Nuovo set di test da Comodo [Archivio]

nV 25

17-04-2008, 18:38

Confesso che era già da un pò che sognavo l'idea di disporre di un qualcosa che consentisse di simulare tecniche usate da real malwares per "dipanare" [:D] i Pc invece che costringermi a scaricare di volta in volta direttamente i vari virus da fonti poco raccomandabili...

Un qualcosa, insomma, che fosse specifico per hips/behaviour blocker puri e non fosse sempre il solito LeakTest...

Bè:
questo tool sembrerebbe avermelo fornito giusto ieri Comodo! :p
(in verità in rete sono reperibili tantissimi altri tool specificamente modellati per gli hips come ad es. l'ormai famoso APT della DiamondCS, spt, AKLT, [...], o il recentissimo bypass hips di un famoso (?) hacker cinese, un certo mj0011 [tool del quale peraltro mi piacerebbe scambiare 2 parole anche con voi]... )

La "bellezza" di questo strumento, allora, è il fatto di simulare sia tecniche di installazione driver abbondantemente impiegate nei rootkit di tipo kernel mode, sia tecniche di process attacks injection...

Il tool è questo:
http://img245.imageshack.us/img245/3777/snap2fj2.th.png (http://img245.imageshack.us/my.php?image=snap2fj2.png)

Per fortuna, abbiamo un descrizione dell'obiettivo che si propone ogni singolo test:
Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.

Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B).

DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state.

DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory.

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)

LINK:
http://forums.comodo.com/leak_testingattacksvulnerability_research/comodo_release_5_new_security_tests-t21917.0.html;msg152866#msg152866

ProSecurity:
http://img260.imageshack.us/img260/4594/snap5pp5.png

nV 25

17-04-2008, 18:38

Qui il test nel dettaglio esaminato caso per caso.

Condizioni di test:
- Sistema reale (no VM)
- XP Pro SP2 aggiornato
- Account in uso: Admin
- Hips: ProSecurity 1.43
- Behaviour Blocker: PDM (Kis 7.0.1.325)

Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.

http://img392.imageshack.us/img392/3814/79973191bb0.th.png (http://img392.imageshack.us/my.php?image=79973191bb0.png)

http://img292.imageshack.us/img292/1225/1ach1.png

Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B)

http://img390.imageshack.us/img390/6946/34604148zf7.th.png (http://img390.imageshack.us/my.php?image=34604148zf7.png) http://img72.imageshack.us/img72/7628/2auk0.th.png (http://img72.imageshack.us/my.php?image=2auk0.png)

(EDIT: ho dimenticato la foto della creazione di beep.sys?: si vede cmq dal log sotto...)

http://img72.imageshack.us/img72/5327/2cdg8.png

DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state
(NB: è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error" [che equivale a PASSATO!]..
Vedi foto sotto per la creazione/scrittura della Dll...)
http://img519.imageshack.us/img519/5315/76949397jq6.th.png (http://img519.imageshack.us/my.php?image=76949397jq6.png) http://img519.imageshack.us/img519/7071/3byj9.th.png (http://img519.imageshack.us/my.php?image=3byj9.png)

Ecco qui, allora, l'iniezione della Dll in un ramo di svchost...

http://img387.imageshack.us/img387/2439/3cii7.th.png (http://img387.imageshack.us/my.php?image=3cii7.png)

...e un pop-up del registry guard che coinvolge la chiave File Rename Operation:

http://img252.imageshack.us/img252/1430/3dag4.th.png (http://img252.imageshack.us/my.php?image=3dag4.png)

Bloccare quest'ultima operazione lascia in stato sospeso il test (appunto, si vede la dicitura "testing..." pur essendo finito il tutto)

http://img397.imageshack.us/img397/9182/snap1rr8.png

http://img366.imageshack.us/img366/7201/3eyk8.png

DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory
(nota: ProSecurity non mostra nel pop-up la voce "create remote thread" (come EQS, ad es...) bensi' la generica voce Write Process Memory il che spiega perchè sotto sembra avvenire una cosa diversa da quella che si proporrebbe Comodo ["The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory"]...)

http://img362.imageshack.us/img362/2631/4aff0.th.png (http://img362.imageshack.us/my.php?image=4aff0.png)

http://img362.imageshack.us/img362/9562/4crt4.png
(anche sopra c'è il pop-up del registry guard per il File Rename Operation...)

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)

http://img393.imageshack.us/img393/7057/44250746oj2.th.png (http://img393.imageshack.us/my.php?image=44250746oj2.png)

Se si blocca il controllo DDE/OLE/COM, il test "muore"...
Se lo si autorizza, finalmente interviene il PDM del Kis (hidden data sending..)

http://img393.imageshack.us/img393/4056/5blr0.th.png (http://img393.imageshack.us/my.php?image=5blr0.png)

Il test è quindi passato...
http://img252.imageshack.us/img252/2981/5cxu9.th.png (http://img252.imageshack.us/my.php?image=5cxu9.png)

CONSIDERAZIONI:
esclusivamente sul 2° test, o Rootkit Installation 2 che mi ha letteralmente "schoccato" e costretto a rieseguire una rapida batteria di rootkit (cazzuti) per riprova...:muro: (tutto STRA-OK!, cmq )
Qui (per me, almeno) si entra nell'alveo dell'ignoranza più assoluta per cui è possibile che qualsiasi considerazione che segue sia folle/errata.

Allora, qual'è il problema?
Comodo dice che il test "Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager".

ProSecurity, invece, *NON* segnala tentativi di apertura di beep.sys ma solo la sovrascrittura del file in oggetto (e la creazione di un altro .sys, si vede negli screen..)

Con veri Rootkit, invece, le diverse azioni dei malwares risultano ben visibili....:confused:
Esempi fatti ieri sul mio Pc REALE e *non* in VM...

http://img365.imageshack.us/img365/4389/snap3dg5.png

In sostanza, non c'ho capito una minch*ia....

marmotta88

17-04-2008, 19:01

sampei.nihira

17-04-2008, 20:03

Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

http://img382.imageshack.us/img382/8109/comodotestut8.th.jpg (http://img382.imageshack.us/my.php?image=comodotestut8.jpg)

Usando la "riduzione dei privilegi del browser" il risultato è identico.
Questo dimostra che la riduzione dei privilegi consente di ottenere il massimo vantaggio (specie in navigazione ed apertura posta elettronica) usando l'account amministratore quindi con il minimo disagio.
Credo che il test sia inattendibile se lanciato in modalità virtuale.

leolas

17-04-2008, 20:15

grazie per la segnalazione
provo subito ;)

EDIT: un genio! :muro: mi sono ricordato che ho disinstallato OA mezz'ora fa :doh:

:asd:

(aspetto la new release ita)

leolas

17-04-2008, 20:17

nV 25

17-04-2008, 20:32

senza HIPS passi ben poco ;)

ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...

----------

Sarebbe necessario scrivere un sacco di cose anche perchè credo che potenzialmente questo test (se pur molto limitato) possa insegnare anche a noi molti aspetti interessanti....
Cosi' come "error" del test andrebbe interpretato, ecc...

Aimè, mi rendo conto di aver aperto troppo frettolosamente il thread quando, da parte mia, ho conoscenze scarsissime della materia [= lacune a go go..] e poco tempo a disposizione perchè:
a - volevo uscire
b - ho proprio poco tempo
c - ti tocchi! (l'opzione c, infatti, è sempre costante in tutti i sondaggi ed è quella che ho scritto poc'anzi :D ....)

leolas

17-04-2008, 20:43

ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...

Giusto ;) :D

In effetti, mi sono accorto di aver detto una gran ****ta: l' "error" è interpretabile come "test passato", in effetti :fagiano:

E ho letto il post frettolosamente, non notando che aveva i diritti limitati (come puoi vedere anche dal post prima, in quel momento ci stavo poco con la testa :ciapet:)

xcdegasp

18-04-2008, 12:00

ho provato il test con l'account del gruppo administrator e config che uso normalmente sul notebook:
http://img120.imageshack.us/img120/3882/nuovitestib1.th.jpg (http://img120.imageshack.us/img120/3882/nuovitestib1.jpg)

OnlineArmor

marmotta88

18-04-2008, 12:36

Ciao, ho fatto altri due tests,

Da account limitato lanciando il programma come amministratore:

http://img99.imageshack.us/img99/3566/comdorusasadminjs8.th.jpg (http://img99.imageshack.us/my.php?image=comdorusasadminjs8.jpg)

infine mi sono loggato con l' account di amministratore:

http://img238.imageshack.us/img238/1548/comodotestadminwf4.th.jpg (http://img238.imageshack.us/my.php?image=comodotestadminwf4.jpg)

:D sono messo proprio male!

ShoShen

18-04-2008, 13:21

dell'ultimo test se ne parlava anche su pc al sicuro...adesso non so se sia lo stesso test comunque credo che il concetto sia quello (comodo lo passava)
http://www.pcalsicuro.com/main/2007/05/bits-il-componente-di-windows-che-bypassa-i-firewall/

nV 25

18-04-2008, 14:41

2° post fatto :D

Mancano ancora mooooooooolte cose, ma almeno un'idea la abbiamo...:)

Il 2° post, peraltro, si conclude con una mia domanda:
vi sarei infinitamente grato se poteste controllare con i vostri software e farmi sapere (meglio se con foto di pop-up/log)...

Grazie

NB per sampei:
semmai i test possono essere superati senza ricevere alcun pop-up da parte di PS:
a me, infatti, qui serviva "far vedere" :ciapet:

leolas

18-04-2008, 14:47

com'è ovvio che sia, Mike ha già detto che nella prossima release OA passerà i test: http://support.tallemu.com/vbforum/showthread.php?t=3418 :D

Inizio davvero a pensare anch'io che comodo e OA se la stiano tirando troppo, con questi test.... Appena ne esce uno di nuovo, fanno i salti mortali per riuscire a passarlo il giorno dopo............. mentre entrambi ci stanno mettendo anni a far uscire la traduzione :rolleyes:

EDIT: Dimenticavo!!! Complimenti nV per il lavoro svolto!!! ;) :)

nV 25

18-04-2008, 14:48

perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo...:D :mad: ) per fare la trad.

:sofico:

@ Leo:
grazie!

Datemi delle risp, cmq, perchè ho dei "vuoti" d'ombra ASSOLUTI...

leolas

18-04-2008, 14:50

perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo...:D :mad: ) per fare la trad.

:sofico:

:asd:

Veramente il programma SAREBBE già tradotto (vero degasp e "me stesso"?:D).
Il problema è che è da 2 settimane che dovrebbe uscire la traduzione...

Per COmodo, invece, non hanno ancora reso disponibili i files da tradurre :sofico:

ps: leggi l'edit dell'altro post :D
edit: ok, l'hai fatto xD

EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire... :stordita:

xcdegasp

18-04-2008, 14:59

sì confermo è fatta da molto tempo... se pensassero a giocare meno "a chi ce lo ha più rocksolid" forse la rilasciano :asd:

nV 25

18-04-2008, 15:02

EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire... :stordita:

io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.

Visto che ci sono, anzi, continuo l'OT con il log di un SSDT restorer inizialmente testato da NicM :D
Perchè sprecare questa foto di ieri visto che il sample in questione apre il Pc come una lama calda affondata nel burro? :p

http://img373.imageshack.us/img373/9472/snap1bl5.png

leolas

18-04-2008, 15:05

io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.

ehm
dicevo che puoi andare a fracassare i maroni di tutti i leghisti al governo :stordita: (dato che parlavi di "fracassare i maroni" e di "governo")

:ciapet:

Speriamo che non ci sia nessun leghista qui, sennò :ops:

leolas

18-04-2008, 16:34

...

vedi che non dovevo dirlo? :sofico:

sampei.nihira

18-04-2008, 17:09

@ Enne ;)

Enne ma un "vecchio" (senza secondi fini) amatore come te del KIS che va a fare questi test con il tuo "ancora per poco credo" "pupillo"...........:D :D :Prrr: :Prrr:
Tanto alla fine lo disinstallerai giusto ? :rolleyes: :rolleyes:

Meglio...... KIS 8 e......basta ?
Come mi scrivesti una volta a proposito di altro, io ho riciclato il "basta" ? ;) ;)

http://forum.kaspersky.com/index.php?showtopic=66237

Su,sù qualche anticipazione a questi poveri utenti che pendono dalle tue labbra !! :D

lancetta

18-04-2008, 17:25

In ambiente sandboxato crasha direttamente l'applicazione.....

nV 25

18-04-2008, 17:28

@ sampei:

io dissi che quando l'hips di KIS 8 arriverà alla stessa sofisticazione di PS, chissà dove sarà PS...:read:

Understand? :p

Perchè ufficialmente è si' fermo alla 1.43 del 29/1/08 ma sotto le ceneri il progetto va avanti..:read: (non farmi anzi aggiungere altro dato che mi è stato richiesto di non parlare*...)
IDEM per altri hips (EQS e cosi' via...)

Quando arriverà la v8, è probabile che resti alla 7 o che shifti verso altre soluzioni...
Vedremo...

PS:
cmq non releghiamo il thread a PS ma (se possibile) estendiamolo anche ad altri prodotti:
io ho dato rilievo al mio...perchè uso quello e non potevo fare altrimenti, ma avrei fatto la stessa identica cosa per altri software se li avessi avuti sotto il cofano...

*sarò un boss? :sofico:

--------------------------------------
EDIT:
il test in sè per sè credo sia interessante perchè va a valutare diverse cose, alcune anche sofisticate.
Guai a pensare cmq che le meccaniche implementate nei virus (un pochettino + cazzuti..) siano *SOLO* quelle del tool in questione:
in questo senso, allora, questo strumento può assimilarsi in definitiva al vecchio adagio
"meglio di un calcio nelle °°"....:p
ma tant'è....

Se dico boiate, fatemelo notare :read:

Chill-Out

18-04-2008, 17:53

I Tests stanno arrivando anche su Wilders

http://www.wilderssecurity.com/showthread.php?t=206668

sampei.nihira

18-04-2008, 17:59

I Tests stanno arrivando anche su Wilders

http://www.wilderssecurity.com/showthread.php?t=206668

Vista sp1 non sfigura.....

Chill-Out

18-04-2008, 21:29

Vista sp1 non sfigura.....

Si, per il momento non mi sembra stia sfigurando

BEY0ND

18-04-2008, 22:43

:help: :cry:

lancetta

19-04-2008, 10:18

:help: :cry:

Ehehehe..socio come ragionavamo in privato...lo sai come devi fare... :read:

nV 25

19-04-2008, 10:38

:help: :cry:

e, di grazia, si può sapere qual'è il motivo del pianto disperato nonchè della richiesta di aiuto? :mbe:

Nessuno cmq che mi fa screen/posta il log del solo test n°2 sia nell'ipotesi in cui si vietino tutti i comportamenti anomali nonchè nel caso di assenso alla creazione/scrittura/sovrascrittura dei file in system32\drivers?

Chill-out? [...]?
Aiò!

GRAZIE

PS:
e se mettessi nel 1° post i risultati registrati con soluzioni di difesa diverse?

BEY0ND

19-04-2008, 13:16

http://img31.picoodle.com/img/img31/4/4/19/f_APCCapture2m_d83a0f7.jpg (http://www.picoodle.com/view.php?img=/4/4/19/f_APCCapture2m_d83a0f7.jpg&srv=img31)

subito dopo ctl.exe crasha(allegato)
mi ritrovo il processo nel task(secondo allegato)
in pratica mi ritrovo nella sua stessa situazione:
http://www.wilderssecurity.com/showpost.php?p=1224879&postcount=3
account admin,sandboxie 3.24,ma anche con la 3.25 a quanto pare siamo sempre lì....:fagiano:

ps:qualcuno di voi,sempre per restare in tema di test,ha fatto il BOTester(sempre sfornato da comodo group)?

