NOTA: Il contenuto di quest'opera è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
http://i.creativecommons.org/l/by-nc-sa/2.5/it/88x31.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)


http://screenshots.en.softonic.com/en/scrn/74000/74054/2t_MalwareDefender_vectorized.jpg

Malware Defender



NEWS: MALWARE DEFENDER È DIVENTATO FREE!!

Per i curiosi: il suo ex sviluppatore, Xiaolin, è entrato a far parte del gruppo http://labs.360.cn/ ed è stato costretto a lasciare Malware Defender.
In ogni caso il software ora è diventato gratuito, ma lo sviluppo pare ancora attivo, anche se procede un pò più a rilento (che ci siano altri garzoni ad aiutare Xiaolin, troppo occupato con 360? :D).
Purtroppo, non ho ancora capito il perchè, è stato interrotto il supporto per la localizzazione in italiano del software. Ergo dalla versione free, MD sarà disponibile solo in cinese o inglese..

Considerazione importante: anche se pian piano lo sviluppo dovesse rallentare non c'è da temere: MD è un software molto solido, ed inoltre gli hips non necessitano di grandi aggiornamenti continui! Basta che sia garantito il bugfix per le feature più importanti.
E per ora Xiaolin risponde ad ogni email inviata al supporto tecnico, con la stessa velocità di sempre ;) :D




Informazioni Utili


Sito: http://labs.360.cn/malwaredefender/index.html
Supporto tecnico: support@torchsoft.com
Requisiti di Sistema: N/A
Compatibile con:
Windows 2000 (Service Pack 4)
Windows XP (32-bit)
Windows 2003 (32-bit)
Windows Vista (32-bit)
Windows 2008 (32-bit)
Windows 7 (32-bit)
Licenza: prima era a pagamento, ora è completamente gratuita!



Download Area


Malware Defender 2.7.1 - STABILE

English Version (grazie nV 25 per l'up):
http://www.2shared.com/file/CECW1jDD/md_setup_en.html (http://www.2shared.com/file/CECW1jDD/md_setup_en.html)



Malware Defender ultima versione rilasciata - 2.7.2 NON ANCORA STABILE

English version:
http://dl.360safe.com/md_setup_en.exe


What's new in MD 2.7.2?
- GUI improvements




Introduzione

Malware Defender nasce come hips (Host Intrusion Prevention System (http://www.hwupgrade.it/articoli/sicurezza/1545/hips-nuove-tecnologie-per-la-sicurezza_index.html)), cui però è stato aggiunto un modulo firewall.
Il metodo d’azione dell’hips consiste nel monitorare qualunque evento avvenga nel pc in modo che, nel caso in cui si verifichi un’azione sospetta (o per cui non vi è una regola), l’utente venga allertato attraverso dei popup.
In questo modo è possibile prevenire, potenzialmente, qualunque tipo di minaccia, ammesso che l’utente sia consapevole e giudichi correttamente la legittimità di un’azione.
Esistono dei leaktest, che mettono alla prova questo genere di applicazioni contro possibili attacchi. Questo (http://www.matousec.com/projects/proactive-security-challenge/results.php) è il sito di riferimento.
Consiglio a chi non conosce molto gli hips la lettura di questo (http://www.hwupgrade.it/forum/showthread.php?t=1064733)3d di nV 25, che propone un'infarinatura globale sulle migliori tecnologie di difesa preventiva.


N.B.:
Premetto che questa guida si propone di essere una presentazione del software, con una breve descrizione delle funzionalità principali (anche perché siamo in poco più di un paio ad usarlo in tutta Italia, se è vero)..quindi niente di eccessivamente impegnato, almeno per ora…

Non è mio interesse soffermarmi sulla spiegazione di ogni singola voce (anche perché richiederebbe una vita), ma solo illustrare quali saranno le opzioni cui sicuramente dovrete ricorrere nel normale utilizzo di MD, in modo da fornirvi i mezzi per poter “sopravvivere”. Niente di più.
Quindi se intendete usare questo software consiglio caldamente di leggere tutto il tutorial: ho trattato solo le cose principali, da sapere per forza per usare decentemente MD.

Se trovate problemi, incompatibilità o crash potete scrivere in inglese al supporto della Torchsoft support@torchsoft.com (se non ve la cavate con l’inglese mandatemi un pm, girerò la segnalazione allo sviluppatore).
Se invece trovate problemi di traduzione segnalatelo pure a me, o nella discussione o via pm, e provvederò a correggere al più presto.


Installazione

L'installazione non presenta nulla di complesso, per questo andrò veloce..
Scaricate l’ultima versione del software dalla sezione Download Area e avviate il setup, procedendo sempre cliccando Avanti.
Terminata l’installazione vi troverete davanti a questo avviso:

http://img28.imagefra.me/img/img28/2/7/25/kronos/f_12961m_f55d006.png

Lo stesso sviluppatore, Xiaolin, consiglia di abilitare la Modalità Apprendimento e di fare almeno un riavvio e loggarsi con ogni utente, per poi tornare in Modalità Normale; questo in modo che MD possa imparare da solo alcune regole, altrimenti ci metterebbe subito in difficoltà.
Ci si presenterà anche un avviso riguardo il download dei simboli kernel, accettate e aspettate; vi verrà chiesto di accettare il download dal server Microsoft, fatelo.

Configurazione

Appena terminata l’installazione, al successivo riavvio, noteremo due nuove voci nel taskmanager relative a Malware Defender. Questi sono i valori dei suoi processi dopo 5 ore di lavoro:

http://img39.imagefra.me/img/img39/2/7/25/kronos/f_12960m_6220c34.png

Noteremo, tra le altre cose, la presenza dell'icona di MD in TrayIcon:

http://img39.imagefra.me/img/img39/2/7/25/kronos/f_14257m_4a16229.png

Con un tasto dx sull’icona in Tray si aprirà il menu contestuale:

http://img38.imagefra.me/img/img38/2/7/25/kronos/f_14258m_696105a.png

Troviamo la scelta Opzioni, cliccandoci si aprirà questa finestra, in cui sono presenti una miriade di possibili configurazioni:

http://img28.imagefra.me/img/img28/2/7/26/kronos/f_14259m_03236cc.png

Di queste consiglio di controllare che le seguenti siano impostate così:

Generale > Avvia MD con Windows... Abilitato
Generale > Usa nome random per il driver di MD... Abilitato
Protezione> Tutte le protezioni Abilitate
Protezione> Modalità di protezione... impostato su Normale
Protezione > In modalità Apprendimento, se viene trovata una regola “nega”… Abilitato
Protezione > Disabilita mdhook.dll ... Disabilitato
Conferma> Tutte le opzioni Abilitate

Anche cliccando su Protezione (nel menu contestuale), abbiamo la possibilità di attivare/disattivare i vari livelli di protezione di Malware Defender. Ovviamente consiglio di tenere tutto attivo.

Sempre nel menu contestuale possiamo notare 3 differenti modalità principali:


Modalità Normale: fornisce popup ogni volta che si tenta un’azione nuova, non conosciuta
Modalità Apprendimento: MD crea delle regole in automatico, in base alle azioni che si stanno svolgendo in quel momento…quindi non verranno aperti popup, ma in questo caso il pc è molto vulnerabile. Usare con discrezione.
Modalità Silenziosa: non saranno aperti popup e ogni azione che non viene regolata da una specifica regola viene negata.


Cliccando invece su Apri Malware Defender (o facendo doppio click sull’icona in Tray) si aprirà la schermata principale del programma, simile alla seguente:

http://img194.imageshack.us/img194/8858/b04.th.png (http://img194.imageshack.us/i/b04.png/)

Possiamo trovare diverse categorie:

Regole File Globali: presenta il ruleset riguardante i permessi (e le restrizioni) ai file
Regole Registro Globali: come sopra ma riferito al registro
Regole Network Globali: come sopra ma riferito alla rete
Regole Applicazioni - Normale: regole riguardanti comuni applicazioni. Si divide in 3 gruppi applicazioni:
- Trusted Application: Godono di grande libertà, possono compiere qualunque azione senza generare popup
- Blocked Application: le applicazioni in questa categoria non possono fare nulla
- Installer or Updater: da usare per setup o software che si stanno aggiornando
Regole Applicazioni - Sistema: regole riguardanti applicazioni di sistema


Cliccando su una regola applicazione qualsiasi (in questo caso rundll32.exe), entreremo in una finestra che ci consentirà di gestire i permessi di quest’applicazione:

http://img39.imagefra.me/img/img39/2/7/25/kronos/f_14261m_b9d137d.png

Per ogni azione abbiamo diverse opzioni tra cui scegliere:

Ignora: ignorerà questo singolo evento e andrà alla ricerca della regola (consenti/nega/chiedi) già esistente, con priorità immediatamente successiva
Chiedi: aprirà un popup ogni volta che l’azione sarà eseguita
Consenti: consentirà l’azione
Nega: bloccherà l‘azione


Mettendo la spunta sulla voce Log Evento, potremo far in modo di creare un evento nel log, ogni volta che viene eseguita l’azione, qualunque sia il comando deciso.

Altra cosa importante è l’uso dei Log, che ritroviamo in fondo nella pagina principale: cliccando su una voce del log col tasto dx, potremo direttamente creare/modificare/copiare la regola, con un solo click.





N.B.: Questa è, in 2 parole, la gestione delle regole di MD (in realtà ci sarebbero da fare una serie di discorsi riguardanti la priorità delle regole e le altre voci sui processi, moduli, hook, registro ecc…ma io stesso le sto ancora studiando, e la guida si propone di trattare le cose principali da sapere)

N.B.2: Nel caso vi voleste avventurare nella creazione delle regole consiglio di abilitare sempre i log, e di controllarli spesso. Saranno i log a dirvi se la regola va bene o no.
In tal caso consiglio la lettura di una serie di utili link, anche solo per capire meglio il funzionamento e il “gioco” delle regole, tutti made in Wilders:
http://www.wilderssecurity.com/showthread.php?p=1360445#post1360445
http://www.wilderssecurity.com/showthread.php?t=233728&highlight
http://www.wilderssecurity.com/showthread.php?t=230651&highlight=geswall+configure

questa, invece, è un'ottima configurazione proposta da arran su Wilders (strano :D):
http://www.wilderssecurity.com/showthread.php?t=252773

se volete leggere la storia di come MD si sia fatto conoscere, e apprezzare, in questi ambienti leggete questo 3d:
http://www.wilderssecurity.com/showthread.php?t=217522

Popup

Nell’uso quotidiano MD si manifesterà prepotentemente attraverso dei popup.
Ora ne analizzerò uno, tanto per spiegare gli elementi da tenere in considerazione, e il criterio da usare, per rispondere a questi avvisi.

http://img38.imagefra.me/img/img38/2/7/25/kronos/f_15553m_6d9bc70.png

Azione: rappresenta l’azione, presunta sospetta, che MD ha individuato e per cui chiede il nostro intervento
Processo: è l’applicazione genitore, quella che “crea il processo” (qui chiamato Obiettivo)
Descrizione, Proprietario: sono delle informazioni che, al momento della scelta tra Consenti e Nega, possono aiutarci a valutare la legittimità di un eseguibile, e quindi della sua azione.
Obiettivo: è l’applicazione figlio, quella che “è creata” dall’applicazione genitore (qui chiamato Processo)
Cmd line: è la linea di comando, con cui l’applicazione genitore richiama l’applicazione figlio
Regola: è la regola che ha fatto scaturire il popup.

Quindi questo popup andrà interpretato così:
“Il processo explorer.exe, verificato da Microsoft Corporation, sta cercando di creare il nuovo processo hijackthis.exe, attraverso la linea di comando “C:\programmi\Trend Micro\HijackThis\HijackThis.exe”.
L’avviso è stato generato dalla regola [App]*”

Ovviamente cliccando su ciascuna voce (processo, obiettivo o regola) MD ci aprirà la propria interfaccia grafica e ci mostrerà il processo attivo o la tale regola…Questo, ogni tanto, può essere utile…

Ora che abbiamo capito l’azione che si sta svolgendo, dobbiamo rispondere.
Possiamo rispondere direttamente Consenti o Nega ad un popup, senza addentrarci in tutte quelle opzioni che vediamo sotto, ma in tal caso MD non ricorderà la risposta, che verrà subito dimenticata (quindi qualora si dovesse ripresentare l’azione verremo nuovamente avvisati).
Per far sì che MD non ci disturbi più dobbiamo creare una regola ad hoc per quel processo. Iniziamo selezionando Crea una regola applicazione per questa azione.
Guardando l'avviso notiamo che esistono 2 tipi di regole:
1. Regola permanente, che sarà salvata nel ruleset di MD
2. Regola temporanea, che una volta chiuso il processo, viene eliminata (va usata per processi occasionali, programmi che si avviano una volta l’anno per cui non conviene creare una regola permanente)

Possiamo, inoltre, decidere se la regola che andremo a creare (permanente o temporanea che sia) debba essere limitata alla cmd line, alla linea di comando che ha richiamato l’obiettivo.

Talvolta ci viene permessa l’opzione di inserire l’applicazione in questione (genitore o figlio) in determinati gruppi, di cui abbiamo parlato prima: Installer or Updater, Trusted Application, Blocked Application. Anche questa considerazione è valida sia in maniera temporanea che permanente.



Piccola parentesi: questo è un avviso a livello “applicazione”, infatti l’obiettivo è un’applicazione. Se per esempio ricevessimo un avviso riguardante il registro avremmo alla voce “Oggetto della regola” più opzioni. Per esempio in questo avviso
http://img39.imagefra.me/img/img39/2/7/25/kronos/t_15554m_4c742b2.png (http://imagefra.me/view.php?img=/2/7/25/kronos/f_15554m_4c742b2.png&srv=img39)
osserviamo 2 opzioni, una più dettagliata, una invece più generica. Infatti:
1. Possiamo vedere il percorso HKLM\Software\Microsoft\..\Run, ma l’oggetto (il valore) è ben specificato, è Malware Defender.
2. Qui invece troviamo sempre lo stesso percorso, ma al posto dell’oggetto abbiamo una wildcard *. Questo renderà la regola più generica, in quanto creeremo una regola valida per qualsiasi valore (non solo, come in 1, per l’oggetto “Malware Defender”).
Da notare che possiamo scegliere l’obiettivo cliccando sul tasto […], che ci permette di sfogliare i valori. In questo modo possiamo personalizzare la regola a nostro piacimento.




Ultima cosa. Il pulsante Nega e Termina il Processo, in basso a destra, è la vostra salvezza, ed è presente SEMPRE, in ogni avviso.
In caso vi accorgiate che qualcosa non va, che qualche nuovo processo sta avendo un comportamento strano e non sapete cosa fare, cliccatelo. In questo modo l’azione dell’avviso viene negata e il processo chiuso.
L’infezione, così, dovrebbe essere arginata (sempre se non lo cliccate troppo tardi).

Angolo Test

Ringraziando Romagnolo per l'input (http://www.hwupgrade.it/forum/showpost.php?p=28982488&postcount=45), uso questo post per inserire un piccolo test, che ci mostra come Malware Defender agisce di fronte a un'infezione (in questo caso simulata).
Dico simulata perchè si tratta del test TrojanSimulator (http://www.misec.net/trojansimulator/), che semplicemente imita il comportamento di un normale trojan (http://it.wikipedia.org/wiki/Trojan), senza però infettare realmente il nostro sistema (sarà infatti disinstallabile).

Scarichiamo il pacchetto del test qui (http://www.misec.net/products/TrojanSimulator.zip) ed estraiamolo. Dopo aver letto come agisce nel file readme.txt, avviamo il file trojansimulator.exe.


N.B.: nel mio caso Prevx 3.0 (attivo durante il test) rileva un comportamento sospetto e ci avvisa, giustamente, bloccando l'intruso:
http://img40.imagefra.me/img/img40/2/9/22/t_1y4h3qm_b7ebf9a.png (http://imagefra.me/view.php?img=/2/9/22/f_1y4h3qm_b7ebf9a.png&srv=img40)
Comunque lo considero come Trust e continuo:)


Riceveremo il primo popup, che ci avvisa dell'esecuzione del malware ad opera di explorer.exe (se neghiamo questo avviso il test non inizia, in quanto ne neghiamo l'esecuzione:D ):
http://img38.imagefra.me/img/img38/2/9/22/t_1p1m_7f634de.png (http://imagefra.me/view.php?img=/2/9/22/f_1p1m_7f634de.png&srv=img38)

Consentiamo e ci apparirà questa finestra, in cui dovremo cliccare su Install, per installare il finto trojan:
http://img38.imagefra.me/img/img38/2/9/22/t_2m_e7c4c12.png (http://imagefra.me/view.php?img=/2/9/22/f_2m_e7c4c12.png&srv=img38)



Qui prevx mi avvertirà ancora per la creazione del file TSServ.exe:
http://img38.imagefra.me/img/img38/2/9/22/t_34er8rm_694a3c5.png (http://imagefra.me/view.php?img=/2/9/22/f_34er8rm_694a3c5.png&srv=img38)
Lo Trusto ancora e vado avanti:O


MD mi avvisa che il file trojansimulator.exe sta cercando di creare un nuovo processo chiamato tsserv.exe (dalla linea di comando vediamo il comando /install):
http://img38.imagefra.me/img/img38/2/9/22/t_3t3m_4eb6841.png (http://imagefra.me/view.php?img=/2/9/22/f_3t3m_4eb6841.png&srv=img38)


Consentendo permettiamo al test di continuare, e vediamo che tsserv.exe imposta un nuovo valore di registro (per l'avvio automatico). In questo modo farebbe avviare automaticamente il trojansimulator:
http://img38.imagefra.me/img/img38/2/9/22/t_4v4m_5425f72.png (http://imagefra.me/view.php?img=/2/9/22/f_4v4m_5425f72.png&srv=img38)


Se consentiamo anche questo, vediamo l'avviso del test, che ci informa del fatto che il trojan simulator è stato installato correttamente:
http://img39.imagefra.me/img/img39/2/9/22/t_5m_eff9716.png (http://imagefra.me/view.php?img=/2/9/22/f_5m_eff9716.png&srv=img39)



Attraverso questo test abbiamo visto come sia importante saper interpretare correttamente i popup, per rispondere nel miglior modo possibile, ed evitare danni. Consentire 2-3 popup di Malware Defender così critici, potrebbe significare essere infettati senza neanche accorgersene.

