ...

Mi sono trovato infatti talvolta a rileggerlo e a vergognarmi da solo circa errori (di concetto) e altro preferendo cmq lasciare gli errori inalterati "come memoria" della mia ignoranza...

erreale2
09-06-2009, 21:33
...

nV 25
09-06-2009, 21:47
...e io attendo di vederlo assieme, se possibile, allo screen della pagina di log...:D

erreale2
09-06-2009, 21:49
...

nV 25
09-06-2009, 21:53
:D


Il .txt da solo non mi piace....:ciapet:



Furono tutti verificati da Ilya, cmq...


PS: ci fai anche un giro di Seneka?
Txs... :)

---------
Ho capito:
mi tocca andare a nanna senza vedere 1 emerita...:D

erreale2
09-06-2009, 22:28
...

cloutz
09-06-2009, 23:24
PS: la mia VM è l'ultima release di Virtualbox (la 2.2.4)...
io uso VirtualPC 2007...VirtualBox non si è mai avviato sul mio pc :boh:

vedo di venirne a capo...

nV 25
10-06-2009, 20:47
premesso che trovo di una figata assurda il log di MD congegnato come da screen dove l'uso sapiente di diversi colori divide le diverse tipologie di eventi registrati,

http://img192.imageshack.us/img192/9428/snap1c.jpg


solo ora, rileggendo il post n°2099 di erreale, capisco di non aver capito nulla:
mi aspettavo infatti di veder testato DefenseWall VS l'ormai vetusto vedxg3am1et3, da qui la mia richiesta del post successivo (n°2100)..

Idem per il Seneka:
il mio interesse, infatti, anche se ne conosco già l'esito avendo usato direttamente Ilya Rabinovich come mio tester "esclusivo" [:D], è rivolto in questo caso essenzialmente su DW dato che non ho avuto ancora il piacere di vedere i report su un bello screen vuoi per l'assenza di tempo vuoi proprio per una mera questione di volontà...:stordita: :fiufiu:

Tutto qui.

erreale2
10-06-2009, 21:30
...

nV 25
11-06-2009, 19:09
E' solo 1 mia soddisfazione quella di vedere screen + log vari visto che Ilya stesso ha avuto modo di verificarli in prima persona assieme ai vari Seneka, MBR Rootkit, ecc ecc...

E' ovvio che per sviluppare il suo software non è che stesse aspettando i miei sample ma, dalla via che li avevo disponibili, ho pensato fosse opportuno girarglieli ugualmente (cosi' come del resto è stato per Xiaolin che, non a caso, mi confermò ad es. la vulnerabilità col Saturn)...


Insomma, a prescindere della roadmap che ciascuno sviluppatore definisce per il proprio prodotto, credo che sia una pratica corretta quella di girare sample interessanti alle software house (in particolare se piccole...) specie se, oltretutto, non si ha la possibilità/capacità di fare una verifica in 1° persona...

In verità, se mancasse la capacità di operare una qualche verifica sul sample non si avrebbe neppure la capacità di capire quando si è di fronte ad un qualcosa di interessante, ma cmq...


Aspetto cmq gli screen. :)

erreale2
11-06-2009, 21:06
...

erreale2
11-06-2009, 21:19
...

nV 25
11-06-2009, 21:58
*******************

Sul BSOD che ti restituisce RR, hai l'ultima versione (la 1.3.0) & l'opzione Verify Digital Signatures abilitata in Settings->Driver Scan?
Hai registrato quel problema solo dopo aver eseguito vedxg3am1et3.exe o lo avevi notato anche con altri sample?

Detto questo, non ho idea di dove possa risiedere il problema ma non mi sentirei assolutamente di imputarlo a DW...


Ciao e...buone ferie! :)

cloutz
23-06-2009, 20:16
Saluti a tutti,

traduzione di MD completata:D

oggi abbiamo avuto il software in Italiano per testarlo, qualche problemino c'è, ma poca roba...insomma a breve si avrà la finale..
poi, cmq, qualcosa scappa sempre...la perfezione non è di questo mondo:ciapet:

stay tuned;)

nV 25
23-06-2009, 20:36
...passavo di quà (dal forum, NDR...) per "caso"...e mi trovo a leggere questa bella notizia...



Anche se può contare come il 2 di picche quando briscola è cuori, un BRAVO! da parte mia non te lo leva nessuno...assieme alla ricarica dei 5€ cui avevo fatto cenno tempo addietro! :p







L'esperienza di PS, cmq, mi porta a fare un'amara considerazione, e cioè che la lingua, per questa particolare tipologia di prodotti, non è un catalizzatore di interessi dato che l'idea di fondo di questo tipo di progetto (e la sua risultante, il software nudo e crudo...) nasce (quasi) esclusivamente per soddisfare una nicchia di mercato che, per sua natura, ha almeno una conoscenza elementare della lingua inglese e la "sensibilità adatta" per trarre beneficio da questi software...


Mi auguro, dunque, di essere in errore e che la vostra traduzione possa "tirarsi" dietro qualche licenza che, per Xiaolin, potrebbe realmente rappresentare qualcosa d'importante.
Anche perchè, non dimentichiamolo, il costo della vita in Cina è decisamente diverso da quello dei paesi occidentali e il prezzo richiesto per la licenza è espresso in valuta "pesante" (c'è infatti una discrepanza marcata tra il prezzo praticato per l'estero e quello praticato sul mercato interno che non a caso è svincolato dal tasso di cambio dollaro (euro)/Yuan)...


Ne acquisterò cmq una licenza anch'io,
ciao! e bravissimo di nuovo a te!

:)

cloutz
23-06-2009, 20:42
...passavo di quà (dal forum, NDR...) per "caso"...e mi trovo a leggere questa bella notizia...



Anche se può contare come il 2 di picche quando briscola è cuori, un BRAVO! da parte mia non te lo leva nessuno...assieme alla ricarica dei 5€ cui avevo fatto cenno tempo addietro! :p







L'esperienza di PS, cmq, mi porta a fare un'amara considerazione, e cioè che la lingua, per questa particolare tipologia di prodotti, non è un catalizzatore di interessi dato che l'idea di fondo di questo tipo di progetto (e la sua risultante, il software nudo e crudo...) nasce (quasi) esclusivamente per soddisfare una nicchia di mercato che, per sua natura, ha almeno una conoscenza elementare della lingua inglese e la "sensibilità adatta" per trarre beneficio da questi software...


Mi auguro, dunque, di essere in errore e che la vostra traduzione possa "tirarsi" dietro qualche licenza che, per Xiaolin, potrebbe realmente rappresentare qualcosa d'importante.
Anche perchè, non dimentichiamolo, il costo della vita in Cina è decisamente diverso da quello dei paesi occidentali...


Ne acquisterò cmq una licenza anch'io,
ciao! e bravissimo di nuovo a te!

:)

gli stessi complimenti ovviamente sono riferiti anche ad Alessandro (erreale), senza di lui sarei ancora a metà del lavoro:)

comunque credo che massimo una decina di giorni e Xiaolin voglia far uscire MD Ita...

dopo la maturità magari un 3d ufficiale lo apro...

Saluti

nV 25
23-06-2009, 20:48
e allora si farà un BRAVO! anche per erreale! :)

nV 25
23-06-2009, 20:54
...dopo la maturità magari un 3d ufficiale lo apro...

che sei un tipetto sveglio è emerso già da un pò:
sono certo che, se non ti distrai troppo dietro al PC, potrai essere ampiamente soddisfatto di te stesso..

In culo alla balena*! :p





*si risponde, semmai, non con il grazie di rito bensi' con un deciso "speriamo che non ca..." :stordita:

:D

sampei.nihira
23-06-2009, 20:54
gli stessi complimenti ovviamente sono riferiti anche ad Alessandro (erreale), senza di lui sarei ancora a metà del lavoro:)

comunque credo che massimo una decina di giorni e Xiaolin voglia far uscire MD Ita...

dopo la maturità magari un 3d ufficiale lo apro...

Saluti

Piccolo OT

Un grandissimo "In bocca al lupo" per la Maturità Cloutz.:) :)

Mi è venuto in mente un paragone con la nazionale di calcio e la sua recente figura contro il Brasile.

Niente a che vedere quando sono "maturato io" (poco bene devo dire :D nonostante l'ottimo voto finale ) nel 1982 quando abbiamo visto una strabiliante Italia, niente a che vedere con quella odierna.

Buona serata !! ;)

cloutz
23-06-2009, 21:24
@nV e sampei:
:sperem: :sofico:

Ritorno a studiare, mi mancano proprio dei pezzi del programma..cose mai sentite :mc: :D

Saluti

cloutz
12-07-2009, 12:30
scusate la mia assenza, dovuta allo studio matto e disperatissimo (ho l'orale sabato) :D

comunque MD ormai è terminato, oggi ho mandato le ultime correzioni a Xiaolin ch ha prontamente aggiornato la .dll...

ci tengo a specificare che abbiamo cercato di non tradurre l'intraducibile, alcune traduzioni forzate di termini tecnici risultano talvolta ridicoli...ragion per cui alcuni termini li troverete nella loro matrice originale.... [anche perchè si presuppone una cognizione di causa dietro l'uso di MD, la quale necessita di una minima conoscenza del lessico informatico imho]

questo è il link al download:
http://www.torchsoft.com/en/download.html

per ogni eventuale problema grammaticale o di traduzione che trovate mandatemi pure una mail o un PM, provvederò a sistemare al più presto ;)


Saluti a tutti

commi
12-07-2009, 21:34
Grazie cloutz, l'ho appena scaricato; condivido la scelta di lasciare alcune parole "intradotte".
Faccio i complimenti e rinnovo i ringraziamenti a te ed erreale, aggiungendo un "in bocca al lupo" per sabato.

Conto di installare il pacchetto ITA appena posso.... purtroppo, da più di un mese a questa parte, il tempo per mettermi al pc è quasi inesistente.

Chiedo scusa, quindi, per non aver potuto mantenere l'impegno a suo tempo assunto nel testare MD con i sample segnalati da enne.
Spero di poterci dedicare un pò di tempo quanto prima.

Un saluto a tutti.

cloutz
12-07-2009, 21:56
Grazie cloutz, l'ho appena scaricato; condivido la scelta di lasciare alcune parole "intradotte".
Faccio i complimenti e rinnovo i ringraziamenti a te ed erreale, aggiungendo un "in bocca al lupo" per sabato.

Conto di installare il pacchetto ITA appena posso.... purtroppo, da più di un mese a questa parte, il tempo per mettermi al pc è quasi inesistente.

Chiedo scusa, quindi, per non aver potuto mantenere l'impegno a suo tempo assunto nel testare MD con i sample segnalati da enne.
Spero di poterci dedicare un pò di tempo quanto prima.

Un saluto a tutti.

Grazie per l'in-bocca-al-lupo...e crepi:D

Io ho installato l'attuale versione sopra l'inglese senza problemi.. ho provato anche su una VM e stesso risultato...
ogni ulteriore feedback è ben accetto ovviamente:O :p

Buona serata

commi
12-07-2009, 23:26
Rilasciato RTD Smart 1.0 Beta 2.

Il download diretto del pacchetto di installazione:
http://www.rtdefender.com/downloads/rtdsmartbeta2.exe.

Changelog (by google translate):

- Updated the built-in rules to make the rules more reasonable;
- Improved the logic of the installation of software;
- Recommended user warning window Added the function to make a choice;
- Proven to increase the security function;
- Improved some aspects of the design;
- Department to repair a number of interfaces on the bug;
- Repaired may cause a blue screen of the bug.

cloutz
14-07-2009, 21:37
@commi:

consiglio di aspettare un paio di giorni e riscaricare il pacchetto in ita, ho mandato delle nuove correzioni a Xiaolin...niente di importante comunque, si tratta di 3-4 imprecisioni (tipo maiuscole/minuscole)...

va be lo dico per correttezza, almeno ti trovi la versione superaggiornatissima:D :D

Saluti

edit:
Xiaolin ha aggiornato il file ;)
Download (http://www.torchsoft.com/en/download.html)

commi
15-07-2009, 19:14
@commi:

consiglio di aspettare un paio di giorni e riscaricare il pacchetto in ita, ho mandato delle nuove correzioni a Xiaolin...niente di importante comunque, si tratta di 3-4 imprecisioni (tipo maiuscole/minuscole)...

va be lo dico per correttezza, almeno ti trovi la versione superaggiornatissima:D :D

Saluti

edit:
Xiaolin ha aggiornato il file ;)
Download (http://www.torchsoft.com/en/download.html)
Grazie per la segnalazione cloutz.