Chill-Out

19-04-2008, 21:37

Running sandboxed with SBIE (EQS disabled)

Rootkit1-----protected
Rootkit2-----protected
DLL1--------some kind of loop, frozen in "testing"
DLL2--------protected
BITS--------leaktest crashes...I asume "protected"?

hhhmmm strange...I chose to test again sandboxed, now with "Run all tests" checked, and I got this:

Rootkit1-----protected
Rootkit2-----vulnerable
DLL1--------some kind of loop, frozen in "testing"
DLL2--------protected
BITS--------vulnerable

a parte che i risultati sono discordanti :mbe: , ma per quanto riguarda BITS, si è vero che se ne và per conto suo ma sempre all'interno della sandbox

stesso vale per GeswWall Free, risultati diversi

http://www.wilderssecurity.com/attachment.php?attachmentid=199333&stc=1&d=1208553338

http://www.wilderssecurity.com/attachment.php?attachmentid=199354&stc=1&d=1208633358

@Sirio@

20-04-2008, 00:47

@ nV 25

:read: Ho fatto il test: http://www.hwupgrade.it/forum/showpost.php?p=22099060&postcount=2987

Nicodemo Timoteo Taddeo

20-04-2008, 07:11

Mah... posso avanzare quelche dubbio sulla validità del test? A me qualcosa non torna, o perlomeno non riesco a trovare spiegazioni valide alle differenze che vado a proporre:

XP home edition, test eseguito come utente limitato:
http://img186.imageshack.us/img186/4203/test101yc3.th.jpg (http://img186.imageshack.us/my.php?image=test101yc3.jpg)

Sempre XP HE test eseguito con il runas (esegui come amministratore):
http://img186.imageshack.us/img186/7100/test102xd7.th.jpg (http://img186.imageshack.us/my.php?image=test102xd7.jpg)

XP HE test eseguito con account di amministratore a tutti gli effetti:
http://img186.imageshack.us/img186/8070/test103tb7.th.jpg (http://img186.imageshack.us/my.php?image=test103tb7.jpg)

Ora qualcuno saprebbe spiegarmi come mai il servizio Background Intelligent Transfer riesca regolarmente a scaricare il file se effettuo il test come amministratore mentre magicamente viene bloccato se lo effettuo con l'esegui come?

Ed il DLL Injection 2 come mai riesce ad essere portato a termine se lancio il test con l'esegui come e viene invece bloccato da amministratore?

Decisamente strano che la dll risulti non accessibile da amministratore, mentre lo sia regolarmente con l'esegui come. Secondo me qualcosa di sbagliato in quei test c'è.

ps. l'unico programma di sicurezza che gira in background è Antivir premium, che però non segnala nulla, quindi non penso dipendi da lui. Niente HIPS e niente PFS.

Saluti.

nV 25

20-04-2008, 10:00

http://www.hwupgrade.it/forum/showpost.php?p=22099060&postcount=2987
bello!
Con tutte le fotarelline come piacciono a me....:stordita: :p

OSSERVAZIONI su D+:
1- se non ho letto male su Wilders (correggetemi se sbaglio!!), il 2° pop up in assoluto che si registra a livello temporale (foto sotto..) *non comporta* nessun tipo di conseguenza sullo svolgimento del test indipendentemente dal fatto che si risponda ok o nega....

http://img329.imageshack.us/img329/471/snap1ft7.th.png (http://img329.imageshack.us/my.php?image=snap1ft7.png)

E' possibile che l' "obtain an elevated privilege" (API collegata: AdjustPrivilegeToken?) sia l'ennesimo FP non ancora corretto di D+ o che, sotto certe condizioni, sia mal implementato....
WHO KNOWS? :mbe:

2 - attinente al Rootkit test 2, quello che interessa a me....

Siccome il tentativo di accesso all' SCM è mostrato subito all'inizio del test, ne ricavo che D+, in qualche maniera, "isola" di default alcune zone dell'OS che rimandano ad elementi di criticità (come per l'appunto system32\drivers..)
Se non ho letto male, infatti, te hai detto OK e subito dopo sono apparsi i tentativi di sovrascittura su beep.sys e, a ruota, la creazione di beep.sys_old?...
(non c'è traccia, xò, di beep.sys? !!)

(PS: sarebbe interessante vedere cosa succede quindi se blocchi subito l'accesso all'SCM...)

http://img73.imageshack.us/img73/6323/snap2vt6.th.png (http://img73.imageshack.us/my.php?image=snap2vt6.png)

http://img519.imageshack.us/img519/704/snap3aa8.th.png (http://img519.imageshack.us/my.php?image=snap3aa8.png) http://img73.imageshack.us/img73/9914/snap4vu6.th.png (http://img73.imageshack.us/my.php?image=snap4vu6.png)

Il mio dilemma, cmq, me lo può risolvere solo lo svil di PS (che xò ora è in "SABBA STATE"...:cry: ) o nick s (su wilders..)
Perchè non registro l' "apertura" di beep.sys (che è già caricato da XP) come avviene per n-veri-rootkit? (Nulprot, Cutwail-Storm worm, [...])? :mbe:

ES: http://img412.imageshack.us/img412/7642/snap5pp4.png

Forse il tool di Comodo è "più morbido" dei recenti rootkit ITW? :mbe:

3 - Legato al 3°/4° test:
come avevo anche detto precedentemente nelle note per PS, è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error".
In sostanza, negando subito la creazione/scrittura, non si da modo al test di fare effettivamente tutto il suo corso di azioni maligne..

Si passa, per carità, ma in una fase più a monte (di fatto, simuleremmo un sandbox o un account limitato):
è bello, allora, seguire un pò di più lo "scorrere della corrente verso il mare" per vedere il seguito....:p

xcdegasp

20-04-2008, 10:13

Nel mio caso OA segnalava la sovrascrittura e salvataggio di beep.sys ho quindi provato a rifare i test bloccando questo processo..
il primo messaggio che si apre, e in questo caso l'unico, è di eseguire il programma:

http://img247.imageshack.us/img247/9535/richiesta1wr7.th.jpg (http://img247.imageshack.us/img247/9535/richiesta1wr7.jpg)

poi la fine stradi avvio del programma dove premo il tasto "test":

http://img247.imageshack.us/img247/6508/partenzaqh6.th.jpg (http://img247.imageshack.us/img247/6508/partenzaqh6.jpg)

in meno di 2 secondi ho la fine dei test:

http://img149.imageshack.us/img149/3249/fineht8.th.jpg (http://img149.imageshack.us/img149/3249/fineht8.jpg)

in differita prevx mostra il popup di cosa sta avvenendo o per meglio dire cosa è successo:

http://img149.imageshack.us/img149/9702/prevxpk6.th.jpg (http://img149.imageshack.us/img149/9702/prevxpk6.jpg)

questa è l'elenco dei programmi concessi/bloccati in OnlineArmor ordinati dal più recente al più vecchio:

http://img149.imageshack.us/img149/2145/onlinearmorel6.th.jpg (http://img149.imageshack.us/img149/2145/onlinearmorel6.jpg)

account del gruppo amministratori, avira pe, prevex2.0, a-squared-antimalware, Online Armor...

lo stesso test su account limitato (vergine):
prima richiesta d'esecuzione
http://img291.imageshack.us/img291/6223/stcrichiesta1ne3.th.jpg (http://img291.imageshack.us/img291/6223/stcrichiesta1ne3.jpg)

come prima in 2 secondi mostra la fine del test:
http://img291.imageshack.us/img291/7215/stcfineyp4.th.jpg (http://img291.imageshack.us/img291/7215/stcfineyp4.jpg)

in differita prevx segnala questo:
http://img291.imageshack.us/img291/6050/stcprevxbc5.th.jpg (http://img291.imageshack.us/img291/6050/stcprevxbc5.jpg)

le impostazioni di OnlineArmor sui prog bloccati che è medesima a prima inquanto in comune:
http://img247.imageshack.us/img247/8436/stconlinearmorzb8.th.jpg (http://img247.imageshack.us/img247/8436/stconlinearmorzb8.jpg)

nV 25

20-04-2008, 10:33

...e se invece beep.sys NON fosse un driver effettivamente caricato sul mio OS (il che spiegherebbe perchè non c'è tentativo di apertura..) ? :mbe:

Mi sa che sono vicino alla soluzione...:sperem:

Chi mi da i comandi per SC?

pistolino

20-04-2008, 10:50

Il test mi sembra decisamente interessante e mi piacerebbe testarlo su EQS 3.41 (la v 4.0 è oggettivamente ancora troppo buggata a mio modo di vedere. :mc: ).
Siccome al momento non ho a disposizione una VM su cui svolgere i test senza paura di far saltare tutto, preferisco rimandare il mio test a quando avrò più tempo.
Tuttavia, ciò non mi ha impedito di soddisfare la mia curiosità...così ho pensato di dare una spulciata ai commenti su Wilders, dove ho appreso che EQS blocca tutti i test tranne il BITS Hijack. Sembra però che esista una qualche chiave di registro che, se aggiunta al monitoraggio della rule-list, permetterebbe di prevenire il dirottamento. :mbe:

Regards

nV 25

20-04-2008, 11:28

tutti passano tutto, e tutti vissero felici e contenti :D ....

Su EQS (3.41):
i risultati, prima del post chiarificatore di Mele20, sembravano xò onestamente molto discordanti...

Mi rendo sempre più conto cmq che, a prescindere da questo specifico test e specie alla luce della sofisticazione cui sono arrivati questi software, i risultati registrati sono talvolta troppo correlati al manico:
in questo senso, dunque, l'idea alla base di DefenseWall espone meno (o nulla) l'utente al rischio di errori nella configurazione delle regole, ecc visto che è lo sviluppatore stesso del software che si addossa questa responsabilità....

Su OA2:
faccio fatica a seguire il post del mod visto che non sono pratico di questo software...

Delle Prevx, poi, conosco solo il loro tool di rimozione gratuito*...

Nessuno cmq mi dice quali comandi è necessario utilizzare per vedere quali driver sono caricati dal SO?

*condivido peraltro la scelta di togliere la registrazione degli eventi dal log visto che le motivazioni (su Pc al sicuro..) sono lineari....

@Sirio@

20-04-2008, 12:40

Per rispondere ai tuoi dubbi ti posso dire che:

1- no non hai letto male, anche dandogli il permesso il risultato non cambia, :boh: dovrei fare altre prove per capire meglio... ma non ho tutte le risorse che hai tu :stordita: (mi dovresti dire dove posso prendere uno di questi rookit.. magari in MP, o forse già hai scritto da qualche parte dove, non ricordo).

2- giusto, alla richiesta di accesso all'SCM ho dato l'OK per far terminare il test, in questo modo mostra Protected, se blocco subito l'accesso all'SCM il test mi da errore e prosegue.

Non ho capito una cosa: in che senso non c'è traccia di beep.sys?
Perchè dovresti registrarne l'apertura? Non mi sembra che beep.sys venga aperto.. viene tentata la modifica e poi la creazione di beep.sys_old.
O forse non mi è chiaro qualcosa?

Un'altra cosa curiosa avviene nel terzo test DLL injection 1, se alla richiesta della creazione di un nuovo files dll.dll do l'accesso e dopo nego alle richieste successive di clt, ad accedere a svchost in memoria e a modificare una chiave protetta del registro, succede che il test rimane "congelato" cioè nell'interfaccia rimane scritto Testing... e passa a quello successivo.
Continuo, DLL injection 2. Di nuovo domanda per la creazione di dll.dll, accetto, :wtf: e mi passa il test dandomi Protected. Continuo, BITS Hijack, access a protected COM interface, accetto... :what: passo anche questo, Protected e DLL Injection rimane in Testing...

http://img329.imageshack.us/img329/6866/131is5.png

Anch'io non sto capendo un mazza.

nV 25

20-04-2008, 13:10

...

Premessa:

il tool è fatto da Comodo e quindi, a meno che uno non ne abbia scardinato le regole, D+ dovrebbe superare...il test dei suoi programmatori. :read: (altrimenti, data la famosa lotta in atto, ci andrei al maniomio se facessero test che neppure loro riescono a passare..:D )

I fatti:
sul p.to n°1, allora avevo letto bene. (per quanto riguarda il link dei rootkit, invece, lascerei perdere vista la loro "delicatezza":
spero tu mi capisca e non me ne voglia...)

Sul p.to n°2:
ProSecurity, dopo il BLOCCO alla modifica di un file legittimamente presente sull'HD (beep.sys), segnala la creazione di 2 files, beep.sys_old & beep.sys? (con il punto interrogativo finale).

Diciamo che era una semplice osservazione...

Invece una cosa non ho l'ho capita benissimo:
se impedisci A MONTE l'apertura dell'SCM, il 2° test "muore" senza arrivare a coinvolgere altro (la modifica dei .sys ecc)?
A regola è come dico...

Sul p.to n°3:
DLL injection 1 rimane effettivamente congelato dando i blocchi che dicevi...

Considerazioni finali:
Comodo ha copiato discretamente bene ProSecurity, non c'è che dire (non mi sfidate con le prove perchè su questo punto sono capace di annientare chiunque...
E poi, queste prove non sono nient'altro che nella storia (lontana..) del forum ufficiale della Comodo group...)

xcdegasp

20-04-2008, 18:35

Su OA2:
faccio fatica a seguire il post del mod visto che non sono pratico di questo software...

Delle Prevx, poi, conosco solo il loro tool di rimozione gratuito*...

purtroppo non so cosa risponderti... vedessi che cosa va a fare, ci fosse un log, ci fosse qualcosa che potrei usare come analisi...
ma quello è il materiale. winlogon che viene usato da un qualcuno e nessun software dice nulla, non ci fosse stato il monitoring di prev nemmeno quello sapevo :D

@Sirio@

21-04-2008, 09:15

Premessa:

il tool è fatto da Comodo e quindi, a meno che uno non ne abbia scardinato le regole, D+ dovrebbe superare...il test dei suoi programmatori. :read: (altrimenti, data la famosa lotta in atto, ci andrei al maniomio se facessero test che neppure loro riescono a passare..:D )

I fatti:
sul p.to n°1, allora avevo letto bene. (per quanto riguarda il link dei rootkit, invece, lascerei perdere vista la loro "delicatezza":
spero tu mi capisca e non me ne voglia...)

:) probabilmente al tuo posto avrei risposto allo stesso modo.

Sul p.to n°2:
ProSecurity, dopo il BLOCCO alla modifica di un file legittimamente presente sull'HD (beep.sys), segnala la creazione di 2 files, beep.sys_old & beep.sys? (con il punto interrogativo finale).

Diciamo che era una semplice osservazione...

:what: il D+ invece non segnala niente a proposito di beep.sys?

Invece una cosa non ho l'ho capita benissimo:
se impedisci A MONTE l'apertura dell'SCM, il 2° test "muore" senza arrivare a coinvolgere altro (la modifica dei .sys ecc)?
A regola è come dico...

Esatto il test finisce li e appare "Error"

Sul p.to n°3:
DLL injection 1 rimane effettivamente congelato dando i blocchi che dicevi...

Considerazioni finali:
Comodo ha copiato discretamente bene ProSecurity, non c'è che dire (non mi sfidate con le prove perchè su questo punto sono capace di annientare chiunque...