Paradossalmente la miglior cosa è negare l'infezione sin dall'esecuzione, consentendo solo:


File sicuri, fidati: che conosciamo e di cui conosciamo la fonte, che è sicura, dopo averli fatti analizzare a servizi online (http://www.virustotal.com/it/)
Azioni consapevoli: quello che avviamo noi.



Se, avendo una buona configurazione di base (con antivirus, browser con javascript disabilitati o NoScript, sistemi di sandbox), negate tutto ciò che non rientra in queste 2 categorie (che rappresentano, da sole, un buon discriminante alla portata di tutti), siete al sicuro dal 99% dei malware.

Poi, ovviamente, serve anche cognizione di causa, nel non bloccare eventi/azioni del normale funzionamento del sistema operativo, e non andare a mettersi nei casini da soli :ciapet: ....:D

"Chicche"

Le osservazioni che troverete in questo post sono personali, quindi opinabili.
Buona parte di questi settaggi, anzi tutti, nascono da nV 25, quindi il merito va a lui;)


N.B.: Tali settaggi incrementano indubbiamente i livelli di controllo di MD, permettendoci di monitorare azioni/aree che con ruleset di default non vengono controllati. Possono risultare però assillanti, e non è detto che sappiate gestire la situazione, quindi adottateli con cognizione di causa.




Interfacce COM e Caricamento dll: si legga qui (http://www.hwupgrade.it/forum/showpost.php?p=29055109&postcount=68).
NamedPipe: aprire la Regola Applicazione - Normale e creare una regola nella sezione File come questa (http://img24.imageshack.us/img24/6979/regolafilenamedpipe.png).

...per ora ho terminato...:)

In caso ci fossero richieste da utenti, e quindi ci fosse la reale necessità, amplierò la guida...d'altronde su MD di cose da dire ce n'è una marea..

in particolare stavo cercando di studiarmi qualche restrizione in più in modo da rendere disponibile un ruleset predefinito (tipo quello provato da Kees su W.), ma aspetto una modifica di Xiaolin sulla creazione delle regole:D

p.s.: ho già sbaglito il titolo..c'è Tutorial che è da togliere :muro: :cry:

Complimenti cloutz. :mano:

Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.

Grazie. ;)

Complimenti cloutz. :mano:

Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.

Grazie. ;)

Nulla figurati..tanto siamo solo io, te e alessandro ad usare MD in Italia:read: :D

ne approfitto per comunicare che MD è vulnerabile, a quanto pare, a questo (http://www.wilderssecurity.com/showthread.php?t=248588) PoC test..
l'.exe in questione, infatti, riesce a terminare qualunque programma indipendentemente dall'hips, che viene bellamente bypassato:fagiano:

chiunque volesse l'.exe del test mandi un pm.
Ho avvisato Xiaolin intanto..

....Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida.


+ 1

Complimentoni cloutz! E' da un po' che seguivo (in sordina) il thread degli hips e il tuo sviluppo su questo software.
Auguroni per la guida. Bravo!
:)

Quante (piacevoli) novità in pochi giorni di mia assenza !! :)

Bravo Cloutz.;)

Il tuo commento sulla poca diffusione di alcuni sw di sicurezza (ma non solo) in Italia è azzeccato.
Ad esempio Netchina (pur essendo free e questo è già un bel vantaggio) secondo me segue in parte la stessa sorte di MD.
Altro svantaggio di MD è il posizionamento in classifica M. in confronto ad altri sw free.
Non che la cosa sia completamente indicativa ma.....

Grazie ragazzi:D

spero, con questo 3d, di far appassionare qualcuno...anche se, come sappiamo bene, gli hips non entusiasmano molto gli utenti:read:


Quante (piacevoli) novità in pochi giorni di mia assenza !! :)

Bravo Cloutz.;)

Il tuo commento sulla poca diffusione di alcuni sw di sicurezza (ma non solo) in Italia è azzeccato.
Ad esempio Netchina (pur essendo free e questo è già un bel vantaggio) secondo me segue in parte la stessa sorte di MD.
Altro svantaggio di MD è il posizionamento in classifica M. in confronto ad altri sw free.
Non che la cosa sia completamente indicativa ma.....
"Purtroppo" MD è a pagamento, questo è secondo me il principale motivo per cui non viene usato molto in Italia (dove si sa, siamo più tirchi:D ..e questa sarà, cmq, la nostra salvezza)
Sono sicuro che se fosse free gli utenti ci sarebbero, soprattutto gli smanettoni che ora sono col D+ o chi ama un vero hips granulare..

per i test di Matousec qui (http://www.wilderssecurity.com/showpost.php?p=1499313&postcount=8) c'è la risposta di Xiaolin che, a quanto pare, non è interessato a modificare MD in base ai test falliti...
anche perchè, come hips, MD può dare la paga a molti che si posizionano più in alto, al di là di cosa dica Matousec...

-------------------------------------------------

in riferimento a questa (http://www.hwupgrade.it/forum/showpost.php?p=28347113&postcount=8) vulnerabilità, Xiaolin risponde:

This POC have been released in the Chinese MD forum first. It cannot kill MD. I will think about whether to fix it or not.

Best Regards,
Xiaolin

e bravo il nostro cloutz davvero un lavorone, il programma è davvero ottimo come la qualità della tua guida. Se anche solo una persona si sensibilizza all'uso degli Hips behh allora il lavoro non è vano, anzi.
Penso che a forza di predicare l'uso di questi software prima o poi qualcuno ci darà retta.

ottimo lavoro :)

ottimo lavoro :)

bravo....;)
inserirei differenza tra la free e la professional
http://www.gentlesecurity.com/professional.html
peccato che e' solo x 32 bit

ottimo lavoro :)

e bravo il nostro cloutz davvero un lavorone, il programma è davvero ottimo come la qualità della tua guida. Se anche solo una persona si sensibilizza all'uso degli Hips behh allora il lavoro non è vano, anzi.
Penso che a forza di predicare l'uso di questi software prima o poi qualcuno ci darà retta.

Grazie ragazzi:)

bravo....;)
inserirei differenza tra la free e la professional
http://www.gentlesecurity.com/professional.html
peccato che e' solo x 32 bit

...peccato anche che è Malware Defender, non GesWall:D

Grazie ragazzi:)



...peccato anche che è Malware Defender, non GesWall:D

hai ragione scusami...
ma non gira su i 64...peccato

e' molto simile a real defender...prosecurity...
:D
con una grafica molto migliorata:Prrr:

...

Sono sicuro che se fosse free gli utenti ci sarebbero, soprattutto gli smanettoni che ora sono col D+ o chi ama un vero hips granulare..

...

Lo puoi dire forte :D ...cmq è tanto che vorrei provarlo, prima o poi lo farò.

Complimenti per il lavoro cloutz! :mano:

Complimenti cloutz :D

Hai fatto davvero un gran bel lavoro :eek:

Lo puoi dire forte :D ...cmq è tanto che vorrei provarlo, prima o poi lo farò.

Complimenti per il lavoro cloutz! :mano:

Complimenti cloutz :D

Hai fatto davvero un gran bel lavoro :eek:

grazie mille ragazzi!

scusate la mia assenza, attualmente sono in "vacanza" (in realtà è una vacanza-lavoro:cry:)..dovrei tornare per settembre...

Buona estate a tutti,
Enjoy!

Programma interessante, come tutti gli hips, ottimo thread.
Peccato sia a pagamento per uso privato.
Un utente XP, al posto di questo potrebbe usare Netchina che, sulla carta, mi sembra offrire lo stesso servizio.
O sbaglio?

Saluti a tutti

Programma interessante, come tutti gli hips, ottimo thread.
Peccato sia a pagamento per uso privato.
Un utente XP, al posto di questo potrebbe usare Netchina che, sulla carta, mi sembra offrire lo stesso servizio.
O sbaglio?

Saluti a tutti

netchina l'ho provato, è molto più instabile e giovane..troppo acerbo imho:fagiano:

thread spostato e linkato :)

thread spostato e linkato :)

grazie mod:p

segnalo questo tutorial di arran su Wilders, propone un'ottima configurazione alternativa:
http://www.wilderssecurity.com/showthread.php?t=252773

..a dimostrazione della versatilità di MD, ancora poco apprezzato purtroppo :D


provvedo a linkarlo nei primi post;)

Ti segnalo il link sotto Cloutz.
Ovviamente tu che hai il sw puoi ricavarne maggiori info di quelle che possono avere altri che leggono solamente.
Spero di aver fatto cosa gradita.
Salutoni.;)


http://www.wilderssecurity.com/showthread.php?t=252964

Ti ringrazio, ultimamente MD è molto discusso su Wilders :D

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia:p

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css (http://www.wilderssecurity.com/showpost.php?p=1537032&postcount=8)!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall:eek:
sospetto che ci sia un errore di base, qualcosa che ci sfugge :boh:

Ti ringrazio, ultimamente MD è molto discusso su Wilders :D

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia:p

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css (http://www.wilderssecurity.com/showpost.php?p=1537032&postcount=8)!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall:eek:
sospetto che ci sia un errore di base, qualcosa che ci sfugge :boh:

E' direi (purtroppo) un evento inevitabile che sotto Windows prima o poi si evidenzi una falla in un sw di sicurezza che prima (ognuno di noi) riteneva, magari erroneamente, quasi inviolabile.
Credo che mal accettare questa che ho definito "inevitabilità" abbia contribuito non poco alla mia curiosità verso il mondo Linux.
E' quindi saggio costruirsi una difesa multistrato per queste "fatalità" magari poco diffuse ma che costituiscono spesso,almeno per molti di noi,un pericolo quasi "insopportabile".

E infine una dolorosa constatazione. :(
Mi sembrano lontani i tempi quando su HW un pool di volenterosi contribuivano nell'insieme ad approfondire proprio queste questioni.

Spero quindi,perchè anche io non mi sottraggo alle mie mancanze,che dalle ceneri risorga presto quest'araba fenice che ha volato profiquamente fino ad ieri....

I miei migliori saluti.

Ti ringrazio, ultimamente MD è molto discusso su Wilders

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall
sospetto che ci sia un errore di base, qualcosa che ci sfugge

Ho provato a rinominare anch'io il file wuaclt.exe in wuaclt.doc editando la regola di explorer.exe (che di default è su "consenti") impostandola su "chiedi" e, rispondendo "nega" all'alert proposto, non si riesce a rinominare il file.
Quindi, nessun problema per MD..... in questo caso :D.


Altro discorso, a mio parere, è la gestione/segnalazione delle operazioni di creazione / scrittura / cancellazione dei file da parte di MD;
cogliendo l'occasione offerta dal 3d su Wilders, propongo questi 2 screen:

1°. Nel caso si intenda consentire ad explorer.exe di rinominare il file wuaclt.exe in wuaclt.doc, appare il seguente pop-up (scrivi file), che lascia intendere che explorer.exe vuole intervenire ("scrivere") in un file già esistente e non da crearsi ex-novo; se si clicca su "consenti" il file viene regolarmente rinominato in .doc:

http://img513.imageshack.us/img513/7651/11077432.th.png (http://img513.imageshack.us/i/11077432.png/)



2°. Nel caso si voglia fare l'operazione inversa e cioè rinominare wuaclt.doc in wuaclt.exe, appare un pop-up di altro genere (crea file) come se si trattasse di un file non esitente che explorer.exe cerca di creare da zero:

http://img3.imageshack.us/img3/2248/23887159.th.png (http://img3.imageshack.us/i/23887159.png/)

Quindi, comportamenti differenti per una medesima operazione.

Tra l'altro, nel 2° pop-up, l'obiettivo non è wuaclt.exe, come erroneamente riportato, bensì wuaclt.doc; infatti, cliccandovi sopra in cerca di wuaclt.exe, si riceve il messaggio:

http://img513.imageshack.us/img513/6886/59684088.png (http://img513.imageshack.us/i/59684088.png/)


La gestione un pò bizzarra dei file l'avevo a suo tempo segnalata a Xiaolin con shots a corredo e supporto del mio inglese scarso, ma, come in altri casi, a quell'orecchio (il codice) non ci sente.



Riguardo il test con il file b.css, confermo la vulnerabilità di MD rilevata anche da Aigle.
Aggiungo che gli stessi risultati si ottengono lanciando TPR.pif (file creato da b.css) con explorer.exe, oltre che con il programma Xyplorer: prima del pop-up relativo all'esecuzione del processo TPR.pif, appare l'alert riguardante il tentativo di connessione ad internet da parte dello stesso explorer (lo stesso accade per Xyplorer).
L'ho provato anche su hips della vecchia guardia (RTD e SSM) oltre che con DW: nessuno segnala/blocca la presunta "manipolazione" di explorer.exe e Xyplorer.exe.

Ciao.

Grazie infinite commi:D


Per quanto riguarda il test di modifica wuaclt.exe in wuaclt.doc, Xiaolin risponde qui (http://www.wilderssecurity.com/showpost.php?p=1539334&postcount=26)...
in sostanza si tratta di un problema di ruleset, di diritti troppo permissivi verso explorer.exe (suppongo probabilmente x il Learning Mode)

per la differenza scrivi/crea file non ci avevo mai fatto caso:stordita:

mentre il fatto che falliscano praticamente tutti sul b.css , continua a lasciarmi sempre più perplesso.. ci sarà qualcosa di fondo che non funziona, che non capiamo..forse proprio come dice sampei, se le fondamenta non sono stabili prima o poi si cade :read: :D



[...]
E infine una dolorosa constatazione. :(
Mi sembrano lontani i tempi quando su HW un pool di volenterosi contribuivano nell'insieme ad approfondire proprio queste questioni.

Spero quindi,perchè anche io non mi sottraggo alle mie mancanze,che dalle ceneri risorga presto quest'araba fenice che ha volato profiquamente fino ad ieri....
[...]

a cosa ti riferisci? a quando si discuteva sulle configurazioni di sicurezza?? :D
altrimenti mi sa che parli proprio di tempi remoti, in cui non ero ancora entrato in hwu lol

Saluti

Riguardo il test con il file b.css, confermo la vulnerabilità di MD rilevata anche da Aigle.
Aggiungo che gli stessi risultati si ottengono lanciando TPR.pif (file creato da b.css) con explorer.exe, oltre che con il programma Xyplorer: prima del pop-up relativo all'esecuzione del processo TPR.pif, appare l'alert riguardante il tentativo di connessione ad internet da parte dello stesso explorer (lo stesso accade per Xyplorer).
L'ho provato anche su hips della vecchia guardia (RTD e SSM) oltre che con DW: nessuno segnala/blocca la presunta "manipolazione" di explorer.exe e Xyplorer.exe.


Qualcosa mi dice che la soluzione sta qui (http://www.wilderssecurity.com/showpost.php?p=1542328&postcount=24):D
Trismenegistos ha rifatto il test e quello che è venuto fuori, è che Aigle ha fatto un buco nell'acqua:stordita:

rinominando b.css in b.exe lo esegue via explorer.exe e ne monitora le azioni normalmente. Poi, rendendo visibili i file nascosti, esegue trp.pif via explorer, constatando che compie le stesse ed identiche azioni di b.css (quindi trp.pif non manipola in alcun modo xyplorer, o chi per esso, ma compie le stesse azioni di b.css).

Continuando per logica, quegli avvisi non si sa da dove saltano fuori, ma non sono riferiti al malware (dato che ha sempre lo stesso comportamento, e quelle non sono sue azioni).

Quindi non c'è nessuna vulnerabilità secondo Trismenegistos..ammesso che lui abbia ragione, e io abbia capito bene:D :D

..che dite?

Ora me lo vado a leggere e poi ti dico...
Anche perché ieri sera ho provato con il b.css (senza xyplorer, proverò in seguito) ed ho avuto altri risultati... li posterò fra poco nel solito 3D.

Ciao.

Ora me lo vado a leggere e poi ti dico...
Anche perché ieri sera ho provato con il b.css (senza xyplorer, proverò in seguito) ed ho avuto altri risultati... li posterò fra poco nel solito 3D.

Ciao.

io ho testato MD, ho uppato solo parte del log (quello che interessava a noi) : LINK (http://www.hwupgrade.it/forum/showpost.php?p=28914683&postcount=196)

comlpimenti cloutz, anche se sono un pò in ritardo :D

è fatta molto bene! Che programma hai usato per i vari screenshots?

comlpimenti cloutz, anche se sono un pò in ritardo :D

Grazie leo:)

è fatta molto bene! Che programma hai usato per i vari screenshots?

un programma difficilissimo da usare e da trovare in giro, me l'ha fornito Bill in persona...Paint :D :Prrr:

Saluti

edit:
scusa ho capito a cosa ti riferisci, all'immagine tutta colorata con le freccette :D
Per quello ho incollato lo stamp in Word2007, ho fatto tutte le cazzatine colorate con le frecce e ne ho impostato la trasparenza.. e poi ho fatto uno stamp del documento di word:D:D

Cloutz ho notato all'estero una notevole scissione degli utenti nell'uso degli HIPS,meno frequente è in Italia.
Ovviamente coloro che preferiscono un prodotto free si orientano su D+ ed OA,anche se devo ammettere che il vincitore trà i due mi sembra proprio D+.
Mentre tra coloro che usano HIPS non free và per la maggiore proprio MD cioè un "classical HIPS" oppure un "Policy Based HIPS" DW.

Occorre ammettere che sono i Fantastici 4 del momento.

Se non avessi tutta questa avversità per i prodotti non free devo essere sincero che opterei per l'installazione di DW.

E' ovvio che un utente che vuole passare da un prodotto free ad un prodotto non free troverebbe alla lunga più convenienza in MD (che ha licenza vitalizia) se ben ricordo anche se inizialmente costa più di DW.

Tu hai scelto MD (ed insieme a nV25 che usa DW) credo che siete pochissimi in Italia ad usare questi prodotti anche per l'aspetto licenza vitalizia ?