Ho provato la precedente ver. ITA e devo dire che è stato fatto un eccellente lavoro(ne):
complimenti :cincin:

Mi appresto a provare la ver. aggiornata: se noterò qualcosina te lo farò sapere dopo questo sabato ;)

Kohai
17-07-2009, 19:30
Ragazzi, buonasera a tutti, complimentoni per gli argomenti trattati e tanto di cappello per la vostra bravura... infatti mentre vi scrivo mi sento piccolo piccolo :stordita:

Ho una domanda da porvi e mi scuso in anticipo per la mia eventuale incompetenza al tema trattato.

Volevo sapere se il modulo hips integrato nel firewall Online Armor sia da considerare alla stregua di quelli trattati da voi in queste ultime pagine o diverso (e quindi sarei curioso di sapere pregi e difetti di tale differenza).

Allego 2 link a 2 immagini (tanto per farne un esempio eh?! ;) ) che ritraggono malware defender e le opzioni di OA, eccole:
-> http://www.picoodle.com/view.php?img=/2/5/25/kronos/f_Immagine3m_8db2ff5.png&srv=img31
-> http://img245.imageshack.us/img245/6907/immaginenar.jpg

Ad un occhio impreparato come il mio sembrerebbero quasi uguali, attendo quindi fiducioso una vostra delucidazione al riguardo ed una risposta al mio quesito amletico.

Ciao e grazie :)

nV 25
17-07-2009, 19:47
Io, invece, approfitto dellla risalita di questo thread per segnalare che Riazzituoi ha avuto modo di testare il recente Worm Allegedly che stà facendo parlare parecchio di sè in questi ultimi giorni in quanto capace di bypassare diversi sistemi di Rollback...

http://www.wilderssecurity.com/showthread.php?t=248137



Da quanto ci dice Riazzi, inoltre, Sandboxie (che cmq non è un software di Rollback..) non è vulnerabile a questo malware...

Chissà se DefenseWall, invece, ehm...come dire*...? :stordita:


Worm Allegedly Bypasses System Rollback Software (http://www.wilderssecurity.com/showthread.php?t=247937)

* se hai modo di testarlo, anzi... :D

nV 25
17-07-2009, 20:08
Spero di stuzzicare al test Riazzituoi dichiarando che anche Allegedly, come la stragrande maggioranza dei suoi predecessori, se ne ritorna allegramente al via senza riscuotere, peraltro, le famose 20.000 lire (Monopoli...:D )

[Sicuro anzi di averti stuzzicato a dovere, ti chiederei di allegare anche il log di Dw...] :sofico:







Sulle differenze tra OA/MD:

entrambi sono sui livelli di eccellenza anche se MD si rivolge sicuramente ad un pubblico più raffinato...

Le differenze + macroscopiche tra le 2 soluzioni, cmq, dovrebbero risiedere nella funzionalità run safer (peculiare di OA) e nel fatto che OA è "più Firewall" di MD...

Questo, giusto in soldoni e senza scendere troppo nei particolari che rimetto volentieri, anzi, ad altri più preparati...

riazzituoi
17-07-2009, 22:42
.

cloutz
18-07-2009, 16:36
Questo, giusto in soldoni e senza scendere troppo nei particolari che rimetto volentieri, anzi, ad altri più preparati...

dai nV qua di gente più preparata di te sugli hips non ce n'è, lo sai:O:)

@ Kohai
come già detto... in generale le aree protette dai due programmi sono le stesse solo che OA tende a decidere da solo e interrogare l'utente se strettamente necessario (per i vari oasis & co), mentre MD no....

per altre specifiche...
MD in definitiva si rivela un hips più puro, mancando un pò dal lato firewall...in questo senso la cosa è voluta: Xiaolin non ha intenzione di sviluppare in modo significativo il firewall...
mentre OA ha una buon modulo firewall...



per l'opzioe di riduzione di privilegi gliel'ho chiesto personalmente e ha detto che ci penserà, sono scettico cmq:O :D
Mentre OA ha già quest'opzione, che imho è un grosso punto a suo favore!



MD è molto più versatile e più customizzabile (sotto diversi punti di vista), OA direi proprio di no


questo è ciò che mi è venuto in mente, le cose principali, anche avendo letto il post di nV...per il resto non saprei...potrei dirti che MD occupa 15 Mb e OA quasi 60, anche se non penso ti interessi :D

Saluti:)

nV 25
18-07-2009, 20:25
non per falsa modestia, ma Riazzituoi (ad es..) mi va via anche in retromarcia...:cry: :D

Ma cmq, non è che stiamo qui a fare una gara su chi sa di più o di meno:
io, in questo settore, sono assetato di conoscenza e chiunque possa offrirmi spunti di riflessione o altro è benvenuto visto che mi offre motivo per crescere, che è poi fondamentalmente lo scopo per il quale continuo a seguire tutte queste tematiche...


@ riazzi (ecc..):
su', non rompere le pelotas con le tue legittime affermazioni e fai un check, che Ilya è alle prese con un curioso (?) errore nel codice della v3 e mi ha candidamente ammesso di non avere troppissimo tempo per verificare di persona...:D :stordita:

Dal canto mio, ho tempo giusto per respirare e rimetto volentieri la palla al centro... :sofico:

nV 25
18-07-2009, 20:38
Visto il clima di "familiarità" & "intimità" che caratterizza questo thread, vi riporto per chiarezza la mia missiva con Ilya...

In sostanza, a causa del mio tempo libero (0..) che mi impedisce di procedere di persona alla verifica, gli ho passato il link del sample e questa è stata la risposta:
"Well, I did run that samples and I see nothing with the log. Very strange.
But I don't see anything passed though. Tomorrow will try to run it for an hour."

C'è quindi una stranezza di fondo, e cioè che l'esecuzione del malware non produce nessun tipo di evento...
Allo stesso tempo, non registra anomalie al sistema...
"Si promette" di riverificare il sample (erano le 23 di ieri sera, l'1 di notte di Mosca..)

Alla mia successiva mail nella quale si diceva sostanzialmente cosa fosse emerso dalla sua successiva e più approfondita verifica, la risposta è stata di questo tenore:
"Yes, no news as I'm very busy with a strange BSOD issue with the V3 driver. When I find and fix the driver, I'll back to the topic."

Il tutto avveniva praticamente in tempo reale visto che, come detto + volte, tra le mie mail e le sue risposte non passano più di 20 minuti....:D

PS: a regola dal mese di agosto dovrebbe essere disponibile la beta della v3 che, come potete immaginare, ATTENDO IMPAZIENTE visto che implementerà una sorta di basic firewall in linea con la filosofia del suo HIPS:
effettività coniugata alla semplicità di utilizzo...


Vediamo, ma credo che brucerà i vari test di Matousec a prezzo di 0/1 (?) pop-up...

**********************************************

@ erreale:
dispiace veder cancellati i tuoi post per un moto di rabbia sebbene abbia quasi sicuramente capito da cosa sia stato indotto...

Questo thread, infatti, "non aveva colpa" della vicenda e perde sicuramente qualcosa...

Ciao, Ale!

eraser
19-07-2009, 02:37
Se infatti il malware in questione riece a bypassare il driver del file system (sotto il controllo dell'I/O manager), può scrivere sul disco direttamente grazie al disk driver, in quanto verrà bypassato anche il driver filtro (che redirige la scrittura nella cache "virtuale"), figurativamente situato tra i due.

PS
dato che ho passato il sample anche a un altro utente, è probabile che lo testi su software differenti.


Gran parte dei software in questione non lavora a livello del driver che gestisce il file system, non solo almeno, visto che sarebbe folle e totalmente insicuro.

Invece il driver che gestisce la comunicazione con i dischi, il famoso "disk.sys" è quello che solitamente viene filtrato da questi software. La bravura sta tutta nel bypassare questo filtro (cosa peraltro abbastanza facilmente attuabile).

Il sample è stato passato anche a Prevx.

Sì, mi è arrivato sotto mano il sample giusto ieri per analisi. È sicuramente molto interessante come sample, almeno ad una prima analisi tecnica.

riazzituoi
19-07-2009, 17:22
.

eraser
19-07-2009, 19:22
se posso permettermi, sarebbe utile pubblicare qualcosa, soprattutto perchè c'è gente che è ancora scettica nel credere che questo o altri malware possano bypassare programmi di recovery/virtualizzazione.
E sinceramente non so se è più pericoloso il malware in questione, o questi utenti....

Come avevo detto già in un intervento precedente qualche tempo fa, non credo molto a queste tecnologie perché posso assicurare che sono facilmente bypassabili, perlomeno per come è ora il loro design.

Infatti quando mi è giunta voce di questo malware non mi ha stupito assolutamente, anzi mi sembrava strano che ancora non fosse stato sviluppato

Kohai
19-07-2009, 20:53
.
Sulle differenze tra OA/MD:

entrambi sono sui livelli di eccellenza anche se MD si rivolge sicuramente ad un pubblico più raffinato...

Le differenze + macroscopiche tra le 2 soluzioni, cmq, dovrebbero risiedere nella funzionalità run safer (peculiare di OA) e nel fatto che OA è "più Firewall" di MD...

Questo, giusto in soldoni e senza scendere troppo nei particolari che rimetto volentieri, anzi, ad altri più preparati...
Ti ringrazio per la sintetica ma esaustiva risposta :)

dai nV qua di gente più preparata di te sugli hips non ce n'è, lo sai:O:)

@ Kohai
come già detto... in generale le aree protette dai due programmi sono le stesse solo che OA tende a decidere da solo e interrogare l'utente se strettamente necessario (per i vari oasis & co), mentre MD no....

per altre specifiche...
MD in definitiva si rivela un hips più puro, mancando un pò dal lato firewall...in questo senso la cosa è voluta: Xiaolin non ha intenzione di sviluppare in modo significativo il firewall...
mentre OA ha una buon modulo firewall...



per l'opzioe di riduzione di privilegi gliel'ho chiesto personalmente e ha detto che ci penserà, sono scettico cmq:O :D
Mentre OA ha già quest'opzione, che imho è un grosso punto a suo favore!



MD è molto più versatile e più customizzabile (sotto diversi punti di vista), OA direi proprio di no


questo è ciò che mi è venuto in mente, le cose principali, anche avendo letto il post di nV...per il resto non saprei...potrei dirti che MD occupa 15 Mb e OA quasi 60, anche se non penso ti interessi :D

Saluti:)
Ringrazio anche te cloutz per la risposta ed essendo stato piu' "minuzioso" :)

.

E sinceramente non so se è più pericoloso il malware in questione, o questi utenti....
:asd: :asd:

nV 25
19-07-2009, 22:10
Ufficiale:

DW vs Allegedly = 1 - 0 :p

Dopo avermi comunicato di aver risolto il problema nel codice dell'imminente v3, mi ha confermato (in linea peraltro con quanto esposto poc'anzi da eraser...) che "this piece of malicious software is very curious- it's using quite rare maliciuous techinques to bypass proactive defense systems..."

Ma (conclude Ilya...) "naturally, it couldn't bypass DefenseWall..." :p


Come da previsione, peraltro...

Mi unisco al coro di riazzi per avere maggiorni dettagli sul blog Prevx...

riazzituoi
20-07-2009, 09:03
.

cloutz
20-07-2009, 10:37
piccola parentesi...nuova versione MD beta 2.3:

The beta version is available for download at http://www.torchsoft.com/download/md_setup_2.3.0_b1.exe

what's new?
- Added support for manipulating registry symbolic links in the registry editor.
- Added support for disabling mdhook.dll.
- Added support for sorting sub-rules of an application rule.
- Added ignore list for removing stale rules.
- Added a menu item to check for updates.
- Added an option to log all denied actions.
- Fixed some minor bugs.


Thanks,
Xiaolin

ho appena tradotto le nuove voci della beta, in giornata dovrebbe esser pronta anche la beta in italiano...

appena disponibile, posterò il link al download;)

Saluti



[edit]
come promesso: MD 2.3 beta1 Ita Download (http://www.torchsoft.com/download/md_setup_ita_2.3.0_b1.exe)

eraser
20-07-2009, 10:55
Certo, comunque questa tipologia di software è molto utile per tenere il sistema pulito, in uno stato basale (pensiamo anche ai vari esercizi pubblici che possono beneficiare di ciò), ed è poi il motivo per cui sono nati.

Infatti gli esercizi pubblici che utilizzavano solo software del genere per tenere il sistema pulito in uno stato "iniziale" sono rimasti colpiti da questa infezione :p

Questo per dire che se devi tenere un sistema comunque pulito in uno stato dove si può ritornare facilmente ad una situazione iniziale non bastano questi software, vanno utilizzati comunque account limitati e/o altre misure di sicurezza aggiuntive

@Sirio@
20-07-2009, 11:06
Come avevo detto già in un intervento precedente qualche tempo fa, non credo molto a queste tecnologie perché posso assicurare che sono facilmente bypassabili, perlomeno per come è ora il loro design.