Mi fido.. mi fido :D

E poi, queste prove non sono nient'altro che nella storia (lontana..) del forum ufficiale della Comodo group...)

murack83pa

21-04-2008, 17:14

ho fatto il test e questo è il risultato:

http://imageup.itadib.com/thumbs/726309risultatotest.JPG (http://imageup.itadib.com/images/726309risultatotest.JPG)

windows xp, account limitato, avira premium, mamutu, comodo 2.4 (inutile dire che con account admin....non ho passato nulla..ma proprio nulla)

comodo, al momento del BITS test, mi ha dato questo avviso:
http://imageup.itadib.com/thumbs/754054comodo.JPG (http://imageup.itadib.com/images/754054comodo.JPG)

analizzando la libreria:
http://imageup.itadib.com/thumbs/974351dll.JPG (http://imageup.itadib.com/images/974351dll.JPG)

ovviamente si tratta del Background Intelligent Transfer

cmq un avviso inutile, visto che poi quel test nn l'ho superato

nel log di comodo vedo cmq questo:
http://imageup.itadib.com/thumbs/31074comodolog.JPG (http://imageup.itadib.com/images/31074comodolog.JPG)

tralasciando comodo, però mi sembra che questo test dovrebbe essere indirizzato anche verso behaviour blocker puri, ora mi chiedo: mamutu?

poichè ho visto che in wildsecurity, un utente aveva ThreatFire che ha dato un messaggio....(link (http://www.wilderssecurity.com/showthread.php?t=206668))

beh..mi chiedo allora: ThreatFire è superiore a Mamutu? Mamutu è o non è un behaviour blocker puro?

da me Mamutu nn si è fatto sentire... ho controllato il log e nulla...:rolleyes:

mi sa che ritornerò su ThreatFire...

PS: complimentoni vivisssimi a nV 25....i tuoi post e i tuoi esperimenti sono sempre interessantissimi...solo una piccola pecca (spero che nn ti offendi): troppa umiltà da parte tua.....sei uno dei pochi che riesce sempre a suscitare interesse e ammirazione da parte degli altri...e questo è un dato di fatto, leggendo i tuoi post...:)

Chill-Out

21-04-2008, 17:33

A parte il fatto che questo è un test rivolto sicuramente più agli HIPS puri che ai vari Behaviour Blocker imho, in ogni caso non mi sebra che TF abbia fatto una gran figura.

murack83pa

21-04-2008, 17:48

A parte il fatto che questo è un test rivolto sicuramente più agli HIPS puri che ai vari Behaviour Blocker imho, in ogni caso non mi sebra che TF abbia fatto una gran figura.

secondo me pure questo test è piu indicato per hips, però un Behaviour Blocker dovrebbe perlomeno accorgersi di quello che sta succedendo...mamutu nn si accorge di nulla...ma proprio nulla..nn c'è menzione....mentre mi sembra che per lo meno tf si accorga di qualke cosa.....

Chill-Out

21-04-2008, 18:21

secondo me pure questo test è piu indicato per hips, però un Behaviour Blocker dovrebbe perlomeno accorgersi di quello che sta succedendo...mamutu nn si accorge di nulla...ma proprio nulla..nn c'è menzione....mentre mi sembra che per lo meno tf si accorga di qualke cosa.....

qualche cosa non è abbastanza

Marco P.

21-04-2008, 18:23

Ma scusate, i Behaviour Blocker non dovrebbero bloccare o comunque segnalare comportamenti sospetti? L'installazione di un rootkit, l'intrusione in un processo, cosa sono allora?
Anche io con prevx2.0 non ho avuto il minimo avviso di quello che stava accadendo anche se nel registro sono presenti tutte le modifiche ma alla voce "Risposta" c'è scritto: Consentito. Non riesco proprio a capire come l'euristica(perchè è proprio di euristica che si parla proprio perchè il leak test di Comodo non è presente nella Community) possa non aver rilevato una cosa così!!! e non capisco perchè neanche nella funzione Expert(in prevx) la risposta agli avvisi si a sempre in base all'euristica e non interpellando l'utente!! Pazzesco. Questo programma è una delusione continua forse perchè lo credevo più "intelligente".....ciao

murack83pa

21-04-2008, 18:40

qualche cosa non è abbastanza

beh, però convieni pure tu che chi gira con account limitato.....puo stare un po piu tranquillo,no?

la dicitura error nn vuol dire forse aver superato il test?

e cmq, riguardo Tf, per me quel qualkosa conta....non pretendo di avere la max protezione e ne sono cosciente, e per questo giro in limitato, altrimenti installarei un Hips oppure un Cips completo, ma un minimo.....

se poi penso che mamutu è a pagamento e Tf è free....

per me è grave che mamutu nn rilevi nulla rispetto a Tf....

nV 25

21-04-2008, 18:42

...

a) ...complimentoni vivisssimi a nV 25....i tuoi post e i tuoi esperimenti sono sempre interessantissimi...b) solo una piccola pecca (spero che nn ti offendi): troppa umiltà da parte tua.....c) sei uno dei pochi che riesce sempre a suscitare interesse e ammirazione da parte degli altri...e questo è un dato di fatto, leggendo i tuoi post...:)

a), c) :flower:
Mi hai semplicemente commosso....

Per mia natura, cmq, non ho mai ricercato forme di visibilità e forse questo freno (che si confonde con l'umiltà...) si coglie nelle mie parole...

Freno che cmq, parlando di informatica, non è legato solo a questa fisiologica "discrezione" ma più che altro ad una consapevolezza, e cioè quella di avere LIMITI ENORMI....

Se alla luce di questo mi ponessi anche su un pulpito con l'atteggiamento di chi dispensa prediche, bè:
ingannerei solo il prossimo....

Più che umiltà, allora, nel mio caso si potrebbe parlare di correttezza verso chi legge...(e cosi' ho risposto al b)...)

Cmq grazie di cuore!

murack83pa

21-04-2008, 21:10

...

:) :D

nV 25

08-11-2008, 14:02

La butto li' senza alcun commento anche perchè non ho avuto assolutamente tempo di indagare ma solo di eseguire...:p

Comodo Firewall Test Suite (http://www.testmypcsecurity.com/securitytests/firewall_test_suite.html), 34 test in totale (segnalato inizialmente qui! (http://www.wilderssecurity.com/showthread.php?t=224745))

Condizioni di test:
- sistema reale (no VM)
- XP Pro SP3
- LUA
- KIS 7.0.1.325
- RTD Pro v1.0
- CLT lanciato con diritti limitati

Le .dll che è necessario caricare perchè vi sia l'inizializzazione del test (da RTD):

http://img352.imageshack.us/img352/6821/snap6hy1.th.jpg (http://img352.imageshack.us/my.php?image=snap6hy1.jpg)http://img352.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Punteggio: 330/340

http://img148.imageshack.us/img148/6033/snap1lq9.jpg

Estratto del log di RTD:
http://img136.imageshack.us/img136/7599/snap1tc7.th.jpg (http://img136.imageshack.us/my.php?image=snap1tc7.jpg)http://img136.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Log PDM per la scheda "registro" (RTD, infatti, non monitora di default le chiavi evidenziate sotto...):
http://img50.imageshack.us/img50/4756/snap2lo7.jpg

Log PDM relative agli "eventi":
http://img517.imageshack.us/img517/7083/snap3jn7.th.jpg (http://img517.imageshack.us/my.php?image=snap3jn7.jpg)http://img517.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

...........................

Test affidabile?
Varierebbero i risultati lanciando CLT.exe con diritti di amministatore?

Quello che emerge con chiarezza, cmq, e che ho peraltro avuto modo di sperimentare già da lungo tempo, è che RTD + KIS 7 si completano bene, moooolto bene.

Forse seguiranno approfondimenti...

cloutz

08-11-2008, 14:45

io, solo dietro account limitato (ovviamente ho dovuto disattivare le restrizioni al software:rolleyes:): 250/340

invece con account amministratore: 30/340

in linea generale con le restrizioni al software non si avvia una mazza, quindi il livello di sicurezza di account limitato + restrizioni è molto di più del 73% (250/340)...non sarebbe male vedere il comportamento di EQS (magari con e senza gli Alcyon rulesets:D)

sampei.nihira

08-11-2008, 15:04

EQS 3.41 (senza gli AR) da account amministratore:

http://img34.picoodle.com/img/img34/3/11/8/t_CTAm_5ccd3a1.jpg (http://www.picoodle.com/view.php?img=/3/11/8/f_CTAm_5ccd3a1.jpg&srv=img34)

EQS 3.41 + Alcyon Rules e Account amministratore:

http://img03.picoodle.com/img/img03/3/11/8/t_EQSAm_bfc4f4e.jpg (http://www.picoodle.com/view.php?img=/3/11/8/f_EQSAm_bfc4f4e.jpg&srv=img03)

EQS 3.41 (senza gli AR/ o con è indifferente) + Account Limitato:

http://img34.picoodle.com/img/img34/3/11/8/t_CTRm_72aae4b.jpg (http://www.picoodle.com/view.php?img=/3/11/8/f_CTRm_72aae4b.jpg&srv=img34)

Quindi confermo che c'è differenza.
Inoltre informo gli utenti che hanno antivir (specie se come me con i settaggi HIGH) avranno 2 (probabilmente) avvisi di virus !!

nV25 mi coinvolge sempre nei momenti meno indicati,accidenti a lui....:D ,prego quindi altri utenti di fare la segnalazione FP al sito AVIRA.

*********** AGGIORNAMENTO *************************************************************

Questo test è una riprova del motivo per cui io non uso gli AR.
Ho inserito uno screen ulteriore si vede naturalmente che il test da amministratore è migliore con gli AR.
Se fate questa ulteriore prova,quindi con gli AR, sotto AL ottenete esattamente lo stesso risultato precedente.

Sarebbe interessante se qualche utente esegue il test con EQS 4.

cloutz

08-11-2008, 15:07

ho notato il FP:D, infatti per fare il test ho disattivato AntiVir...
adesso segnalo ad Avira

EDIT:-----------

leolas

08-11-2008, 15:07

MA lol!!!! :D

Con Online Armor ho fatto 470/340 :O :asd: :sofico:

http://img32.picoodle.com/img/img32/3/11/8/t_cltm_dc60862.png (http://www.picoodle.com/view.php?img=/3/11/8/f_cltm_dc60862.png&srv=img32)

Magari riprovo, eh? :ciapet:

cloutz

08-11-2008, 15:13

MA lol!!!! :D

Con Online Armor ho fatto 470/340 :O :asd: :sofico:

:sofico: sborone!!
si vede che la concorrenza è agguerrita?:Prrr:

leolas

08-11-2008, 15:17

:sofico: sborone!!
si vede che la concorrenza è agguerrita?:Prrr:

:asd:

OA è sempre avanti :O :sofico:

No, comunque ora l'ho rifatto (testando, come prima, OA e basta), e ho fatto 340/340 con clt.exe in modalità protetta, 290/340 con clt.exe non in modalità protetta

cloutz

08-11-2008, 15:23

allego lo screen, per chi non si fidasse:ciapet:
Win Xp SP3
AntiVir
win firewall
account limitato

http://img227.imageshack.us/img227/4307/clt250pg5.th.png (http://img227.imageshack.us/my.php?image=clt250pg5.png)http://img227.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

@leolas:
non ho mai usato seriamente OA, quindi non lo conosce bene, anzi..la modalità protetta è una specie di sandboxie giusto?

leolas

08-11-2008, 15:29

cloutz

08-11-2008, 15:36

Comunque, OA riduce i permessi di un'applicazione ai permessi che avrebbe in un account limitato ;)
Una sandbox sarebbe carina, in effetti..
avrei puntato più sulla sandbox che sui diritti, però 340/340 non è mica male...:stordita:

cmq sorge spontanea la domanda, e qui chiudo l'OT...allora OA non gira su account limitati?
confesso di non aver letto tutto la guida che hai scritto:oink:

leolas

08-11-2008, 15:44

avrei puntato più sulla sandbox che sui diritti, però 340/340 non è mica male...:stordita:

cmq sorge spontanea la domanda, e qui chiudo l'OT...allora OA non gira su account limitati?
confesso di non aver letto tutto la guida che hai scritto:oink:

No, ci gira, ma credo abbia poco senso usare la Modalità Protetta, lì :sofico:

cloutz

08-11-2008, 16:07

si, è inutile lì, infatti non intendevo la mod protetta ma l'hips...:p

...è che non trovo la logica della modalità protetta..se devo ricorrere ai diritti limitati tanto vale che mi creo tutto l'account limitato e faccio prima (e OA ci gira lo stesso in ambienti limitati), piuttosto che ricorrere alla modalità protetta, che devo sempre "attivare" io ad ogni file a cui non voglio dare pieni diritti:mbe: ...

bah..me ne farò una ragione:O :)

marmotta88

08-11-2008, 17:02

Grandissimo OA :ave:

Clt lanciato da account limitato con l'hips di OA a fare la guardia:

330/340

Unica vulnerabilità: active desktop

nV 25

08-11-2008, 17:10

p.s. Enne non fare il "pinocchio" (eh eh eh) e mostraci lo screen del test da amministratore.......

ero infatti qui tutto tremante e mi chiedevo quale potesse essere la causa di quei brividi che mi correvano lungo la schiena.....
E pensare che temevo già d'aver chiappato l'australiana [:oink:] e invece, sampei, scopro che era TERRORE da account amministratore e dall'infausto esito....:Prrr:

Il test, cmq, da quello che leggo (leolas su tutti :D ) è (al solito) alquanto ballerino quanto a risultati restituiti...
Buona cmq l'idea di un test di questo tipo...
IMHO....

sampei.nihira

08-11-2008, 19:05

Sù,sù gente che non ci sia proprio nessuno che esegua il test con Vista.......:rolleyes: :rolleyes:

P.S. Ulteriore test e screen al mio precedente messaggio in pagina 3

sampei.nihira

08-11-2008, 20:16

Perdonate se metto ancora all'attenzione il 3D,magari qualche utente è interessato agli aggiornamenti e ha letto ciò che ho modificato adesso,quando ancora non c'era.....nulla !!

leolas

09-11-2008, 00:33

ero infatti qui tutto tremante e mi chiedevo quale potesse essere la causa di quei brividi che mi correvano lungo la schiena.....
E pensare che temevo già d'aver chiappato l'australiana [:oink:] e invece, sampei, scopro che era TERRORE da account amministratore e dall'infausto esito....:Prrr:

Sarà che sono stanco.. Ma non capisco cosa intendi :fagiano:

Il test, cmq, da quello che leggo (leolas su tutti :D ) è (al solito) alquanto ballerino quanto a risultati restituiti...
Buona cmq l'idea di un test di questo tipo...
IMHO....

:asd: Ti riferisci per caso ai 470 punti? :O :sofico:

commi

09-11-2008, 11:42

nV 25

09-11-2008, 11:49

Risultati del *solo* RTD.

Condizioni di test:
- Virtual Machine
- XP Pro SP3
- RTD Pro v1.0 @ default :read:
l'essere a default, quindi, significa ottenere risultati migliori se, per la parte di Hijaching, si aggiungono le apposite chiavi da monitorare che, in poche parole, corrisponderebbero a questi test:

http://img146.imageshack.us/img146/3500/snap1mo9.jpg

Per il resto, nutro seri dubbi sulle 2 tecniche di dll Injection che RTD "sembrerebbe" cannare, nello specifico SetWindowsHookEx/SetWinEventHook....