Cloutz ho notato all'estero una notevole scissione degli utenti nell'uso degli HIPS,meno frequente è in Italia.
Ovviamente coloro che preferiscono un prodotto free si orientano su D+ ed OA,anche se devo ammettere che il vincitore trà i due mi sembra proprio D+.
Mentre tra coloro che usano HIPS non free và per la maggiore proprio MD cioè un "classical HIPS" oppure un "Policy Based HIPS" DW.

Occorre ammettere che sono i Fantastici 4 del momento.

Se non avessi tutta questa avversità per i prodotti non free devo essere sincero che opterei per l'installazione di DW.

E' ovvio che un utente che vuole passare da un prodotto free ad un prodotto non free troverebbe alla lunga più convenienza in MD (che ha licenza vitalizia) se ben ricordo anche se inizialmente costa più di DW.

Tu hai scelto MD (ed insieme a nV25 che usa DW) credo che siete pochissimi in Italia ad usare questi prodotti anche per l'aspetto licenza vitalizia ?



sinceramente credo che, tra i prodotti a pagamento, quelli per cui valga realmente la pena di spendere qualcosa siano Prevx, Malware Defender e DefenseWall...

in realtà non ho acquistato alcuna licenza per Malware Defender, semplicemente credevo in tale progetto, l'ho fatto presente a Xiaolin mettendo a disposizione il mio supporto per lo sviluppo del programma, inizialmente con la traduzione con erreale, che ringrazio:) ...X. ci ha voluto premiare per il lavoro, abbastanza lungo tra l'altro considerando che eravamo in2, regalandoci una licenza..
pian piano la cosa si sta allargando alla segnalazione di bug, consigli su nuove features..ora ho scritto la guida (forse l'unica seria in Italia, o probabilmente proprio l'unica:D), con sua grande soddisfazione...

quindi non mi sono preoccupato del costo o della scadenza della licenza, ho solo offerto la buona volontà, e la mia disponibilità, ed è stata ripagata:D

tornando a noi... per onestà intellettuale è necessario specificare che si tratta di programmi (DW e MD) totalmente differenti, per cui ogni paragone è forzato imho..
la scelta, cmq, tra i 2 software dipende dall'utenza: se con conoscenze medio-basse consiglierei DW, zero popup e massima sicurezza (la licenza è da rinnovare, ma d'altronde la pigrizia si paga:p ); se, invece, l'utente ha voglia di imparare e non ha paura di qualche popup indubbiamente MD..



non penso ci sia nessun ragionamento di parte in quest'ultima mia affermazione, è solo una constatazione personale:)


Saluti

scrivo poco (o nulla, visto che mi sento arido di qualsiasi input...) ma vi seguo sempre con grande piacere...:flower:

PS: Vi piace la nuova firma dove troneggia il mulo? :D
Ah, che lavoratore, lui....

scrivo poco (o nulla, visto che mi sento arido di qualsiasi input...)

vorresti dire che non ti diamo input?:mbe: :boxe:








...:Prrr: :D

no cmq come vedi in questo 3d non è che ci sia molto traffico..e davvero gli input scarseggiano, mentre la voglia di lasciar perdere tutto avanza, dato che mi sento quasi un fanatico a parlare da solo (o cmq sempre con quei 2-3 come me fissati sugli hips):O :fagiano:

un programma difficilissimo da usare e da trovare in giro, me l'ha fornito Bill in persona...Paint :D :Prrr:

Saluti

haha :asd:
come hai capito, intendevo quell'altro :p

edit:
scusa ho capito a cosa ti riferisci, all'immagine tutta colorata con le freccette :D
Per quello ho incollato lo stamp in Word2007, ho fatto tutte le cazzatine colorate con le frecce e ne ho impostato la trasparenza.. e poi ho fatto uno stamp del documento di word:D:D

masse'?
Io strippo quando devo fare quelle cose con word :p

masse'?
Io strippo quando devo fare quelle cose con word :p

pur'io, ma il risultato merita :O :asd:

pur'io, ma il risultato merita :O :asd:

haha
concordo

...mentre la voglia di lasciar perdere tutto avanza, dato che mi sento quasi un fanatico a parlare da solo...
evidentemente è destino che quella sensazione dovesse essere condivisa anche da altri...

Dato lo stato delle cose, quindi, l'unico fattore capace di farti propendere per una strada o per l'altra (continuo o 'fanculotutti...) credo sia solo il tuo entusiasmo...
Entusiasmo che ritengo tu abbia da vendere data forse anche la tua giovane età (e la tua curiosità, segno di intelligenza...)

Cloutz non ti arrendere !!!!!!!
Per ridarti entusiasmo ti metto qui un malware test (un finto trojan) che potresti ben analizzare per fare vedere come MD si comporta contro questi attacchi e magari mettere le immagini in uno dei post vuoti in pag. 1
http://www.misec.net/trojansimulator/

P.S. Ho visto ora che in uno dei primi post volevi cambiare il titolo eliminando il tutorial, basta che fai Modifica del post e poi vai in avanzate e da lì riesci anche a modificare il titolo dei post ;-)

evidentemente è destino che quella sensazione dovesse essere condivisa anche da altri...

Dato lo stato delle cose, quindi, l'unico fattore capace di farti propendere per una strada o per l'altra (continuo o 'fanculotutti...) credo sia solo il tuo entusiasmo...
Entusiasmo che ritengo tu abbia da vendere data forse anche la tua giovane età (e la tua curiosità, segno di intelligenza...)

Ti ringrazio per le parole gentili...tra pochi giorni inizio l'università (informatica, obviously:O ), e spero che l'entusiasmo di cui parli continui a caratterizzarmi:p

Saluti

Cloutz non ti arrendere !!!!!!!
Per ridarti entusiasmo ti metto qui un malware test (un finto trojan) che potresti ben analizzare per fare vedere come MD si comporta contro questi attacchi e magari mettere le immagini in uno dei post vuoti in pag. 1
http://www.misec.net/trojansimulator/

P.S. Ho visto ora che in uno dei primi post volevi cambiare il titolo eliminando il tutorial, basta che fai Modifica del post e poi vai in avanzate e da lì riesci anche a modificare il titolo dei post ;-)

Ti ringrazio Romagnolo:D
ho aggiornato la prima pagina, il test l'ho inserito al post #4 (http://www.hwupgrade.it/forum/showpost.php?p=28343320&postcount=4).

alla fine ho inserito un pò di terrorismo mediatico, ma ci sta... spesso diamo l'impressione di giocare, perchè ci divertiamo, ma son cose serie in realtà:O

Saluti :Prrr:

scrivo poco (o nulla, visto che mi sento arido di qualsiasi input...) ma vi seguo sempre con grande piacere...:flower:

PS: Vi piace la nuova firma dove troneggia il mulo? :D
Ah, che lavoratore, lui....

Meglio Torrent !! ;)

sinceramente credo che, tra i prodotti a pagamento, quelli per cui valga realmente la pena di spendere qualcosa siano Prevx, Malware Defender e DefenseWall...

in realtà non ho acquistato alcuna licenza per Malware Defender, semplicemente credevo in tale progetto, l'ho fatto presente a Xiaolin mettendo a disposizione il mio supporto per lo sviluppo del programma, inizialmente con la traduzione con erreale, che ringrazio:) ...X. ci ha voluto premiare per il lavoro, abbastanza lungo tra l'altro considerando che eravamo in2, regalandoci una licenza..
pian piano la cosa si sta allargando alla segnalazione di bug, consigli su nuove features..ora ho scritto la guida (forse l'unica seria in Italia, o probabilmente proprio l'unica:D), con sua grande soddisfazione...

quindi non mi sono preoccupato del costo o della scadenza della licenza, ho solo offerto la buona volontà, e la mia disponibilità, ed è stata ripagata:D

tornando a noi... per onestà intellettuale è necessario specificare che si tratta di programmi (DW e MD) totalmente differenti, per cui ogni paragone è forzato imho..
la scelta, cmq, tra i 2 software dipende dall'utenza: se con conoscenze medio-basse consiglierei DW, zero popup e massima sicurezza (la licenza è da rinnovare, ma d'altronde la pigrizia si paga:p ); se, invece, l'utente ha voglia di imparare e non ha paura di qualche popup indubbiamente MD..



non penso ci sia nessun ragionamento di parte in quest'ultima mia affermazione, è solo una constatazione personale:)


Saluti

Si è vero DW è più facile da usare, ma la mia attenzione per il prodotto verte sulle performance e sull'impatto sul sistema,la sempre famosa leggerezza.
Per questi 2 aspetti preferirei di più DW che considero un gradino superiore a MD.
Vabbè vediamo l'evolversi degli eventi.
A Novembre vado a vedere il film 2012 (dopo aver visto ieri sera Voyager) e magari da qui al quell'anno NON mi serve una licenza vitalizia.........:eek: :eek: :doh: :Prrr: :Prrr:

p.s. Tocchiamoci naturalmente !! :D :D :D

Ti ringrazio Romagnolo:D
ho aggiornato la prima pagina, il test l'ho inserito al post #4 (http://www.hwupgrade.it/forum/showpost.php?p=28343320&postcount=4).

alla fine ho inserito un pò di terrorismo mediatico, ma ci sta... spesso diamo l'impressione di giocare, perchè ci divertiamo, ma son cose serie in realtà:O

Saluti :Prrr:

Ehh bravo, bel test!!
magari se ho 2 minuti lo faccio con il D+ e lo posto nel 3d di Sirio così per vedere le differenze tra i 2 Hips (che poi così tante non saranno in termini di avvisi e loro interpretazioni)

Purtroppo anche modificando il titolo ma non si modifica il nome del 3d, mi sa che per quello devi chiedere ai MOD se ti va di cambiarlo

Ehh bravo, bel test!!
magari se ho 2 minuti lo faccio con il D+ e lo posto nel 3d di Sirio così per vedere le differenze tra i 2 Hips (che poi così tante non saranno in termini di avvisi e loro interpretazioni)


si esatto, può avere in più l'avviso euristico sull'esecuzione, per il resto è uguale... si tratta di monitorare una semplice esecuzione, la creazione di un processo e di una chiave di registro (peraltro una delle più "usate")...
mica va a creare driver con gli AlternateDataStream o cripta documenti sensibili :asd:

insomma non li mette in difficoltà neanche da lontano.. Però ci sta bene come semplice simulazione di malware in prima pagina:)

Saluti

si esatto, può avere in più l'avviso euristico sull'esecuzione, per il resto è uguale... si tratta di monitorare una semplice esecuzione, la creazione di un processo e di una chiave di registro (peraltro una delle più "usate")...
mica va a creare driver con gli AlternateDataStream o cripta documenti sensibili :asd:

insomma non li mette in difficoltà neanche da lontano.. Però ci sta bene come semplice simulazione di malware in prima pagina:)

Saluti

Il test l'ho fatto essendo come dici molto semplice, lo posto nel 3d Testing machine , ho fatto immagini sia di D+ in azione, sia di Avira, sia di Prevx ,sia di MBAM (che non riconosce il file) ,ci metto un link al tuo post 4 così abbiamo una vasta gamma di prodotti e loro differenti comportamenti quando sono alle prese con um trojan sebbene finto e facile da tovare (ma non per MBAM nè per IOBIT 360 che si fanno bucare benbene) purtroppo per Iobit non ho fatto l'immagine del non riconoscimento ma vi fidate :D

Tempo di mettere le frecciettine e didascalie nelle foto e lo posto là

Il test l'ho fatto essendo come dici molto semplice, lo posto nel 3d Testing machine , ho fatto immagini sia di D+ in azione, sia di Avira, sia di Prevx ,sia di MBAM (che non riconosce il file) ,ci metto un link al tuo post 4 così abbiamo una vasta gamma di prodotti e loro differenti comportamenti quando sono alle prese con um trojan sebbene finto e facile da tovare (ma non per MBAM nè per IOBIT 360 che si fanno bucare benbene) purtroppo per Iobit non ho fatto l'immagine del non riconoscimento ma vi fidate :D

Tempo di mettere le frecciettine e didascalie nelle foto e lo posto là

l'ho fatto anche con pctools internet security e spydoctor tra poco posto tutto,grazie romagnolo, e' pur sempre un test...diciamo un allenamento prima della partita vera:sofico:

Il test l'ho fatto essendo come dici molto semplice, lo posto nel 3d Testing machine , ho fatto immagini sia di D+ in azione, sia di Avira, sia di Prevx ,sia di MBAM (che non riconosce il file) ,ci metto un link al tuo post 4 così abbiamo una vasta gamma di prodotti e loro differenti comportamenti quando sono alle prese con um trojan sebbene finto e facile da tovare (ma non per MBAM nè per IOBIT 360 che si fanno bucare benbene) purtroppo per Iobit non ho fatto l'immagine del non riconoscimento ma vi fidate :D

Tempo di mettere le frecciettine e didascalie nelle foto e lo posto là

Sarebbe anche interessante vedere il comportamento della nuova star PCTFP.
Arnyreny se ci sei batti un colpo !! :) ;)

p.s. Mi hai preceduto......Sampei.....inizia a perdere i colpi.:cry: :cry:

Sarebbe anche interessante vedere il comportamento della nuova star PCTFP.
Arnyreny se ci sei batti un colpo !! :) ;)

p.s. Mi hai preceduto......Sampei.....inizia a perdere i colpi.:cry: :cry:

QUI SIAMO OT...
adesso pubblico tutto...ciao pescatore;)

visto che ci siamo sarei curioso di sapere se con malware defeder istallando iobit se si riesce a vedere quale risorse monitora il suo real time:cry:

visto che ci siamo sarei curioso di sapere se con malware defeder istallando iobit se si riesce a vedere quale risorse monitora il suo real time:cry:

dovrebbe essere facilmente fattibile in almeno 2-3 modi..
il più immediato: basta impostare una regola applicazione per iobit con questi permessi:
http://img38.imagefra.me/img/img38/2/9/22/t_mo3ybit3m_913d2d1.png (http://imagefra.me/view.php?img=/2/9/22/f_mo3ybit3m_913d2d1.png&srv=img38)

nella regola applicazione una regola file così:
http://img38.imagefra.me/img/img38/2/9/22/t_nbs3aucw5m_f9a6b40.png (http://imagefra.me/view.php?img=/2/9/22/f_nbs3aucw5m_f9a6b40.png&srv=img38)

e una regola registro così:
http://img38.imagefra.me/img/img38/2/9/22/t_nbs3aucw6m_63210d3.png (http://imagefra.me/view.php?img=/2/9/22/f_nbs3aucw6m_63210d3.png&srv=img38)

così può fare ciò che vuole, non avremo popup ma avremo tutte le sue azioni registrate nel log:)

ma avverto subito che non ho sbatta di installare iobit, non me ne faccio nulla:O :Prrr:

Meglio Torrent !! ;)

in effetti, questa firma è più appropriata per questo thread...:fiufiu:

in effetti, questa firma è più appropriata per questo thread...:fiufiu:

...anche tu usi MD??:eek:
ATTENZIONE, potremmo essere in 4 in Italia:D :ciapet:



p.s.: non ho capito che senso abbia che nella nuova versione 2.4.0 la cmd line sia evidenziata come link, dato che quando ci si clicca sopra non succede nulla..uno dei tanti misteri :stordita: :boh:
http://img39.imagefra.me/img/img39/2/9/22/t_mo3ybit3m_f8c26ee.png (http://imagefra.me/view.php?img=/2/9/22/f_mo3ybit3m_f8c26ee.png&srv=img39)

dovrebbe essere facilmente fattibile in almeno 2-3 modi..
il più immediato: basta impostare una regola applicazione per iobit con questi permessi:
http://img38.imagefra.me/img/img38/2/9/22/t_mo3ybit3m_913d2d1.png (http://imagefra.me/view.php?img=/2/9/22/f_mo3ybit3m_913d2d1.png&srv=img38)

nella regola applicazione una regola file così:
http://img38.imagefra.me/img/img38/2/9/22/t_nbs3aucw5m_f9a6b40.png (http://imagefra.me/view.php?img=/2/9/22/f_nbs3aucw5m_f9a6b40.png&srv=img38)

e una regola registro così:
http://img38.imagefra.me/img/img38/2/9/22/t_nbs3aucw6m_63210d3.png (http://imagefra.me/view.php?img=/2/9/22/f_nbs3aucw6m_63210d3.png&srv=img38)

così può fare ciò che vuole, non avremo popup ma avremo tutte le sue azioni registrate nel log:)

ma avverto subito che non ho sbatta di installare iobit, non me ne faccio nulla:O :Prrr:

grazie lo stesso...appena ho tempo provo...sapevo che ra fattibile...
sei stato molto c;) hiaro

Domandina secca e dura (:D):

dopo aver creato una regola di blocco, come si fa a dire a MD di **NON** loggare tutte le volte l'evento in questione? :stordita:

es:
gradirei NON vedere più la linea sotto tutte le volte che apro winamp...

http://img30.imageshack.us/img30/841/snap1yg.jpg


**********************

Sull' "anche te usi MD?...potremo essere in 4 in Italia...", credo che l'immagine sotto sia sufficientemente esaustiva...

http://img180.imageshack.us/img180/294/snap2.jpg

:Prrr:

**********************

Questa, invece, è per Sampei (che tanto sono sicuro vedrà, magari con calma, ma un passaggio su questo thread lo garantisce al 100%....)

http://img180.imageshack.us/img180/7039/snap1s.jpg

Domandina secca e dura (:D):

dopo aver creato una regola di blocco, come si fa a dire a MD di **NON** loggare tutte le volte l'evento in questione? :stordita:

es:
gradirei NON vedere più la linea sotto tutte le volte che apro winamp...

http://img30.imageshack.us/img30/841/snap1yg.jpg

se ho capito quello che vuoi dire, basta togliere la spunta all'opzione Log Evento una volta creata la regola..
Questa è la medesima cosa però fatta con emule:

http://img29.imageshack.us/img29/2672/immaginejky.th.png (http://img29.imageshack.us/i/immaginejky.png/)
Quando cerco di connettermi l'azione viene bloccata e non c'è nessuna voce nel Log..


altrimenti controlla di non aver spuntato questa opzione generale:D :
http://img29.imageshack.us/img29/6586/immagine2tp.png



**********************

Sull' "anche te usi MD?...potremo essere in 4 in Italia...", credo che l'immagine sotto sia sufficientemente esaustiva...

http://img180.imageshack.us/img180/294/snap2.jpg

:Prrr:
Unbelievable :eek: :yeah: :D

Grazie anzitutto per la risposta.