Infatti quando mi è giunta voce di questo malware non mi ha stupito assolutamente, anzi mi sembrava strano che ancora non fosse stato sviluppato

Ricordo il post dove ne parlavi, la cosa mi preoccupò un po' e avrei voluto chiederti maggiori spiegazioni.. cmq le hai date adesso, grazie.

Ti vorrei chiedere un'altra cosa: Pensi che allo stato attuale ci sia margine per poter "coprire" questa vulnerabilità di cui ci hai parlato? Oppure per come sono concepiti questi software non è possibile?

PS Letto adesso il tuo ultimo post.... quindi non c'è possibilità senza account limitato, hips, ecc.?

@Sirio@
20-07-2009, 11:11
...

Non devi dirlo a noi "quattro gatti", o almeno non solo.
Sarebbe opportuno che anche la "massa" venisse informata dei potenziali rischi, e ciò può solo essere fatto da una fonte autorevole, contrariamente il consiglio rischierebbe di essere inascoltato.

Comunque la "massa" ascolta..;) e non sai quanto apprezzo quando gente preparata come voi, ci spiega.

Lo passeresti anche a me il malware? Mi hai incuriosito e vorrei provare a vedere come si comporta.

Grazie in anticipo in ogni caso.

eraser
20-07-2009, 11:19
PS Letto adesso il tuo ultimo post.... quindi non c'è possibilità senza account limitato, hips, ecc.?

Niente è impossibile, per come però sono attualmente progettati a mio avviso sono facilmente bypassabili. Avevo progettato un modo per superarli già tempo fa, ma come era facilmente prevedibile era solo questione di tempo prima che qualcuno sfruttasse tecnologie similari

eraser
20-07-2009, 11:48
Mi unisco al coro di riazzi per avere maggiorni dettagli sul blog Prevx...

Non so sinceramente, ora decido cosa fare con i colleghi. Dare troppi dettagli potrebbe essere più nocivo che utile

cloutz
21-07-2009, 08:09
scusate se continuo con le mie piccole parentesi:D

EQSecure 4.2 Pro è stato rilasciato
http://www.wilderssecurity.com/showpost.php?p=1507522&postcount=6

Non è la versione castrata, è quella completa come la 3.41..

p.s.: non è più free, e la trial dura 3 ore:read:

---------------------------------------------------------------------

p.s2: sto convincendo Xiaolin a implementare un "RunSafer" in Malware Defender, una specie di riduttore di privilegi...secondo me può fare la differenza in alcuni casi..

R: "I have such plan, a RunSafer option or sandbox like feature. I will do some research first."

Saluti

sampei.nihira
21-07-2009, 17:04
scusate se continuo con le mie piccole parentesi:D

EQSecure 4.2 Pro è stato rilasciato
http://www.wilderssecurity.com/showpost.php?p=1507522&postcount=6

Non è la versione castrata, è quella completa come la 3.41..

p.s.: non è più free, e la trial dura 3 ore:read:

---------------------------------------------------------------------

p.s2: sto convincendo Xiaolin a implementare un "RunSafer" in Malware Defender, una specie di riduttore di privilegi...secondo me può fare la differenza in alcuni casi..

R: "I have such plan, a RunSafer option or sandbox like feature. I will do some research first."

Saluti

Si avevo già letto la triste (perchè non più free) notizia.
Come la "buffonata" del tempo della trial !! :D :D

Visto che il mio EQS sarà intervenuto dal momento che l'ho installato solamente 1 volta, se non vado errato, naturalmente a parte gli interventi che ho pilotato io in qualche test, lascio per il momento la vecchia versione poi si vedrà......

p.s. Macchè scusate fai bene a "parentisare" !!!! :D :D :D

eraser
22-07-2009, 19:07
just fyi ho pubblicato un articolo sul blog Prevx riguardo il trojan SafeSys

Romagnolo1973
22-07-2009, 19:18
just fyi ho pubblicato un articolo sul blog Prevx riguardo il trojan SafeSys

http://www.prevx.com/blog.asp

cloutz
22-07-2009, 19:20
just fyi ho pubblicato un articolo sul blog Prevx riguardo il trojan SafeSys

Grazie, ho apprezzato davvero l'articolo:)

Saluti

@Sirio@
22-07-2009, 20:08
Niente è impossibile, per come però sono attualmente progettati a mio avviso sono facilmente bypassabili. Avevo progettato un modo per superarli già tempo fa, ma come era facilmente prevedibile era solo questione di tempo prima che qualcuno sfruttasse tecnologie similari

Grazie, ho letto il tuo articolo... a me è piaciuta l'ultima parte in particolare, dove spieghi meglio come agisce. :D

Alla fine sono andato a cercarlo ed ho trovato questo http://img232.imageshack.us/img232/6133/safesys.th.png (http://img232.imageshack.us/my.php?image=safesys.png) è quello giusto?

Ciao.

P.S. Controllato su VT.. e non mi sembra proprio.

a2.exe - http://www.virustotal.com/analisis/6a6e40d57f05c1d533ddcc822d7afd9235624ef1752711d147775bbba6de9559-1248338059

SafeSys.exe - http://www.virustotal.com/analisis/8ae30b001ed9d55cd098505ee8049c5fa64d632e68ed236504bc0972c3e0bbd2-1248338284

1.exe - http://www.virustotal.com/analisis/043082260108aaf9af1ba12fc155eaecf24152e3966375c57a67bf30e05673f4-1248338490

a6.exe - http://www.virustotal.com/analisis/e13753f535f6a346f482b0c523f047651c5c0e9a865d69fbe6a4e61636a7b542-1248338896

killdll.dll - http://www.virustotal.com/analisis/ec0040785401368b9727d98d1d3e910169f05b9df0cdd08f4015d5be00849f12-1248339868

M1.exe - http://www.virustotal.com/analisis/a06c26b3a71887ae01dd07e5232eac0b2b64caee009c08edfddd64cafd3aa7dd-1248340062

spoolsv.exe - http://www.virustotal.com/analisis/3d47e835ee32abf8031a68ad2898c413516a4335e8451ac8e850f221951a284c-1248340273

usmsvc.exe - http://www.virustotal.com/analisis/8a15acd05800008c85d670c4db0367346ab6b510ba86a87141e0092aa94ea072-1248340885

eraser
23-07-2009, 10:33
Sì, è quello giusto

@Sirio@
23-07-2009, 11:43
Bene :) allora appena riesco preparo il pc e faccio uno dei miei test "casarecci" :D

cloutz
24-07-2009, 11:09
E' uscito MD 2.3 stabile:
http://www.wilderssecurity.com/showpost.php?p=1509753&postcount=19

è quasi pronto il tutorial per MD :D

nV 25
24-07-2009, 20:47
Ne approfitto anzitutto per ringraziare riazzituoi per avermi girato l'Allegedly discusso in questi ultimi post (da buon S.Tommaso, infatti, volevo toccare con mano senza rimettermi esclusivamente alla dichiarazione di Ilya...) e per segnalare che ho avuto modo di testare anche il sample inizialmente segnalato da Aigle qui! (http://www.wilderssecurity.com/showthread.php?t=248427).

Come sintetizzato da Aigle stesso (i dettagli, cmq, sono ricavabili nei link da lui stesso forniti, in particolare questo! (http://blog.fireeye.com/research/2009/07/ddos-madness-climax.html)), siamo di fronte ad un malware distruttivo visto che si propone sia di distruggere il MBR sia di criptare certe tipologie di dati cosi' da renderne inpossibile il recupero in un 2° momento...

DefenseWall è stato tranquillamente in grado di prevenire entrambe le azioni, l'aggressione del MBR e la preservazione dei file contro la cifratura...

Se ho immagini decenti le posto...


PS: sono disponibile a girare il sample ma, vista la pericolosità dello stesso, è realmente richiesta qualche precauzione maggiore.
Ciao a tutti

@Sirio@
25-07-2009, 11:20
Ciao nV,
avevo letto il thread e i link postati da Aigle ed avevo anche provato a cercarlo.. senza successo.

Me lo passeresti?

Grazie.

riazzituoi
25-07-2009, 15:43
.

eraser
25-07-2009, 16:50
detto inter nos, o stiamo parlando di due malware differenti o mi deve essere sfuggita qualche parte del codice :D

Ma dubito della seconda, penso piu che altro che il malware di cui parli aigle (e nV 25) sia diverso dal SafeSys/Allegedly.

Nel caso sia un malware differente, non ho il sample sottomano per cui so dire poco a riguardo :stordita:

Edit: ho riletto meglio il post di nV 25 e mi era sfuggita una "e" con funzione di congiunzione :D Non ho sottomano il sample di quest'ultimo malware di cui si discute, posso dire ben poco :stordita:

nV 25
25-07-2009, 18:57
L'ultimo sample del quale stò parlando è diverso dall'Allegedly...

Spedisco il sample a eraser e sirio ricordando che, se dovesse servire, anche riazzituoi ne è in possesso..

eraser
25-07-2009, 19:25
L'ultimo sample del quale stò parlando è diverso dall'Allegedly...

Spedisco il sample a eraser e sirio ricordando che, se dovesse servire, anche riazzituoi ne è in possesso..

Vediamo se, appena ho un attimo di tempo, riesco ad analizzarlo senza fare danni :D

nV 25
25-07-2009, 20:07
se ti fai infinocchiare te giuro di ritagliarmi una giornata di tempo per venirti a stringere la mano di persona....:sofico:

PS:
anzi, si, auto-infinocchiati che cosi' ne approfitto per conoscerti e trasformiamo in reale una conoscenza che, virtualmente, va avanti da (credo...) + di 4 anni...:)

nV 25
25-07-2009, 20:44
@ cloutz:
confermo che DW è vulnerabile al PoC segnalato qui, --> link (http://www.wilderssecurity.com/showthread.php?t=248588)...

http://img187.imageshack.us/img187/1015/clipboard01vyd.jpg

Il test è stato condotto su notepad.exe che, infatti, viene terminato nel giro di breve.



Verificherò cosa accade aggredendo il processo che gestisce l'interfaccia di DW (che cmq, anche là dove terminato, non farebbe venir meno la protezione del programma in sè) e il suo servizio.

Ilya è informato da 5 minuti...

cloutz
25-07-2009, 20:49
@ cloutz:
confermo che DW è vulnerabile al PoC segnalato qui, --> link (http://www.wilderssecurity.com/showthread.php?t=248588)...

http://img187.imageshack.us/img187/1015/clipboard01vyd.jpg

Il test è stato condotto su notepad.exe che, infatti, viene terminato nel giro di breve.



Verificherò cosa accade aggredendo il processo che gestisce l'interfaccia di DW (che cmq, anche là dove terminato, non farebbe venir meno la protezione del programma in sè) e il suo servizio.

Ilya è informato da 5 minuti...

grazie per aver provato :)
anche MD cade..

non si riesce, però, a terminare l'interfaccia grafica nè il servizio di MD.

anch'io ho scritto a Xiaolin, vediamo che dice..:rolleyes:

nV 25
25-07-2009, 20:59
che dire?

mi ha già risposto! :D

"Hi Massimiliano!

Yes, I know about this PoC. The most important thing here DW's GUI is not affected. As about third-party software- shatter protection have been improved."

Notare peraltro che dice di aver già risolto (shatter protection have been improved anche se a questo punto, cmq, la protezione più estesa sarà per l'immimente v3...)

cloutz
25-07-2009, 21:08
che dire?

mi ha già risposto! :D

"Hi Massimiliano!

Yes, I know about this PoC. The most important thing here DW's GUI is not affected. As about third-party software- shatter protection have been improved."

Notare peraltro che dice di aver già risolto (shatter protection have been improved anche se a questo punto, cmq, la protezione più estesa sarà per l'immimente v3...)