Risultato, allora: 250/340

http://img530.imageshack.us/img530/1138/totale14oc5.jpg

http://img407.imageshack.us/img407/7102/snap1tp9.th.jpg (http://img407.imageshack.us/my.php?image=snap1tp9.jpg)http://img201.imageshack.us/img201/4881/snap2nj1.th.jpg (http://img201.imageshack.us/my.php?image=snap2nj1.jpg)http://img201.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)http://img530.imageshack.us/img530/3093/snap3nz2.th.jpg (http://img530.imageshack.us/my.php?image=snap3nz2.jpg)http://img530.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)http://img407.imageshack.us/img407/5539/snap4uk6.th.jpg (http://img407.imageshack.us/my.php?image=snap4uk6.jpg)

Un breve estratto dal log:

http://img152.imageshack.us/img152/8418/snap10ag1.jpg

http://img407.imageshack.us/img407/2272/snap11nk5.jpg

http://img407.imageshack.us/img407/6131/snap12dz4.jpg

nV 25

09-11-2008, 11:52

Test su account amministratore e con Real Time Defender settato ad hoc "per l'occasione":

http://img119.imageshack.us/img119/8926/rtdbh7.th.jpg (http://img119.imageshack.us/my.php?image=rtdbh7.jpg)http://img119.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Nulla: :mbe:

Devi spiegarmi (in pvt, eventualmente) cosa intendi per "ad hoc" visto che non sono riuscito in nessun modo a riprodurre i tuoi risultati (in Vm..) per quanto riguarda i test chiamati injection (nello specifico, il SetWindowsHookEx/SetWinEventHook/DupHandles/KnownDlls)

Detto questo, per lo meno per i primi 2 (SetWindowsHookEx/SetWinEventHook) sono quasi sicuro che siano "filtrati" da RTD a dispetto di quanto sembrerebbe far credere il test visto che sono tecniche ampiamente documentate e in voga da diverso tempo.

Per gli altri 2 non mi pronuncio dato che non li conosco....

Riazzituoi? Hai la possibilità di provare e di farmi sapere che report ottieni?

PS x commi:
allegi un log?
Grazie

:)

*sulle "tecniche ampiamente documentate e in voga da diverso tempo", ecco infatti un estratto di un altro mio post dove era menzionato il famigerato SetWindowsHookEx:
a proposito degli hook, infatti, scrissi che "sono particolari meccanismi che consentono di intercettare dati destinati in realtà ad altri processi.
Per riuscirvi, il processo che vuole applicare l'hook "chiama" la funzione SetWindowsHookEx in user32.dll per caricare la sua DLL in tutti gli altri processi che a loro volta impiegano il file user32.dll..."

@Sirio@

09-11-2008, 15:34

Ti rinrazio ancora una volta per i test che ogni tanto tiri fuori..:D

Allora, ho provato con CSI..(configurazione Proactive Security) e ovviamente, come con il primo CLT test, non poteva che ottenere il punteggio massimo: 340/340 http://img37.picoodle.com/img/img37/3/11/9/sirio/t_35m_d902cd8.png (http://www.picoodle.com/view.php?img=/3/11/9/sirio/f_35m_d902cd8.png&srv=img37)

Durante l'estrazione di CLT.zip il D+ mi segnala la creazione delle dll, ecco un esempio http://img03.picoodle.com/img/img03/3/11/9/sirio/t_Duranteestrm_ef738fc.png (http://www.picoodle.com/view.php?img=/3/11/9/sirio/f_Duranteestrm_ef738fc.png&srv=img03)

Avvio il test dando il consenso a explorer.exe di eseguire CLT.exe http://img29.picoodle.com/img/img29/3/11/9/sirio/t_1m_e5ae461.png (http://www.picoodle.com/view.php?img=/3/11/9/sirio/f_1m_e5ae461.png&srv=img29)

e nego tutte le attività successive segnalate dal D+.

Il log del DEFENSE+

http://img33.picoodle.com/img/img33/3/11/9/sirio/t_logDm_320b55b.png (http://www.picoodle.com/view.php?img=/3/11/9/sirio/f_logDm_320b55b.png&srv=img33)

e quello del firewall

http://img26.picoodle.com/img/img26/3/11/9/sirio/t_logFW1m_9191dcb.png (http://www.picoodle.com/view.php?img=/3/11/9/sirio/f_logFW1m_9191dcb.png&srv=img26)

Questo è tutto. Se fossi curioso di vedere qualche screen dei pop-up, chiedi pure, li ho tutti.

Ciao enne. :)

PS Domani forse posso provare con RTD e JPF2 e farti sapere.

sampei.nihira

09-11-2008, 17:39

Scusate io non riesco a capire una cosa......

nV25 giustamente nel primo test ha inserito i parametri della prova.
Poi molto più interessante è stato, secondo me, il test sempre di nV25, del solo RTD.

Altri utenti (frà cui io) hanno fatto test simili di un Fw o HIPS.

Commi devo dire ci ha stupiti positivamente !!! ;)

Ma per riallacciarmi alla domanda iniziale non sarebbe meglio spiegare a tutti (e non in privato) come si è ottenuto un risultato del genere ?

Non lo dico certamente per me stesso, io non uso RTD, ma lo spirito di un forum sarebbe soprattutto questo giusto ?

_goofy_

10-11-2008, 08:01

una curiosità

queste tecniche dei leak test come abbiamo potuto verificare sono molto efficaci nel superare i firewall più diffusi

allora mi domando perchè queste tecniche non vengono implementate con maggior insistenza nel malware ??

oppure ..rigiro la domanda
qualcuno sa se c'è attualmente malware che utilizza queste tecniche ? :confused:

eraser

10-11-2008, 09:17

_goofy_

10-11-2008, 09:23

Sì, e non solo. Ad esempio, nella parte di installazione rootkit, ci sono altre tecniche non documentate ma utilizzate da alcuni rootkit.

grazie per la risposta

poichè l'argomento mi interessa, puoi linkarmi qualche link per documentarmi meglio...grazie

sampei.nihira

10-11-2008, 09:29

Mi sono letto i risultati sia nel forum di Comodo che su Wilders dove gli utenti (tra cui Leolas :D ) hanno testato più soluzioni di sw.
Interessante il Nis,Kis 2009,ma anche il s.o. Vista.
Devo dire che dopo tutti aver letto questi test ho il cervello che mi "fuma".....:rolleyes: :D
E mi sembra (almeno dai risultati discordi di più test con i medesimi sw) che ci siano alcuni test piuttosto "viziati".
Mah !! :rolleyes:

eraser

10-11-2008, 09:41

grazie per la risposta

poichè l'argomento mi interessa, puoi linkarmi qualche link per documentarmi meglio...grazie

http://www.textfiles.com/hacking/MICROSOFT/lopht.txt

Ad esempio un riadattamento di questo

cloutz

10-11-2008, 16:44

sampei.nihira

10-11-2008, 16:58

ho fatto il test in VM con EQS 3.41 (di default, senza ruleset particolari) e account limitato...ottengo risultati diversi da sampei:

configurazione (in ogni caso interviene sempre e solo EQS):
EQS 3.41
Nod 2.7
Sygate 5.5

320/340

http://img135.imageshack.us/img135/9290/immagineuw2.th.png (http://img135.imageshack.us/my.php?image=immagineuw2.png)http://img135.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

in pratica è bocciato solo sull'active desktop e il DDE...:fagiano:
invece nei test eseguiti come amministratore confermo i 230/340 di sampei..

Prova a disattivare il Sygate.
Io per fare ogni test di EQS avevo naturalmente il fw di default di XP (che mi sembra il minimo).;)

Nell'AL (quindi la mia situazione abituale con i diritti limitati) sono bocciato nei test:

Active desktop,COAT,DDE,EsplorerAsParent,DNS Test,ICMP Test.

Ripeto sarebbe interessante fare il test con EQS 4,qualche volontario ?

cloutz

10-11-2008, 17:13

avevi ragione..senza sygate comunque sempre 300/340 (differente dal tuo)..

EDIT:
sto test è un ca**ata...l'ho rifatto 3 volte di fila ed il risultato, a parità di settaggi, è stato diverso in tutte e 3 le volte...prima 300, poi 280 poi 290...:mbe:

@Sirio@

10-11-2008, 18:44

Oggi ho provato con RTD e JPF2 tutti e due con settaggi a default, risultato: 280/340

Tests falliti:

-ActiveDesktop
-Change DebuggerPath
-SupersedeServiceDll
-WinlogonNotify
-KnownDlls
-SetWindowsHookEx

Poi ho riprovato solo con RTD, stesso risultato: 280/340

Stessi tests falliti.

Se serve qualche screen.... chiedete pure.

@ commi

Anch'io sarei curioso di sapere come hai settato RTD

Saluti

cloutz

10-11-2008, 18:48

Ripeto sarebbe interessante fare il test con EQS 4,qualche volontario ?

se mi dite dove trovare EQS4 in inglese (o come farcelo diventare) lo faccio anche:D:D

sampei.nihira

10-11-2008, 19:20

se mi dite dove trovare EQS4 in inglese (o come farcelo diventare) lo faccio anche:D:D

http://www.wilderssecurity.com/showpost.php?p=1198884&postcount=128

commi

10-11-2008, 21:46

Chiedo scusa per il ritardo della mia risposta ma ieri non ho avuto molto tempo per dedicarmi al test come avrei preferito e che, purtroppo, ho eseguito un pò troppo in fretta. Per via di quest'ultima, nell'esecuzione del test con RTD, ho dimenticato di resettare le regole del defense+ di comodo :muro: :muro: :muro: (Utilizzo normalmente i due hips in accoppiata senza problema alcuno) con le quali, nelle precedenti esecuzioni del test, avevo negato i permessi ai test "bucati" da RTD (purtroppo il defense+ ricorda la risposta data in precedenza anche se non è stata selezionata l'opzione "remember my answer").

Mi dispiace, pertanto, aver fornito un dato incompleto:
il risultato pieno è stato ottenuto dall'accoppiata RTD & Defense+ e non dal solo RTD. :)

Oggi ho fatto un pò di prove solo con RTD ma non sono riuscito ad andare oltre il 310/340:

http://img158.imageshack.us/img158/5645/solortdas9.th.jpg (http://img158.imageshack.us/my.php?image=solortdas9.jpg)http://img158.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Posto anche gli screen degli avvisi del Defense+ sulle operazioni che, purtroppo, non vengono "viste" da RTD:

http://img83.imageshack.us/img83/2493/duphandlesyv8.th.jpg (http://img83.imageshack.us/my.php?image=duphandlesyv8.jpg)http://img83.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

http://img392.imageshack.us/img392/1282/setwindowshookbd2.th.jpg (http://img392.imageshack.us/my.php?image=setwindowshookbd2.jpg)http://img392.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

http://img392.imageshack.us/img392/9704/setwineventhookdx3.th.jpg (http://img392.imageshack.us/my.php?image=setwineventhookdx3.jpg)http://img392.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Riguardo il test dell'injection hook "SetWindowsHookEx", come già detto da nV25, lo stesso viene visto da RTD:

http://img411.imageshack.us/img411/4863/rtdsetwindowshookxp6.th.jpg (http://img411.imageshack.us/my.php?image=rtdsetwindowshookxp6.jpg)http://img411.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

ma il test viene dato come non superato mentre viene correttamente bloccato dal Defense+. Questo potrebbe lasciar presupporre qualche bug(*) da parte del ctl.exe stesso oppure che questa prova sia stata preparata ad hoc da Comodo per il proprio hips. Perciò ho ritenuto opportuno ripetere il test anche con SSM Pro (una versione vecchiotta) e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default (come del resto ha fatto il Defense+):

http://img50.imageshack.us/img50/2808/solossmproyj7.th.jpg (http://img50.imageshack.us/my.php?image=solossmproyj7.jpg)http://img50.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

(*) Che il test ogni tanto perda le staffe lo dimostra l'immagine sottostante:

http://img84.imageshack.us/img84/5879/880340fd5.th.jpg (http://img84.imageshack.us/my.php?image=880340fd5.jpg)http://img84.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

@Sirio@

11-11-2008, 00:39

Chiedo scusa per il ritardo della mia risposta ma ieri non ho avuto molto tempo per dedicarmi al test come avrei preferito e che, purtroppo, ho eseguito un pò troppo in fretta. Per via di quest'ultima, nell'esecuzione del test con RTD, ho dimenticato di resettare le regole del defense+ di comodo :muro: :muro: :muro: (Utilizzo normalmente i due hips in accoppiata senza problema alcuno) con le quali, nelle precedenti esecuzioni del test, avevo negato i permessi ai test "bucati" da RTD (purtroppo il defense+ ricorda la risposta data in precedenza anche se non è stata selezionata l'opzione "remember my answer").

Mi dispiace, pertanto, aver fornito un dato incompleto:
il risultato pieno è stato ottenuto dall'accoppiata RTD & Defense+ e non dal solo RTD. :)

Grazie per la precisazione.
Imo il risultato pieno è stato ottenuto dal D+ e basta..:D

Oggi ho fatto un pò di prove solo con RTD ma non sono riuscito ad andare oltre il 310/340:

http://img158.imageshack.us/img158/5645/solortdas9.th.jpg (http://img158.imageshack.us/my.php?image=solortdas9.jpg)http://img158.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Posto anche gli screen degli avvisi del Defense+ sulle operazioni che, purtroppo, non vengono "viste" da RTD:

http://img83.imageshack.us/img83/2493/duphandlesyv8.th.jpg (http://img83.imageshack.us/my.php?image=duphandlesyv8.jpg)http://img83.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

http://img392.imageshack.us/img392/1282/setwindowshookbd2.th.jpg (http://img392.imageshack.us/my.php?image=setwindowshookbd2.jpg)http://img392.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

http://img392.imageshack.us/img392/9704/setwineventhookdx3.th.jpg (http://img392.imageshack.us/my.php?image=setwineventhookdx3.jpg)http://img392.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Riguardo il test dell'injection hook "SetWindowsHookEx", come già detto da nV25, lo stesso viene visto da RTD:

http://img411.imageshack.us/img411/4863/rtdsetwindowshookxp6.th.jpg (http://img411.imageshack.us/my.php?image=rtdsetwindowshookxp6.jpg)http://img411.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Anche a me RTD lo vede... e negando ne blocca uno: SetWinEventHook http://img03.picoodle.com/img/img03/3/11/10/sirio/t_411m_e455d57.png (http://www.picoodle.com/view.php?img=/3/11/10/sirio/f_411m_e455d57.png&srv=img03) mentre l'altro, SetWindowsHookEx, fallisce.

ma il test viene dato come non superato mentre viene correttamente bloccato dal Defense+. Questo potrebbe lasciar presupporre qualche bug(*) da parte del ctl.exe stesso oppure che questa prova sia stata preparata ad hoc da Comodo per il proprio hips. Perciò ho ritenuto opportuno ripetere il test anche con SSM Pro (una versione vecchiotta) e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default (come del resto ha fatto il Defense+):

http://img50.imageshack.us/img50/2808/solossmproyj7.th.jpg (http://img50.imageshack.us/my.php?image=solossmproyj7.jpg)http://img50.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

(*) Che il test ogni tanto perda le staffe lo dimostra l'immagine sottostante:

http://img84.imageshack.us/img84/5879/880340fd5.th.jpg (http://img84.imageshack.us/my.php?image=880340fd5.jpg)http://img84.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Domanda: Con RTD si può creare o modificare qualche regola per poter passare i tests falliti?

nV 25

11-11-2008, 10:52

premesso che darei un enfasi "giusta" al test (e non lo dico tanto perchè RTD "fallisce" alcune voci e voglio dunque difenderlo a priori ma semplicemente perchè anche il solito prodotto fa registrare talvolta risultati discordanti...), personalmente colgo cmq diverse cose interessanti per quanto vada a soffermarmi solo su alcune di esse.

Direi allora fondamentalmente queste 2 cose:

1) in linea generale trovo interessante l'idea di fondo di test di questo tipo:
in 2 balletti, infatti, è possibile farsi un'idea del modo in cui i nostri sistemi sono "coperti" evidenziando facilmente le aree vulnerabili.

2) esistono attualmente soluzioni che, @ default, offrono un livello di copertura molto più profondo rispetto ad altre:
OA3/D+, infatti, guidano questa sorta di particolare classifica...
Il messaggio, dunque, è che chi installa una di queste 2 soluzioni e non avesse interesse a star li' a sbattersi per trovare configurazioni + o - "tight", beneficierebbe fin da subito della max copertura che il suo prodotto gli consente.

