Esiste un modo per lanciare un .exe di cui non si è sicuri sia pulito, senza rischiare di fare casini?

Innazitutto è opportuno controllarlo utilizzando uno o più servizi di scansione online http://www.hwupgrade.it/forum/showthread.php?t=1898895

successivamente per ulteriore scrupolo l'unico modo è quello di eseguirlo in ambiente virtuale

successivamente per ulteriore scrupolo l'unico modo è quello di eseguirlo in ambiente virtuale

come si può fare? :stordita:

come si può fare? :stordita:

http://www.hwupgrade.it/forum/showthread.php?t=1823645

http://www.hwupgrade.it/forum/showthread.php?t=1823645

lavori interessantissimi i vostri ;)
per il mio caso fare tutto il lavoro di installare un OS virtuale mi sembra esageratamente troppo.

Grazie comunque dei link

anche se il metodo migliore è quello di utilizzare una VM, puoi provare utilizzando programmi come Sandboxie (http://www.hwupgrade.it/forum/showthread.php?t=1570797) oppure Returnil (http://www.megalab.it/2815/)

Saluti :)

lavori interessantissimi i vostri ;)
per il mio caso fare tutto il lavoro di installare un OS virtuale mi sembra esageratamente troppo.

Grazie comunque dei link

peccato percènon è poi così difficile o esoso da campiere :)

occhio a RVS...leggi, a titolo informativo, qui dal post #62 in poi:
http://www.hwupgrade.it/forum/showthread.php?t=1795274&page=4

non so se l'ultima versione abbia meno limitazioni (ma lo spero:) )

sicuramente sandboxare l'exe dentro una partizione protetta da Returnil è l'alternativa più sicura, se non si considerano le procedure del 3d Virus Testing Machine (ci avevam dato dentro eh mod :asd: :D)...

occhio a RVS...leggi, a titolo informativo, qui dal post #62 in poi:
http://www.hwupgrade.it/forum/showthread.php?t=1795274&page=4

non so se l'ultima versione abbia meno limitazioni (ma lo spero:) )

sicuramente sandboxare l'exe dentro una partizione protetta da Returnil è l'alternativa più sicura, se non si considerano le procedure del 3d Virus Testing Machine (ci avevam dato dentro eh mod :asd: :D)...

Non c'è nulla di sicuro al 100% neanche dopo aver preso tutte le precauzioni del caso, sicuramente è buona regola utilizzare il Pc muletto :)

Non c'è nulla di sicuro al 100% neanche dopo aver preso tutte le precauzioni del caso, sicuramente è buona regola utilizzare il Pc muletto :)

Io non sono così pessimista:) ...già sandboxie di per sè è molto sicuro (se usato bene) e blocca il 99% dei malware...Idem anche per Returnil (se si tiene conto, saggiamente, delle limitazioni in cui si incorre)...

La certezza al 100% di isolare il malware non c'è, ma la possibilità di venire infettati diventa sicuramente molto remota...

Ovviamente ben venga il pc dedicato, per chi lo ha:p

Io non sono così pessimista:) ...già sandboxie di per sè è molto sicuro (se usato bene) e blocca il 99% dei malware...Idem anche per Returnil (se si tiene conto, saggiamente, delle limitazioni in cui si incorre)...

La certezza al 100% di isolare il malware non c'è, ma la possibilità di venire infettati diventa sicuramente molto remota...

Ovviamente ben venga il pc dedicato, per chi lo ha:p

Non è una questione di pessimismo, ma di approccio a quell'1% :p

occhio a RVS...leggi, a titolo informativo, qui dal post #62 in poi:
http://www.hwupgrade.it/forum/showthread.php?t=1795274&page=4

non so se l'ultima versione abbia meno limitazioni (ma lo spero:) )

sicuramente sandboxare l'exe dentro una partizione protetta da Returnil è l'alternativa più sicura, se non si considerano le procedure del 3d Virus Testing Machine (ci avevam dato dentro eh mod :asd: :D)...

già :asd:
nessuno riceve più email infette? o siete troppo bravi che avete sconfitto lo spam :cool:
:Prrr:

già :asd:
nessuno riceve più email infette? o siete troppo bravi che avete sconfitto lo spam :cool:
:Prrr:

Io non ne ricevo, mai ricevute:O ...basta non dare a cani e porci l'indirizzo email e usare spambox (per esempio:Prrr:)...
indubbiamente il discorso si complica se ci si occupa di pubbliche relazioni ed è una necessità lavorativa fornire i propri contatti...ma qualche modo ci sarebbe anche in quel caso, credo...:)

scherzi a parte è un pò un'utopia pensare di essere immuni da virus, aimè...tanto volte faccio anche io questo sbaglio, peccando di presunzione :rolleyes: :(

.