:D
Peraltro ho visto che ci sono grandi (http://www.wilderssecurity.com/showpost.php?p=1510212&postcount=2) novità per la v3:Prrr:

Io attendo risposte da X., e nel frattempo esco:)

Buona Serata

eraser
26-07-2009, 03:04
se ti fai infinocchiare te giuro di ritagliarmi una giornata di tempo per venirti a stringere la mano di persona....:sofico:

PS:
anzi, si, auto-infinocchiati che cosi' ne approfitto per conoscerti e trasformiamo in reale una conoscenza che, virtualmente, va avanti da (credo...) + di 4 anni...:)

Se si organizza una cena vengo volentieri :D La cena della sezione Antivirus e Sicurezza :D

eraser
26-07-2009, 03:05
se ti fai infinocchiare te giuro di ritagliarmi una giornata di tempo per venirti a stringere la mano di persona....:sofico:

PS:
anzi, si, auto-infinocchiati che cosi' ne approfitto per conoscerti e trasformiamo in reale una conoscenza che, virtualmente, va avanti da (credo...) + di 4 anni...:)

Se si organizza una cena vengo volentieri :D La cena della sezione Antivirus e Sicurezza :D

eraser
26-07-2009, 03:09
se ti fai infinocchiare te giuro di ritagliarmi una giornata di tempo per venirti a stringere la mano di persona....:sofico:

PS:
anzi, si, auto-infinocchiati che cosi' ne approfitto per conoscerti e trasformiamo in reale una conoscenza che, virtualmente, va avanti da (credo...) + di 4 anni...:)

Perché non si organizza una cena della sezione antivirus e sicurezza? Non sarebbe un'idea malvagia :)

eraser
26-07-2009, 03:10
se ti fai infinocchiare te giuro di ritagliarmi una giornata di tempo per venirti a stringere la mano di persona....:sofico:

PS:
anzi, si, auto-infinocchiati che cosi' ne approfitto per conoscerti e trasformiamo in reale una conoscenza che, virtualmente, va avanti da (credo...) + di 4 anni...:)

Perché non si organizza una cena della sezione antivirus e sicurezza? Non sarebbe un'idea malvagia :)

eraser
26-07-2009, 03:40
Va beh, scusate lo spropositato numero di post doppioni soprastanti, ma alle 4 il database del forum va puntualmente a "donnine", per cui dice che non ha inserito il post e in realtà ne ha inseriti quarantadue uguali.

Sorry

sampei.nihira
26-07-2009, 06:29
Ho provato pochissimo (per forza con solo 3 ore......) EQS 4.2 che come sapete già adesso è non più free.
Non ne ho ricevuto una buona impressione.
A ben vedere anche l'utente storico del sw su W.,cioè Alcyon ne ha una simile Quì (http://www.wilderssecurity.com/showpost.php?p=1510432&postcount=8).

cloutz
26-07-2009, 08:15
Perché non si organizza una cena della sezione antivirus e sicurezza? Non sarebbe un'idea malvagia :)
:ubriachi:
cmq sarebbe una cosa carina imho..:)

edit:
questa è la risposta di Xiaolin, è arrivata stanotte alle 2..

[...]This POC have been released in the Chinese MD forum first. It cannot kill MD. I will think about whether to fix it or not.

quindi, anche qui, tutto sotto controllo..per fortuna!

nV 25
26-07-2009, 22:03
Va beh, scusate lo spropositato numero di post doppioni soprastanti, ma alle 4 il database del forum ...
se hai fatto tutta questa scena solo perchè volevi pagare te, beh, potevi dirlo tranquillamente utilizzando un solo post...

A noi, infatti, va benone...:read:


:asd:




Non sarà mica, invece, cancellino...braccino*?

*braccino->braccino corto (alias, tirato, spilorcio,...) :D

nV 25
26-07-2009, 22:11
Ho provato pochissimo (per forza con solo 3 ore......)

in effetti 'sta cosa è realmente esilarante! :D

eraser
27-07-2009, 02:06
Non sarà mica, invece, cancellino...braccino*?

*braccino->braccino corto (alias, tirato, spilorcio,...) :D

Ovvio che sì :Prrr:

@Sirio@
27-07-2009, 17:41
Grazie enne :) scaricato.

Sto preparando il PC (ne ho rimediato uno che stavano buttando: AMD 1.20 GHz con 1GB di RAM, questo dovrebbe andar bene anche per la VM :D)...

Piace anche a me l'idea della cena, ormai è diventata mitologica :D, in questi due anni ho letto varie volte di questa cena.......... ma l'avete mai fatta???

Ciao ciao.

eraser
27-07-2009, 18:25
La facciamo organizzare a enne in Toscana, che si offre gentilmente come organizzatore della serata :D :fagiano: :sofico:

@Sirio@
27-07-2009, 19:53
Mozione approvata!!! :D :D

Andrea9907
27-07-2009, 22:58
Scusate se interrompo questa questione così seria... :D :
Parliamo di Win Patrol.
Secondo voi questo programma è:
- utile
- indispensabile
- se ne può fare a meno
Come protezione in real time uso Antivir 9 e Outpost free ( la versione attuale ovviamente), più Superantipsyware free e Malwarebytes sempre free: non so se Win Patrol possa essere complementare o se non abbia nulla a che vedere, tra l'altro sono appena 5-6gg che l'ho installato.
Ciao!
Ah, dimenticavo: buona cena!:cincin: :D

sampei.nihira
28-07-2009, 13:54
La facciamo organizzare a enne in Toscana, che si offre gentilmente come organizzatore della serata :D :fagiano: :sofico:

Se è in Toscana io proporrei NON l'alta Toscana ci sia mai qualcuno che soffre di vertigini !! :D :D
Se è nel Granducato quasi quasi potrei venire pure io (se non vi dà noia la puzza di pesce.....i gatti mi amano !!! ) :D :D

Naturalmente parleremo di TUTTO meno che della materia attinente questo forum, giusto ?

Altrimenti la possiamo anche fare in una clinica psichiatrica dove sono ricoverati i "soliti psicopatici tecnologici".......:Prrr: :Prrr: :Prrr:

riazzituoi
28-07-2009, 15:15
.

eraser
29-07-2009, 02:15
La versione beta di ShadowDefender 1.1.0.280 è immune al SafeSys (l'MBR rootkit invece lascia ancora tracce).

Si, hanno praticamente cercato di tamponare un'emorragia massiva con un cerottino della coop ;)

@Sirio@
30-07-2009, 09:12
Se è in Toscana io proporrei NON l'alta Toscana ci sia mai qualcuno che soffre di vertigini !! :D :D
Se è nel Granducato quasi quasi potrei venire pure io (se non vi dà noia la puzza di pesce.....i gatti mi amano !!! ) :D :D

Naturalmente parleremo di TUTTO meno che della materia attinente questo forum, giusto ?

Altrimenti la possiamo anche fare in una clinica psichiatrica dove sono ricoverati i "soliti psicopatici tecnologici".......:Prrr: :Prrr: :Prrr:

:D

Mi piacerebbe sul serio incontrarvi dal vivo...

Ciao Sampei ;)

sampei.nihira
30-07-2009, 16:02
@ Sirio

Salutoni Sirio.:) :sofico:

levriero
31-07-2009, 09:43
Obbiettivamente mi aspettavo molto di più da questo software..
Grande potenzialità...tanto tempo x l'uscita...
aimè il risultato è deludente.
Decisamente meglio la V3.:doh:

Chill-Out
01-08-2009, 00:09
Rilasciata la versione 2.9 di GeSWall

http://www.gentlesecurity.com/blog/index.php/2009/07/31/download-geswall-2-9

caturen
01-08-2009, 20:39
Rilasciata la versione 2.9 di GeSWall

http://www.gentlesecurity.com/blog/index.php/2009/07/31/download-geswall-2-9

Volevo far presente qualche problema di coesistenza tra geswall ed avira. Infatti dopo aver effettuato il download di geswall ed avviato l'installer avira mi bloccava l'installazione perchè mi diceva che geswall aveva un trojan. Nel popup che mi appariva dovevo settare IGNORA e sotto anche la casella RICORDA SEMPRE QUESTA AZIONE PER QUESTO FILE (o qualcosa di simile) altrimenti non c'era verso di fare l'installazione. Adesso ho provato ad eseguire una scansione con avira, il quale mi continua a riconoscere questo trojan: Tr/Spy.Gen. Ho segnalato la cosa ad Avira come falso positivo

caturen
02-08-2009, 08:45
Volevo far presente qualche problema di coesistenza tra geswall ed avira. Infatti dopo aver effettuato il download di geswall ed avviato l'installer avira mi bloccava l'installazione perchè mi diceva che geswall aveva un trojan. Nel popup che mi appariva dovevo settare IGNORA e sotto anche la casella RICORDA SEMPRE QUESTA AZIONE PER QUESTO FILE (o qualcosa di simile) altrimenti non c'era verso di fare l'installazione. Adesso ho provato ad eseguire una scansione con avira, il quale mi continua a riconoscere questo trojan: Tr/Spy.Gen. Ho segnalato la cosa ad Avira come falso positivo
Anche Asquared rileva lo stesso file come trojan:muro:

nV 25
02-08-2009, 21:35
lo hai scaricato proprio dal sito indicato da Chill-Out?

Se si, è un FP al 200%...

....
Parliamo di Win Patrol.
Secondo voi questo programma è:
- utile
- indispensabile
- se ne può fare a meno
Come protezione in real time uso ...
se Outpost integra una qualche forma di HIPS, risposta c....

kkt77
15-08-2009, 22:40
Decisamente meglio la V3.:doh:

Riguardo a EQS, la versione resta gratuita, vero?
Ringrazio in anticipo

sampei.nihira
16-08-2009, 06:13
Riguardo a EQS, la versione resta gratuita, vero?
Ringrazio in anticipo

La recente 4.2 non è più gratuita la puoi provare per ben 3 ore !!!!!!
Mentre la 3.41 ovviamente è free.

sampei.nihira
18-08-2009, 14:04
http://www.wilderssecurity.com/showthread.php?t=251248

Oggi su W. mi sembra sia il 3D più interessante.
Come potete vedere ha attirato anche l'attenzione dello sviluppatore di DW cioè I.R.

nV 25
18-08-2009, 19:44
peccato che il tutto sia riconducibile ad un bluff, per lo meno se osservato dalla parte di DefenseWall:
il malware, infatti, è lanciato come trusted visto che il maldestro tester, simulando evidentemente l'uso del software da parte di un ebete, non si è pure preso la briga di settare (via pannello di controllo) l'apposita funzione che dice sostanzialmente di trattare periferiche removibili alla stregua di threat gateways...


Una simulazione di coglionaggine.

E se un utente, aggiungo, pretende di utilizzare un qualsiasi software senza leggere nemmeno 2 righe del manuale (che peraltro, in questo caso, è realmente elementare...), è solo un coglione.

Punto.

Un coglione che farebbe sicuramente maggior figura a giocare a Call of Duty sull'xbox invece che ostinarsi ad usare il Pc.

nV 25
18-08-2009, 19:55
continuando la metafora, sarebbe come usare un hips puro con il learning mode sempre attivo e meravigliarsi se questo non sia in grado di intercettare neppure il semplice lancio di un eseguibile...

Un non senso che, come conseguenza diretta, non può avere che una calda raccomandazione = cambiare hobby...;)

nV 25
18-08-2009, 20:32
ok

Ho visto il video (ridicolo..) e, + che altro, i commenti di Kees1958, persona capace tanto di catturare l'interesse quanto di offrire sempre validi spunti di riflessione grazie alla sua capacità di analisi/comparazione davvero raffinata specie se si pensa che a parlare è un "non technician"...

Dopo il meritato tributo a questo personaggio, valore aggiunto di Wilders assieme ad Aigle, il test:

il rischio non proviene da un'unità removibile ma da un file condiviso in una LAN (errore mio, quindi).

La sostanza, cmq, non cambia visto che i settaggi di DW consentono di isolare l'intero spettro dei threat gateways, siano essi processi o "unità" (come quelle ottiche, removibili, o quelle ipotizzate nel test, file cioè la cui fonte è una LAN)...


Per DefenseWall, quindi, se del buono c'è in questo test, è solo mettere in evidenza come di default certi settaggi non siano abilitati...
Troppo poco, quindi, per gridare al FALLIMENTO di una soluzione...

riazzituoi
18-08-2009, 21:31
.

nV 25
19-08-2009, 21:54
Anche se nulla di nuovo, segnalo un mini-tool molto interessante: TestDriver (https://forums.comodo.com/index.php?action=dlattach;topic=44186.0;attach=38148)

"There are two main ways a program can load a driver. One is by writing to the registry in HKLM\System\CurrentControlSet\Services and then calling NtLoadDriver. The other is by contacting the services controller (services.exe) and telling it to create a service to load the driver"...


E' nato tutto da questa discussione (link! (http://www.wilderssecurity.com/showthread.php?t=251309)) su input di un altro utente (underdog)....


Strumento utile per comparare i pop up di soluzioni diverse....