Gli altri, infatti (in particolare i prodotti stand alone delle piccole software house), rimandano "al polso dell'utilizzatore" il settaggio + o - profondo del software:
è il caso di RTD, di EQS e compagnia.

RTD, allora:
la parte di Hijaching può essere facilmente coperta mediante l'aggiunta "a manina" delle chiavi di registro "cannate".

Ecco che lo score risentirebbe positivamente di questa "rimanipolazione" delle regole di default consentendo di staccare diversi puntarelli in +....

Il log di KIS (ad es..) mostra percorso e valore delle chiavi di registro da proteggere:
http://img205.imageshack.us/img205/7195/realmachine2eu5.jpg

Tutto questo bel discorsino vale probabilmente anche per altri software stand alone come EQS, ecc...

IDEM (=rimanipolazione delle regole) per superare test come il "file drop" e (probabilmente) il "rootkit installation: DriverSupersede" che (nel test condotto da Alessandro Recchia su PianetaPC) ho visto fallire.

La regola "magica", allora, è quella che dice che la cartella di sistema (+ relative subfolders...) DEVE essere protetta da tentativi di CREAZIONE/SCRITTURA/CANCELLAZIONE...

In sostanza, si aggiungerà il percorso C:\WINDOWS alle regole chiamate system folder

http://img411.imageshack.us/img411/2198/snap1zz1.th.jpg (http://img411.imageshack.us/my.php?image=snap1zz1.jpg)http://img411.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Diverso, invece, è il "caso" degli attacchi di tipo injection che, o si passano, o NON si passano:
volgio dire, se il programma non contempla un certo meccanismo di scrivere nello spazio di memoria di un altro processo, non è certo che esiste una regoletta che rattoppa la situazione....
Questa si, dunque, può essere realmente un GRAVE VULNERABILITA'....

Io le mie perplessità su alcune cose le ho mosse (SetWindowsHookEx/SetWinEventHook almeno...) ma prendo cmq atto di quello che dice CLT....

Per finire, visto che sul mio Pc uso 2 software in TANDEM, ne posto il risultato complessivo che è come segue:

http://img525.imageshack.us/img525/6052/realmachine1mb8.jpg

(le cose cannate, peraltro, sono evidenziate nel report...)

Condizioni di test:
- sistema reale
- XP Pro SP3
- LUA
- KIS 7.0.1.325
- RTD Pro v1.0
- CLT lanciato con DIRITTI DI AMMINISTRATORE

nV 25

11-11-2008, 11:16

@ commi:
quando dici che hai "ritenuto opportuno ripetere il test anche con SSM Pro... e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default", significa che hai ricevuto materialmente 2 pop up distinti di global hook injection come mostrato da D+?

@ sirio:

su guardo questo screen che hai postato http://img03.picoodle.com/img/img03/3/11/10/sirio/t_411m_e455d57.png (http://www.picoodle.com/view.php?img=/3/11/10/sirio/f_411m_e455d57.png&srv=img03) mi convinco sempre di più che il test è "un pò farlocco" (nel senso che non è tarato benissimo come dice anche Alex s su wilders..):

te, infatti, il test "injection: DupHandles" lo superi....
Semplicemente, muààà....:rolleyes:

Solito software, risultati diversi indipendentemente dalla personalizzazione che in questo caso c'entra come il cavolo a merenda...
Muààà di nuovo...

@Sirio@

11-11-2008, 11:55

In effetti si, non capivo nemmeno io questa cosa (la differenza tra il mio e il tuo test con solo RTD), visto che, come me avevi tutto a default...:confused:

Riproverò con la modifica che hai suggerito..

Edit: Questi sono gli screen relativi al test "DupHandles" http://img34.picoodle.com/img/img34/3/11/11/sirio/t_361m_f1894e7.png (http://www.picoodle.com/view.php?img=/3/11/11/sirio/f_361m_f1894e7.png&srv=img34) http://img33.picoodle.com/img/img33/3/11/11/sirio/t_381m_2848827.png (http://www.picoodle.com/view.php?img=/3/11/11/sirio/f_381m_2848827.png&srv=img33)

http://img26.picoodle.com/img/img26/3/11/11/sirio/f_RTDlog21m_c530145.png (http://www.picoodle.com/view.php?img=/3/11/11/sirio/f_RTDlog21m_c530145.png&srv=img26)

nV 25

11-11-2008, 12:47

...test "DupHandles" che, in accordo con quanto asserisce alex_s su Wilders (non proprio l'ultimo arrivato, NDR...), *NON* costituisce di per sè alcuna vulnerabilità, cosi' come il "KnownDlls test" ecc...

LINK (http://www.wilderssecurity.com/showpost.php?p=1344900&postcount=2)

Per come sono implementati, dunque, il report relativo a queste voci significa tutto e nulla.

A proposito di DupHandles, alex_s dice che "non è sufficiente il duplicare un handle (visto che) si dovrà essere poi in grado di utilizzarlo"...

Per quanto riguarda KnownDlls, poi, dice che è un test inconsistente dato che (evidentemente...) restituisce un risultato negativo nel caso in cui riesca ad aggiungere un nuovo valore nella sezione KnownDlls anche se *in realtà* la creazione della dll stessa è impedita (vedi il tuo screen, appunto, o i miei...)

Interessante la sua conclusione:
"Other tests, that report "failed" do not provide a proof it really was failed, so all you can do is just to believe or not to believe."

Alla fine della fiera, piano a gettar bottino shiftando per di più da un software ad un altro basandosi esclusivamente su questo test...

IMHO...

PS:
Kaspersky è ricorsa al solito giochino delle firme per evitare probabilmente che qualcuno esegua questo test e rimanga con l'amaro in bocca:
da ieri, infatti, se non ricordo male, CLT.exe è bollato come un "not a virus" bla bla bla...

@ Sirio:
le dll che hai evidenziato nell'ultimo screen si riferiscono al 99% al test knownDll e non al Dup(licate)Handles...

cloutz

11-11-2008, 13:44

http://www.wilderssecurity.com/showpost.php?p=1198884&postcount=128

ho scaricato EQS4 e il language pack..appena avvio l'install mi appare questo errore (sia in VM che in sistema reale):mbe: :muro: :muro:

http://img147.imageshack.us/img147/8789/immagineek6.th.png (http://img147.imageshack.us/my.php?image=immagineek6.png)

uffffffff

sampei.nihira

11-11-2008, 14:08

ho scaricato EQS4 e il language pack..appena avvio l'install mi appare questo errore (sia in VM che in sistema reale):mbe: :muro: :muro:

http://img147.imageshack.us/img147/8789/immagineek6.th.png (http://img147.imageshack.us/my.php?image=immagineek6.png)

uffffffff

Se installavi il set di caratteri mandarini....forse lo capivo (seeeeeee :ciapet: )
Non sò cosa dirti visto che io uso ancora la 3.41 prova a scaricare EQS altrove,ad esempio nel 3D che ti ho messo in evidenza c'è un link.

p.s. Naturalmente è scontato che hai disinstallato la versione vecchia prima d'installare quella nuova giusto ?

cloutz

11-11-2008, 14:20

p.s. Naturalmente è scontato che hai disinstallato la versione vecchia prima d'installare quella nuova giusto ?

:asd:
ho anche ripulito col glary utilities, ccleaner, regseeker e atf-cleaner + cancellazione manuale dei file .xml rimasti e del log nella directory...

vedrò che fare:O

Nicodemo Timoteo Taddeo

11-11-2008, 14:23

cloutz

11-11-2008, 14:47

Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights.

Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240.

Saluti.

se clt.exe ha diritti limitati ogni processo che carica avrà diritti limitati (in linea teorica...)..quindi è normale che IE sia tutelato..

se provi a mettere come autori attendibili (in restrizioni software) solo gli amministratori del computer locale dovresti raggiungere i 250...

sampei.nihira

11-11-2008, 14:47

XP Pro SP3, account utente di tipo amministrativo, clt.exe lanciato sotto tutele di DropMyRigths:

http://img384.imageshack.us/my.php?image=leaktestot1.jpg

230/330 niente male per il "anulloimpatto" riduttore di diritti :) Il piccoletto li riduce veramente.

Da notare, altro valore aggiunto, che le finestre di IE che si aprono sono tutte anche loro sotto tutela di dropmyrights.

Per la cronaca su XP HE SP3, account utente limitato e nient'altro, mi ha registrato 240.

Saluti.

Ciao Taddeo ogni tanto ci si "rilegge" eh ? ;)

Da vecchio user di DMR anche io avevo fatto naturalmente la prova e non c'è stata alcuna differenza (almeno nel mio pc) rispetto all'account limitato.
Però noto che tu passi il test:

COAT (che io fallisco).

Quindi anche io,mi pronuncio per una certa "volatilità" del test.

**********************************************

Vorrei mettere all'attenzione degli utenti i test di injection falliti in questo caso che sono interessanti se confrontati con i test falliti da RTD.
EQS in questo caso....... sembrerebbe...... :rolleyes: :D più "tosto" di RTD !!!

p.s. Ed adesso giù addosso al povero Sampei.......

AGGIORNAMENTO:

Ho controllato meglio non c'è proprio un test nel tuo screen manca proprio il COAT (ed infatti sono 33/34)

Ehm è sparito un test ?

ShoShen

11-11-2008, 14:55

Sù,sù gente che non ci sia proprio nessuno che esegua il test con Vista.......:rolleyes: :rolleyes:

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac) :)

nV 25

11-11-2008, 14:57

Vieni, Sampeiiii! :D

EQS > RTD...

Meglio, no? :stordita:

PS:
Controlla con EQS quanti pop up di global injection ricevi (+ log, gracias...) :D

Cià...:fagiano:

sampei.nihira

11-11-2008, 15:07

Vieni, Sampeiiii! :D

EQS > RTD...

Meglio, no? :stordita:

PS:
Controlla con EQS quanti pop up di global injection ricevi (+ log, gracias...) :D

Cià...:fagiano:

Non posso adesso sono al pc linux.....:D :D

Comunque a rigor di logica sono quelli falliti da Nicodemo Taddeo che io.....passo alla grandeeeeeeee !!! :D :D :D :ciapet: :ciapet: :ciapet:

Ed infatti compessivamente del mio 280/340 io fallisco i test (sotto) che avevo nella pagina precedente messo già all'attenzione di questo gentile pubblico !! ;) ;)

Active desktop,COAT,DDE,ExplorerAsParent,DNS Test,ICMP Test.

sampei.nihira

11-11-2008, 15:18

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac) :)

Altro fw o quello di Vista ?

Nicodemo Timoteo Taddeo

11-11-2008, 15:23

AGGIORNAMENTO:

Ho controllato meglio non c'è proprio un test nel tuo screen manca proprio il COAT (ed infatti sono 33/34)

Ehm è sparito un test ?

È proprio così me e non me ne ero accorto subito, l'ho ripetuto più volte e anche senza dropmyrightd me ne faceva sempre solo 33 :wtf:

Allora ho pensato che fosse stato l'antivirus ad aver tagliato qualcosa durante la scompattazione dello zip. L'ho riscaricato, stavolta ho disattivato l'antivirus prima dello scompattamento e rifatto il test. Il COAT risulta vulnerable, ed il rusultato stavolta è 230/340.

Saluti.

Nicodemo Timoteo Taddeo

11-11-2008, 15:26

su vista (account limitato) e senza alcun hips il risultato è 120/340...(necessario consenso tramite uac) :)

Aspè...aspè... mannaggia che non ho un Vista al momento a disposizione :)

Cosa intendi con necessario consenso? Che il consenso lo dai o no? No perché XP account utente limitato mi ha dato 240/340, possibile che Vista sta a solo 120?

Saluti.

sampei.nihira

11-11-2008, 15:30

È proprio così me e non me ne ero accorto subito, l'ho ripetuto più volte e anche senza dropmyrightd me ne faceva sempre solo 33 :wtf:

Allora ho pensato che fosse stato l'antivirus ad aver tagliato qualcosa durante la scompattazione dello zip. L'ho riscaricato, stavolta ho disattivato l'antivirus prima dello scompattamento e rifatto il test. Il COAT risulta vulnerable, ed il rusultato stavolta è 230/340.

Saluti.

PERFETTO !!!

Stesso risultato, identico a quello che ho riscontrato io !! ;) ;)

Quindi non mi pronuncio più per una certa volatilità del test.....magari alcuni sw sono lievemente incompatibili.

Disattivateli specie se in azione real time.

nV 25

11-11-2008, 15:38

Non posso adesso sono al pc linux.....:D :D

Comunque a rigor di logica....

Ho capito, via:
prova babbo :read: (anche OA3..) e verifica di persona....:p

A rigor di logica, allora...bè, si guarda, eh! :Perfido:

PS:
m'è venuto il palletico a continuare a dar esageratamente credito a CLT...

sampei.nihira

11-11-2008, 15:45

Ho capito, via:
prova babbo :read: (anche OA3..) e verifica di persona....:p

A rigor di logica, allora...bè, si guarda, eh! :Perfido:

PS:
m'è venuto il palletico a continuare a dar esageratamente credito a CLT...

:) ;)

nV 25

11-11-2008, 15:57

ShoShen

11-11-2008, 16:20

Altro fw o quello di Vista ?

il firewall è quello di vista configurato però per bloccare anche connessioni in uscita
Aspè...aspè... mannaggia che non ho un Vista al momento a disposizione :)

Cosa intendi con necessario consenso? Che il consenso lo dai o no? No perché XP account utente limitato mi ha dato 240/340, possibile che Vista sta a solo 120?

Saluti.

in effetti sembra strano anche a me il risultato del test nel confronto con xp

alla richiesta di uac sono obbligato ad acconsentire, in caso contrario il programma non parte proprio. (sull'icona del software è presente lo stemma che indica che il programma può essere avviato solo con diritti amministrativi):) questo sicuramente pregiudica in negativo il risultato finale

posto uno screen dopo aver ripetuto il test

http://img37.picoodle.com/img/img37/3/11/11/t_Catturam_26f235b.jpg (http://www.picoodle.com/view.php?img=/3/11/11/f_Catturam_26f235b.jpg&srv=img37)

sampei.nihira

11-11-2008, 16:21

Ok, qui esiste sicuramente un bug in RTD...:muro:

http://img385.imageshack.us/img385/9183/snap4bw0.th.jpg (http://img385.imageshack.us/my.php?image=snap4bw0.jpg)http://img385.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php) http://img508.imageshack.us/img508/4250/snap5fo3.th.jpg (http://img508.imageshack.us/my.php?image=snap5fo3.jpg)http://img508.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Buono a sapersi, anche perchè son curioso di sapere ora a chi si dovrebbe segnalare...:rolleyes:

No comment...

http://img29.picoodle.com/img/img29/3/11/11/t_1m_0f559c5.jpg (http://www.picoodle.com/view.php?img=/3/11/11/f_1m_0f559c5.jpg&srv=img29)
http://img34.picoodle.com/img/img34/3/11/11/t_2m_7d2bbd0.jpg (http://www.picoodle.com/view.php?img=/3/11/11/f_2m_7d2bbd0.jpg&srv=img34)
http://img26.picoodle.com/img/img26/3/11/11/t_3m_2a0af09.jpg (http://www.picoodle.com/view.php?img=/3/11/11/f_3m_2a0af09.jpg&srv=img26)
http://img29.picoodle.com/img/img29/3/11/11/t_4m_dddf98e.jpg (http://www.picoodle.com/view.php?img=/3/11/11/f_4m_dddf98e.jpg&srv=img29)

Ho fatto veloce (devo finire un altro lavoro) senza log per un motivo di privacy.
EQS+DMR

nV 25

11-11-2008, 16:45

dopo questa, veramente, mi sono rotto gli zibiribbi...:rolleyes:

Ho testato anche Malware Defender e, ovvio, registro risultati differenti da quanto vedo su wilders...:rolleyes:
Anche qui, sia EQS che MD erano testati sotto VM con XP SP3 + account amministratore e cfg-zioni @ default.
(PS: per la cronaca ho segnalato a Xiaolin [autore di MD..]1 rootkit che "scappava" da MD [e EQS] ma, con questa, ho veramente finito di fare il S.Francesco di turno aggratisse...
Il rootkit in questione è di classe Nulprot/Saturn per chi fosse scettico, il che dimostra aimè che l'accelerazione subita da veri malware NON risparmia nessuno....)