Bypassare SandboxIE non è così semplice come si crede. Non c'è solo il problema dei permessi a limitare eventuali attacchi (misura preventiva comunque efficacissima), non ci sono solo hook user mode che bloccano il tutto (misura molto meno efficace e facilmente aggirabile), ma ci sono tecniche DKOH, e quelle sono molto molto difficili da aggirare e richiedono una notevole (e sottolineo notevole) esperienza

Bypassare SandboxIE non è così semplice come si crede. Non c'è solo il problema dei permessi a limitare eventuali attacchi (misura preventiva comunque efficacissima), non ci sono solo hook user mode che bloccano il tutto (misura molto meno efficace e facilmente aggirabile), ma ci sono tecniche DKOH, e quelle sono molto molto difficili da aggirare e richiedono una notevole (e sottolineo notevole) esperienza

la discussione si fa interessante :fagiano:

vorrei, se è possibile, un tuo, anzi un vostro parere:

premesso che è pacifico la differenza tra software come Returnil e Sandboxie....e che forse una comparativa nn è giusto farla....:rolleyes:

secondo te (voi) quale dei due fornisce una maggiore protezione?

mi riferisco alla possibilità che uno dei due venga bypassato da un malware, che accidentalmente viene scaricato e fatto girare da un utente all'interno di questi due ambienti, nell'uso quotidiano

senza fare riferimenti a ipotesi troppo complicate (rootkit complessi in grado di far apparire la madonna sul vostro monitor* :p ), qual è la percentuale di rischio che un malware piu o meno diffuso nel web riesca a bypassare uno dei due software sopracitati?

lo so: nn esiste una risposta certa, ma visto che siamo in uno dei forum italiani piu importanti, credo che si possa ottente cmq una valutazione o cmq una stima, che anche se non sicura, ha pur sempre una sua importanza :D

Saluti :)


*scusate la blasfemia

la discussione si fa interessante :fagiano:

vorrei, se è possibile, un tuo, anzi un vostro parere:

premesso che è pacifico la differenza tra software come Returnil e Sandboxie....e che forse una comparativa nn è giusto farla....:rolleyes:

secondo te (voi) quale dei due fornisce una maggiore protezione?

mi riferisco alla possibilità che uno dei due venga bypassato da un malware, che accidentalmente viene scaricato e fatto girare da un utente all'interno di questi due ambienti, nell'uso quotidiano

senza fare riferimenti a ipotesi troppo complicate (rootkit complessi in grado di far apparire la madonna sul vostro monitor* :p ), qual è la percentuale di rischio che un malware piu o meno diffuso nel web riesca a bypassare uno dei due software sopracitati?

lo so: nn esiste una risposta certa, ma visto che siamo in uno dei forum italiani piu importanti, credo che si possa ottente cmq una valutazione o cmq una stima, che anche se non sicura, ha pur sempre una sua importanza :D

Saluti :)


*scusate la blasfemia

Domanda interessante a cui purtroppo non credo sia possibile dare una risposta univoca.
Perchè i due sw sono componenti di un insieme cioè la configurazione multistratificata di sicurezza di un pc.
Alcuni utenti li usano entrambi.
Altri riterranno che sia migliore (per le loro esigenze e gusti) SandboxIE altri RVS.

Faccio un esempio prendi l'ultima versione di S. che ha introdotto la funzione DMR.
Per coloro che sono sotto un accont amministratore è una novità interessante.
Chi usa già un account limitato oppure usa lo stesso DMR sia nel browser ma anche in apertura di alcuni sw a rischio (per esempio P2P,messaggistica immediata,posta elettronica ecc ecc) guarderà alla solita funzione con un interesse minore.
Quindi dipende sia dal sistema che dall'utente.

p.s. Scusami sono stato disturbato e non ho potuto finire l'intervento che finisco adesso,con la frase sottostante.