DefenseWall nell'immagine e nel log sotto...

http://img32.imageshack.us/img32/8219/clipboard01cxu.jpg

eraser
20-08-2009, 18:47
Avrei qualcosa da obiettare sul numero di modi per caricare un driver :fagiano: :D

nV 25
20-08-2009, 19:30
wj32 (autore del tool e di Process Hacker..) voleva mostrare (probabilmente..) solo i 2 più comuni...
In effetti, se questi modi fossero solo quelli da lui riassunti....:(


Se parli in una lingua comprensibile (alla wj32, per intendersi...) e ci vuoi fare una mini lesson, cmq...:D :fiufiu:

eraser
20-08-2009, 19:38
wj32 (autore del tool e di Process Hacker..) voleva mostrare (probabilmente..) solo i 2 più comuni...
In effetti, se questi modi fossero solo quelli da lui riassunti....:(


Se parli in una lingua comprensibile (alla wj32, per intendersi...) e ci vuoi fare una mini lesson, cmq...:D :fiufiu:

Tu sei ancora incaricato di organizzare la cena :O

nV 25
20-08-2009, 19:51
Se ne parlerebbe a voce, allora? :stordita:



PS:
cena?
Quale cena? :ciapet:

Ammetto cmq che una giornata in tua compagnia sarebbe più utile di 6 mesi di letture su wilders...

eraser
20-08-2009, 20:36
Se ne parlerebbe a voce, allora? :stordita:



PS:
cena?
Quale cena? :ciapet:

Ammetto cmq che una giornata in tua compagnia sarebbe più utile di 6 mesi di letture su wilders...

http://www.hwupgrade.it/forum/showpost.php?p=28348438&postcount=2164
http://www.hwupgrade.it/forum/showpost.php?p=28364624&postcount=2174

:O

riazzituoi
21-08-2009, 12:34
.

sampei.nihira
21-08-2009, 15:31
Bypassato Sandboxie da un malware itw (dopo circa 1 anno di astinenza :D):
http://sandboxie.com/phpbb/viewtopic.php?t=6123&postdays=0&postorder=asc&start=0

Molto interessante,grazie Riazzituoi di aver messo all'attenzione questa notizia.;)

nV 25
22-08-2009, 20:56
Bypassato Sandboxie da un malware itw (dopo circa 1 anno di astinenza :D):
http://sandboxie.com/phpbb/viewtopic.php?t=6123&postdays=0&postorder=asc&start=0

questo, invece, è quanto emerge dalla prova effettuata VS DefenseWall 2.56:

http://img18.imageshack.us/img18/3869/47767766.th.jpg (http://img18.imageshack.us/i/47767766.jpg/)

Le restrizioni di DWall ne ostacolano la corretta installazione,

http://img18.imageshack.us/img18/2488/35904169.th.jpg (http://img18.imageshack.us/i/35904169.jpg/)

DW "cattura" inoltre modifiche al sistema (che è ovviamente possibile "scartare" in un qualsiasi momento...),

http://img18.imageshack.us/img18/6867/47909264.th.jpg (http://img18.imageshack.us/i/47909264.jpg/)http://img21.imageshack.us/img21/8104/4emezzo.th.jpg (http://img21.imageshack.us/i/4emezzo.jpg/)http://img21.imageshack.us/img21/2932/81756000.th.jpg (http://img21.imageshack.us/i/81756000.jpg/)

Il Pc, alla fine della fiera, è lindo come il sederino di un neonato appena accudito dalle mani amorevoli della mamma...:D

Il tutto, a prezzo di 0 pop-up...

eraser
23-08-2009, 01:45
nV, stai ancora cercando di evitare di assolvere ai tuoi compiti per la cena :O Fai finta di non leggere :O

sampei.nihira
26-08-2009, 14:58
C'è qualcuno che ha provato l'installazione di "malware.exe" con RVS o GW ?

commi
26-08-2009, 21:19
questo, invece, è quanto emerge dalla prova effettuata VS DefenseWall 2.56:

[img]

Le restrizioni di DWall ne ostacolano la corretta installazione,

[img]

DW "cattura" inoltre modifiche al sistema (che è ovviamente possibile "scartare" in un qualsiasi momento...),

[img]

Il Pc, alla fine della fiera, è lindo come il sederino di un neonato appena accudito dalle mani amorevoli della mamma...:D

Il tutto, a prezzo di 0 pop-up...

Ciao enne.
Ho provato anch'io il file "malware.exe" con DW 2.56 e vorrei segnalare che, nel mio caso, il processo di installazione non parte nemmeno, visto che viene bloccato "sul nascere" da DW, anche con l'opzione "expert mode" attivata.

Viceversa, utilizzando il file "SpyBossProFull.msi" DW si comporta nel modo che hai descritto.

Aggiungo che il tentativo di installazione del rootkit avviene usando il file malware.exe e non anche con SpyBossProFull.msi; l'ho testato su macchina reale con sandboxie 3.39.07 (configurazione di default) ed il servizio spool settato su manuale e non avviato (come specificato dall'utente del forum di Sbie) e, in queste condizioni, viene creato il rootkit, regolarmente rilevato sia da RootRepeal che da GMER.
Invece, utilizzando il file SpyBossProFull.msi, anche sandboxie non viene "bucato", visto che non c'è il tentativo di installazione del malware.

commi
30-08-2009, 18:23
C'è qualcuno che ha provato l'installazione di "malware.exe" con RVS o GW ?

"Malware.exe" testato sia con Returnil Virtual System ver. 2008 Personal 2.0.1.9002 che con la più recente ver. 2010 3.0.5636.4886 Beta 8:
nessuna traccia del rootkit dopo il riavvio del pc (verificato sia con GMER che con RootRepeal).

GW non posso testarlo.... non si installa su fat32 :D.

sampei.nihira
31-08-2009, 08:36
"Malware.exe" testato sia con Returnil Virtual System ver. 2008 Personal 2.0.1.9002 che con la più recente ver. 2010 3.0.5636.4886 Beta 8:
nessuna traccia del rootkit dopo il riavvio del pc (verificato sia con GMER che con RootRepeal).

GW non posso testarlo.... non si installa su fat32 :D.

Vero l'ho segnalato più volte in questo forum questo fatto dovrebbe essere messo all'attenzione.:)
Anche io infatti uso un FS in FAT32.
Grazie per il tuo test.;)

commi
31-08-2009, 23:58
Altro 3d interessante su Wilders sulla "tenuta" di alcuni HIPS e sistemi di virtualizzazione nei confronti di un malware/rootkit:

http://www.wilderssecurity.com/showthread.php?t=252216

cloutz
01-09-2009, 19:59
Ho trovato una "stranezza" in DW:D

Usando Windows Live Messenger (composto da wlcomm.exe e msnmsgr.exe), mi sono accorto che msnmsgr.exe veniva trattato come Untrusted, come è giusto che sia...mentre wlcomm.exe come Trusted :mbe:

Ho già segnalato la stranezza ad Ilya, che l'ha confermata ma non se la sa spiegare...

comunque non dovrebbe rappresentare un rischio, perchè lo scambio/comunicazione tra ambienti Un/Trusted è negata [nonostante non sia, ovviamente, il migliore degli scenari...]

Saluti a tutti:)

sampei.nihira
02-09-2009, 14:25
Ho trovato una "stranezza" in DW:D

Usando Windows Live Messenger (composto da wlcomm.exe e msnmsgr.exe), mi sono accorto che msnmsgr.exe veniva trattato come Untrusted, come è giusto che sia...mentre wlcomm.exe come Trusted :mbe:

Ho già segnalato la stranezza ad Ilya, che l'ha confermata ma non se la sa spiegare...

comunque non dovrebbe rappresentare un rischio, perchè lo scambio/comunicazione tra ambienti Un/Trusted è negata [nonostante non sia, ovviamente, il migliore degli scenari...]

Saluti a tutti:)

Salute Cloutz e bentornato !! :)

Mi sembra di intuire che anche tu come nV25 adesso affidi la sicurezza del tuo pc a DW,ce lo confermi ?

cloutz
02-09-2009, 17:32
Salute Cloutz e bentornato !! :)

Mi sembra di intuire che anche tu come nV25 adesso affidi la sicurezza del tuo pc a DW,ce lo confermi ?

non proprio:D
lo sto solo provando...e sinceramente non mi dispiacerebbe acquistarlo:)

Saluti

@Sirio@
10-09-2009, 19:18
Ecco il test con wversion: http://www.hwupgrade.it/forum/showthread.php?p=28831243#post28831243



******************************************************************

Grazie, ho letto il tuo articolo... a me è piaciuta l'ultima parte in particolare, dove spieghi meglio come agisce. :D

Alla fine sono andato a cercarlo ed ho trovato questo http://img232.imageshack.us/img232/6133/safesys.th.png (http://img232.imageshack.us/my.php?image=safesys.png) è quello giusto?

Ciao.

P.S. Controllato su VT.. e non mi sembra proprio.

a2.exe - http://www.virustotal.com/analisis/6a6e40d57f05c1d533ddcc822d7afd9235624ef1752711d147775bbba6de9559-1248338059

SafeSys.exe - http://www.virustotal.com/analisis/8ae30b001ed9d55cd098505ee8049c5fa64d632e68ed236504bc0972c3e0bbd2-1248338284

1.exe - http://www.virustotal.com/analisis/043082260108aaf9af1ba12fc155eaecf24152e3966375c57a67bf30e05673f4-1248338490

a6.exe - http://www.virustotal.com/analisis/e13753f535f6a346f482b0c523f047651c5c0e9a865d69fbe6a4e61636a7b542-1248338896

killdll.dll - http://www.virustotal.com/analisis/ec0040785401368b9727d98d1d3e910169f05b9df0cdd08f4015d5be00849f12-1248339868

M1.exe - http://www.virustotal.com/analisis/a06c26b3a71887ae01dd07e5232eac0b2b64caee009c08edfddd64cafd3aa7dd-1248340062

spoolsv.exe - http://www.virustotal.com/analisis/3d47e835ee32abf8031a68ad2898c413516a4335e8451ac8e850f221951a284c-1248340273

usmsvc.exe - http://www.virustotal.com/analisis/8a15acd05800008c85d670c4db0367346ab6b510ba86a87141e0092aa94ea072-1248340885

Sì, è quello giusto

Ciao Marco, ho provato con questi file che avevo trovato ma credo siano quelli provenienti da un sistema infettato, cioè il risultato dell'infezione. Dico questo perché le attività non sono quelle che mi aspettavo la creazione di Safesys, ecc.


C'è qualcuno che mi può passare l'Allegedly... grazie.

cloutz
16-09-2009, 15:48
nessuno ha provato, per puro caso:D , BluePoint Security?

ho visto che se ne sta parlando bene su W e c'è anche qualche test su youtube...
non mi ispira molto, ci sono delle cose che ho visto che non mi piacciono, ma è ancora giovane, magari ci stupirà e diventerà il prossimo CIS...:p

Saluti

Romagnolo1973
16-09-2009, 16:27
nessuno ha provato, per puro caso:D , BluePoint Security?

ho visto che se ne sta parlando bene su W e c'è anche qualche test su youtube...
non mi ispira molto, ci sono delle cose che ho visto che non mi piacciono, ma è ancora giovane, magari ci stupirà e diventerà il prossimo CIS...:p

Saluti
Dai filmati più che un prossimo CIS mi sembra un BB a cui aggiungono Prevx (nessuna definizione malware ma collegamento al loro server per monitorare i file) e non è free

cloutz
16-09-2009, 16:44
Dai filmati più che un prossimo CIS mi sembra un BB a cui aggiungono Prevx (nessuna definizione malware ma collegamento al loro server per monitorare i file) e non è free

si, se poi non conoscono il file allora chiede cosa fare..
la cosa che non mi piace è la scarsità di informazioni nei popup: c'è scritto solo il nome dell'.exe, Allow o Block:stordita:

scusate almeno mettete l'azione che stava tentando di fare, il percorso completo, da chi era avviato e cosa voleva colpire...come si fa a giudicare un'azione solo dal nome del file?:D

booooh

Romagnolo1973
16-09-2009, 16:52
si, se poi non conoscono il file allora chiede cosa fare..
la cosa che non mi piace è la scarsità di informazioni nei popup: c'è scritto solo il nome dell'.exe, Allow o Block:stordita:

scusate almeno mettete l'azione che stava tentando di fare, il percorso completo, da chi era avviato e cosa voleva colpire...come si fa a giudicare un'azione solo dal nome del file?:D

booooh

outpost style :D
Poi manca anche un remember così se il file è non conosciuto ma legittimo tutte le volte che lo usi ti chiede cosa fare, comunque non sembra male, ma essendo pay non mi vede proprio, io sono in mode Tirchio inside

cloutz
16-09-2009, 16:54
...non sembra male, ma essendo pay non mi vede proprio, io sono in mode Tirchio inside

:asd:

kkt77
05-10-2009, 16:26
Anche se questo è un thread di gente che ne sa molto più di me e non ha bisogno di leggere le opinioni di uno come me, mi permetto di dare le mie impressioni d'uso di NetChina.
Sostanzialmente, ho installato NetChina perché si presentava molto leggero nell'uso delle risorse, la sua schermata si adattava discretamente ad uno schermo piccolo (di altezza 480 pixel) ed assolveva alle funzioni che cercavo, di un firewall con hips.
E ciò che dice di fare, lo fa', senza usare troppe risorse.
Chiede all'utente l'autorizzazione (se così configurato) per permettere l'esecuzione di un programma ed il suo accesso ad internet.
I menu mi sono sembrati abbastanza chiari, meno mi sono sembrate le sue richieste.