In effetti, a "dar noia" è il settaggio sull'opzione generale che ha "priorità maggiore" sull'impostazione "per process" (di fatto, dunque, mi devo rassegnare)...

PS:
Per avere invece le linguette delle "proprietà" di un'applicazione non per esteso ma con uno "sviluppo" identico a quanto da te postato come si fà? :stordita:

es:
http://img62.imageshack.us/img62/9353/snap2f.jpg

Txs

Grazie anzitutto per la risposta.

ma scherzi??:D
Avevo in mente di accennare circa la gestione delle regole in prima pagina, ma è una cosa abbastanza lunga e che devo ancora capire del tutto:stordita: ...



PS:
Per avere invece le linguette delle "proprietà" di un'applicazione non per esteso ma con uno "sviluppo" identico a quanto da te postato come si fà? :stordita:

es:
http://img62.imageshack.us/img62/9353/snap2f.jpg

Txs

basta ridimensionare la finestra (ti metti sul bordo e la trascini per rimpicciolirla) :)

Saluti

...basta ridimensionare la finestra (ti metti sul bordo e la trascini per rimpicciolirla) :)...
le impostazioni "di dimensione" della finestra vengono xò "dimenticate" alla successiva riapertura delle stesse...:stordita:



Sulla gestione delle regole e/o loro configurazione, invece, il capitolo dovrebbe essere assimilato anche se restano pure per me zone d'ombra che mi impediscono di affermare di avere un pieno controllo sul programma...

Di sicuro, cmq, queste zone non coinvolgano gli aspetti più sensibili che potrebbero altrimenti minare quel senso di sicurezza che porta ad affidarsi ad una soluzione in luogo di un'altra...

Ciao e grazie ancora,
resto sintonizzato.

nV alias Massi. :p

le impostazioni "di dimensione" della finestra vengono xò "dimenticate" alla successiva riapertura delle stesse...:stordita:



Sulla gestione delle regole e/o loro configurazione, invece, il capitolo dovrebbe essere assimilato anche se restano pure per me zone d'ombra che mi impediscono di affermare di avere un pieno controllo sul programma...

Di sicuro, cmq, queste zone non coinvolgano gli aspetti più sensibili che potrebbero altrimenti minare quel senso di sicurezza che porta ad affidarsi ad una soluzione in luogo di un'altra...

Ciao e grazie ancora,
resto sintonizzato.


Hai cliccato OK dopo aver ridimensionato?
Se si, in teoria dovrebbe ricordarsi la dimensione...



Per le priorità, in realtà, le regole fondamentali che seguo (e che saranno di uso quotidiano) sono pochissime e banali. Penso che non sia tutto qui, per questo ero un pò diffidente...cmq:
- MD assegna le priorità from bottom to the top, secondo questo (http://img213.imageshack.us/img213/4368/immaginevg.png) schema.
- Appena creiamo una regola, file o applicazione che sia, MD gli assegna la priorità maggiore, e la troveremo infatti in basso.
- Le Regole Applicazioni hanno priorità maggiori rispetto alle Regole Globali (File/Registry/Network Global Rules)
- Le regole per ogni applicazione hanno priorità maggiori rispetto alle policies dei gruppi.

In realtà bisogna sapere queste 2-3 cose, perchè ci fanno comprendere l'uso dell'opzione Ignore, quando andiamo a personalizzare il nostro ruleset, che in pratica "delega" i permessi rimettendosi alle regole di priorità immediatamente successiva...comodissimo imo nell'uso dei gruppi

nV alias Massi. :p
finalmente un pò di vita reale:D


Saluti,
Christian

Domandina secca e dura (:D):


Questa, invece, è per Sampei (che tanto sono sicuro vedrà, magari con calma, ma un passaggio su questo thread lo garantisce al 100%....)

http://img180.imageshack.us/img180/7039/snap1s.jpg

Uhm...uhm 6860 K con 2 processi.
Enne sono curioso quindi il tuo "cambiamento" è dovuto soprattutto alla maggiore leggerezza del sw rispetto a DW ?

...Enne sono curioso quindi il tuo "cambiamento" è dovuto soprattutto alla maggiore leggerezza del sw rispetto a DW ?
no, Sampei:
nessun problema di leggerezza o di robustezza.

Semplicemente non trovo soddisfazione da un software che lavora silenziosamente e che ha, in particolare, un log limitato a sole 50 righe...

Di fatto, quindi, amando il testing, mi è preclusa la possibilità di capire in tutta la sua interezza cosa accade in conseguenza di un qualcosa...

Fermo restando cmq che ho ancora la licenza di DW e che nulla mi preclude dal reinstallarlo, un utente come me gode letteralmente di più utilizzando un hips puro (e con le °°...) come MD:
gli sporadici pop-up che si producono dopo la fase di LM, infatti, so gestirli e non mi spaventano di certo...

"Dinni che venghino, i virus"...:D

Hai cliccato OK dopo aver ridimensionato?
incrediiiiiiibile, amiSci!
Non avevo dato l'ok! :muro: :D


PS:
se si vuole aggiungere qualcosa a quanto già detto sulle regole, per quanto riguarda l'accesso alle interfacce COM consiglierei di comportarsi come segue:

modificare i permessi delle regole di default per le applicazioni di sistema (in particolare, explorer/lsass/services/svchost) da permit ad ignore cosi' che, per questi processi, si venga avvisati dei tentativi di accesso per le sole interfacce "delicate" contemplate nella regola generica * che, difatti, ha nelle sue eccezioni 10 voci segnate come "critiche" e che hanno priorità maggiore (ASK) rispetto alla regola generica (PERMIT) attribuita a * stesso...



Per il dll loading, invece, modificare in ASK il permesso per la regola * e contemporaneamente impostare su PERMIT il controllo sulle dll per il gruppo installer & updater...

In questo modo, si ha controllo sulle dll per qualsiasi applicazione/processo fatto salvo il processo di installazione (regolato appunto dai permessi del gruppo "installer ecc" di cui sopra)..

Ciao ciao :)

incrediiiiiiibile, amiSci!
Non avevo dato l'ok! :muro: :D


PS:
se si vuole aggiungere qualcosa a quanto già detto sulle regole, per quanto riguarda l'accesso alle interfacce COM consiglierei di comportarsi come segue:

modificare i permessi delle regole di default per le applicazioni di sistema (in particolare, explorer/lsass/services/svchost) da permit ad ignore cosi' che, per questi processi, si venga avvisati dei tentativi di accesso per le sole interfacce "delicate" contemplate nella regola generica * che, difatti, ha nelle sue eccezioni 10 voci segnate come "critiche" e che hanno priorità maggiore (ASK) rispetto alla regola generica (PERMIT) attribuita a * stesso...



Per il dll loading, invece, modificare in ASK il permesso per la regola * e contemporaneamente impostare su PERMIT il controllo sulle dll per il gruppo installer & updater...

In questo modo, si ha controllo sulle dll per qualsiasi applicazione/processo fatto salvo il processo di installazione (regolato appunto dai permessi del gruppo "installer ecc" di cui sopra)..

Ciao ciao :)


GRANDE!:cincin:
Grazie, mi mancava questo lato di te :asd:

quindi, se ho capito bene:
con la prima parte abbiamo modificato i permessi per explorer/lsass/services/svchost, circa le interfacce COM, in modo da essere avvisati per questi file (mentre prima quei processi potevano fare ciò che volevano):
http://img84.imageshack.us/img84/1993/immaginezj.png


la seconda parte si riferisce a questa regola (application rules - normal/caricare dll)?
http://img230.imageshack.us/img230/8554/immagine2dt.png

e serve, in pratica, per dare il consenso alle applicazioni nel gruppo Installer or Updater di caricare dll, mentre MD ci avviserà per ogni altra applicazione (regola= *).


Giusto?:D
provo un pò queste modifiche, poi linko il tuo post in prima pag, sempre se vuoi...:)

Saluti

C'è un errore:
interfacce COM, *non* file/cartelle...

Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.

Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.

Ma è proprio cosi'?

NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.

ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.

Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...











---------------------

La 2° parte si riferisce proprio a quello che dici te...

Eventualmente, le applicazioni fidate del gruppo "normale" possono essere settate su PERMIT per il discorso dll evitando cosi' di appesantire il RuleSet avendo eventualmente cura di lasciare attivo il controllo in questione sulle applicazioni che sono si' sicure ma che hanno cmq una qualche interazione con la rete (browser, pdf reader vari, lettori/riproduttori audio/video alla vlc/media player)....


---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.

http://img230.imageshack.us/img230/8554/immagine2dt.png
L'ultima voce è "Accesso Interfacce COM".

Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost.

In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco , è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco ...

A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a ...


PS:
ma che vuoi linkare?
Tanto, una volta capito, il software si usa solo noi...:sofico:

E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii"....:hic:


A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso....:ubriachi: :ciapet:

C'è un errore:
interfacce COM, *non* file/cartelle...

Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.

Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.

Ma è proprio cosi'?

NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.

ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.

Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...

---------------------
La 2° parte si riferisce proprio a quello che dici te...

---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.

http://img230.imageshack.us/img230/8554/immagine2dt.png
L'ultima voce è "Accesso Interfacce COM".

Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost.

In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco , è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco ...

A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a ...

si hai ragione, scusa non so perchè ho pensato alle regole file:p
cmq dovrebbe essere tutto chiaro ora...

per le Interfacce COM:
modifico i permessi per quei processi (explorer.exe ecc) ad Ignore, in modo che faccia forza la regola *, la quale Consente tutte le interfacce tranne le 10 critiche, per cui aprirà popup..

per il caricamento dll:
vado a modificare i permessi generali della solita regola *, portando su Ask tale linguetta. Modifico anche la stessa voce del gruppo Installer or Updater, impostando su Consenti (solo loro avranno il permesso di caricare dll, gli altri programmi dovranno chiederlo, in base alla regola*)..


PS:
ma che vuoi linkare?
Tanto, una volta capito, il software si usa solo noi...:sofico:

E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii"....:hic:


A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso....:ubriachi: :ciapet:
si esatto, poi siamo a 4 pagine del 3d, non 500:sofico:

Grazie nV, pure oggi (forse) ho capito qualcosa di nuovo:O :D

Saluti

per carità:
come hai avuto modo di vedere, anche te mi hai dato una grossa mano.


PS:
visto che si parla di un programma a pagamento, per comprarlo (alla luce di quello che è l'attuale tasso di cambio €/$), ho sborsato nientepopòdimenoche la cifra di....





















































27€ per la licenza VITALIZIA.

La volevi la licenza?
E ora pane e cipolle fino a Natale, bene! :Perfido:

*****
Serio:
sai cosa?

Bisognerebbe chiedere a X. se ci crea un account su kafan cosi' da poter vedere le immagini degli utenti che sul suo forum ufficiale hanno postato tutorial e quant'altro...

Ci pensi te a sentire se ci può fare questa cortesia?

per carità:
come hai avuto modo di vedere, anche te mi hai dato una grossa mano.


PS:
visto che si parla di un programma a pagamento, per comprarlo (alla luce di quello che è l'attuale tasso di cambio €/$), ho sborsato nientepopòdimenoche la cifra di....


27€ per la licenza VITALIZIA.

La volevi la licenza?
E ora pane e cipolle fino a Natale, bene! :Perfido:
io 0€ (che col cambio fanno sempre 0$:D ) :ciapet:


no ma cmq, scherzi a parte, li vale tutti dai.. è un bel giocattolino...
poi tra di noi (me e MD) è stato amore a prima vista:flower: :D :D :D


*****
Serio:
sai cosa?

Bisognerebbe chiedere a X. se ci crea un account su kafan cosi' da poter vedere le immagini degli utenti che sul suo forum ufficiale hanno postato tutorial e quant'altro...

Ci pensi te a sentire se ci può fare questa cortesia?

si, ora gli scrivo :)
io me lo sono letto (link (http://translate.googleusercontent.com/translate_c?hl=en&sl=zh-CN&tl=it&u=http://bbs.kafan.cn/forumdisplay.php%3Ffid%3D80&rurl=translate.google.com&usg=ALkJrhiRTQkyWHEmT0k6B7XexJcqkeQ_hA), anche se ci ho capito poco o niente), non tutto ma le discussioni delle ultime 2-3 pagine + quelle in rilievo.. materiale ce n'è, ma niente di altamente illuminante...

cmq qualche 3d interessante c'è ecco.. ricordo di un caso, dove xiaolin stesso era intervenuto testando MD contro un malware (e spiegando come rimuovere le infezioni attraverso MD)..

Ti faccio sapere;)

ecco la risposta:

It's allowed to register new user of bbs.kafan.cn at each Sunday's 10am -
10:30am (Beijing time, UTC+8).

in pratica non aveva voglia (:D), il che vuol dire che sabato sera, alle 2, dobbiamo registrarci..
questi qua non sono tanto apposto cmq, fanno registrare gli utenti solo mezzora a settimana:mbe:

ci penso io sabato alla registrazione;)

...

Semplicemente non trovo soddisfazione da un software che lavora silenziosamente e che ha, in particolare, un log limitato a sole 50 righe...

Di fatto, quindi, amando il testing, mi è preclusa la possibilità di capire in tutta la sua interezza cosa accade in conseguenza di un qualcosa...

... un utente come me gode letteralmente di più utilizzando un hips puro (e con le °°...) come MD:

...



Che ti avevamo detto sampei ed io? :p (non si può andare contro natura :asd:)

Ovviamente scherzo enne :) ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.

Un saluto.

Che ti avevamo detto sampei ed io? :p (non si può andare contro natura :asd:)

Ovviamente scherzo enne :) ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.

Un saluto.

:D
Giusto lo stavo pensando anche io in quest'istante !! ;)

Anche se MD e DW sono 2 sw veramente OK devo essere sincero io non trovo soddisfazione a pagare anche pochi euro in un SOLO sw di protezione.
Ciò in parte perchè posso installare un intero OS, con molti sw quindi, a costo zero.
Ma non è la sola ragione.
Occorre valutare il divario (che indubbio c'è) tra questi 2 sw e le alternative free.
Se questo divario non raggiunge il beneficio di un sw a pagamento per il momento non vale la pena l'installazione.

p.s
Ognuno si senta libero di agire come gli pare,io ho solo espresso un mio modo di pensare che ovviamente è cosa personale e non vuole essere nulla più.;)

Che ti avevamo detto sampei ed io? :p (non si può andare contro natura :asd:)

Ovviamente scherzo enne :) ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.


...test*? :fiufiu:










* MALWARE DEFENDER vs ROOTKIT.HIDEPROC.B (http://www.hwupgrade.it/forum/showpost.php?p=29066770&postcount=230)
non sono ai livelli di nV però :cry::cry:
è facilmente rintracciabile come sample...per chi lo volesse comunque basta dirlo:asd:

:D
...aaa nemmeno io, cmq l'importante è provare... cercando di capire cosa accade.


:D
Giusto lo stavo pensando anche io in quest'istante !! ;)

Anche se MD e DW sono 2 sw veramente OK devo essere sincero io non trovo soddisfazione a pagare anche pochi euro in un SOLO sw di protezione.
Ciò in parte perchè posso installare un intero OS, con molti sw quindi, a costo zero.
Ma non è la sola ragione.
Occorre valutare il divario (che indubbio c'è) tra questi 2 sw e le alternative free.
Se questo divario non raggiunge il beneficio di un sw a pagamento per il momento non vale la pena l'installazione.

p.s
Ognuno si senta libero di agire come gli pare,io ho solo espresso un mio modo di pensare che ovviamente è cosa personale e non vuole essere nulla più.;)


Io non ho intenzione di spendere un euro che sia uno, per qualunque SW, a meno che non sia per uso professionale e quindi, procuri dei guadagni.

Sono giunto a questa decisione col passare degli anni.... sai, una decina d'anni fa, forse qualcuno in più, mi trovavo con qualche soldino da parte ed avevo deciso di farmi un bel PC performante. Vista "la fissa" che ho sempre avuto.
Dopo essermi acculturato sull'argomento scelsi il case, le mie belle schede, le periferiche ed il software da installare, il tutto rigorosamente originale e "di marca" ....beh, spesi una cifra tipo 10.000.000 delle vecchie lire, se ci penso ancora mi viene da piangere :sofico:
Continuai per un paio di anni a comprare software originali spendendo i sudati risparmi, però, dopo un po' questi SW diventavano obsoleti e per stargli appresso uno era "costretto" a comprare gli aggiornamenti o le nuove versioni :stordita:
Piano piano, riflettendo, mi accorsi che non ne valeva la pena e decisi che da quel momento in poi non avrei più speso un cent.. soprattutto per i SW ma, visto le alternative, avrei usato solo SW free o open source.... continuo su quella strada.

Le cose ora sono un po' cambiate anche se non troppo, per esempio 27 € per una licenza a vita non sono molte... ci si può fare un pensierino ;)

Ciao.

:D

Le cose ora sono un po' cambiate anche se non troppo, per esempio 27 € per una licenza a vita non sono molte... ci si può fare un pensierino ;)


esatto, considerando che si tratta di un ottimo programma poi..:)

Saluti


p.s.: scusami ho editato il mio post precedente dopo che hai risposto..tanto il senso non cambia, ho solo aggiunto un link..

Malware Defender vs Trojan-Proxy.Saturn.N (http://www.hwupgrade.it/forum/showpost.php?p=29112249&postcount=232)

visto che non risponde nessuno io continuo imperterrito:D
Questi sono test miei personali, improntati a verificare e capire il funzionamento di MD (ruleset di default), per questo non ho seguito le linee guida del 3d Virus testing machine (http://www.hwupgrade.it/forum/showthread.php?t=1823645).
Dato che avevo gli screen già fatti nn mi costa niente postarli, a puro titolo informativo..