Se guardiamo alla diffusione,l'uso di RVS è certamente minore dell'uso di S.

Faccio un esempio prendi l'ultima versione di S. che ha introdotto la funzione DMR.
Per coloro che sono sotto un accont amministratore è una novità interessante.
Chi usa già un account limitato oppure usa lo stesso DMR sia nel browser ma anche in apertura di alcuni sw a rischio (per esempio P2P,messaggistica immediata,posta elettronica ecc ecc) guarderà alla solita funzione con un interesse minore.
Quindi dipende sia dal sistema che dall'utente.


E' quello che è venuto in mente anche a me:)
Per esempio io, che uso quotidianamente un account limitato, non me ne faccio nulla del DMR:stordita:

Nonostante ciò "a pelle" (quindi non chiedetemi argomentazioni di sorta:D ) preferisco Sandboxie...e se mi dovessero chiedere quale dei due consigliare, la mia scelta sarebbe quest'ultimo...
Forse perchè ha un uso e una comprensibilità più immediata e questo lo rende più conoscibile (= ci fa sentire più sicuri)...magari è questo falso senso di sicurezza che me lo fa preferire:boh:

RVS non l'ho mai usato molto, di conseguenza non lo conosco... sicuramente anche x questo non apprezzo, se lo studiassi magari cambierei idea:p

.

È una situazione molto piu comune di quanto si possa pensare. Un rincorrersi tra gatto e topo

.

Se ci pensi, già il solo fatto di controllare se sia stato caricato il modulo di sandboxie all'interno del proprio processo è un'evidenza che sandboxIE è presente all'interno del sistema. In più, se proprio la si vuole fare più complessa (relativamente, alla fine è una grossa cavolata da scrivere) si controllano gli eventuali hook ed hai risolto il problema se è presente sandboxIE o meno nel sistema attaccato.

Ci vuole più a spiegarlo a voce che a scriverlo a codice

.

No, non l'ho visto ma non mi stupisce più di tanto come cosa in effetti

.

.

Qui c'è una discussione interessante su un malware che ha bypassato sandboxie in presenza di Comodo firewall:

http://www.sandboxie.com/phpbb/viewtopic.php?t=4948&postdays=0&postorder=asc&start=0

Il malware sembra che abbia ottenuto i privilegi di debug dopo la conferma del pupup del modulo HIPS di Comodo. In questo modo è riuscito ad iniettare del codice in exploer.exe (ma se quel privilegio non c'è come ha fatto ad ottenerlo?).

Magari chi usa Comodo può fare una prova...

ho appena inviato una mail col tuo post a Erreale, scusa se mi sono permesso, , se infatti è così behh meglio lasciare la palla agli esperti, io sono un comune mortale con un solo pc e non lo metto a rischio:D
Grazie della segnalazione

Visto che siamo in vena di "interessi" ne metto una anche io:

http://www.wilderssecurity.com/showthread.php?t=232799

Qui c'è una discussione interessante su un malware che ha bypassato sandboxie in presenza di Comodo firewall:

http://www.sandboxie.com/phpbb/viewtopic.php?t=4948&postdays=0&postorder=asc&start=0

Il malware sembra che abbia ottenuto i privilegi di debug dopo la conferma del pupup del modulo HIPS di Comodo. In questo modo è riuscito ad iniettare del codice in exploer.exe (ma se quel privilegio non c'è come ha fatto ad ottenerlo?).

Magari chi usa Comodo può fare una prova...

interessantisssimo: proverò piu tardi :p

grazie :D

.

Qui c'è una discussione interessante su un malware che ha bypassato sandboxie in presenza di Comodo firewall:

http://www.sandboxie.com/phpbb/viewtopic.php?t=4948&postdays=0&postorder=asc&start=0

Il malware sembra che abbia ottenuto i privilegi di debug dopo la conferma del pupup del modulo HIPS di Comodo. In questo modo è riuscito ad iniettare del codice in exploer.exe (ma se quel privilegio non c'è come ha fatto ad ottenerlo?).