Attualmente, il programma l'ho disinstallato perché già qui avevo letto che fosse "acerbo" e, poco dopo la sua installazione, il sistema ha dato segni di squilibrio, per cui....
Le cause di questo squilibrio però possono essere varie, perché sul BenQ MID S6 (il "computerino" su cui l'ho installato) stavo facendo altri "paciocchi", per cui non è detto che la colpa dell'instalbilità fosse di NetChina.
Insomma, un prodotto che non escludo di tornare a ri-testare e che consiglio di testare a chi ha estremo bisogno di un software parco nell'uso delle risorse.
Certamente, il fatto che non sia sviluppato da un po' e l'esperienza che avevo letto qui, non me l'ha messo in bella luce.
Peccato, perché mi è sembrato molto parco nell'uso delle risorse, forse come nessun altro firewall+hips.
Adesso proverò PrivateFirewall oppure OnLine Armour

cloutz
05-10-2009, 16:33
Anche se questo è un thread di gente che ne sa molto più di me e non ha bisogno di leggere le opinioni di uno come me, mi permetto di dare le mie impressioni d'uso di NetChina.
Sostanzialmente, ho installato NetChina perché si presentava molto leggero nell'uso delle risorse, la sua schermata si adattava discretamente ad uno schermo piccolo (di altezza 480 pixel) ed assolveva alle funzioni che cercavo, di un firewall con hips.
E ciò che dice di fare, lo fa', senza usare troppe risorse.
Chiede all'utente l'autorizzazione (se così configurato) per permettere l'esecuzione di un programma ed il suo accesso ad internet.
I menu mi sono sembrati abbastanza chiari, meno mi sono sembrate le sue richieste.

Attualmente, il programma l'ho disinstallato perché già qui avevo letto che fosse "acerbo" e, poco dopo la sua installazione, il sistema ha dato segni di squilibrio, per cui....
Le cause di questo squilibrio però possono essere varie, perché sul BenQ MID S6 (il "computerino" su cui l'ho installato) stavo facendo altri "paciocchi", per cui non è detto che la colpa dell'instalbilità fosse di NetChina.
Insomma, un prodotto che non escludo di tornare a ri-testare e che consiglio di testare a chi ha estremo bisogno di un software parco nell'uso delle risorse.
Certamente, il fatto che non sia sviluppato da un po' e l'esperienza che avevo letto qui, non me l'ha messo in bella luce.
Peccato, perché mi è sembrato molto parco nell'uso delle risorse, forse come nessun altro firewall+hips.
Adesso proverò PrivateFirewall oppure OnLine Armour

io l'avevo provato Netchina..ed infatti l'avevo trovato molto giovane, però non è detto che le cose col tempo non siano cambiate /possano cambiare..
sicuramente è da tenere sott'occhio..

poi nessuno è esperto, il parere di tutti è sempre graditissimo (se te lo dico io che non lo sono fidati:D )..


Saluti

sampei.nihira
27-10-2009, 14:19
http://www.wilderssecurity.com/showthread.php?t=256660

RTD Smart ver.1.0

Segnalazioncina,che rimarrà forse estremamente confinata,ma non importa il mio scopo è in parte dare un up a questo 3D !!;)

@Sirio@
27-10-2009, 16:04
Grazie per la segnalazione, peccato per lo "Smart"..:(.. quanto mi piacerebbe una nuova versione Pro da provare in coppia con Jetico 2.

nV 25
11-12-2009, 14:44
Visto che questo sarebbe il thread dedicato agli strumenti di difesa "atipici", vi torno a postare per segnalare tanto l'uscita della 1° beta pubblica di DefenseWall Personal firewall (link! (http://www.hwupgrade.it/forum/showpost.php?p=29972546&postcount=11)), quanto la promozione sulla v2.56 offerta dal famoso sito Gizmo's Freeware (Link (http://www.techsupportalert.com/defensewall-hips-for-free.htm)).

Sulla promozione gratuita che coinvolge la 2.56, due brevi battute a questi collegamenti: 1 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).

sampei.nihira
11-12-2009, 15:18
Visto che questo sarebbe il thread dedicato agli strumenti di difesa "atipici", vi torno a postare per segnalare tanto l'uscita della 1° beta pubblica di DefenseWall Personal firewall (link! (http://www.hwupgrade.it/forum/showpost.php?p=29972546&postcount=11)), quanto la promozione sulla v2.56 offerta dal famoso sito Gizmo's Freeware (Link (http://www.techsupportalert.com/defensewall-hips-for-free.htm)).

Sulla promozione gratuita che coinvolge la 2.56, due brevi battute a questi collegamenti: 1 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).

Presa !! :D

nV 25
11-12-2009, 15:19
Bravo, Sampei! :D

Nel frattempo, stò finendo di scivere altre 2 cosette..:)

sampei.nihira
11-12-2009, 15:23
Bravo, Sampei! :D

Nel frattempo, stò finendo di scivere altre 2 cosette..:)

Enne ma è un errore oppure la licenza dura veramente....... 100 anni ? :eek: :eek: :D :D

nV 25
11-12-2009, 15:28
Mi fa piacere, inoltre, fornire giusto 2 osservazioni sulla nuova versione 3.

Di primo acchito, infatti, l'osservazione di questo video (youtube (http://www.youtube.com/watch?v=Q1TsFnxQmoM)) potrebbe far pensare che la v3 sia diventata improvvisamente più "talkative" (chiacchierona...) rispetto alla precedente linea 1.x/2.x.

In effetti, compaiono per la prima volta nell'universo di questo software due differenti richieste, la prima relativa all'esecuzione come TRUSTED (sicura..)/Untrusted (imbrigliata nelle restrizioni del SandBox..) di un file/processo,

http://img682.imageshack.us/img682/9428/snap1c.jpg

la seconda relativa al fatto che quello stesso processo possa aprire o meno comunicazioni verso l'esterno,

http://img52.imageshack.us/img52/8470/snap2w.jpg


La spiegazione di questa maggiore invasività risiede nel fatto che molti utenti sbagliavano il processo di installazione di programmi sicuri facendoli dunque partire con le restrizioni imposte dal SandBox stesso...

Il problema, però, non era risolvibile con una mera riesecuzione del file come trusted visto che ormai DWall aveva isolato i file temporanei attribuendogli lo status di untrusted e di conseguenza l'unico canale che rimaneva per aver ragione dell'errore era ricorrere all'apposita funzione di Rollback, sconsigliata per i novizi...

La v3, dunque, supera (di default) questo vizio disponendo quanto segue, e cioè che
qualsiasi file (scaricato da un threat gateways quale un browser, un programma di P2P...) che abbia locazione (ad es..) sul desktop, può partire o come TRUSTED/UNTRUSTED in accordo con quella che è la preferenza dell'utente (foto n°1) e sempre che non sia firmato digitalmente da un fornitore sicuro, nel qual caso partirebbe in via automatica come TRUSTED (whitelisting).



Ho parlato sempre di "apparente talkatività :D " visto che le opzioni avanzate di DW PF consentono di intervenire sull'invasività del programma stesso, vedi sotto.

http://img402.imageshack.us/img402/7954/snap3j.jpg

Con i settaggi sopra, dunque, rimarrebbe attivo il whiteklisting ma sopprimerei i pop up di tipo 1 e, di conseguenza, QUALSIASI file non firmato e di fonte non attendibile scaricato a mezzo threat gateways partirebbe come ISOLATO, SEMPRE e SENZA rimandare alla scelta all'utente.

:)

nV 25
11-12-2009, 15:29
Enne ma è un errore oppure la licenza dura veramente....... 100 anni ? :eek: :eek: :D :D

so' 1 min...* :D


*..chia

sampei.nihira
11-12-2009, 15:34
so' 1 min...* :D


*..chia

:D :D
Guarda un pò:

http://www.pctunerup.com/up/results/_200912/th_20091211163321_DW.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091211163321_DW.JPG)

p.s. Frà parentesi visto che siamo in vena di annunci sarebbe uscita la beta 2.0.3 di HiJackThis:

http://free.antivirus.com/hijackthis/

caturen
11-12-2009, 17:36
Presa !! :D

io pure.
anche se ormai uso veramente poco windows essendomi innamorato di ubuntu:sofico:

sampei.nihira
11-12-2009, 18:53
Ho fatto il CLT:

http://www.pctunerup.com/up/results/_200912/th_20091211195113_CLT.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091211195113_CLT.JPG)

praticamente lo stesso punteggio di quando avevo EQS 3.41 +Alcyon Rules + DMR. :rolleyes:
Sarei curioso di "vedere" perchè saperlo lo presumo di già per ciò che ho letto.....che punteggio otterrebbe la beta 3.

p.s. Fw Default XP,antivirus disabilitato ovviamente.

Interessante l'interazione trà DMR e DW che permette il superamento di un ulteriore test 300/340 quindi.
Il test superato è 24 DDE.

http://www.pctunerup.com/up/results/_200912/th_20091211204931_DW.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091211204931_DW.JPG)

cloutz
11-12-2009, 19:14
Visto che questo sarebbe il thread dedicato agli strumenti di difesa "atipici", vi torno a postare per segnalare tanto l'uscita della 1° beta pubblica di DefenseWall Personal firewall (link! (http://www.hwupgrade.it/forum/showpost.php?p=29972546&postcount=11)), quanto la promozione sulla v2.56 offerta dal famoso sito Gizmo's Freeware (Link (http://www.techsupportalert.com/defensewall-hips-for-free.htm)).

Sulla promozione gratuita che coinvolge la 2.56, due brevi battute a questi collegamenti: 1 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).

gran bella promo!:D
purtroppo DW l'ho battezzato come software non adatto a me..ergo l'ho scaricato dalla promo con la licenza e lo tengo lì buono..si sa mai..
ormai son "fuori dai giri", ma per quel poco che riesco a connettermi uso W7 (+alcuni miei accorgimenti) o XP con MD e Prevx...

...più che sufficiente per quel che faccio.

Un salutone a tutti ragazzi! :)

nV 25
11-12-2009, 19:58
...Sarei curioso di "vedere".....che punteggio otterrebbe la beta 3...

bastava vedere il video su youtube:
DWall v3 VS Comodo Test Suite (http://www.youtube.com/watch?v=Q1TsFnxQmoM)

In sintesi, cmq, la v3, essendo dotata HIPS (policy based Sandbox) + Firewall fa registrare il punteggio di 330/340.

http://img515.imageshack.us/img515/6874/snap1bs.jpg

Il test Filedrop, peraltro, non ha alcun significato per software come DW o Sandboxie...
DW v3, inoltre, e per quello che conta, staccherà il 100% anche nel test Matousec con un unica differenza rispetto agli altri ex-equo, e cioè che con DW il 100% si registra senza che l'utente abbia contribuito alla configurazione del programma e senza alcun pop-up..

Il che, non è cosa poi cosi' marginale...

sampei.nihira
11-12-2009, 20:08
Grazie Enne, io sono come S.Tommaso se non vedo non credo.... e tu sei ampiamente affidabile !! ;)

Visto che siamo in vena per gli altri utenti che si chiedono quale sarebbe il punteggio del test CLT al solo DMR, che corrisponderebbe all'account limitato, ebbene il punteggio è di 240/340.

sampei.nihira
12-12-2009, 16:30
Segnalo una interessante simbiosi tra DW e PE Guard 1.2.

@ Enne come vedi supero il test che anche la versione 3 fallisce ;)

http://www.pctunerup.com/up/results/_200912/th_20091212172825_PE.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091212172825_PE.JPG)

Anche se nel mio caso (la versione 2.56) non si giustifica un processo in avvio in più e quindi relativa ram ( 5700 Kb ) occupata.
Il solo PE raggiunge 80/340.

buonasalve
12-12-2009, 17:23
per quanto ri guarda DW, non ho capito una cosa:
i programmi che sono nella lista untrusted subiscono delle limitazioni particolari ?
mettiamo che io non ho capito un cacchio di come funzioni :D, lo installo e lo lascio così com'è e non devo fare altro che stare attento a cosa considero fidato o non fidato ?

sampei.nihira
12-12-2009, 20:23
per quanto ri guarda DW, non ho capito una cosa:
i programmi che sono nella lista untrusted subiscono delle limitazioni particolari ?
mettiamo che io non ho capito un cacchio di come funzioni :D, lo installo e lo lascio così com'è e non devo fare altro che stare attento a cosa considero fidato o non fidato ?

I sw trusted sono considerati sicuri gli altri potenzialmente fonte di insicurezza.
Quindi, ad esempio, se tu hai vari browser installati saranno tutti considerati "untrusted".
Ciò non toglie però che se vuoi modificare questo status puoi farlo.

buonasalve
12-12-2009, 20:43
I sw trusted sono considerati sicuri gli altri potenzialmente fonte di insicurezza.
Quindi, ad esempio, se tu hai vari browser installati saranno tutti considerati "untrusted".
Ciò non toglie però che se vuoi modificare questo status puoi farlo.

ma se FF rimane come untrusted, quali restrizioni riceve ?
tutto quello che fa rimane recintato come accade con sandboxie ?
e poi ?

nV 25
12-12-2009, 21:14
in effetti, c'è bisogno di un pelino di chiarezza in più..