LOG:
http://img185.imageshack.us/img185/2388/mdloguk4.th.jpg (http://img185.imageshack.us/my.php?image=mdloguk4.jpg)http://img185.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Anche MD intercetta con successo i 2 global hook,
http://img530.imageshack.us/img530/2932/md1la3.th.jpg (http://img530.imageshack.us/my.php?image=md1la3.jpg)http://img530.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php) http://img514.imageshack.us/img514/5387/md2xj6.th.jpg (http://img514.imageshack.us/my.php?image=md2xj6.jpg)

e "stacca" un risultato di 240/340:

http://img293.imageshack.us/img293/418/md5pz5.jpg

La cosa curiosa è che nel log, pur risultando bloccate (ad es...) alcune chiavi di registro, il report di CLT mostra come "falliti" alcuni test....:confused:

Nel dettaglio, cmq, cosa fallirebbe:
http://img150.imageshack.us/img150/779/md3um1.th.jpg (http://img150.imageshack.us/my.php?image=md3um1.jpg)http://img150.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php) http://img150.imageshack.us/img150/9724/md4qd7.th.jpg (http://img150.imageshack.us/my.php?image=md4qd7.jpg)http://img150.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php) http://img150.imageshack.us/img150/3052/md5ix1.th.jpg (http://img150.imageshack.us/my.php?image=md5ix1.jpg)http://img150.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

Den76

11-11-2008, 19:53

Il mio piccolo contributo :)

Win Xp Home + sp3 e OA3 Free

Con account amministratore
320/340 ( Active Desktop salvo sparire ai tentativi successivi e Duphandles che invece permane )

Con account limitato
330/340 ( Active Desktop salvo sparire ai tentativi successivi )

commi

11-11-2008, 20:01

@ commi:
quando dici che hai "ritenuto opportuno ripetere il test anche con SSM Pro... e gli stessi test dell'injection, sia il "SetWindowsHookEx" che il "SetWinEventHook", vengono superati con le opzioni di default", significa che hai ricevuto materialmente 2 pop up distinti di global hook injection come mostrato da D+?

Ecco i 2 screen di SSM Pro che contribuiscono, insieme ai test con altri hips, a farci pensare che questo tipo di injection non sia, purtroppo, "nelle corde" di RTD :

http://img100.imageshack.us/img100/8540/windowshookhp7.th.jpg (http://img100.imageshack.us/my.php?image=windowshookhp7.jpg)http://img100.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

http://img45.imageshack.us/img45/8036/eventhookha0.th.jpg (http://img45.imageshack.us/my.php?image=eventhookha0.jpg)http://img45.imageshack.us/images/thpix.gif (http://g.imageshack.us/thpix.php)

leolas

11-11-2008, 20:54

nV 25

12-11-2008, 09:49

Confesso di non riuscire a trovare le parole giuste per esprimere pienamente il mio pensiero, ma quello che vedo è che, al di là della necessità di attribuire un "giusto peso" a questo particolare tipo di test, le piccole software house sono sempre più schiacciate dalle risorse/mezzi messi in campo dalle grandi software house...

Risorse/mezzi che consentono di poter abbracciare più aree rispetto a quello che può materialmente seguire una singola mano che, per quanto lucida, ha bisogno di tempi necessariamente diversi per tradurre "in codice" il suo lavoro...

Alla fine della fiera, e per dirla in modo forse brutale, ho sempre più timore che i prodotti stand alone siano sempre più prossimi all'essere "fuori dal mercato", e questo "lo leggo" sia dalla mail che ho ricevuto ieri in risposta dallo sviluppatore di Malware Defender [ottimo software, peraltro...], sia dalla morte di PS, dal disinteresse della casa di EQS per il mercato occidentale, dall'arrancamento dello sviluppo di SSM, ecc...

"Forse" ancora esente da questo tipo di ragionamento è Sandboxie, non avendo infatti nel suo settore clamorosi competitor...

E "forse", pur tra 1000 perplessità, per beneficiare dello "stato dell'arte" in materia di sicurezza, non resta che affidarsi realmente (parlando per lo meno di HIPS nudi e crudi...) a case del calibro di Comodo/OA....

Probabilmente dovrei essere felice di apprendere che c'è "qualcosa di meglio" in giro ma, in tutta onestà, non mi sento proprio cosi' sereno...

Certo è che, alla luce della sofisticazione che hanno raggiunto gli attuali malware, un approccio che preveda alla base ALMENO l'Account Limitato è sicuramente INDISPENSABILE (se pur *non* sufficiente...) a prescindere da quello che ci possano eventualmente raccontare a dx e a manca...

Rendo onore, dunque, a chi si era battuto anche qui su Hw perchè seguissimo questa strada...:ave:

sampei.nihira

12-11-2008, 13:51

300/340 con l'ultima alpha di OA :D

Bè, ma i vostri mitici EQS, RTD e SSM non son poi tanto mitici, eh! :read: :read: :read:

:Prrr: :Prrr: :D
--edit: Lo so, questi test non vogliono dire niente. Sarebbe bello poter testare gli HIPS davvero con veri "super-rootkit" :fagiano:

Si è vero oggi OA3 e Comodo hanno il loro "momento di gloria" ma rimangono solo dei sw........
Per giunta sw che incorporano anche un modulo hips.

Io preferisco rimanere fedele al "metodo della diversificazione".
Perchè statisticamente rimane più sicuro.

Poi naturalmente ciò non toglie che in pratica sia IL più sicuro !!!

Leo tu segui OA ammettiamo (naturalmente speriamo di no) che frà una settimana si viene a scoprire un bug in grado di far crashare il sw.
Ebbene anche il modulo hips seguirebbe la stessa sorte,presumo.

E' vero il bug sarebbe corretto in tempi brevi......se naturalmente chi lo scopre lo segnala alla softhouse.

Ed ha ragione nV25 a dire che probabilmente la strada da seguire passa purtroppo ormai per le grandi softhouse......

sampei.nihira

12-11-2008, 14:09

leolas

12-11-2008, 14:20

Bè, questi test comunque sono un pò delle farse. Sono usciti, il giorno dopo l'alpha di OA passava già 1-2 test in più :sofico:

Questo significa, quindi, che software come OA e Comodo vengono costruiti intorno ai test, e vengono aggiunte protezioni solo se servono a passare test.

EQS, RTD ecc purtroppo fanno fatica a far fortuna, perchè oltre ad essere complicati da usare (ma non tanto più del D+ e di OA, suppongo) non hanno tutta la frotta di fan in giro per il mondo che pubblicizza il software, sopratutto perchè vengono presentati come oggetti da geek, non sono presenti in (quasi) nessuna comparativa, e nei test di questo tipo non fanno ottimi risultati perchè magari sono molto migliori di OA e Comodo su alcune cose, ma si interessano di meno all'immagine.

Questo è un grande errore, imho, perchè se la Tall Emu si sta ingrandendo (nonostante la crisi, peraltro) è solo perchè hanno trovato il loro mercato, pubblicizzandosi, anche attraverso matousec e i test di comodo.

Di apprezzabile, c'è che le compagnie che si sono ingrandite molto, come Comodo, iniziano a fare test. Il problema è quando poi si mettono a fare comparative con altri software, facendo risaltare le buone caratteristiche del proprio software, nascondendo quelle cattive :stordita: E ci rimettono programmi come EQS, RTD e PS..

sampei.nihira

12-11-2008, 16:44

ShoShen

12-11-2008, 17:15

C'è qualcuno che mi potrebbe spiegare (vista la mia ignoranza di Vista :D ) perchè un XP3 account limitato supera il test con un punteggio superiore a quello (almeno così sembra dai messaggi degli utenti che hanno provato il test con il nuovo s.o.) ottenibile con Vista ? :rolleyes: :rolleyes:

ciao sampei, credo che questo succeda perché su windows xp il test è "abilitato" per partire anche con diritti limitati quindi il programma/test è anch'esso limitato nelle azioni che può compiere

su vista invece l'unico modo per fare il test è assegnando pieni diritti amministrativi (dando consenso tramite uac)...quindi il software di comodo girerà come amministratore

quindi mentre con xp fai il test da utente con privilegi ridotti con vista sei obbligato a farlo da amministratore...

ps: in realtà il test è per cosi dire favorevole a vista ...in quanto se su entrambi i sistemi operativi si usa un account limitato e si esegue il test con i soli diritti limitati su xp il software può partire e (potenzialmente ) causare danni, mentre su vista non potrebbe nemmeno partire con privilegi ridotti (per questo si è costretti ad assegnare i diritti di admin )

:)
edit: è una mia deduzione non avendo provato il software con xp service pack 3 e account limitato ma solo con vista

cloutz

12-11-2008, 17:51

ps: in realtà il test è per cosi dire favorevole a vista ...in quanto se su entrambi i sistemi operativi si usa un account limitato e si esegue il test con i soli diritti limitati su xp il software può partire e (potenzialmente ) causare danni, mentre su vista non potrebbe nemmeno partire con privilegi ridotti (per questo si è costretti ad assegnare i diritti di admin )

:)

per questo su XP vengono usate (o meglio sono consigliate) le restrizioni al software, che bloccano l'esecuzione di qualunque cosa...l'account limitato di per sè offre buona parte della sicurezza, ma non tutta:D

Visron

12-11-2008, 17:55

.
scusate ma qualora un malware sfruttasse queste tecniche di Leak ...il malware stesso se uno si usa ad esempio l'ottimo Avira verrebbe intercettato e fermato ancora prima che lo stesso malware si installi sulla macchina e poi comunichi all'esterno dati sensibili senza che l'utente se ne accorga

su Vista poi in piu' ci si accorgerebbe dell'autoinstallazione con autoavvio da UAC che avverte con realtiva finestra..ed io blocco

nV 25

12-11-2008, 18:04

...Io se fossi in te...butterei dalla finestra il Real "Tonto" :rolleyes: :) Defender e lo sostituirei seduta stante !!!

E invece a me non riesce proprio rinunciare a tante piccole cose che ritrovo nell'ex ProSecurity...:stordita:

Il bug, infatti, è si' grave ma non tale (secondo me) da dover ripensare ancora alla ricomposizione delle mie difese...

Certo è che se non dovesse più venire alcun segnale di vita dagli acquirenti del vecchio codice di PS, sarà gioco forza dover ripensare il tutto visto che lo sviluppo, per questi software, è tutto...

Diciamo che per ora tengo duro....:D

PS: e poi, per cambiarlo con che, con D+ che mi fa pena per n cose? :stordita:
L'unica cosa per cui mi piace veramente, infatti, sono giusto i colori dei pop-up :ciapet:

commi

12-11-2008, 19:33

PS: e poi, per cambiarlo con che, con D+ che mi fa pena per n cose? :stordita:
L'unica cosa per cui mi piace veramente, infatti, sono giusto i colori dei pop-up :ciapet:
Perchè non considerare la possibilità di usarli entrambi? Lo faccio da un paio di mesi e non ho notato rallentamenti o conflitti: uno bilancia le carenze dell'altro e viceversa. Certo, devi fare i conti con un numero quasi doppio di pop-up ma, credo, questo non sia per te un problema, visto la regoletta aggiunta in RTD....quella del controllo dei file su C: e relative sottocartelle :D

leolas

12-11-2008, 19:35

Si è vero oggi OA3 e Comodo hanno il loro "momento di gloria" ma rimangono solo dei sw........
Per giunta sw che incorporano anche un modulo hips.

Io preferisco rimanere fedele al "metodo della diversificazione".
Perchè statisticamente rimane più sicuro.

Poi naturalmente ciò non toglie che in pratica sia IL più sicuro !!!

Leo tu segui OA ammettiamo (naturalmente speriamo di no) che frà una settimana si viene a scoprire un bug in grado di far crashare il sw.
Ebbene anche il modulo hips seguirebbe la stessa sorte,presumo.

E' vero il bug sarebbe corretto in tempi brevi......se naturalmente chi lo scopre lo segnala alla softhouse.

Ed ha ragione nV25 a dire che probabilmente la strada da seguire passa purtroppo ormai per le grandi softhouse......

Strano, quando avevo scritto il post di prima non avevo notato questo ;)

In ogni caso, concordo pienamente, e come ho scritto, non è vero che OA e Comodo è sicuro che siano meglio.

E' ovvio che Comodo nel SUO test ha messo solo test che Comodo passa, e ha omesso gli altri.

Magari ci sono altri 1234567890 test che altri software passerebbero, ma non li hanno messi ;)

gabryflash

13-11-2008, 08:07

uffa ... non riesco ad eseguire il test ... avira si inka@@a se ci provo :stordita:
e comodo 3.o è morto di nuovo e non capisco perchè ... :muro: :mc:

Nicodemo Timoteo Taddeo

13-11-2008, 08:53

uffa ... non riesco ad eseguire il test ... avira si inka@@a se ci provo :stordita:

Gli antivirus vanno disattivati ovviamente, non ha senso tenerli in azione se si sta testando un eseguibile che simula il comportamento di malware. E per la stessa ragione conviene disattivarli fin dalla fase di scompattamento dell'archivio .zip.

Saluti.

Nicodemo Timoteo Taddeo

13-11-2008, 09:04

ps: in realtà il test è per cosi dire favorevole a vista ...

Ed è favorevole in sovrappiù per via del fatto che anche concedendo il permesso alla richiesta dell'UAC alcuni test risultano "Protected" al contrario che con XP->amministratore dove tutto viene "Vulnerable".

- Ho provato ora su Vista HE SP1, lanciato il test sbuca fuori l'UAC a chiedere il consenso.

- Poi effettuato il test mi viene riportato 100/340 segno che Vista non consente alcune operazioni tendenzialmente nocive neppure dietro espressa autorizzazione dell'utente, al contrario di XP dove tutto è consentito.

Sarebbe interessante provare con il superadmin di Vista dalla modalità provvisoria, cosa che mi riservo di fare la prima volta che riavvio il PC :)

Saluti.

leolas

13-11-2008, 13:09

hem.. a proposito di test buggoso...

http://www.wilderssecurity.com/showpost.php?p=1347064&postcount=130

Without any security software...

XP SP3 32bit
Admin, Windows Firewall deactivated
RootkitInstallation: MissingDriverLoad Protected

Vista SP1 32bit
Admin, Windows Firewall, Windows Defender and UAC deactivated
32. RootkitInstallation: DriverSupersede Protected
33. RootkitInstallation: LoadAndCallImage Protected

Nasty rootkits ::)

Cheers

ShoShen

13-11-2008, 13:40

- Poi effettuato il test mi viene riportato 100/340 segno che Vista non consente alcune operazioni tendenzialmente nocive neppure dietro espressa autorizzazione dell'utente,

ottima osservazione :)
Sarebbe interessante provare con il superadmin di Vista dalla modalità provvisoria, cosa che mi riservo di fare la prima volta che riavvio il PC :)

Saluti.

pur non avendo provato personalmente, cosi su due piedi mi verrebbe da dire che alcuni test verrebbero superati ugualmente ...questo perché il superamento di alcuni test credo sia dovuto più alla struttura del SO che ad una differenza di privilegi tra admin e super admin....ovvero per esempio il test che cerca di modificare il contenuto della memoria dovrebbe essere superato lo stesso (in quanto il superamento dovrebbe essere dovuto più al modo in cui viene protetta la memoria che ad una questione di privilegi ) :)...comunque va beh ..è solo una mia supposizione

sampei.nihira

13-11-2008, 14:06

Ieri dopo la ottima spiegazione di Shoshen, che ringrazio, ho voluto provare a fare il test usando la modalità di DropMyRights "constrained user" e successivamente la "untrusted user".
Per far ciò è facile basta cambiare la lettera finale "N" del percorso con la "C" o la "U".
Ne inserisco i miei "risultati" :rolleyes: per la curiosità degli utenti.