Trojan.Srizbi.Dropper
http://img12.imageshack.us/img12/6595/logtrojansrizbit.jpg


Rootkit.Hideproc.B
http://img269.imageshack.us/img269/5451/loghideprocrispondendoa.jpg


Rootkit.Phide.A
http://img12.imageshack.us/img12/7111/logphidetest.jpg


Rootkit.Agent.GH
http://img97.imageshack.us/img97/3452/logrootkitagentgh2.jpg


Rootkit.Agent.EZ
http://img269.imageshack.us/img269/9752/logrtktagentezssdtunhoo.jpg


Trojan.Spy.Agent.NXS
http://img269.imageshack.us/img269/4573/logtrojanspyagentnxs.jpg

Saluti

Malware Defender 2.4.1 - stabile

English version: http://www.torchsoft.com/download/md_setup.exe
Italian version: http://www.torchsoft.com/download/md_setup_ita.exe


Changelog:
- Added protection against killing processes by terminating job object.
- Added support for verifying file signature of process modules in background.
- Added support for managing registry, shutdown and lego notify routines.
- Fixed a bug when handling relative path.
- Fixed a bug when displaying application rule dialog on low resolution screen.
- Fixed a bug that cannot log denied actions when accessing protected processes.
- Fixed a bug that may cause deadlock.
- Fixed a bug when scanning kernel DPC timers.
- Fixed bugs in the hex file viewer.

Saluti

e' in programma uno sviluppo per i 64 bit?

incollo direttamente la risposta di xiaolin:D :

Hello Christian,

The x64 version of MD will not be released in near future. I have not
decided when to implement the x64 version. :)

Thanks,
Xiaolin

visto che non risponde nessuno io continuo imperterrito:D

...

Per quello che mi riguarda, anche se non ho risposto apprezzo i tuoi test, penso tu lo sappia.... ultimamente sto organizzando una grande cosa (per me almeno) ed il tempo per i test non riesco a trovarlo...:(

Ciao ;)

Per quello che mi riguarda, anche se non ho risposto apprezzo i tuoi test, penso tu lo sappia.... ultimamente sto organizzando una grande cosa (per me almeno) ed il tempo per i test non riesco a trovarlo...:(

Ciao ;)

ti capisco, ormai a malapena trovo il tempo di aggiornare i programmi (tranne oggi, che son a casa malato:D)
il pc lo uso solo per studiare e fare gli esercizi in java, quindi penso proprio di fare un grosso taglio al mio parco software.

il tutto senza, però, sottovalutare la sicurezza, dato che il wi-fi d'ateneo è pieno di smanettoni informatici:read:



Saluti

incollo direttamente la risposta di xiaolin:D :

Hello Christian,

The x64 version of MD will not be released in near future. I have not
decided when to implement the x64 version. :)

Thanks,
Xiaolin

primo o poi saranno costretti a decidere di implementare i 64 bit,visto che microsoft sta gia pensando a quella 128 bit...credo che bisogna aspettare che i 64 bit entrino nelle case di tutti;)
grazie e ciao

ti capisco, ormai a malapena trovo il tempo di aggiornare i programmi (tranne oggi, che son a casa malato:D)
il pc lo uso solo per studiare e fare gli esercizi in java, quindi penso proprio di fare un grosso taglio al mio parco software.

il tutto senza, però, sottovalutare la sicurezza, dato che il wi-fi d'ateneo è pieno di smanettoni informatici:read:



Saluti

Ri-OT...perdonatemi

Cloutz (buona guarigione) sarei curioso di sapere se nella tua facoltà è diffuso il Mac, se sì in quale rapporto presumibilmente rispetto agli altri OS.
Ciao.:)

primo o poi saranno costretti a decidere di implementare i 64 bit,visto che microsoft sta gia pensando a quella 128 bit...credo che bisogna aspettare che i 64 bit entrino nelle case di tutti;)
grazie e ciao

bisogna però che ciò abbia benefici evidenti, altrimenti non è giustificato il cambiamento, e l'inutilità del "progresso per il progresso" è ben nota.
poi possono implementare pure i 128 e 256 bit, ma se a me (come al 99% degli utenti casalinghi) bastano i 32... :ciapet:

se poi si cambia per moda, allora è un'altra storia, ma non cercate di convincermi che è una necessità:D

Saluti

Ri-OT...perdonatemi

Cloutz (buona guarigione) sarei curioso di sapere se nella tua facoltà è diffuso il Mac, se sì in quale rapporto presumibilmente rispetto agli altri OS.
Ciao.:)

Nel mio corso di laurea più o meno sono divisi così (tieni conto che si parla di Informatica però, in Scienze della Formazione, per dirne una, dubito che siano questi i numeri ovviamente):

Microsoft: pochini, un 25-30% (tutti Vista o Seven, solo uno o due Xp)
Linux: tanti, un 35%
Mac: tantini, 35-40%


I miei docenti per lo più usano Mac, qualcuno Seven già dalla rc
Posso darti questi dati perchè un giorno in aula mi ero messo a contarli (la lezione era pesantissima):D

Darti delle info per ateneo è alquanto difficile. In generale, senza alcun dubbio, al di fuori di informatica si hanno più OS windows, a discapito di linux e mac..
grazie per la buona guarigione:)

Saluti

Nel mio corso di laurea più o meno sono divisi così (tieni conto che si parla di Informatica però, in Scienze della Formazione, per dirne una, dubito che siano questi i numeri ovviamente):

Microsoft: pochini, un 25-30% (tutti Vista o Seven, solo uno o due Xp)
Linux: tanti, un 35%
Mac: tantini, 35-40%


I miei docenti per lo più usano Mac, qualcuno Seven già dalla rc
Posso darti questi dati perchè un giorno in aula mi ero messo a contarli (la lezione era pesantissima):D

Darti delle info per ateneo è alquanto difficile. In generale, senza alcun dubbio, al di fuori di informatica si hanno più OS windows, a discapito di linux e mac..
grazie per la buona guarigione:)

Saluti

Si, mi interessava proprio "informatica".
Grazie dei dati.
Immaginavo una certa diffusione del Mac ma questi numeri sono oltre ogni aspettativa,grazie ancora :)

Perdonate questo nuovo OT,non si ripeterà più !!

bisogna però che ciò abbia benefici evidenti, altrimenti non è giustificato il cambiamento, e l'inutilità del "progresso per il progresso" è ben nota.
poi possono implementare pure i 128 e 256 bit, ma se a me (come al 99% degli utenti casalinghi) bastano i 32... :ciapet:

se poi si cambia per moda, allora è un'altra storia, ma non cercate di convincermi che è una necessità:D

Saluti

non bisogna cambiare x moda ma x necessita' la vita va avanti...mi meraviglia un discorso del genere fatto da te che sei uno studente...o sei di quelli del xp a vita?:D

non bisogna cambiare x moda ma x necessita' la vita va avanti...mi meraviglia un discorso del genere fatto da te che sei uno studente

Il fatto è che la mia vita decido io come deve andare avanti, non lo faccio dire a Microsoft, AMD, Intel ecc..
Vogliono implementare architetture x64, x128? liberi di farlo, ma perchè io la usi devo guadagnarci.
Si chiama capacità di giudizio (simile anche alla capacità critica), ed è proprio quello che ci insegnano a scuola:p

In sostanza si tratta di scegliere la versione giusta in base alle proprie esigenze, e vorrei conoscere l'utente casalingo a cui non bastano i 32bit per la gestione della memoria ed elaborazione interna dei dati, per stringergli la mano:D
2^32 indirizzi di celle (circa 4Gb), direi che bastano ad un utente casalingo..
lasciamo stare poi il fattore sicurezza sui 64bit che è mooolto relativo.

o sei di quelli del xp a vita?
sono di quelli che "si cambia quando è realmente conveniente", non quando aggiungono le finestre trasparenti:D
Scherzi a parte Vista l'ho provato, mi sono fatto un'opinione in merito e guardando i pro e i contro personali mi conveniva ancora XP (qui ritorna la capacità di giudizio).
Sia chiaro che non è da intendersi come chiusura mentale, ma semplice risultato di un'analisi personale.
Per frutto di una simile analisi credo proprio di passare a Seven tra non molto (mesi..)

Siamo molto OT ormai, chiuderei qui non tanto per me quanto per la gente che legge e riceve le notifiche del 3d, ritrovandosi magari risposte che non gli interessano...cmq disponibile anche a continuare in pvt se vuoi:)

Saluti

ATTENZIONE: consiglio vivamente di aggiornare alla versione 2.4.3!

Download Malware Defender 2.4.3:

English version: http://www.torchsoft.com/download/md_setup.exe
Italian version: http://www.torchsoft.com/download/md_setup_ita.exe

Infatti le precedenti versioni risultano vulnerabili a questo (http://translate.googleusercontent.com/translate_c?hl=en&sl=zh-CN&u=http://secplanet.appspot.com/comment%3Fkey%3DaglzZWNwbGFuZXRyDAsSBEZlZWQYg60GDA&prev=/search%3Fq%3Dkillmdfile.rar%26hl%3Den%26client%3Dopera%26rls%3Den%26hs%3DeDO&rurl=translate.google.com&usg=ALkJrhhohFfMFJ2Sdm9UhUmauFJo9sc3GQ) POC (nel link trovate tutte le info, molto chiare e dettagliate peraltro).
In particolare sembra che MD venga killato al riavvio, sia GUI che servizio.

Ad ogni modo ha corretto, in tempi molto brevi direi:D



p.s.: non ho ancora letto interamente quell'articolo, anche perchè si sa quanto è buona la traduzione di google:O ...appena ho tempo di leggerlo tutto per bene, e capire come agisce sto POC, magari lo provo..

Saluti

a quanto pare questo mj0011, un security researcher cinese, sta mettendo alla prova MD creando questi POC in grado di bypassarlo (il che ci fa molto piacere, visto che la cosa è pubblica e Xiaolin corregge!:D)

a quanto pare i primi due POC riguardavano il modo in cui MD trattava gli hook (in particolare NtCreateFile), mentre ora è uscito il terzo POC di mj0011, che sfrutta un problema nella protection file

qui la nuova beta inglese 2.4.4_b1 che corregge l'ultimo POC
http://www.torchsoft.com/download/md_setup_2.4.4_b1.exe

Saluti

Quindi sono validi solo per MD, cioè non riescono con altri HIPS?

Avevo scaricato killmdfile per provarlo con CIS...

Quindi sono validi solo per MD, cioè non riescono con altri HIPS?

Avevo scaricato killmdfile per provarlo con CIS...

non credo che riesca a killare altri programmi, essendo il test basato proprio sulla gestione degli hook di MD (killmdfile)..
poi proprio la struttura è diversa, MD usa degli user mode hook (ring3), mentre se non sbaglio CIS usa dei kernel mode hook (ring0)

comunque provare non costa nulla!:D

non credo che riesca a killare altri programmi, essendo il test basato proprio sulla gestione degli hook di MD (killmdfile)..
poi proprio la struttura è diversa, MD usa degli user mode hook (ring3), mentre se non sbaglio CIS usa dei kernel mode hook (ring0)

comunque provare non costa nulla!:D

Si volevo farlo come ti ho detto..appena riesco provo.

Tornando a CIS.... li usa entrambi :asd: ..come altri programmi, se non sbaglio anche Outpost.

Le faremo sapere :p

Ultima versione Beta: 2.4.4 b2

http://www.torchsoft.com/download/md_setup_2.4.4_b2.exe

What's new?
- Added protection against changing security permissions of files and registry keys.
- Fixed bugs when parsing file paths.
- Minor improvements and fixes.


Saluti

NEWS!
Nuova beta 2.4.4_beta3

Download: http://www.torchsoft.com/download/md_setup_2.4.4_b3.exe

what's new since beta2?
- Improved the ability to detect actions of loading DLLs. (changed the implementation from RING3 to RING0)


NOTE: If you upgrade MD from old versions, it's recommended to restart system after upgrade.


...c'era qualcosa che bolliva in pentola in tutto questo apparente silenzio :asd:

NEWS!
Nuova beta 2.4.4_beta3

Download: http://www.torchsoft.com/download/md_setup_2.4.4_b3.exe

what's new since beta2?
- Improved the ability to detect actions of loading DLLs. (changed the implementation from RING3 to RING0)


NOTE: If you upgrade MD from old versions, it's recommended to restart system after upgrade.


...c'era qualcosa che bolliva in pentola in tutto questo apparente silenzio :asd:

Beeenee :D

Da quel poco che ho capito leggendo, tempo fa, senza l'implementazione al Ring 0 non si può avere un controllo completo... quindi forse era una scelta obbligata se si voleva andare avanti.

Ciao cloutz.

Beeenee :D

Da quel poco che ho capito leggendo, tempo fa, senza l'implementazione al Ring 0 non si può avere un controllo completo... quindi forse era una scelta obbligata se si voleva andare avanti.

Ciao cloutz.

Questo non lo so:D , sapevo che Xiaolin in realtà non aveva intenzione di implementare protezioni al Ring0..se l'ha fatto evidentemente si tratta di quelle modifiche importanti, e necessarie, nell'architettura di MD che aveva promesso (successive alle vulnerabilità segnalate dal POC)...

..vedremo cosa ha in mente:p

MD 2.4.4 final released

http://www.wilderssecurity.com/showpost.php?p=1579234&postcount=24

MalwareDefender 2.5.0_beta1:D

The beta version is available for download at http://www.torchsoft.com/download/md_setup_2.5.0_b1.exe

what's new?
- Added support for filtering logs.
- Added support for pausing protection for a period of time.
- Fixed a bug when handling files on FAT32 partition.
- Fixed a bug that cannot stop displaying alert for creating registry link even if the protection is disabled.
- Fixed a bug that cannot save Alternate Data Streams to a file.

Thanks for testing.
Xiaolin

io la sto usando e nessun problema.. molto molto carino (anzi direi figata) il filtro per il log.

Saluti

Malware Defender 2.5.0 final (http://www.wilderssecurity.com/showpost.php?p=1595524&postcount=1)

English version: http://www.torchsoft.com/download/md_setup.exe
French version: http://www.torchsoft.com/download/md_setup_fra.exe
German version: http://www.torchsoft.com/download/md_setup_deu.exe
Italian version: http://www.torchsoft.com/download/md_setup_ita.exe
Spanish version: http://www.torchsoft.com/download/md_setup_esn.exe
Russian version: http://www.torchsoft.com/download/md_setup_rus.exe

What's new?
- Added support for filtering logs.
- Added support for pausing protection for a period of time. If you enable protection manually after pausing protection, MD will not change the protection back.
- Fixed a bug when handling files on FAT32 partition.
- Fixed a bug that cannot stop displaying alert for creating registry link even if the protection is disabled.
- Fixed a bug that cannot save Alternate Data Streams to a file.
- Fixed a bug when scanning kernel DPC timers in Windows 7.

Thanks,
Xiaolin

Ciao cloutz :D

Prima di tutto buon 2010 :D

Oggi ho trovato questo articolo:

Attenti a Malware Defense e a tutti i suoi cloni (http://www.megalab.it/5573/attenti-a-malware-defense-e-a-tutti-i-suoi-cloni)

Il titolo è un pò forviante. In pratica si parla di una nuova infezione. Il problema è che si viene infettati rispondendo a dei messaggi pubblicitari, banner e roba simile, in cui si propone proprio Malware Defender (oggi poi magari domani proporranno CIS :asd:).

Visto che è uscita da poco una nuova versione, non vorrei che qualche utente si facesse confondere da queste pubblicità e si infettasse :(
Meglio usare solo i link ufficiali :)

Ciao ciao ;)

Ciao cloutz :D

Prima di tutto buon 2010 :D

Oggi ho trovato questo articolo:

Attenti a Malware Defense e a tutti i suoi cloni (http://www.megalab.it/5573/attenti-a-malware-defense-e-a-tutti-i-suoi-cloni)

Il titolo è un pò forviante. In pratica si parla di una nuova infezione. Il problema è che si viene infettati rispondendo a dei messaggi pubblicitari, banner e roba simile, in cui si propone proprio Malware Defender (oggi poi magari domani proporranno CIS :asd:).

Visto che è uscita da poco una nuova versione, non vorrei che qualche utente si facesse confondere da queste pubblicità e si infettasse :(
Meglio usare solo i link ufficiali :)

Ciao ciao ;)

si e' un rouge ...la preso un mio amico ha uno scudo con i 4 colori di windows...non sanno piu' che inventare saluti

Ciao cloutz :D

Prima di tutto buon 2010 :D

Oggi ho trovato questo articolo:

Attenti a Malware Defense e a tutti i suoi cloni (http://www.megalab.it/5573/attenti-a-malware-defense-e-a-tutti-i-suoi-cloni)

Il titolo è un pò forviante. In pratica si parla di una nuova infezione. Il problema è che si viene infettati rispondendo a dei messaggi pubblicitari, banner e roba simile, in cui si propone proprio Malware Defender (oggi poi magari domani proporranno CIS :asd:).

Visto che è uscita da poco una nuova versione, non vorrei che qualche utente si facesse confondere da queste pubblicità e si infettasse :(
Meglio usare solo i link ufficiali :)

Ciao ciao ;)

Se chi vuole usare MD non ha la competenza neanche per scaricarlo (ossia se ci prova tramite banner...), figurati per usarlo:D
Era già successo in passato, se non ricordo male, che girasse un rogue dal nome Malware Defender 2009, si vede che ci provano gusto:ciapet:

D'altronde non succederebbe se non fosse un buon programma, si vede che viene apprezzato anche da loro:Prrr: ..

Saluti

MD 2.6.0 beta

The beta version is available for download at http://www.torchsoft.com/download/md_setup_2.6.0_b1.exe

what's new?
- Added support for collapsing the alert window.
- Added support for displaying rule comment in the alert window.
- Minor improvements and fixes.

Thanks for testing. :)

http://www.wilderssecurity.com/showpost.php?p=1616184&postcount=1

Interessante :D :D
Tu la stai testando?