Se hai la bontà di aspettare domani, cercherò di banalizzare ai minimi termini la cosa cosi' da risultare comprensibile ai più (nel frattempo, cmq, se altri desiderano integrare il discorso ben vengano)...


PS: che versione hai? 2.56?

buonasalve
12-12-2009, 21:28
in effetti, c'è bisogno di un pelino di chiarezza in più..

Se hai la bontà di aspettare domani, cercherò di banalizzare ai minimi termini la cosa cosi' da risultare comprensibile ai più (nel frattempo, cmq, se altri desiderano integrare il discorso ben vengano)...


PS: che versione hai? 2.56?
certo che ho pazienza...non vado da nessuna parte :fagiano:
ho preso due licenze promo della 2.56 su 2 portatili diversi :D
per il momento me le tengo in standby....anche se una l'ho già utilizzata per prova però ripristinando poi l'immagine per tornare pulito. dunque, per il momento attendo di capire come ben utilizzarlo, se lo farò

thx :)

nV 25
13-12-2009, 10:50
Per banalizzare ai minimi termini il discorso, la logica di fondo di DWall parte da un presupposto, e cioè che il rischio (per un Pc) deriva da tutte quelle applicazioni/processi che interagiscano con internet.

Questi canali rischiosi, dunque, sono bollati come UNTRUSTED (insicuri) e funzionano come "imbrigliati" in una serie di restrizioni...
Allo stesso tempo, "ereditano" la rischiosità (e dunque le limitazioni..) tutte quelle che sono le iterazioni che derivano dall'uso di quei canali...


Tradotto nel linguaggio di chi deve utilizzare quotidianamente questo programma, significa in sostanza che l'unico momento di difficoltà che potrebbe incontrare l'utente sarebbe eventualmente quello di decidere qual'è il file che debba essere considerato attendibile visto che di default tutto quello che viene scaricato verrebbe automaticamente "costretto" all'interno delle restrizioni del SandBox...

Alcuni tipi di file, infatti, (si pensi ad es. al file di set up di un Antivirus, ai driver della scheda video,...), se eseguiti all'interno delle restrizioni del SandBox, non risucirebbero a perfezionare il proprio processo di installazione ed è proprio per ovviare a questa situazione che l'utente deve ricorrere all'accortezza cui avevo fatto cenno nel collegamento a fianco, link! (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).


Il fatto che di default tutto sia imbrigliato e preimpostato, cmq, fa si che anche chi non sa nulla sul programma possa sfruttarne fin da subito le sue potenzialità...
Anzi, in questo senso consiglio di "simulare" la realtà scaricando il test di comodo e vedere cosa succede "senza saper nulla": CLT (http://www.testmypcsecurity.com/securitytests/firewall_test_suite.html).



Spero cmq nella collaborazione di altri visto che il tentativo di banalizzazione di certi concetti mi ha messo in crisi...

levriero
13-12-2009, 11:09
Curiosità...
Qualkuno ha messo alla prova il modulo hips di Oa4 col CLT?:fagiano:

nV 25
13-12-2009, 11:11
Segnalo una interessante simbiosi tra DW e PE Guard 1.2.

@ Enne come vedi supero il test che anche la versione 3 fallisce ;)

http://www.pctunerup.com/up/results/_200912/th_20091212172825_PE.JPG (http://www.pctunerup.com/up/image.php?src=_200912/20091212172825_PE.JPG)

Anche se nel mio caso (la versione 2.56) non si giustifica un processo in avvio in più e quindi relativa ram ( 5700 Kb ) occupata.
Il solo PE raggiunge 80/340.


Il test FileDrop! non ha alcun tipo di significato per strumenti di tipo SandBox che funzionano su altri binari rispetto agli HIPS tradizionali.

Quello che conta, infatti, è il tipo di status (e quindi di restrizioni...) "ereditate" dal file copiato fisicamente sull'HD che, nel caso di DWall, è UNTRUSTED (o disarmato!!)...

Il fatto che DW ammetta dunque la creazione/scrittura di un file su HD (fatto salvo certe locazioni "critiche" che rimangono inibite, e questo spiega parzialmente perchè certi processi di installazione non vadano a buon fine...!!), rientra nell'idea di fondo del programma stesso..

Gli utenti esperti, a questo punto, potranno rimuoverne le tracce via Rollback.
Di contro, i n00b possono avvalersi di un software Antivirus e rimandare a quest'ultimo il compito della rimozione fisica del file (DISARMATO!!!!) nel momento in cui le firme dell'Antivirus stesso lo riconoscano come pericoloso...

nV 25
13-12-2009, 11:14
...fermo restando poi che il test FileDrop di CLT è solo un mero tentativo di creazione/eliminazione, e quindi anche in un Pc senza protezione non determinerebbe nessun tipo di conseguenza....

levriero
13-12-2009, 11:49
...fermo restando poi che il test FileDrop di CLT è solo un mero tentativo di creazione/eliminazione, e quindi anche in un Pc senza protezione non determinerebbe nessun tipo di conseguenza....
:D Nel dubbio...visto ke NON ho kontrollato l'hash del file quando l'ho skarikato..e visto ke avevo disabilitato momentaneamente l'antivirus...meglio eseguire tutto sandboxato...giusto per provare la modalità sikura di Oa4^^
Risultato: 340/340:p

http://www.mediafire.com/imageview.php?quickkey=mdzt44zwvmz&thumb=4

nV 25
13-12-2009, 14:11
Con i SandBox, cmq, siano essi policy based o altro, il discorso è totalmente differente rispetto a quanto reso possibile nelle attuali incarnazioni dalle varie "modalità protette" di OA o simili...




Per ritornare a DWall (per il test che segue uso la v3 anche se il ragionamento non cambia per la v2.56), vi propongo questa cosa che mostra chiaramente tanto la differenza tra DW/SandBoxie quanto la possibilità di poter eseguire anche alcuni set up come UNTRUSTED senza che questo mini la corretta funzionalità del programma stesso.

Ipotizzo inoltre che la prova la faccia un super n00b..

OK, partiamo.

Scarico Image Tools (download! (http://lab.stefanoperna.it/projects/imagetools/)) via Firefox (di default, untrusted!)

http://img46.imageshack.us/img46/3909/snap1u.th.jpg (http://img46.imageshack.us/i/snap1u.jpg/)

Il file di set up che per praticità è stato scaricato sul desktop, eredita le restrizioni del processo che l'ha generato, Firefox, e infatti ha gli attributi sotto:
http://img696.imageshack.us/img696/1975/snap3m.jpg

Ok.
Fermiamoci un secondo qui.

Vedo anzitutto che l'installer in questione compare in diverse schede, in accordo peraltro con lo status sopra:
Rollback
http://img192.imageshack.us/img192/4683/snap4e.jpg

Untrusted list
http://img13.imageshack.us/img13/5430/snap5o.jpg



Dopo questa parentesi, continuo con l'installazione vera e propria (SENZA MUTARE ATTRIBUTI ALL'INSTALLER!!!) al termine della quale mi ritrovo la classica iconcina del collegamento sul desktop...

http://img192.imageshack.us/img192/7701/snap6o.th.jpg (http://img192.imageshack.us/i/snap6o.jpg/)

Cliccandovi, il programma parte regolarmente...

http://img46.imageshack.us/img46/5669/snap9t.jpg


Apparentemente, dunque, il Sandbox non ha generato nulla di appariscente visto che non ha impedito l'installazione di Image Tools stesso...

In realtà, Image Tools riesce ad installarsi e a funzionare correttamente (anche se UNTRUSTED!) solo in virtù del fatto che non compie "operazioni critiche" automaticamente impedite dalle restrizioni del SandBox di DWall (quello che fà, infatti, è la sola creazione delle chiavi di registro/file & cartelle che gli sono necessarie per funzionare)...


Punto.
Fine della fiera per il n00b.


Lo smaliziato, invece, comincia a divertirsi adesso.

Tutte le modifiche relative ai file, cartelle, chiavi di registro (il resto delle operazioni critiche sono automaticamente scartate dal SandBox, es: low level disk access, Accesso alla memoria fisica/kernel/oggetti del kernel,...) sono "imbrigliate" all'interno della scheda di Rollback,

http://img192.imageshack.us/img192/5609/snap7b.th.jpg (http://img192.imageshack.us/i/snap7b.jpg/)

cosi' come certi elementi creati dall'installer sono visibili all'interno della scheda "untrusted list",

http://img13.imageshack.us/img13/4249/snap8tn.jpg

I file, dunque (e le chiavi di registro..), sono REALMENTE presenti nelle rispettive locazioni ma in stato "imbrigliato", "DISARMATO!!!"...

http://img192.imageshack.us/img192/1503/snap11c.jpg

L'azione manuale dunque nella scheda di Rollback consente di avere ragione di tutto, eliminando ogni traccia prodotta dall'installer stesso nel sistema,

http://img265.imageshack.us/img265/2476/snap12e.jpg

[...]

caturen
13-12-2009, 14:23
Curiosità...
Qualkuno ha messo alla prova il modulo hips di Oa4 col CLT?:fagiano:

Online armor 4.0.0.15 con firefox run safe e defencewall bloccano tutti i test. Non so se ho eseguito bene il test: prima ho fatto eseguire il test come untuste da DW poi ho accettato tutti i pop up di OA altrimenti mi si bloccava.
340/340

levriero
13-12-2009, 14:48
Le differenze rispetto a Sandboxie cui parlavo prima?
Che se non si opta per la rimozione manuale dei "debies" (rifiuti, tracce..), il programmino in questione può essere usato senza problemi anche dopo 1 anno quando invece in SBxie, chiusa la Sandbox, tutto va nel cestino...

mmm...ho kapito ma NON Ti seguo...
Quando uso SandBoxie ank'io posso kreare un'area(la famosa kassetta del gatto) ke resiste sino a ke NON elimino il contenuto(ovvero potrebbe restare lì per un anno). Certo è ke NON tutti i soft si avviano in SandBoxie.
NON mi esprimo sulla bontà di questi 2 ottimi programmi...sostanzialmente kredo ke siano molto differenti...
piuttosto vorrei rikordare ke uno degli skopi per cui tanti utenti usano una SandBox è per testare dei soft ke se si rivelano utili vengono poi installati "sul serio"
Certo, kon SandBoxie NON vedo i passaggi dell'installazione...ma se ho affiankato un buon hips avrei fatto centro.
Ti kiedo piuttosto sommo N se hai avuto modo di testare l'utilizzo di risorse, la pesantezza e la versatilità di DW
Oa(kon hips attivo) e SandBoxie...si piacciono molto^^ e il pc fila:cool:
DW v2 mi sembra d'aver kapito ke manka del firewall;)

levriero
13-12-2009, 14:49
Online armor 4.0.0.15 con firefox run safe e defencewall bloccano tutti i test. Non so se ho eseguito bene il test: prima ho fatto eseguire il test come untuste da DW poi ho accettato tutti i pop up di OA altrimenti mi si bloccava.
340/340
UP;)

sampei.nihira
15-12-2009, 17:17
Ho qualche problemino con il mio vecchio programma tenuta contabilità e DW.
Non vorrei fossero incompatibili.
Per il momento ho,a malincuore, disinstallato il sw.

nami-chan
16-12-2009, 10:22
Ciao a tutti,
oggi ho avuto una rivelazione leggendo questa discussione...nn avevo la minima idea che esistessero questi sw.
La prima cosa che mi è venuta in mente è stata: devo assolutamente installare questi programmi sul pc: il mio pc ora è vulnerabile.
Premetto che ho installato sul pc avira 9 + asquared 4.5 + OA 4.15 + Malwarebytes 1.42
Sono indecisissima su cosa installare, anche perchè non vorrei avere problemi di incompatibilità con i programmi e rallentamenti (purtroppo ho già rallentamenti all'avvio dovuti ad OA). Fra tutti i sw di cui si parla in questa discussione, mi potreste consigliare, fra i sw freeware, quale installare o quali installare.
Non ci ho capito molto fra tutti i test...scusate, è una domanda troppo da newbie.:muro: :confused:
Dovrei anche installare Sandboxie? :confused:
Grazie per l'aiuto!:D :ave:

buonasalve
16-12-2009, 12:28
Per ritornare a DWall (per il test che segue uso la v3 anche se il ragionamento non cambia per la v2.56), vi propongo questa cosa che mostra chiaramente tanto la differenza tra DW/SandBoxie quanto la possibilità di poter eseguire anche alcuni set up come UNTRUSTED senza che questo mini la corretta funzionalità del programma stesso.