In modalità U è apparso un errore a schermo,è stato impossibile andare avanti.
In modalità C l'HIPS mi ha bombardato di pop-up che non ho potuto soddisfare.
La disabilitazione di EQS non ha sortito alcun effetto il test non si è avviato.

Ho eseguito questo test con Returnil attivo.

Nicodemo Timoteo Taddeo

13-11-2008, 17:14

pur non avendo provato personalmente,

Ho provato :) è cambiato poco e pure in meglio. Ora non so se è Vista che sclera o è il test che fa cilecca spesso e volentieri, ma dalla modalità provvisoria stavolta mi ha dato 110/340. Praticamente ha bloccato un test in più :wtf:

Bah... non ci capisco più nulla, faccio come quello "non capisco ma mi adeguo", al fatto che Vista risulta effettivamente più sicuro (su questi test) di XP :)

Saluti.

Nicodemo Timoteo Taddeo

13-11-2008, 18:13

Fatta prova su Windows Seven, la solita build in circolazione da un paio di settimane, virtualizzata con VirtualBox. Account utente "Administrator", all'avvio interviene il solito UAC a richiedere l'autorizzazione, poi il test prosegue regolarmente. Risultato 160/340.

.Kougaiji.

13-11-2008, 20:42

Vista sp1 + comodo v3.5

340/340 anche se ho dovuto aggiungere delle regole sul registro, altrimenti era 330/340.Per la precisione fallivo lo startup.

@Sirio@

14-11-2008, 11:28

...test "DupHandles" che, in accordo con quanto asserisce alex_s su Wilders (non proprio l'ultimo arrivato, NDR...), *NON* costituisce di per sè alcuna vulnerabilità, cosi' come il "KnownDlls test" ecc...

[...]

@ Sirio:
le dll che hai evidenziato nell'ultimo screen si riferiscono al 99% al test knownDll e non al Dup(licate)Handles...

E' vero... però, perché allora non si legge nel log l'evento bloccato o qualcosa che riconduce all'attività bloccata visto che il test l'ho passato? :confused:

Oppure c'è ma non lo vedo io?

@Sirio@

14-11-2008, 11:32

Vista sp1 + comodo v3.5

340/340 anche se ho dovuto aggiungere delle regole sul registro, altrimenti era 330/340.Per la precisione fallivo lo startup.

In che senso? Quali regole hai dovuto aggiungere?

Io ho passato tutto con la configurazione: "COMODO - Proactive Security"

.Kougaiji.

14-11-2008, 21:57

Ho aggiunto in "My protected Registry Keys" di controllare:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd*

cloutz

15-11-2008, 05:51

ho installato OA3 ita....
anche dietro account limitato il test è sempre 330/340...non raggiungo mai il max...:mbe:
non supera l'active_desktop...

leolas

16-11-2008, 17:49

ho installato OA3 ita....
anche dietro account limitato il test è sempre 330/340...non raggiungo mai il max...:mbe:
non supera l'active_desktop...

Hanno fatto uscire una nuova versione di CLT, perchè l'ActiveDesktop (e altre cose) era buggato: https://forums.comodo.com/feedbackcommentsannouncementsnews_cis/comodo_leak_test_suite_release_with_34_tests-t29688.0.html;msg217569#msg217569

cloutz

16-11-2008, 17:54

si ho provato anche in modalità protettà, ma non cambia:)
sarà che usi una beta:boh:

BEY0ND

18-11-2008, 11:33

edit

@Sirio@

19-11-2008, 18:18

Ho aggiunto in "My protected Registry Keys" di controllare:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd*

Grazie :)

Anche se non ne capisco il motivo... :what:

Perché io non ne ho avuto bisogno?

BEY0ND

26-11-2008, 00:15

Eseguito con:

-account amministratore
-sandboxie
-zemana antilogger

http://img26.picoodle.com/img/img26/3/11/25/f_comodotestm_04c86d0.png (http://www.picoodle.com/view.php?img=/3/11/25/f_comodotestm_04c86d0.png&srv=img26)

.Kougaiji.

26-11-2008, 08:35

Grazie :)

Anche se non ne capisco il motivo... :what:

Perché io non ne ho avuto bisogno?

Non lo hai provato su Vista? :confused:

@Sirio@

27-11-2008, 00:08

Non lo hai provato su Vista? :confused:

L'ho ripetuto poco fa su Vista Home Premium 32 bit.

Configurazione COMODO - Proactive Security, senza aver modificato niente nelle impostazioni, né ho dovuto aggiungere la protezione di particolari chiavi del registro.

http://img32.picoodle.com/img/img32/3/11/26/sirio/t_screencltvim_2558034.jpg (http://www.picoodle.com/view.php?img=/3/11/26/sirio/f_screencltvim_2558034.jpg&srv=img32)

:boh:

sampei.nihira

29-11-2008, 21:25

Informo gli utenti che i nuovi rules dell'utente Alcyon di W. per EQS consentono di aumentare il punteggio dell'HIPS al test Comodo, ma solo di 10 punti quindi un solo test ulteriore passato,l'active desktop.
Comunque visto l'enorme mole di voci implementate la citazione è almeno dovuta.
Non ho controllato nulla,io come ripeto non uso gli A.R.S.,quindi ho importato i rules ed eseguito il test.

Il nuovo risultato è di 240/340 da account amministratore e 290/340 da account limitato.

sampei.nihira

30-11-2008, 07:10

Ma questo test quanto è affidabile? Mi spiego meglio, Comodo passa il suo test (ma va?) ma lo stesso firewall non passa tutti i test di Matousec. E poi, che senso ha fare un test che ti cambia lo sfondo? (mi pare di capire) Cioè, all'atto pratico, a che serve? Quanti malware sfruttano questa vulnerabilità?

Si, ci sono delle incongruenze.
Ma ciò non toglie che il test sia una valutazione di massima che ha dalla sua anche la semplicità di risposta e quindi di esecuzione.
Se vogliamo è un pò come le nostre leggi.
Fallibili certamente.
Ma derivano direttamente dal Diritto Romano.
Secoli di storia.....
Fino a quando non troveranno un sistema legislativo migliore e quindi più efficiente rimarranno la differenza tra caos e legalità !! ;)

E dopo questa "massima" :D :D
Una richiesta.

C'è qualcuno che vuole fare il test Comodo con le 2 nuove superstar free (la conferma OA era scontata) Netchina e Pc tools firewall ?

Sarei curioso dei risultati rispetto a quelli che già conosciamo di OA.

Se c'è lo ringrazio fin da adesso !!! ;) ;)

Nicodemo Timoteo Taddeo

30-11-2008, 08:48

Ma questo test quanto è affidabile? Mi spiego meglio, Comodo passa il suo test (ma va?)

Ed infatti IMHO il suo risultato non è da prendere minimamente in considerazione, è fuori gioco a prescindere :)

ma lo stesso firewall non passa tutti i test di Matousec. E poi, che senso ha fare un test che ti cambia lo sfondo? (mi pare di capire) Cioè, all'atto pratico, a che serve? Quanti malware sfruttano questa vulnerabilità?

È un gioco, ma come per tutti i giochi può servire a farsi un'idea sul valore dei partecipanti. Il risultato non va inteso come dogma, ma è chiaro che se un PFS si comporta molto peggio di un altro, da da pensare.

Saluti.

cloutz

30-11-2008, 10:58

C'è qualcuno che vuole fare il test Comodo con le 2 nuove superstar free (la conferma OA era scontata) Netchina e Pc tools firewall ?

Sarei curioso dei risultati rispetto a quelli che già conosciamo di OA.

Se c'è lo ringrazio fin da adesso !!! ;) ;)

Netchina ho provato ad installarlo un paio di settimane fa, xke ne avevo sentito parlar bene...risultato:loop infinito:muro:

per pc Tools aspettiamo qualche anima pia:p

sampei.nihira

30-11-2008, 11:12

Netchina ho provato ad installarlo un paio di settimane fa, xke ne avevo sentito parlar bene...risultato:loop infinito:muro:

per pc Tools aspettiamo qualche anima pia:p

Ciao, Cloutz, ieri avevo postato il link sotto a Leolas te lo metto in evidenza:

http://www.hwupgrade.it/forum/showpost.php?p=25222798&postcount=793

Noterai che dopo il test di M. c'è molta curiosità su questo prodotto e su W. l'utente Kees1958 l'ha installato senza problemi.:confused:

Per ciò che hai scritto ed io ho evidenziato,sono curioso del punteggio che otterrebbe pctools,che nel test M. ha raggiunto una posizione devo dire strabiliante (anche sullo stesso Comodo,Comodo Firewall s'intende.....) !!

jp1987

30-11-2008, 14:38

salve a tutti! Ho un problema... Saputo che avast è un pessimo antivirus ho installato sia comodo internet security (versione free) sia avira... Non capisco però come mai questi due se sono migliori non trovano in un cd che ho un virus (in un file di "autorun") che avast invece mi trova... Che avast abbia trovato dei falsi positivi? Come faccio a distinguere se un "virus" è tale o è un "falso positivo"? Grazie a tutti per la pazienza, visto che sono novello in questo campo :rolleyes: :mc:

cloutz

30-11-2008, 14:51

hai sbagliato topic..
comunque manda il file in questione a Virus Total (http://www.virustotal.com/it/) o Jotty (http://virusscan.jotti.org/) e vedi da quanti antivirus viene riconosciuto infetto..
poi la valutazione finale sta a te...

BEY0ND

01-12-2008, 14:33

Windows xp sp2 account admin

pctools firewall

http://img33.picoodle.com/img/img33/3/12/1/t_pctoolsm_d6bc7d0.jpg (http://www.picoodle.com/view.php?img=/3/12/1/f_pctoolsm_d6bc7d0.jpg&srv=img33)

pc tools firewall + sandboxie

http://img26.picoodle.com/img/img26/3/12/1/t_sandpctoolsm_8d3818e.jpg (http://www.picoodle.com/view.php?img=/3/12/1/f_sandpctoolsm_8d3818e.jpg&srv=img26)

Dopo inserisco anche quelli con zemana :)

sampei.nihira

01-12-2008, 14:37

Grazie Bey !! ;) ;) ;) ;) ;)

BEY0ND

01-12-2008, 14:42

Grazie Bey !! ;) ;) ;) ;) ;)

http://img33.picoodle.com/img/img33/3/12/1/f_hands40m_fd591a9.gif (http://www.picoodle.com/view.php?img=/3/12/1/f_hands40m_fd591a9.gif&srv=img33)

ShoShen

01-12-2008, 15:11

http://img33.picoodle.com/img/img33/3/12/1/f_hands40m_fd591a9.gif (http://www.picoodle.com/view.php?img=/3/12/1/f_hands40m_fd591a9.gif&srv=img33)

http://img03.picoodle.com/img/img03/3/12/1/f_snackm_eefe52c.gif (http://www.picoodle.com/view.php?img=/3/12/1/f_snackm_eefe52c.gif&srv=img03)

ps: ho riprovato anche io ad installare pc tools ma non si avviava :stordita:

BEY0ND

01-12-2008, 16:37

http://img03.picoodle.com/img/img03/3/12/1/f_snackm_eefe52c.gif (http://www.picoodle.com/view.php?img=/3/12/1/f_snackm_eefe52c.gif&srv=img03)

ps: ho riprovato anche io ad installare pc tools ma non si avviava :stordita:

Mettila così :p :
Da un bsod ad una non "inizializzazione" c'è stato un progesso no?:D
Consolati pensando a me che ieri ho tentato di installare zone pro il cui setup si bloccava sempre al 6% :asd:

BEY0ND

05-12-2008, 21:56

Mettila così :p :
Da un bsod ad una non "inizializzazione" c'è stato un progesso no?:D
Consolati pensando a me che ieri ho tentato di installare zone pro il cui setup si bloccava sempre al 6% :asd:

rettifico :fagiano: .....me lo installa,provato sotto returnil :oink:
avevo bisogno dell'installer nuovo e di qualche libreria :stordita:
ora vedo se tenere pctools o passare al famigerato true vector :D

cloutz

13-12-2008, 12:40

in seguito a questa (http://www.hwupgrade.it/forum/showpost.php?p=25405318&postcount=1221) segnalazione ho provato SSM Pro (con tutti i moduli attivi):

340/340 con account limitato
280/340 con account amministratore

:sofico:

WarDuck

13-12-2008, 14:48

Testato con Windows 7:

Account User con SafeGuard (una specie di SandBox integrata in 7), faccio partire clt, mi chiede i diritti administrator, glieli concedo:

150 senza firewall in uscita
190 con firewall in uscita abilitato

Sarebbe interessante riuscire a farlo partire come User, magari con integrity level L.

BEY0ND

31-12-2008, 11:21

Come per la versione 4 anche la 5 di pctools firewall ottiene 170/340.

ZioMiki

05-05-2009, 19:48

scusate la domanda stupida :rolleyes: , ma l'applicazione va bloccata con comodo per superare il test, vero?

cloutz

05-05-2009, 19:56

scusate la domanda stupida :rolleyes: , ma l'applicazione va bloccata con comodo per superare il test, vero?

ti chiederà il consenso per avviarsi (explorer che tenta di caricare clt.exe, poi al massimo un pò di avvisi sulla creazione di .dll a seconda del livello del D+) e ti si aprirà il programmino....

da quando schiacci su "test" devi rispondere Block a tutte le richieste (o altrimenti al primo avviso lo consideri come Isolated Application):D

facci sapere com'è andata!:sofico:

ciaociao

ZioMiki

05-05-2009, 21:05

ti chiederà il consenso per avviarsi (explorer che tenta di caricare clt.exe, poi al massimo un pò di avvisi sulla creazione di .dll a seconda del livello del D+) e ti si aprirà il programmino....

da quando schiacci su "test" devi rispondere Block a tutte le richieste (o altrimenti al primo avviso lo consideri come Isolated Application):D

facci sapere com'è andata!:sofico:

ciaociao

330/330:ciapet:

cloutz

05-05-2009, 21:23

330/330:ciapet:

anche perchè comodo, a default, prende il massimo dei voti:D

serve più che altro a vedere se ci sono problemi grossi nella configurazione o nell'installazione, come magari qualche area di controllo che dovrebbe essere attiva, mentre invece sfugge...

Saluti

leolas

05-05-2009, 22:38

anche perchè comodo, a default, prende il massimo dei voti:D

ah bè lo spero, il test l'han fatto loro :O :D

comunque, mi pare che "un tempo" non fosse sempre così

cloutz

06-05-2009, 10:45

ah bè lo spero, il test l'han fatto loro :O :D

:asd:

anche OA cmq prende il massimo dei voti se non ricordo male...

commi

06-05-2009, 16:38

330/330:ciapet:
Ad essere precisi il test dovrebbe concludersi con il punteggio di 340/340:
i test sono infatti 34 e non 33 :D

kliffoth

17-05-2009, 20:02

Scusate gente, con Comodo Internet Security installato ma senza antivirus e con Avira come antivirus, facendo il test ce n'è uno che non passo

20. InfoSend: ICMP Test Vulnerable

sapete da cosa dipende?