Interessante :D :D
Tu la stai testando?

adesso adesso in questo momento.. no:D
ma da sett prossima mi sistemo una snap di CTM per ogni software (CIS, CIS4beta, MD, MDbeta...) :asd:

http://www.matousec.com/projects/proactive-security-challenge/results.php

In questo (http://www.wilderssecurity.com/showthread.php?t=267028) 3d si sta discutendo delle scelte che han portato l'utente bellgamin a provare OA, a discapito di MD.
Credo che non interessi a nessuno in realtà (neanche al sottoscritto), solo che stan venendo fuori delle idee che Xiaolin dovrebbe seriamente considerare.. soprattutto perchè gli son state dette già da un pò (quasi 10 mesi fa scrissi una mail con le stesse ed identiche proposte, salvo il miglioramento firewall che imho va bene così)..

chissà che anche quel 3d non serva per rendere più visibili tali consigli..

Ne prendiamo atto anche se in effetti sapere che ha tagliato MD in favore di OA non credo interessi realmente a nessuno...:D


Per quanto riguarda invece la vostra richiesta di una funzionalità alla Run Safer che tagli in via automatica privilegi alle applicazioni che si interfacciano con internet (idea che cmq piace anche a me..), il fatto che non abbia trovato ancora implementazione è probabilmente da imputare a 3 fattori, e cioè al fatto che:

1 - la ricerca sottesa non deve essere banale e/o, cmq, non la si improvvisa in 1 giorno...[probabilità = 30%]
2 - le aspettative di ritorno economico non giustificano (non hanno ancora giustificato?) sforzi di questa portata (si snaturerebbe peraltro parzialmente il modello di difesa classica cui MD si riconduce)...[probabilità = 50%]
3 - l'utenza di MD è di tipo entusiast e, come tale, sa gestire situazioni ad alta intensità di popup (il che mitiga eventuali pressioni possano arrivare da una parte dell'utenza a favore di una soluzione "Run Safer" che, come primo effetto, ha proprio una riduzione marcata dei pop up)...[probabilità = 20%]


Il riflesso di questa apparente inerzia, xò, ha visto estendere ed ottimizzare in maniera significativa la robustezza del software sfruttando il modello di difesa esistente...

Ne prendiamo atto anche se in effetti sapere che ha tagliato MD in favore di OA non credo interessi realmente a nessuno...:D


Per quanto riguarda invece la vostra richiesta di una funzionalità alla Run Safer che tagli in via automatica privilegi alle applicazioni che si interfacciano con internet (idea che cmq piace anche a me..), il fatto che non abbia trovato ancora implementazione è probabilmente da imputare a 3 fattori, e cioè al fatto che:

1 - la ricerca sottesa non deve essere banale e/o, cmq, non la si improvvisa in 1 giorno...[probabilità = 30%]
2 - le aspettative di ritorno economico non giustificano (non hanno ancora giustificato?) sforzi di questa portata (si snaturerebbe peraltro parzialmente il modello di difesa classica cui MD si riconduce)...[probabilità = 50%]
3 - l'utenza di MD è di tipo entusiast e, come tale, sa gestire situazioni ad alta intensità di popup (il che mitiga eventuali pressioni possano arrivare da una parte dell'utenza a favore di una soluzione "Run Safer" che, come primo effetto, ha proprio una riduzione marcata dei pop up)...[probabilità = 20%]


Il riflesso di questa apparente inerzia, xò, ha visto estendere ed ottimizzare in maniera significativa la robustezza del software sfruttando il modello di difesa esistente...

+ testardaggine di Xiaolin :D
se ritiene che non è una feature da considerare strettamente necessaria, o facilmente implementabile, campa cavallo..

ovvero se si tratta di aggiungere la voce Log al menu contestuale ok, ti fa la modifica appena ha materiale sufficiente per rilasciare una nuova beta..
se son modifiche più impegnative, che per lui non son necessarie e andrebbero a sporcare il codice, addio..:stordita:

Come già evidenziato in altri 3d (http://www.hwupgrade.it/forum/showpost.php?p=31445984&postcount=2442) il futuro di MD è assai incerto.
Non si sa se verrà incorporato in questa suite 360Safe di fattura cinese, se diventerà freeware e continuerà ad essere sviluppata seppur lentamente, se verrà garantito bugfix dell'ultima versione stabile, o se semplicemente morirà..

In questa discussione (link (http://www.wilderssecurity.com/showthread.php?p=1649448#post1649448)) interviene direttamente Xiaolin, unico sviluppatore di Malware Defender. Lì sarà possibile avere informazioni in maniera abbastanza tempestiva.
Appena le notizie saranno pubbliche non mancherò di inserire un eventuale esito in questa discussione, fosse anche solo a scopo informativo.

Speriamo in bene..

Saluti

Peccato che non gira su x64 :cry:

MD v2.70 inglese (http://www.wilderssecurity.com/showpost.php?p=1667984&postcount=173)

La principale novità è il fatto di essere diventato GRATUITO...

MD v2.70 inglese (http://www.wilderssecurity.com/showpost.php?p=1667984&postcount=173)

La principale novità è il fatto di essere diventato GRATUITO...

Ciao enne ;)
grazie per la segnalazione, come sempre "velocissima".

Sembra, però, che la nuova versione abbia un bug come afferma lo stesso Xiaolin (http://www.wilderssecurity.com/showpost.php?p=1668556&postcount=197)

Non ricordo, sinceramente, se in precedenza X abbia rilasciato una ver. buggata come in questo caso...
non per essere pessimista ad ogni costo, ma se il buongiorno si vede dal mattino......

Mi fa piacere, comunque, che sia diventato gratuito, soprattutto nella speranza che possa "fare breccia" in un numero sempre più largo di utenti e se ne possa parlare sempre di più.


Un saluto a tutti. :)

Proprio in questi minuti stavo guardando kafan e, in effetti, la v2.70 sembrerebbe soffrire di diversi problemi sotto XP...

Da quello che ho capito, e anche alla luce di quella che è la mia esperienza, sembrerebbe che proprio 7 sia l'OS al quale è stata data maggior attenzione...

...Non ricordo, sinceramente, se in precedenza X abbia rilasciato una ver. buggata come in questo caso...
vero...

Come dice giustamente questo tizio [link!] (http://www.wilderssecurity.com/showpost.php?p=1668654&postcount=200), c'è anche da capire se è proprio X. a lavorare sul codice o se ha proprio passato la palla ad altri anche se ritengo più probabile la prima ipotesi, magari con l'appoggio di qualche altra intelligenza...

Vedremo..

MD v2.70 inglese (http://www.wilderssecurity.com/showpost.php?p=1667984&postcount=173)

La principale novità è il fatto di essere diventato GRATUITO...

Grazie
adesso ci tornera' utile il lavoro fatto da cloutz;)

leggevo anche questo intervento (link! (http://www.wilderssecurity.com/showpost.php?p=1668808&postcount=203)) che è l'unico nel quale si fa presente un episodio di BSOD su 7:
il problema è che il tizio, a dispetto del titolo di cui si fregia, è ben noto per necessitare supporto e, specie alla luce dell'unico labile sprazzo di intelligenza con cui si conclude l'intervento ("...but i have mad so many changes yesterday for testing purpose..."), tenderei a classificare l'intervento stesso come INSIGNIFICANTE, ovvero MD 2.70 su 7 gira OK...

Grazie nV per la segnalazione, ho letto ieri di sfuggita ed eri già intervenuto :)

MD 2.7 su windows XP.. appena installato dopo pochi secondi mi ha riavviato in maniera inaspettata il pc, scandisk al riavvio.. e poi tutto ok per adesso.
Comunque prima di aggiornare ho fatto previdentemente una snap con CTM..

Speriamo che si diffonda un pò ora che è gratuito..

Saluti

Salve, ma l'ultima versione è solamente in inglese?
Non sono riuscito a trovarla in italiano.
Sarei interessato a provare malware defender perchè ho avuto dei problemi con il modulo HIPS di Comodo che non mi funziona a dovere (ne ho già parlato nell'apposita sezione) quindi avrei intenzione di disattivare il D+ di Comodo e utilizzare Malware Defender al suo posto.
Ho visto che ora è freeware ma se ci sarebbe una versione in italiano sarebbe perfetto perchè per quanto rigurda l'inglese sono zero:rolleyes:.
La lingua italiana mi interessa particolarmente in questi programmi perchè quando mi affacciano i popups di avviso li leggo sempre molto attentamente quindi devo ben capire cosa c'è scritto.
Grazie

ciao gyonny!
la localizzazione in italiano per MD (quando era a pagamento) l'ho fatta io e un altro ragazzo..
ora è diventato gratuito il programma, ma le nuove versioni gratuite sono solo in cinese ed inglese..

se mi dai un pò sento Xiaolin, il programmatore di MD, e gli chiedo se è possibile usare i file della vecchia traduzione italiana, tanto sono state fatte solo correzioni al codice (o cmq cambia poca roba nell'interfaccia) :)

Grazie per l'interesse!
Se eventualmente non è disponibile in italiano proverò quella in inglese.
Ora che ci penso bene dopotutto non credo sia così difficile imparare le opzioni principali in inglese, tanto i percorsi principali delle applicazioni presenti sul PC sono sempre quelli quindi si capiscono lo stesso dai popups, l'importante è essere sicuri delle regole che si vanno a creare.
Casomai confronterò le relative opzioni in inglese con la guida in italiano.
Grazie

Grazie per l'interesse!
Se eventualmente non è disponibile in italiano proverò quella in inglese.
Ora che ci penso bene dopotutto non credo sia così difficile imparare le opzioni principali in inglese, tanto i percorsi principali delle applicazioni presenti sul PC sono sempre quelli quindi si capiscono lo stesso dai popups, l'importante è essere sicuri delle regole che si vanno a creare.
Casomai confronterò le relative opzioni in inglese con la guida in italiano.
Grazie

Gli ho scritto, aspettiamo che risponda..
Qui c'è il link al download della versione inglese: http://dl.360safe.com/md_setup_en.exe

ti consiglio di leggere la guida, in caso chiedi pure :p

Saluti

p.s.: a breve l'uscita della 2.7.2.

Grazie:)
Prima di postare in questa sezione avevo letto la guida per avere le idee più chiare sul programma in questione, ottima guida direi;).
Ho visto che il funzionamento è in qualche modo simile al D+ di Comodo e ad altri moduli HIPS che ho provato con la differenza che le informazioni dei popups di avviso di MD sembrerebbero più personalizzabili e dettagliate quindi non credo che avrei grosse difficoltà nel suo utilizzo.
In caso di qualche dubbio sul suo funzionamento posterò di nuovo in questa sezione. Ciao

Ediit:

Prime impressioni su MD

In questo momento sto già usando MD, come immaginavo infatti il funzionamento è simile agli altri HIPS che ho provato, con la differenza che si hanno informazioni molto più dettagliate sui vari processi in cui andiamo a creare delle regole, infatti in alcuni popups che ho visualizzato si ha la possibilità di creare direttamente due regole quindi una per il processo padre e una per il processo figlio a cui è legato in quel determinato momento, inoltre ho anche notato che cliccando con il destro del mouse su una regola creata in "global rules" e selezionando "properties" abbiamo a disposizione un'abbondante varietà di opzioni per personalizzare la regola a nostro piacimento e inoltre potremo anche vedere le eventuali applicazioni figlie su cui è legata l'applicazione padre nella scheda "child applications"

http://img205.imageshack.us/img205/1999/app4.th.png (http://img205.imageshack.us/i/app4.png/)

Fin'ora devo dire che è andato tutto bene, dopo un breve periodo di apprendimento e un riavvio lo ho impostato su normal mode quindi ora lavora a pieno ritmo.
solamente una cosa non mi è ancora chiara, ovvero non ho capito a cosa serve l'opzione "Crea regola con la linea di comando", per il resto bene o male ho già inquadrato la situazione.

Una curiosità: nella guida tu hai specificato che ad utilizzare questo programma sarete al massimo due in Italia, quindi in pochissimi, secondo me questo succede perchè purtroppo non tutti hanno la pazienza di utilizzare programmi HIPS, poi sembrerebbe anche un programma rivolto ad una utenza direi non proprio sotto la media. Ciao

solamente una cosa non mi è ancora chiara, ovvero non ho capito a cosa serve l'opzione "Crea regola con la linea di comando", per il resto bene o male ho già inquadrato la situazione.
serve per creare una regola ancora più specifica.
la linea di comando (cmd line) è il vero e proprio comando lanciato, la vera e propria chiamata del processo padre alla procedura.. mettendo la spunta alla cmd line in un avviso, dai una maggiore precisione alla regola che stai andando a creare :)


Una curiosità: nella guida tu hai specificato che ad utilizzare questo programma sarete al massimo due in Italia, quindi in pochissimi, secondo me questo succede perchè purtroppo non tutti hanno la pazienza di utilizzare programmi HIPS, poi sembrerebbe anche un programma rivolto ad una utenza direi non proprio sotto la media. Ciao
Esatto..
principalmente perchè gli hips sono per una nicchia, perchè fino a poco fa MD era a pagamento, perchè già di suo era poco conosciuto..

ma fidati che hai sotto le mani un hips che offre un controllo davvero molto profondo, nulla da temere ad altri software di cui si parla tanto, anzi...;)
inoltre come hai visto è ben organizzato, avvisi chiarissimi e concettualmente efficienti..

se vuoi "farti una cultura" dai una lettura a questo primo post, nV (che di hips ne sa:asd:) parla anche di MD
http://www.hwupgrade.it/forum/showthread.php?t=1064733

Ciaociao!

Grazie per i chiarimanti:) , sono già al secondo giorno di utilizzo di MD, mi trovo benissimo, è il miglior modulo HIPS che abbia mai provato, ho anche notato che c'è pure una protezione network simile ad un firewall, inizialmente però l'avevo disattivata perchè credevo creasse conflitti con il firewall di Comodo, ora l'ho riattivata e non ho notato nessun conflitto, inoltre non ho neanche avvertito rallentamenti significativi nelle prestazioni del sistema operativo e nemmeno nell'avvio.

Ho fatto pure dei test con CLT (Comodo Leak Test) per controllare la sicurezza del sistema, il test è stato fatto con Malware Defender e il firewall di Comodo tenuti attivi (firewall impostato per avvisare su tutto) il punteggio ottenuto è 310/340. E' buono comunque come punteggio ma per passare questo test dovrei avere 340/340.
Ora non saprei quanto siano veramente attendibili questi test. Il punteggio è 310/340 quindi secondo il test ci sono tre falle nella sicurezza del sistema:
1- Invasion: raw disk=vulnerable
2- Impersonation: Bits=vulnerable
3- Hijacking: Activedesktop=vulnerable

http://img526.imageshack.us/img526/7061/app5.th.png (http://img526.imageshack.us/i/app5.png/)

Mi sembra alquanto strana questa cosa perchè con un software solido come MD mi aspettavo di passare qualsiaisi test.
Non credo nemmeno che io lo abbia mal configurato perchè è impostato su "Normal Mode" quindi per avvisare su tutto, secondo me si tratta di errori del test perchè mi sembra strano che in un PC con Malware Defender installato ci siano dei buchi nella sicurezza.

Hai fatto pure tu questo tipo di test? Che punteggio hai avuto?
Nel caso fossi interessato a farlo, dopo aver consentito MD per avviare CLT e dopo aver cliccato su test, per far funzionare il test dovrai memorizzare temporaneamente ogni regola che blocchi altrimenti il test rimane fermo e non parte.
Grazie Ciao

premettendo che di quel test non mi sono mai fidato.. può essere d'aiuto, ma farne un punto di riferimento mi pare troppo;)

come prima cosa un solo firewall e un solo hips:
la coesistenza del D+ e MD non è consigliata!
quindi disabilita il D+ e lascia solo il firewall di comodo; dato che hai installato MD come hips, disabilita la sua protezione network.
in questo modo cerchiamo di evitare palesi conflitti (se vuoi un consiglio sincero scegli uno dei 2 programmi da tenere e stop:read: )..

fatto ciò prova ad avviare clt.exe e al primo popup inserisci l'applicazione nel gruppo Blocked Application (dall'avviso di MD) e fammi sapere quanto prendi.

MD non prenderà il massimo nel clt perchè fallisce l'icmp test se non sbaglio,
poichè MD non si sofferma molto sulla componente firewall, come comodo, ed ha quindi un firewall più scarno (più che sufficiente se però si è dietro router)!

ciaociaooo

Edit:
ho rifatto il test con solo MD, mi ha dato prima 330/340, poi 310/340, ora 320/340.. confermando le mie idee a riguardo:fagiano:

anyway son mesi (anni?) che gira questo test, Xiaolin ne era a conoscenza e volutamente non ha voluto modificare MD..
la sua idea era che "sarebbe possibile mettere pezze a MD per fargli superare i test e ottenere 340/340, ma ciò andrebbe a sporcare il codice inutilmente, perchè non sarebbe una reale protezione" :D
molte softwarehouse non la pensano così, mettono pezze ad hoc per superare i test e quando il programma viene provato un mese dopo con test appena appena modificati.. si vede che fanno schifo:D :D chissà perchè??:ciapet:

...Il punteggio è 310/340 quindi secondo il test ci sono tre falle nella sicurezza del sistema:
1- Invasion: raw disk=vulnerable
2- Impersonation: Bits=vulnerable
3- Hijacking: Activedesktop=vulnerable

Mi sembra alquanto strana questa cosa perchè con un software solido come MD mi aspettavo di passare qualsiaisi test...


Come ha detto anche cloutz, CLT.exe è un ottimo indicatore del modo con cui è configurato un sistema dietro HIPS ma non è ovviamente l'indicatore assoluto che porta a dire che il prodotto A è migliore di B, cosi come non è indicatore assoluto il test di Matousec...

Per quanto riguarda il capitolo efficacia di una soluzione, è indubbio comunque che se un prodotto capeggia sempre su n test diversi è più probabile che il software si comporti bene anche nella vita reale...