Ipotizzo inoltre che la prova la faccia un super n00b..

OK, partiamo.

Scarico Image Tools (download! (http://lab.stefanoperna.it/projects/imagetools/)) via Firefox (di default, untrusted!)


Il file di set up che per praticità è stato scaricato sul desktop, eredita le restrizioni del processo che l'ha generato, Firefox, e infatti ha gli attributi sotto:


Ok.
Fermiamoci un secondo qui.

Vedo anzitutto che l'installer in questione compare in diverse schede, in accordo peraltro con lo status sopra:
Rollback


Untrusted list

Dopo questa parentesi, continuo con l'installazione vera e propria (SENZA MUTARE ATTRIBUTI ALL'INSTALLER!!!) al termine della quale mi ritrovo la classica iconcina del collegamento sul desktop...

Cliccandovi, il programma parte regolarmente...

Apparentemente, dunque, il Sandbox non ha generato nulla di appariscente visto che non ha impedito l'installazione di Image Tools stesso...

In realtà, Image Tools riesce ad installarsi e a funzionare correttamente (anche se UNTRUSTED!) solo in virtù del fatto che non compie "operazioni critiche" automaticamente impedite dalle restrizioni del SandBox di DWall (quello che fà, infatti, è la sola creazione delle chiavi di registro/file & cartelle che gli sono necessarie per funzionare)...


Punto.
Fine della fiera per il n00b.


Lo smaliziato, invece, comincia a divertirsi adesso.

Tutte le modifiche relative ai file, cartelle, chiavi di registro (il resto delle operazioni critiche sono automaticamente scartate dal SandBox, es: low level disk access, Accesso alla memoria fisica/kernel/oggetti del kernel,...) sono "imbrigliate" all'interno della scheda di Rollback,


cosi' come certi elementi creati dall'installer sono visibili all'interno della scheda "untrusted list",



I file, dunque (e le chiavi di registro..), sono REALMENTE presenti nelle rispettive locazioni ma in stato "imbrigliato", "DISARMATO!!!"...


L'azione manuale dunque nella scheda di Rollback consente di avere ragione di tutto, eliminando ogni traccia prodotta dall'installer stesso nel sistema,



Vista la fatica che mi è costata per tirare giù quest'esempio, spero che sia almeno servita a far capire meglio la logica di questo programmino...

Le differenze rispetto a Sandboxie cui parlavo prima?
Che se non si opta per la rimozione manuale dei "debries" (rifiuti, tracce..), il programmino in questione può essere usato senza problemi anche dopo 1 anno quando invece in SBxie, chiusa la Sandbox, tutto va nel cestino...

tutto chiaro....

solo che in DW 2.56 non mi pare di aver visto una scheda col nome di rollback, per cui devo presumere che stai utilizzando la versione 3 che è un po' diversa

grazie nv25 :)

buonasalve
16-12-2009, 12:31
Ciao a tutti,
oggi ho avuto una rivelazione leggendo questa discussione...nn avevo la minima idea che esistessero questi sw.
La prima cosa che mi è venuta in mente è stata: devo assolutamente installare questi programmi sul pc: il mio pc ora è vulnerabile.
Premetto che ho installato sul pc avira 9 + asquared 4.5 + OA 4.15 + Malwarebytes 1.42
Sono indecisissima su cosa installare, anche perchè non vorrei avere problemi di incompatibilità con i programmi e rallentamenti (purtroppo ho già rallentamenti all'avvio dovuti ad OA). Fra tutti i sw di cui si parla in questa discussione, mi potreste consigliare, fra i sw freeware, quale installare o quali installare.
Non ci ho capito molto fra tutti i test...scusate, è una domanda troppo da newbie.:muro: :confused:
Dovrei anche installare Sandboxie? :confused:
Grazie per l'aiuto!:D :ave:

poni la stessa domanda in questa discussione che è quella specifica

http://www.hwupgrade.it/forum/showthread.php?t=2011681

cmq sandboxie andrebbe benone

nami-chan
16-12-2009, 13:27
poni la stessa domanda in questa discussione che è quella specifica

http://www.hwupgrade.it/forum/showthread.php?t=2011681

cmq sandboxie andrebbe benone

grazie! sposto la domanda!

crips
16-12-2009, 13:27
Ciao a tutti,
oggi ho avuto una rivelazione leggendo questa discussione...nn avevo la minima idea che esistessero questi sw.
La prima cosa che mi è venuta in mente è stata: devo assolutamente installare questi programmi sul pc: il mio pc ora è vulnerabile.
Premetto che ho installato sul pc avira 9 + asquared 4.5 + OA 4.15 + Malwarebytes 1.42
Sono indecisissima su cosa installare, anche perchè non vorrei avere problemi di incompatibilità con i programmi e rallentamenti (purtroppo ho già rallentamenti all'avvio dovuti ad OA). Fra tutti i sw di cui si parla in questa discussione, mi potreste consigliare, fra i sw freeware, quale installare o quali installare.
Non ci ho capito molto fra tutti i test...scusate, è una domanda troppo da newbie.:muro: :confused:
Dovrei anche installare Sandboxie? :confused:
Grazie per l'aiuto!:D :ave:

A prescindere che mai si sarà completamente sicuri, nemmeno con Sandboxie, io ti consiglierei di leggere questa guida:
http://www.hwupgrade.it/forum/showthread.php?t=1923599
Dopo di che pensare se vale la pena "spendere" qualcosa per questo fantastico software da affiancare al validissimo Avira che già hai.:)
Per il resto direi che già hai anche troppo :)

nV 25
16-12-2009, 13:30
...solo che in DW 2.56 non mi pare di aver visto una scheda col nome di rollback, per cui devo presumere che stai utilizzando la versione 3 che è un po' diversa


no, da questo punto di vista è identica.

La scheda di Rollback, infatti, la trovi nella schermata principale del programma...

http://img189.imageshack.us/img189/6631/snap1nl.jpg

buonasalve
16-12-2009, 13:43
no, da questo punto di vista è identica.

La scheda di Rollback, infatti, la trovi nella schermata principale del programma...

http://img189.imageshack.us/img189/6631/snap1nl.jpg

:doh:...non ci avevo fatto caso. l'ho usato solo per poco installandolo su un pc altrui e mi era sfuggito

rispetto alla installazione di default occorre fare delle modifiche o va bene così com'è ?

nV 25
16-12-2009, 14:46
anche questo, in verità (cosi' come per il discorso del Rollback..), sarebbe già stato detto..

Di DEFAULT DefenseWall garantisce il MASSIMO GRADO di PROTEZIONE.

Le uniche accortezze che sono richieste all'utente, infatti, si riconducono al prendere visione dei nomi dei programmi elencati nella scheda untrusted list e al mettere il segno di spunta alle voci desiderate nella scheda opzioni avanzate.

Nel 1° caso, infatti, ci si ACCERTA che tutti i programmi che si connettono ad internet siano effettivamente ricompresi nella untrusted zone, nel 2° caso si può essere interessati a che eventuali unità CD/USB siano trattate come untrusted...




E' veramente disarmante tanto è banale...


Date cmq anche un'occhiata alle risorse reperibili on line, Guida/Tutorial ufficiale (inglese) (http://gladiator-antivirus.com/forum/index.php?showtopic=34858), Dwall in italiano (http://www.hwupgrade.it/forum/showthread.php?t=1976396), Manuale in linea (inglese) (http://www.softsphere.com/online-help/defensewall/),

Grazie

buonasalve
16-12-2009, 14:54
anche questo, in verità (cosi' come per il discorso del Rollback..), sarebbe già stato detto..

Di DEFAULT DefenseWall garantisce il MASSIMO GRADO di PROTEZIONE.

Le uniche accortezze che sono richieste all'utente, infatti, si riconducono al prendere visione dei nomi dei programmi elencati nella scheda untrusted list e al mettere il segno di spunta alle voci desiderate nella scheda opzioni avanzate.

Nel 1° caso, infatti, ci si ACCERTA che tutti i programmi che si connettono ad internet siano effettivamente ricompresi nella untrusted zone, nel 2° caso si può essere interessati a che eventuali unità CD/USB siano trattate come untrusted...




E' veramente disarmante tanto è banale...


Date cmq anche un'occhiata alle risorse reperibili on line, Guida/Tutorial ufficiale (inglese) (http://gladiator-antivirus.com/forum/index.php?showtopic=34858), Dwall in italiano (http://www.hwupgrade.it/forum/showthread.php?t=1976396), Manuale in linea (inglese) (http://www.softsphere.com/online-help/defensewall/),

Grazie

grazie a te :read:

Draven94
16-12-2009, 17:07
Avrei alcune domande da porre su DWall (visto che mi sono accaparrato l'offerta :D ):
1. Usando W7 c'è il rischio che vada in conflitto con l'UAC?
2. Sempre su W7 sono alla ricerca di un soft che possa sostituire Returnil (la ver.2008 è incompatibile con W7 mentre la ver.2010 è un vero macigno) e dall'esempio riportato da nV ho potuto comprendere che tale funzione di "monitorare" l'installazione di un nuovo programma ed eventualmente eliminare le modifiche apportate al sistema è svolto anche da DW.
3. Nel caso decidessi di farne utilizzo e di non appesantire troppo il sistema di programmi su programmi, farei bene ad eliminare outpost firewall per far posto al firewall integrato in W7 + Dwall?
4. Ultima domanda ma non meno importante: la versione che ho preso in promo (ver.2.56) è compatibile con W7 x32?
Grazie :)

Draven94
16-12-2009, 17:38
Visto che questo sarebbe il thread dedicato agli strumenti di difesa "atipici", vi torno a postare per segnalare tanto l'uscita della 1° beta pubblica di DefenseWall Personal firewall (link! (http://www.hwupgrade.it/forum/showpost.php?p=29972546&postcount=11)), quanto la promozione sulla v2.56 offerta dal famoso sito Gizmo's Freeware (Link (http://www.techsupportalert.com/defensewall-hips-for-free.htm)).

Sulla promozione gratuita che coinvolge la 2.56, due brevi battute a questi collegamenti: 1 (http://www.hwupgrade.it/forum/showpost.php?p=30032479&postcount=2674) - 2 (http://www.hwupgrade.it/forum/showpost.php?p=30032947&postcount=2675).
Perchè al collegamento 1 ne sconsigli l'uso su W7? :confused:

nV 25
16-12-2009, 17:48
2 risposte "al volo":

1) DefenseWall è compatibile solo con i sistemi 32bit.
2) la v2.56 (quella in promozione, per intenderci..), pur compatibile con 7, è preferibile installarla in realtà solo su XP/Vista.

Mentre su questi ultimi 2 OS risulta essere infatti ormai perfettamente STABILE, su 7 lamenta BUG, il più grave dei quali è osservabile se di Dwall (2.56) se ne fa un uso avanzato (in certi casi, infatti, l'impiego della funzione di Rollback produce il freeze dell'interfaccia del programma con conseguente chiusura della stessa)..

La v3, invece, supera tutti i problemi della 2.56 rendendola di fatto la 1° versione NATIVA per 7...

2) Dwall (sia esso 2.56/3) non soffre di nessun tipo di compatibilità con l'UAC.

3) il programma, sulla carta, offre un grado di sicurezza SUPERIORE a quello reso possibile da uno Standard User (si pensi alla protezione dai Keylogger, ad es..) coniugando questa capacità ad un più semplice controllo sul sistema (> flessibilità)...

4) DWall è un policy based Sandbox e non un unistaller puro sebbene via Rollback sia possibile cancellare eventuali tracce prodotte da un'installazione untrusted...

sampei.nihira
16-12-2009, 17:50
Oggi ho voluto fare una comparazione al CLT visto che motivi addotti precedentemente ho reinstallato (al momento) EQS 3.41 al posto di DW 2.56.
Ebbene una serie di test NON passati sono comuni,trà EQS e DW e dipendono dalla mancanza di un modulo firewall.

Gli unici test esclusivi non passati nei rispettivi sw protettivi sono:

DW 2.56 = File Drop (passato con EQS 3.41)

EQS 3.41 = Active Desktop (passato con DW 2.56)

nV 25
16-12-2009, 18:03
5) (ed è il problema più grosso che personalmente ho riscontrato visto che mi toglie in parte la soddisfazione di fare test..), il monitoraggio nel senso insteso da Draven94 ("..monitorare l'installazione di un nuovo programma..") è cosa parzialmente svolta da Dwall dato che il log (strumento di cui uno dovrebbe realmente avvalersi in questi casi...) soffre della limitazione a 50 linee, il che talvolta rende impossibile avere un'idea globale di cosa faccia realmente un processo untrusted...


Sulla domanda "farei bene ad eliminare outpost firewall per far posto al firewall integrato in W7 + Dwall", la risposta sarebbe SI!, alla grande! se tu usassi la v3...