ShoShen

18-05-2009, 15:47

rag voi passate i test presenti in queste pagine? :)

http://www.gentlesecurity.com/blog/index.php/c15/

Kohai

18-05-2009, 15:59

rag voi passate i test presenti in queste pagine? :)

http://www.gentlesecurity.com/blog/index.php/c15/

Come funzionerebbe shoshen? ;)

lord_D

18-05-2009, 17:05

Con l'ultima versione di CIS (senza il modulo antivirus perchè utilizzo antivir premium ) faccio il test è mi da 320 su 340 , mi da vulnerabile :

InfoSend: DNS Test

Impersonation: Coat

da cosa può dipendere ?

ShoShen

18-05-2009, 17:20

Come funzionerebbe shoshen? ;)

ciao kohai, sono "test" singoli (uno slegato dall'altro) quindi diciamo che ognuno segue una sua procedura :) per esempio il primo "è un buon banco di prova per le misure di sicurezza in quanto gli stessi metodi possono essere utilizzati per altri attacchi, non solo per il processo di terminazione"

più che altro io ho fatto qualche prova per capire come reagisce geswall in caso di attacco (quindi vedere i messaggi che fornisce ecc) :)

cloutz

18-05-2009, 18:52

rag voi passate i test presenti in queste pagine? :)

http://www.gentlesecurity.com/blog/index.php/c15/

qualcuno di quelli l'avevo provato qualche settimana fa (ma la fonte era diversa:D)

ricordo che CIS il primo li passava tutti, poi non ricordo, ne ho fatti una ventina:p

Kohai

18-05-2009, 19:04

ciao kohai, sono "test" singoli (uno slegato dall'altro) quindi diciamo che ognuno segue una sua procedura :) per esempio il primo "è un buon banco di prova per le misure di sicurezza in quanto gli stessi metodi possono essere utilizzati per altri attacchi, non solo per il processo di terminazione"

più che altro io ho fatto qualche prova per capire come reagisce geswall in caso di attacco (quindi vedere i messaggi che fornisce ecc) :)

qualcuno di quelli l'avevo provato qualche settimana fa (ma la fonte era diversa:D)

ricordo che CIS il primo li passava tutti, poi non ricordo, ne ho fatti una ventina:p

Allora avevo intuito bene guardando la foto del post... diversi pulsanti per diversi test...
Oookkey, grazie shoshen e buon proseguimento di serata :)

ShoShen

18-05-2009, 23:11

Allora avevo intuito bene guardando la foto del post... diversi pulsanti per diversi test...
Oookkey, grazie shoshen e buon proseguimento di serata :)

di nulla, grazie a te
ciao :)

ricordo che CIS il primo li passava tutti, poi non ricordo, ne ho fatti una ventina:p

:asd:

theBlooder

19-05-2009, 08:28

Kohai

19-05-2009, 18:18

Windows XP SP3
Avira Antivir
Prevx Edge
Online Armor (Program Guard + Firewall)

290/340 :(

Injection: KnownDlls
InfoSend: ICMP Test
Hijacking: SupersedeServiceDll
Hijacking:StartupPrograms
Hijacking:ChangeDebuggerPath

:mbe: strano... io ho OA free e li passa tutti...
Hai disabilitato il guard di avira prima?
Ai popup di avviso (a parte il primo per avviare il test) hai negato l'accesso?

leolas

19-05-2009, 19:28

theBlooder

19-05-2009, 23:12

che versione di OA?

3.0.0.190.free
Forse ho dato i permessi anche durante il test... ora ricontrollo lol!

Kohai

22-05-2009, 22:28

3.0.0.190.free
Forse ho dato i permessi anche durante il test... ora ricontrollo lol!

Allora? Superato? :confused:

frescodestate

24-05-2009, 18:47

scusate non riesco a superare questi 2 test:
- RootkitInstallation: DriverSupersede Vulnerable
- Invasion: FileDrop Vulnerable

che regole devo dare a comodo firewall?
grazie

PS: ho installato Avira come AV

theBlooder

24-05-2009, 23:08

Allora? Superato? :confused:
Scusami se ti ho tenuto "con il fiato sospeso :sofico: " ma è arrivato il nuovo computer, tempo di assemblarlo ( e sperare che tutto vada bene:oink: ) rifaccio i test da lì!

cloutz

25-05-2009, 05:03

provato Malware Defender 2.2.0..

http://img27.picoodle.com/img/img27/2/5/24/kronos/t_Immagine2m_474b18e.png (http://www.picoodle.com/view.php?img=/2/5/24/kronos/f_Immagine2m_474b18e.png&srv=img27)

fallisce RawDisk e ICMP Test:O

marcoesse

25-05-2009, 11:18

Kohai

25-05-2009, 14:25

Scusami se ti ho tenuto "con il fiato sospeso :sofico: " ma è arrivato il nuovo computer, tempo di assemblarlo ( e sperare che tutto vada bene:oink: ) rifaccio i test da lì!

ookkkey ;)

cloutz

25-05-2009, 17:27

ciao,
Kis 2010 beta 9.0.0.459 pre TR
direi non male [URL=http://www.imagebam.com/image/412b9836856263]

al di là del punteggio, che è buono, guarderei anche il tipo di test falliti...e RootkitInstallation non mi consola molto:D

marcoesse

25-05-2009, 17:40

al di là del punteggio, che è buono, guarderei anche il tipo di test falliti...e RootkitInstallation non mi consola molto:D
si avevo visto pure io ed anche se non ne capisco molto
il termine RootkitInstallation non è bene augurante;)
pero' vedo adesso che è il ChangeDrvPacht :confused: ....che per me' è come неправильной incomprensibile :D
pero' questa è ancora una beta ;)
da quel poco che capisco di inglese (poco nulla) sul forum dei beta tester kis2010 so' che stanno lavorando in questa direzione
e cmq col 2009 non riuscivo a fare meglio di 260 su 340;)
vediamo gli sviluppi....
ciao
marco:)

commi

25-05-2009, 23:22

provato Malware Defender 2.2.0..

fallisce RawDisk e ICMP Test:O

Test eseguito con Malware Defender 2.2.0 in una macchina con XP SP3 ed account amministratore:

http://img194.imageshack.us/img194/920/12798172.th.png (http://img194.imageshack.us/my.php?image=12798172.png)

Solo il RawDisk risulta non superato (e, presumo, non lo sarà mai poichè, a detta dell'autore di MD, quest'ultimo riconosce i tentativi di scrittura sul disco e non quelli in lettura come quello eseguito dal test in questione).

commi

27-05-2009, 18:08

Test eseguito con Malware Defender 2.2.0 in una macchina con XP SP3 ed account amministratore:

http://img194.imageshack.us/img194/920/12798172.th.png (http://img194.imageshack.us/my.php?image=12798172.png)

Solo il RawDisk risulta non superato (e, presumo, non lo sarà mai poichè, a detta dell'autore di MD, quest'ultimo riconosce i tentativi di scrittura sul disco e non quelli in lettura come quello eseguito dal test in questione).

Mi autoquoto perchè è necessario che io rettifichi l'esito del Comodo Leak Test con Malware Defender 2.2.0: come correttamente riportato da cloutz, anche l'ICMP test non viene superato.

Chiedo scusa per l'errore :flower:

theBlooder

02-06-2009, 22:36

Allora? Superato? :confused:
Vista 64 Sp1, prevx edge + Avira antivir 9 + Outpost firewall con impostazioni base ed Auto-Learn faccio 190/340.
La cosa che mi lascia basito è il fatto che apra explorer piuttosto che il browser predefinito (FF3)...
:(

Romagnolo1973

02-06-2009, 22:55

Vista 64 Sp1, prevx edge + Avira antivir 9 + Outpost firewall con impostazioni base ed Auto-Learn faccio 190/340.
La cosa che mi lascia basito è il fatto che apra explorer piuttosto che il browser predefinito (FF3)...
:(

beh comunque non penso che Cis solo FW cioè senza il suo modulo hips (quindi alla pari con outpost free 2009) faccia 340

ingwye

21-06-2009, 18:36

Edit:

Risolto:)

sampei.nihira

19-03-2010, 14:24

Oggi ho rifatto il CLT usando solo ridurre i privilegi con DMR,quindi in pratica, "accout limitato":

http://img188.imageshack.us/img188/5412/clt.th.jpg (http://img188.imageshack.us/i/clt.jpg/)

fidokman90

19-03-2010, 14:59

scusate per fare il test bisogna consentire le varie dll, e tutti i popup che appaiono??

Den76

20-03-2010, 19:28

scusate per fare il test bisogna consentire le varie dll, e tutti i popup che appaiono??

Dal momento in cui premi "start " devi negare/bloccare qualsiasi permesso a qualsiasi domanda ti venga fatta.

fidokman90

20-03-2010, 20:25

fatto il test

su win 7 64bit + pctools firewall + avira free

200/340 :(

c'è modo di migliorare le cose??

TheQ.

17-06-2011, 14:07

Comodo Internet Security free + prevx 3.0, senza mettere sotto sandbox il file eseguibile del leaktest fa 50/340.
Utilizzando Comodo Internet Security free + prevx3.0 mettendo sotto sandbox il file eseguibile del leaktest fa 330/340. Questa cosa rende fondamentale il defense+ e il buon uso degli avvisi di sandbox.
Da notare che senza sandbox il pacchetto comodo i.s. sembra valre meno di altri prodotti con punteggi migliori.
Prevx 3.0 safe online, nessuna segnalazione

Avast 6.0 + comodo firewall, modificando l'impostazione euristica di avast ed impostandola a massimo, senza sandboxare con comodo = punteggio 340/340.
Parte una sola segnalazione sandbox avast e un attacco (quello che apre il browser con una gif), apre comunque il browser con la gift malevola, ma risulta come protected (senso di tutto ciò?!)

Zone alarm free + avira free (configurazione base) danno un 60/340.

Comodo firewall free senza sandbox + prevx + comodo cloud + avast disabilitato = 320/340 (falliti: impersonation coat e impersonation exploreasparent)

Comodo firewall free senza sandbox + prevx = 320/340

comodo firewall free senza sandbox + comodo cloud = 320/340

comodo firewall free + sandboxie + comodo cloud = 280/340 (falliti anche: hijacking startup programs e supersedeservicedll, e injection services)
^_^'''
ovvero eseguendo il test nella sandbox di sandboxie e non in quella di comodo ho risultati peggiori!

(ma nel test mancano i zero day attack)

Romagnolo1973

17-06-2011, 19:49

CIS se impostato in modalità Proactive e non quella di default che è la Internet Security fa 340 sia con che senza SandBox
Se il punteggio viene inferiore, del tipo 320/340 è perchè in qualche modo l'Antivirus esterno (quello di CIS supporta il test non intervenendo poichè lo riconosce prodotto di casa) è intervenuto prima di CIS e quindi quel test fallisce formalmente ma in realtà sei stato protetto dall'AV

CIS default quindi in modalità Internet Security senza SB fa un punteggio di 50 o poco più ragione per cui va settato diversamente

TheQ.

17-06-2011, 19:56

Configurazione di Comodo - Proactive.
Livello sicurezza sandbox - abilitato
livello sicurezza defence+ - sicuro
livello sicurezza firewall - sicuro
livello di sicurezza antivirus comodo - non ricordo perchè l'ho disinstallato 1 settimana fa.

Legolas84

26-06-2011, 02:00

ciao,
Kis 2010 beta 9.0.0.459 pre TR
direi non male http://thumbnails19.imagebam.com/3686/412b9836856263.gif (http://www.imagebam.com/image/412b9836856263)
http://img41.imageshack.us/img41/7197/snap026.jpg (http://img41.imageshack.us/my.php?image=snap026.jpg)

Ad oggi KIS 2012 continua ad ottenere gli stessi risultati.... un peccato visto che eravamo davvero vicini al 340/340....

marcoesse

26-06-2011, 14:41

Ad oggi KIS 2012 continua ad ottenere gli stessi risultati.... un peccato visto che eravamo davvero vicini al 340/340....
peccato :( ancora 320 su 340
infatti volevo chiedere a qualcuno se faceva il test con Kis 2012
ovviamente hai seguito i settaggi (post 24)
http://forum.kaspersky.com/index.php?showtopic=165763&view=findpost&p=1327146
ciao

Legolas84

26-06-2011, 17:43

Sisi.... full interattivo.....

marcos86

30-06-2011, 13:54

Delusione
Bitdefender IS 2011 170/340
F-Secure IS 2012 beta 160/340

dire che aspettavo risultati decisamente migliori è un eufemismo :mad:

Legolas84

30-06-2011, 14:34

Gli AV che proteggono bene da quegli attacchi sono molto pochi.... come detto nemmeno Kaspersky riesce a bloccarli tutti... 2 lo bucano....

Cavallomatto

30-06-2011, 20:25

Delusione
Bitdefender IS 2011 170/340
F-Secure IS 2012 beta 160/340

dire che aspettavo risultati decisamente migliori è un eufemismo :mad:Ne il primo,e tanto meno il secondo,sono provvisti di modulo HIPS.Se ci fosse,il punteggio sarebbe senza dubbio decisamente +alto!!!!

TheQ.

01-07-2011, 09:31

Ma al Comodo Leak Test non manca lo Zero-day attack?

Su un sito di paragone fra firewall ho visto che solo defense wall ferma questo attacco.

Slash82

07-07-2011, 12:17

scusate la domanda estremamente stupida... Ho online armor e avast 6...
quando provo questo test mi si aprono le richieste di online armor, devo mettere consenti o blocca? Perchè se metto blocca ricevo come punteggio 340/340, mentre mettendo consenti molto meno..

Legolas84

07-07-2011, 13:00

Naturalmente devi bloccare :)

Slash82

07-07-2011, 14:04

Naturalmente devi bloccare :)

bhe allora con 340/340 sono ben protetto :)

Legolas84

07-07-2011, 16:15

Slash82

07-07-2011, 16:38

Si conta comunque che questo test verifica solo UNO dei fattori che concorrono alla protezione di un PC. Anche Comodo fa 340/340.... ma comunque come suite è inferiore a Kaspersky (che qui fa 320/340).

Ciao ;)
andando un secondo ot... mi potresti consigliare qualcosa per verificare la protezione generale del pc?

Legolas84

07-07-2011, 17:45

In giro c'è qualche test... ma non è che con un test verifichi più di tanto purtroppo. Io ti dico, uso Kasperksy da anni e anni, e da quando l'ho installato non ho mai più avuto problemi di sicurezza.... MAI.

Prima usavo Avast o Avira e qualche cosa a volte qualche problema lo creava...

nV 25

07-07-2011, 18:27

Perdonatemi ma chi usa un HIPS e si pone la domanda se consentire o meno le richieste che nascono da CLT, è già di per se motivo sufficiente per leggere l'esitenza di un problema in essere.

O non si conosce infatti la filosofia di fondo di un programma di questo tipo (legittimo, ma in quel caso bisogna porre urgente rimedio se si vuole continuare ad utilizzare questa tipologia di software) o è il segnale che sarebbe opportuno orientarsi verso soluzioni diverse (in soldoni, programmi "più invisibili" come i Sandbox).

Se si conosce la filosofia di fondo di un HIPS classico (che è quella di avvisare a prescindere per qualsiasi "comportamento" rientrante in un determinato ventaglio), si sarebbe evitato di chiedere "come rispondere".
(ATTENZIONE: anche se è chiaro il mio riferimento a qualche utente in particolare, in realtà credo di fargli un servizio visto che il fine di questo intervento è mettere sul chi-va-là l'utente in questione)...

E poichè CLT è solo un simulatore, va da se che l'incertezza già in questa fase è destinata inevitabilmente a ripercuotersi in quello che avverrà nel quotidiano dove l'utente è solo di fronte al pop-up...

Il tutto, IMHO...