Magari chi usa Comodo può fare una prova...

spettacolare :eek:
chi l'ha programmato non deve essere un novellino

chissà se funziona anche con gli altri hips..

Qui c'è una discussione interessante su un malware che ha bypassato sandboxie in presenza di Comodo firewall...

Il malware sembra che abbia ottenuto i privilegi di debug dopo la conferma del pupup del modulo HIPS di Comodo. In questo modo è riuscito ad iniettare del codice in exploer.exe (ma se quel privilegio non c'è come ha fatto ad ottenerlo?).

Magari chi usa Comodo può fare una prova...


Da quello che afferma aigle, D+ non soffre di alcuna vulnerabilità.

Ma (forse + interessante perchè contraddirebbe l'oggetto del thread sul forum di Sandboxie...) non rileva alcun problema neppure combinando D+ con SBIE 3.34 o Geswall 2.83....
Link! (https://forums.comodo.com/leak_testingattacksvulnerability_research/comodo_firewall_sandboxie_serious_problem-t34312.0.html)

Non so onestamente cosa pensare se non constatare sempre più come + soluzioni simili affiancate assieme rischiano di far + danni della grandine...

Qualcuno che è riuscito a prelevare il sample potrebbe, cortesemente, mandarmelo in pm?
Thanks! ;)

Esiste un modo per lanciare un .exe di cui non si è sicuri sia pulito, senza rischiare di fare casini?

Innazitutto è opportuno controllarlo utilizzando uno o più servizi di scansione online http://www.hwupgrade.it/forum/showthread.php?t=1898895

successivamente per ulteriore scrupolo l'unico modo è quello di eseguirlo in ambiente virtuale

Forse diro' una cavolata.... e se si provasse a copiarlo sul desktop e poi aprirlo con il blocco note (tasto destro del mouse)? :rolleyes:

Forse diro' una cavolata.... e se si provasse a copiarlo sul desktop e poi aprirlo con il blocco note (tasto destro del mouse)? :rolleyes:

nono:D

prova ad aprire un .exe con un editor di testo, non ne vieni a capo, non è un .cmd che aprendolo riesci a leggere i comandi:)

Saluti

nono:D

prova ad aprire un .exe con un editor di testo, non ne vieni a capo, non è un .cmd che aprendolo riesci a leggere i comandi:)

Saluti

:( Capisco, ti ringrazio della risposta cloutz, preparatissimo come sempre ;)

.

Sembra che si sia verificato un altro caso analogo, e c'è di mezzo sempre Comodo...

...o c'è di mezzo sempre Sandboxie?? ;)

Che quest'ultimo "leghi male" con altri software, no, eh?
Perchè a detta anche dello sviluppatore di DefenseWall, l'unione tra questi ultimi 2 non è proprio cosi' felice (=sono stati registrati diversi problemucci che, guarda caso, coinvolgevano sempre il modo con cui "lavora" Sandboxie)...

Cmq mi leggo la discussione, grazie.. :)

-------

EDIT:
mi sembra chiaro ci sia una incompatibilità tra i 2...
Se la gente si ostina ad usarli in tandem, beh, cavolini loro...:p

Esilarante la risposta di tzuk che onestamente credevo più intelligente...

.

scusa il mio tono di prima, riazzi...:)

Diciamo che oggi mi giravano 1 pò i corbelli*....:rolleyes:






* = °°...


:)

...o c'è di mezzo sempre Sandboxie?? ;)

Che quest'ultimo "leghi male" con altri software, no, eh?
Perchè a detta anche dello sviluppatore di DefenseWall, l'unione tra questi ultimi 2 non è proprio cosi' felice (=sono stati registrati diversi problemucci che, guarda caso, coinvolgevano sempre il modo con cui "lavora" Sandboxie)...

Cmq mi leggo la discussione, grazie.. :)

-------

EDIT:
mi sembra chiaro ci sia una incompatibilità tra i 2...
Se la gente si ostina ad usarli in tandem, beh, cavolini loro...:p

Esilarante la risposta di tzuk che onestamente credevo più intelligente...

Sandboxie è incompatibile anche con Outpost Security Suite....