Per venire alle "falle":
per quanto riguarda il 1° (invasion: raw disk), MD protegge solo dai tentativi di scrittura del disco a basso livello mentre CLT esegue solo un mero tentativo di lettura...
Il vero momento critico dell'accesso del disco a basso livello, cmq, è la sola fase di scrittura, il che spiega perchè Xiaolin non abbia provveduto a sanare la "falla" disinteressandosi di conseguenza delle eventuali "pressioni di marketing" che potevano venire (come in questo caso) dal test COMODO...

Il test n° 3 (Hijacking: Activedesktop), invece, potrebbe essere corretto aggiungendo una chiave di registro a quelle protette*...




*fattibile in 2 modi: paziente ricerca su Wilderssecurity o ricavandola direttamente aggiungendo il simbolo * alle regole di registro per l'applicazione CLT.exe [ASK è il settaggio relativo al permesso di scrittura]...

Per avere un'idea di massima di quello che intendo, guarda la foto...
http://img38.imagefra.me/img/img38/2/9/22/t_nbs3aucw6m_63210d3.png (http://imagefra.me/view.php?img=/2/9/22/f_nbs3aucw6m_63210d3.png&srv=img38)

Grazie ragazzi, siete fantastici!;)
Le vostre informazioni sono davvero molto istruttive, ne terrò sicuramente conto!

@ cloutz
Per quanto riguarda il D+ di Comodo l'avevo disattivato permanentemente prima di installare MD (ci mancherebbe pure che userei due HIPS in real time, l'uso del PC diventerebbe impossibile:D), a parte questo io faccio parte di quella categoria di utenti a cui non piace tenere troppi programmi di protezione in real-time, la mia configurazione attuale è questa: MD + Avast 5 + Comodo firewall (con D+ disattivato permanentemente e antivirus disinstallato), anzi per dire la verità volevo tenere solamente MD + Comodo firewall senza nessun antivirus installato però poi ho pensato che l'antivirus è indispensabile per completare la protezione e quindi ho installato Avast ed ho eliminato l'antivirus di Comodo che non è un granchè.
La difesa network di MD l'ho disattivata perchè mi creava difficoltà con Emule (ad ogni nuova connessione un nuovo popup), per il resto non mi da più nessun disturbo perchè ho già quasi tutte le regole HIPS configurate;).
A questo punto devo dire che non sono più interessato a fare altri test perchè dopotutto sfido qualsiasi malware a passare inosservato sotto gli occhi (molto) vigili di MD:D.
E ora che ho preso confidenza con l'uso di MD credo proprio che non potrei più farne a meno:p.
Ciao

Edit:

MD in azione

Qui ho avuto conferma dell'incredibile reattività di questo software nell' individuare processi che non corrispondono alle regole durante la navigazione in internet.
Qui ad esempio durante un gioco on-line, nell'istante preciso in cui il gioco stava per produrre un suono si è attivato il processo audiodg.exe (firmato Microsoft=Verified) che è stato richiamato dal plugin Java (target=bersaglio), quindi dopo che ho verificato e dato il permesso si è attivato l'audio del gioco.

http://img810.imageshack.us/img810/7769/app6.th.png (http://img810.imageshack.us/i/app6.png/)

Qui invece manda un avviso al momento stesso in cui ho inserito una normale penna USB contenente un innocuo file AVI.
Proprio niente male direi.

http://img295.imageshack.us/img295/3968/app7.th.png (http://img295.imageshack.us/i/app7.png/)

Grazie ragazzi, siete fantastici!;)
Le vostre informazioni sono davvero molto istruttive, ne terrò sicuramente conto!

@ cloutz
Per quanto riguarda il D+ di Comodo l'avevo disattivato permanentemente prima di installare MD (ci mancherebbe pure che userei due HIPS in real time, l'uso del PC diventerebbe impossibile:D), a parte questo io faccio parte di quella categoria di utenti a cui non piace tenere troppi programmi di protezione in real-time, la mia configurazione attuale è questa: MD + Avast 5 + Comodo firewall (con D+ disattivato permanentemente e antivirus disinstallato), anzi per dire la verità volevo tenere solamente MD + Comodo firewall senza nessun antivirus installato però poi ho pensato che l'antivirus è indispensabile per completare la protezione e quindi ho installato Avast ed ho eliminato l'antivirus di Comodo che non è un granchè.
La difesa network di MD l'ho disattivata perchè mi creava difficoltà con Emule (ad ogni nuova connessione un nuovo popup), per il resto non mi da più nessun disturbo perchè ho già quasi tutte le regole HIPS configurate;).
A questo punto devo dire che non sono più interessato a fare altri test perchè dopotutto sfido qualsiasi malware a passare inosservato sotto gli occhi (molto) vigili di MD:D.
E ora che ho preso confidenza con l'uso di MD credo proprio che non potrei più farne a meno:p.
Ciao

Edit:

MD in azione

Qui ho avuto conferma dell'incredibile reattività di questo software nell' individuare processi che non corrispondono alle regole durante la navigazione in internet.
Qui ad esempio durante un gioco on-line, nell'istante preciso in cui il gioco stava per produrre un suono si è attivato il processo audiodg.exe (firmato Microsoft=Verified) che è stato richiamato dal plugin Java (target=bersaglio), quindi dopo che ho verificato e dato il permesso si è attivato l'audio del gioco.

http://img810.imageshack.us/img810/7769/app6.th.png (http://img810.imageshack.us/i/app6.png/)

Qui invece manda un avviso al momento stesso in cui ho inserito una normale penna USB contenente un innocuo file AVI.
Proprio niente male direi.

http://img295.imageshack.us/img295/3968/app7.th.png (http://img295.imageshack.us/i/app7.png/)

queste sono azioni di routine, un hips base (o user friendly) sarebbe cmq in grado di allertarti su questi avvenimenti..

se vuoi vedere MD contro reali virus -non simulazioni- dai un'occhiata a questi link:
http://www.hwupgrade.it/forum/showpost.php?p=29112249&postcount=232
http://www.hwupgrade.it/forum/showpost.php?p=29121297&postcount=81

anche contro questi esemplari, MD, insieme al sistema, ne è uscito integro..:D

Ciaociao

Davvero straordinari questi test!
Ho visto che rootkits gli fanno un baffo a MD:D
Questa si che è protezione, altro che antivirus e blasonate suite di sicurezza!

Non sono ancora all'altezza di fare questo tipo di test che hai fatto tu ma spero che col tempo e molta pratica ci arriverò pure io.

Peccato che siano in pochi ad utilizzare MD e che sia un prodotto poco conosciuto, ma forse alla fine credo che sia meglio così;)
Grazie Ciao

Salve, queste sono le regole che ho impostato:

In trusted applications ho messo tutti i processi relativi ad antivirus e firewall per evitare possobili conflitti ma ho messo anche rundll32.exe e ti spiego perchè l'ho fatto:

Dopo la chiusura della navigazione di Internet Explorer in modalità anonima (In Private Browsing) visualizzavo un popup che giustamente indicava che il processo rundll32.exe stava eliminando Cookie e cronolgia dalle cartelle temporanee "Delete files" quindi nulla di pericoloso, però c'era il discorso che ad ogni file temporaneo che eliminava "rundll32.exe" corrispondeva ad un avviso, es. "Delete file...1" "Delete file...2" quindi se la cartella temporanea conteneva 30 file corrispondevano a 30 popups quindi ho pensato che sarebbe inutile mettere in modalità apprendimento altrimenti andrebbe a creare regole che in futuro non mi servirebbero poichè i file tmporanei non sono sempre uguali quindi riceverei lo stesso avvisi. A questo punto ho risolto mettendo rundll32.exe in trusted applications così non ricevo più gli stessi avvisi di prima. Il pericolo potrebbe verificarsi se qualche malware tenta di agganciarsi rundll32.exe ma non mi preoccupo più di tanto perchè so che verrei sicuramente avvisato, questo non lo metto in dubbio.

In Installers and updaters ho trovato c:\windows\servicing\trustedinstaller.exe che è stato messo in automatico da MD

Il resto delle applicazioni le ho messe fuori dai gruppi, in modo che possa essere avvisato per ogni processo non presente sulle regole.

Oggi mentre postavo in una sezione di questo forum ho ricevuto un avviso da parte di MD che mi indicava un "tentativo di accesso da parte di IE su tastiera a basso livello" quindi io pensando che stavo scrivendo un semplice post e non digitando password o selezionato "permit" però non su "ricorda", quindi una regola temporanea.

Ieri prima di un aggiornamento di un programma che conosco molto bene avevo deciso di disattivare temporaneamente la protezione di MD (5 minuti) il tempo dell'aggiornamento stesso appunto per non essere bombardato da avvisi, non avevo messo in modalità apprendimento perchè altrimenti andava a crearmi un mare di regole in automatico che in futuro non mi potevano servire.

Per il resto non vedo poi tutto questo disturbo di cui parlano tanto a riguardo dei moduli HIPS.

Questa è stata la panoramica dell'utilizzo quotidiano che faccio di MD, che dici, su per giù ci siamo nel modo in cui lo utilizzo e creo regole oppure ci sarebbe da rivedere qualcosa? Grazie:)

ti sei già complicato la vita visto che rundll32 è uno di quei processi che non deve rientrare nel gruppo applicazioni sicure e non a caso le regole di default collocano proprio questo processo in una zona a se stante, fuori cioè da qualsiasi gruppo ma sotto, ovviamente, la regola generica asterisco ...


Nel caso come quello da te descritto la soluzione non viene dal ricollocare la disposizione di rundll32 ma dal "lavorare" opportunamente sulla scheda "file" di rundll32 partendo anche proprio dai popup...


PS: leggi bene questo passaggio:




Piccola parentesi: questo è un avviso a livello “applicazione”, infatti l’obiettivo è un’applicazione. Se per esempio ricevessimo un avviso riguardante il registro avremmo alla voce “Oggetto della regola” più opzioni. Per esempio in questo avviso
http://img39.imagefra.me/img/img39/2/7/25/kronos/t_15554m_4c742b2.png (http://imagefra.me/view.php?img=/2/7/25/kronos/f_15554m_4c742b2.png&srv=img39)
osserviamo 2 opzioni, una più dettagliata, una invece più generica. Infatti:
1. Possiamo vedere il percorso HKLM\Software\Microsoft\..\Run, ma l’oggetto (il valore) è ben specificato, è Malware Defender.
2. Qui invece troviamo sempre lo stesso percorso, ma al posto dell’oggetto abbiamo una wildcard *. Questo renderà la regola più generica, in quanto creeremo una regola valida per qualsiasi valore (non solo, come in 1, per l’oggetto “Malware Defender”).
Da notare che possiamo scegliere l’obiettivo cliccando sul tasto […], che ci permette di sfogliare i valori. In questo modo possiamo personalizzare la regola a nostro piacimento.

Salve, queste sono le regole che ho impostato:

In trusted applications ho messo tutti i processi relativi ad antivirus e firewall per evitare possobili conflitti
ottimo


...ma ho messo anche rundll32.exe e ti spiego perchè l'ho fatto:

Dopo la chiusura della navigazione di Internet Explorer in modalità anonima (In Private Browsing) visualizzavo un popup che giustamente indicava che il processo rundll32.exe stava eliminando Cookie e cronolgia dalle cartelle temporanee "Delete files" quindi nulla di pericoloso, però c'era il discorso che ad ogni file temporaneo che eliminava "rundll32.exe" corrispondeva ad un avviso, es. "Delete file...1" "Delete file...2" quindi se la cartella temporanea conteneva 30 file corrispondevano a 30 popups quindi ho pensato che sarebbe inutile mettere in modalità apprendimento altrimenti andrebbe a creare regole che in futuro non mi servirebbero poichè i file tmporanei non sono sempre uguali quindi riceverei lo stesso avvisi. A questo punto ho risolto mettendo rundll32.exe in trusted applications così non ricevo più gli stessi avvisi di prima. Il pericolo potrebbe verificarsi se qualche malware tenta di agganciarsi rundll32.exe ma non mi preoccupo più di tanto perchè so che verrei sicuramente avvisato, questo non lo metto in dubbio.

errato, almeno nella mia visione delle cose (e di MD)..
come hai fatto tu, hai reso IE una Applicazione Fidata, grosso errore imho.
Infatti avresti dovuto creare, anche direttamente tramite uno dei popup di cancellazione dei file temporanei, una regola che permetteva a rundll32.exe i permessi principali (read, write, create, delete) nella cartella dove IE va a creare i propri file temporanei..

per sistemare vai tra le applicazioni, tasto destro su rundll32.exe e clicchi Move Out of Group;
ora doppio click su rundll32.exe, ti sposti nella tab File in alto.
Ora clicchi su Add e imposti una regola così:
http://img190.imageshack.us/img190/6811/85009200.png (http://img190.imageshack.us/i/85009200.png/)

mettendo il percorso della cartella dei file temporanei di IE, quella che ricevevi negli avvisi.



In Installers and updaters ho trovato c:\windows\servicing\trustedinstaller.exe che è stato messo in automatico da MD

Il resto delle applicazioni le ho messe fuori dai gruppi, in modo che possa essere avvisato per ogni processo non presente sulle regole.

Oggi mentre postavo in una sezione di questo forum ho ricevuto un avviso da parte di MD che mi indicava un "tentativo di accesso da parte di IE su tastiera a basso livello" quindi io pensando che stavo scrivendo un semplice post e non digitando password o selezionato "permit" però non su "ricorda", quindi una regola temporanea.

Ieri prima di un aggiornamento di un programma che conosco molto bene avevo deciso di disattivare temporaneamente la protezione di MD (5 minuti) il tempo dell'aggiornamento stesso appunto per non essere bombardato da avvisi, non avevo messo in modalità apprendimento perchè altrimenti andava a crearmi un mare di regole in automatico che in futuro non mi potevano servire.

Per il resto non vedo poi tutto questo disturbo di cui parlano tanto a riguardo dei moduli HIPS.

Questa è stata la panoramica dell'utilizzo quotidiano che faccio di MD, che dici, su per giù ci siamo nel modo in cui lo utilizzo e creo regole oppure ci sarebbe da rivedere qualcosa? Grazie:)

il resto bene o male va tutto bene, poi ognuno vive a modo suo "gli hips"..

Piccole osservazioni:
1. Non so quanto giusto sia che il browser tenti un accesso di basso livello alla tastiera, io non ricevo di questi avvisi.. probabilmente io avrei negato nel dubbio.. se qualcosa non andava ci riprovavo e consentivo:Prrr:
2. È impossibile che MD abbia messo quel file in Installer or Updater, il suo funzionamento non prevede nulla del genere, nulla di "automatico".. ce l'avrai messo tu e non ti sei accorto :D

Ciaociao

edit:
nV stavo elaborando il mio post mentre hai risposto, scusami :D

2. È impossibile che MD abbia messo quel file in Installer or Updater, il suo funzionamento non prevede nulla del genere, nulla di "automatico".. ce l'avrai messo tu e non ti sei accorto :D


in 7 è normale che MD metta trustedinstaller.exe nel gruppo installer and updater..

in 7 è normale che MD metta trustedinstaller.exe nel gruppo installer and updater..

Giura??:eek:
non lo sapevo mica.. :O :D

in tal caso correggo quando detto sopra circa trustedinstaller.exe :)

Grazie ragazzi, correggo subito;)

IE non l'avevo comunque messo tra le applicazioni fidate, ho corretto anche questa regola per sicurezza "Access Keyboard in low level = Ask" ;).

A questo punto ho lasciato solamente antivirus e firewall tra quelle fidate.Ciao:)

Grazie ragazzi, correggo subito;)

IE non l'avevo comunque messo tra le applicazioni fidate, ho corretto anche questa regola per sicurezza "Access Keyboard in low level = Ask" ;).

A questo punto ho lasciato solamente antivirus e firewall tra quelle fidate.Ciao:)

scusami, questo caldo mi ha rimbambito:oink:
quel discorso era riferito a rundll32.exe (non IE) , che non deve essere Trusted :D

Saluti

Ho creato quella regola personalizzata per rundll32.exe sui file temporanei di IE come mi avete consigliato e funziona perfettamente.
Ho fatto solo un'ulteriore modifica quindi su "Create" ho messo "Ask", per il resto "permit" quindi ora non ricevo avvisi ogni volta che rundll32.exe elimina automaticamente i file temporanei dopo la navigazione anonima del browser.
Per la altre regole che vorrò personalizzare lo farò direttamente dal popup ora che ho capito bene anche quest'altro meccanismo di personalizzazione.
Ringrazio anche nV 25 per i consigli molto utili e dettagliati che ha dato. Ciao:)
http://img806.imageshack.us/img806/1898/appf.th.png (http://img806.imageshack.us/i/appf.png/)

Salve ragazzi, volevo farvi vedere quel messaggio di MD di cui ho discusso in un post precedente, quello che riguarda l'accesso su tastiera a basso livello da parte di Internet explorer.
Premetto che lo vedo di rado questo popup, è la quarta volta in 10 giorni circa e mi succede quando posto in qualche sezione di questo forum.
Premetto anche che il messaggio mi compare perchè ho messo "Ask" in "Access Keyboard in low level" tra le regole di IE appunto per controllare se si presentava nuovamente.
Non ho messo "Deny" ma "Ask" appunto per controllare ma ho negato l'accesso all'uscita del popup. Non ho comunque verificato anomalie e ho potuto postare normalmente.
Avete qualche idea di cosa si potrebbe trattare?
Vi è mai successa una cosa simile?
Che motivo avrebbe IE per accedere su tastiera a basso livello?
Premetto anche che il PC è pulito, ho fatto tutte la scansioni consigliate sulla procedura rimozione e l'unica cosa che ho trovato sono stati solamente degli insignificanti Tracking Cookie. Grazie

http://img401.imageshack.us/img401/8339/appmz.th.png (http://img401.imageshack.us/i/appmz.png/)

non vorrei finire per apparire spocchioso o colui che dispensa lezioni a dx e a manca per cui la faccio corta:

puoi tranquillamente accettare quel tipo di azione cosi' come sei libero di rifiutarla specie se fino ad ora non hai rilevato alcun tipo di malfunzionamento nell'uso del browser...

Grazie!:)
Purtroppo da quando uso MD sto diventando paranoico:D, ogni tanto mi vengono fuori processi nascosti di sistema di cui prima ne ignoravo completamente l'esistenza e quindi cerco sempre di informarmi su cosa si tratta.
Grazie Ciao;)

(per usare la tua nomenclatura), se i processi nascosti di cui parli "nascono da soli", senza cioè che vi sia stata in precedenza l'esecuzione di un qualcosa, al 99,..% è tutto legittimo.

es:
ti allontano 10 minuti dal PC e, quando ritorni, vedi sullo schermo un popup che ti avverte che il processo defrag cerca di partire, di accedere al disco a basso livello ecc ecc, è ovvio che si è di fronte ad'un comportamento benigno...

Esatto, infatti il processo defrag così come altri sono già tutti tra le regole.
I prossimi messaggi che riceverò saranno solamente per aggiornamenti di applicazioni o eventuali malware. Grazie Ciao:)

Salve, ho aggiunto una regola consigliata da cloutz, quella del file namedpipe CLICK (http://img24.imageshack.us/img24/6979/regolafilenamedpipe.png).
L'ho aggiunta nel gruppo "All Executable files", va bene in questo gruppo oppure ho sbagliato gruppo?
A me sembrerebbe che funzioni bene e fra qualche giorno avrei anche intenzione di fare quelle modifiche da voi consigliate per le interfaccie COM
CLICK (http://www.hwupgrade.it/forum/showpost.php?p=29055109&postcount=68). Grazie

Salve, ho aggiunto una regola consigliata da cloutz, quella del file namedpipe CLICK (http://img24.imageshack.us/img24/6979/regolafilenamedpipe.png).
L'ho aggiunta nel gruppo "All Executable files", va bene in questo gruppo oppure ho sbagliato gruppo?
A me sembrerebbe che funzioni bene e fra qualche giorno avrei anche intenzione di fare quelle modifiche da voi consigliate per le interfaccie COM
CLICK (http://www.hwupgrade.it/forum/showpost.php?p=29055109&postcount=68). Grazie

ti posso dare un consiglio personalisssimo?:D
lascia stare le namedpipe, distinguere una comunicazione interprocesso legittima da una illegittima è difficile, molto più difficile che rispondere ai semplici popup.. in fondo anche non toccandole si è ben protetti!

per le interfacce COM e caricamento DLL invece la modifica ci può stare:p

p.s.: per il dll loading devi usare molto il learning mode, altrimenti sarai assalito dai popup!

Ciaociao:D

Grazie ancora, farò come hai consigliato.
Certo che è interessante il modo in cui è possibile personalizzare questo software, poi da quel poco che l'ho usato non mi sembra di aver ancora visto nessun bug. Ciao;)

Per chi volesse scaricarlo, ho uppato la v2.7.1 qui:
http://www.2shared.com/file/CECW1jDD/md_setup_en.html

Anche se allo stato è stata rilasciata la 2.7.2, da quello che ho capito leggendo un pò in giro è preferibile restare con la 2.7.1 che è perfettamente STABILE (la 2.7.2, invece, sembrerebbe crashare su certi OS se si tenta di accedere alle proprietà dei gruppi, ecc...
Peraltro, la 2.7.2 introduce solo ottimizzazioni a livello di interfaccia e, dunque, restare sulla 2.7.1 non costituisce alcun pregiudizio sotto un profilo squisitamente legato alla sicurezza)...


*********
il link si trova anche nel 1° post di "prevenire ecc ecc"...

@ cloutz:
visto che tanto ti limiti a leggere e a partecipare timidamente alle varie discussioni :Prrr:, perchè non risistemi un pò i primi post eliminando le parti obsolete? :)

Una piccola riorganizzazione, e il thread riacquisterebbe la sua freschezza...:)

MD, infatti, pur se dal futuro incerto e con qualche piccola lacunetta quà e là, resta un gran bel programmino, assolutamente capace di rispondere anche alle pressioni più attuali (specie poi se si da enfasi al momento della 1° esecuzione)...

@ cloutz:
visto che tanto ti limiti a leggere e a partecipare timidamente alle varie discussioni :Prrr:, perchè non risistemi un pò i primi post eliminando le parti obsolete? :)

Una piccola riorganizzazione, e il thread riacquisterebbe la sua freschezza...:)

MD, infatti, pur se dal futuro incerto e con qualche piccola lacunetta quà e là, resta un gran bel programmino, assolutamente capace di rispondere anche alle pressioni più attuali (specie poi se si da enfasi al momento della 1° esecuzione)...

In realtà non vedo molte cose obsolete nei primi post (se non il fatto che non vi sia più una versione italiana, che comporterebbe il cambio delle immagini e dei termini, il logo diverso e togliere il nome di xiaolin da qualche parte) :D
L'avevo strutturato apposta x renderlo il più possibile "astratto", non riconducibile ad una specifica versione di MD, in modo da fare un minor lavoro di manutenzione, salvo l'area download per le nuove versioni..

Purtroppo MD resta un "gran bel programmino" con uno sviluppo, sempre ammesso che ci sia, lentissimo.. questo lo porterà nel cosiddetto dimenticatoio.

per parti obsolete intendo tutte quelle relative alla vecchia software house + inserire direttamente il "mio" link per il download visto che il link attuale che rimanda alla 360safe immagino consenta di scaricare direttamente l'ultima versione...

Insomma, una rinfrescatina anche se nulla di eclatante..:)

...da quello che ho capito leggendo un pò in giro è preferibile restare con la 2.7.1 che è perfettamente STABILE (la 2.7.2, invece, sembrerebbe crashare su certi OS se si tenta di accedere alle proprietà dei gruppi, ecc...)...

Allora rimango con la 2.7.1;) ,lo posso confermare anche io che è perfettamente stabile, non ho ancora notato nessun bug.
Devo anche dire di essere un po sorpreso da questo aggiornamento...credevo non ci fossero più aggiornamenti per questo software (dal futuro incerto)...infatti l'eseguibile di installazione lo tengo ancora salvato sul disco rigido esterno:p.

Allora rimango con la 2.7.1;) ,lo posso confermare anche io che è perfettamente stabile, non ho ancora notato nessun bug.
Devo anche dire di essere un po sorpreso da questo aggiornamento...credevo non ci fossero più aggiornamenti per questo software (dal futuro incerto)...infatti l'eseguibile di installazione lo tengo ancora salvato sul disco rigido esterno:p.

la 2.7.2 era stata rilasciata ma, come detto da nV, presentava alcuni bug. A me per esempio dava dopo qualche riavvio una BSOD.
Lo stesso Xiaolin consiglia di rimanere con la 2.7.1, almeno finchè non sistemano ;)

Aggiornamenti ce ne saranno pochi, ma credo saranno soprattutto di bugfix..

Saluti

Dopotutto anche se è un software dal futuro incerto credo che sia uno di quei moduli HIPS che non sia tanto facile da bypassare.
E' un programma molto valido, ma al discapito dell'usabilità, non alla portata di tutti e credo sia questa la causa principale del suo futuro incerto.
La maggior parte degli utenti vuole softwares poco impegnativi e di facile configurazione, non tutti hanno voglia di perdere tempo in configurazioni HIPS che richiedano un po di impegno da parte dell'utente [Che pensandoci bene il disturbo è solo all'inizio. Dopo che il programma ha appreso tutto disturba molto di meno, e se non installiamo nulla di nuovo in questo caso lo vedremo avvisare raramente].:)

nel primo post ho aggiornato le informazioni sulla versione free.. piano piano lo sistemo:p

Salve ragazzi ho un dubbio, a breve dovrei aggiornare Vista 32 bit a Seven 64 bit.
Quindi sapete mica se Malware Defender gira bene su Seven 64 bit o potrebbe avere qualche problema?
Mi sembra di aver letto da qualche parte nel forum che alcuni HIPS hanno problemi con i sistemi a 64 bit. Grazie :)

Salve ragazzi ho un dubbio, a breve dovrei aggiornare Vista 32 bit a Seven 64 bit.
Quindi sapete mica se Malware Defender gira bene su Seven 64 bit o potrebbe avere qualche problema?
Mi sembra di aver letto da qualche parte nel forum che alcuni HIPS hanno problemi con i sistemi a 64 bit. Grazie :)

Malware Defender non gira, e credo mai girerà, sui 64bit:(

Per ora sui 64 bit c'è:
- Comodo: hips, firewall e ha anche una sandbox (guida ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=2169274)).
- Online Armor: i 64bit non sono stati ancora rilasciati, sono ancora in fase beta (guida ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=1798515))
- PrivateFirewall: non è niente male e anche facile da usare (guida ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=2222790))
- Pc Tools: non male e abbastanza user friendly (guida ufficiale (http://www.hwupgrade.it/forum/showthread.php?t=2046365))

Secondo me con PrivateFirewall o PC Tools puoi trovarti molto bene ;)
Se devi cambiare sistema cmq ti consiglio di provarli di tua mano, e vedere con quale ti trovi meglio.. i pareri è bene ascoltarli, ma mai basarsi solo su quelli :D

Saluti

Grazie per le informazioni utili;).
Allora userò Comodo che conosco abbastanza bene perchè lo uso da tempo.
Attualmente uso Comodo ma solo firewall, ho il D+ disattivato perchè non mi funzionava a dovere sul mio Vista 32 bit, appunto per questo ho scelto Malware Defender che lo uso in sostituzione del Defense+.

Non vorrei andare in OT ma ho sentito anche parlare molto bene di DefenseWall, che se non sbaglio dovrebbe essere un firewall/HIPS + Sandbox, quindi sapresti mica dirmi se funziona con i 64 bit? Vorrei installarlo sul nuovo sistema. Ciao:)

Grazie per le informazioni utili;).
Allora userò Comodo che conosco abbastanza bene perchè lo uso da tempo.
Attualmente uso Comodo ma solo firewall, ho il D+ disattivato perchè non mi funzionava a dovere sul mio Vista 32 bit, appunto per questo ho scelto Malware Defender che lo uso in sostituzione del Defense+.

Non vorrei andare in OT ma ho sentito anche parlare molto bene di DefenseWall, che se non sbaglio dovrebbe essere un firewall/HIPS + Sandbox, quindi sapresti mica dirmi se funziona con i 64 bit? Vorrei installarlo sul nuovo sistema. Ciao:)

solo 32 bit;)

Grazie per le informazioni utili;).
Allora userò Comodo che conosco abbastanza bene perchè lo uso da tempo.
Attualmente uso Comodo ma solo firewall, ho il D+ disattivato perchè non mi funzionava a dovere sul mio Vista 32 bit, appunto per questo ho scelto Malware Defender che lo uso in sostituzione del Defense+.

Non vorrei andare in OT ma ho sentito anche parlare molto bene di DefenseWall, che se non sbaglio dovrebbe essere un firewall/HIPS + Sandbox, quindi sapresti mica dirmi se funziona con i 64 bit? Vorrei installarlo sul nuovo sistema. Ciao:)

DW funziona solo sui 32 bit.. ed in ogni caso lo catalogherei più come sandbox che come hips (dell'hips puro, infatti, non ha nulla). E per di più è a pagamento:p
Installando DW in realtà basta solo un antivirus, anche non in realtime, e sei a posto..

I nomi che ti ho fatto prima son tutti gratuiti!:D

OK grazie, proverò quelli che mi hai suggerito e vedrò quale tra questi mi funzionerà senza problemi sul sistema a 64 bit:p.

Peccato che DW non gira sui 64 bit, ho dato un'occhiata al sito ufficiale e ho visto che la versione è per 30 giorni di prova, ma se è un prodotto valido non sono mai soldi spesi male;). Fine OT
Ciao

dovrebbe essere stata rilasciata oggi la v2.7.2.0001 (http://www.wilderssecurity.com/showpost.php?p=1740795&postcount=563).


Da quello che ho capito leggendo su kafan, sono risolti i problemi segnalati qui (http://www.hwupgrade.it/forum/showpost.php?p=32827383&postcount=152) ed è segnalata anche su Wilders Security come "stabile/finale" (testimonianza (http://www.wilderssecurity.com/showpost.php?p=1740993&postcount=565)).

Il download è direttamente raggiungibile dal 1° post (per semplicità, cmq, lo riporto anche qui: http://dl.360safe.com/md_setup_en.exe).

E' probabilmente utile aspettare qualche altro report (max 1/2 gg) e poi, volendo, si può procedere alla sostituzione della "vecchia" 2.7.1.

Anche se allo stato manca un changelog ufficiale, la linea 2.7.2 dovrebbe cmq apportare solo migliorie "cosmetiche" rispetto alla 2.7.1...


PS: se ho la possibilità, guardo di installarla domani su 7 in VM cosi' da farvi avere un rapidissimo report...

Installata da pochi minuti su XP SP3 2.7.2.0001. Si nota subito:

1. Nuova interfaccia, pessima:Puke:

http://img64.imageshack.us/img64/9148/90271454.th.png (http://img64.imageshack.us/i/90271454.png/)

Disabilitabile, fortunatamente, tramite l'apposita funzione:

http://img413.imageshack.us/img413/7959/01b.th.png (http://img413.imageshack.us/i/01b.png/)

2. Tra i permessi delle applicazioni è cambiata un pò l'interfaccia per scegliere i permessi di ogni singola azione, ma poca roba:

http://img255.imageshack.us/img255/1749/36699195.th.png (http://img255.imageshack.us/i/36699195.png/)

3. Quando si vanno a modificare i permessi per le applicazioni si hanno solo i Macrogruppi: Application - File - Registry - Network

http://img808.imageshack.us/img808/1646/32199084.th.png (http://img808.imageshack.us/i/32199084.png/)

Ad esempio la scheda Application raggruppa le regole esistenti che riguardano i controlli del livello di applicazione (create new process, load dll, com interf, send message, control other processes and threads ecc..), e le voci sono separate per tipologia da una visione ad albero, cui manca però la funzione collapse/expand imho.


Per il resto non vedo, ad un primo sguardo, nessuna novità:D
Se han perso tutto sto tempo, rischiando di dare instabilità al programma, per implementare quella gui.. han fatto davvero una ca**ta! :asd:

Saluti!!

La conferma cmq del fatto che la 2.7.2.0001 è una versione stabile/finale viene direttamente da Xiaolin che è riapparso ufficialmente su Wilders dopo mesi di latitanza,

http://img46.imageshack.us/img46/5452/immagine1tt.jpg

PS @ cloutz: detto tra noi, fin tanto che non esce una eventuale 2.7.3 lascerei agli utenti la facoltà di scaricare a piacere una delle 2 versioni disponibili...

PS @ cloutz: detto tra noi, fin tanto che non esce una eventuale 2.7.3 lascerei agli utenti la facoltà di scaricare a piacere una delle 2 versioni disponibili...

concordo :D
Essendo un software di sicurezza, un cambiamento di sola interfaccia non lo reputo indispensabile, anzi aumenta statisticamente la probabilità di eventuali bug (riferimento evidente proprio il passaggio da 2.7.1 a 2.7.2 e i relativi problemi)
Ergo finchè non verrà aggiunta qualche modifica significativa non la consiglio esplicitamente, io la uso per restare aggiornato, non per altro..poi ognuno faccia ciò che vuole. :p

Saluti!

Nuova versione di MD: 2.7.3.0001

What's new?
- Added protection against reading physical disk.
- Added registry rules.
- Minor improvements and fixes.

Link post originale
(http://www.wilderssecurity.com/showpost.php?p=1833729&postcount=737)Link download - English (http://dl.360safe.com/md_setup_en.exe) (unica lingua disponibile)


----------------

Note:
-Ricordo che MD è free e non compatibile con i 64bit.
-Non uso più MD, e non so quanti lo usino ancora.. consiglio a chiunque voglia provare questa nuova versione di trattarla come una beta

Sono rimasto sorpreso che c'è una nuova versione di MD, credevo che non fosse più sviluppato :), peccato che ancora non ci sia il supporto per i 64 bit...io ho abbandonato MD appunto perchè ora uso un SO a 64 bit, anche perchè il computer è condiviso con altre persone quindi non sanno come gestire questo software al meglio e potrebbero recare danni rispondendo positivamente ad un popup di avviso:rolleyes:...

E' un programma come sappiamo abbastanza impegnativo ma sono comunque ancora del parere che è una delle migliori protezioni per Windows, se non la migliore, ma sappiamo che gli HIPS di questa portata non hanno mai avuto successo tra gli utenti fin dall'inizio...

C'è da dire però che imparando ad usare bene MD i malwares non passeranno di certo inosservati, quindi sarà impossibile beccarsi un'infezione :D

Peccato che questo splendido software sia già destinato a cadere nel dimenticatoio e diiventare un "abandonware" (questo è uno dei tanti strani termini informatici che stanno ad indicare softwares non più sviluppati o usati). Ciao

Sono rimasto sorpreso che c'è una nuova versione di MD, credevo che non fosse più sviluppato :), peccato che ancora non ci sia il supporto per i 64 bit...io ho abbandonato MD appunto perchè ora uso un SO a 64 bit, anche perchè il computer è condiviso con altre persone quindi non sanno come gestire questo software al meglio e potrebbero recare danni rispondendo positivamente ad un popup di avviso:rolleyes:...

E' un programma come sappiamo abbastanza impegnativo ma sono comunque ancora del parere che è una delle migliori protezioni per Windows, se non la migliore, ma sappiamo che gli HIPS di questa portata non hanno mai avuto successo tra gli utenti fin dall'inizio...

C'è da dire però che imparando ad usare bene MD i malwares non passeranno di certo inosservati, quindi sarà impossibile beccarsi un'infezione :D

Peccato che questo splendido software sia già destinato a cadere nel dimenticatoio e diiventare un "abandonware" (questo è uno dei tanti strani termini informatici che stanno ad indicare softwares non più sviluppati o usati). Ciao

Ho provato quasi tutti gli hips e firewall del passato e del presente, tutte le configurazioni possibili (a memoria ho iniziato da OnlineArmor, poi Comodo sin dal passaggio dalla versione 2 alla 3.0 beta che introduceva l'hips, EQSecure, System Safety Monitor + Sygate, Jetico, Outpost, ProSecurity poi RealTime Defender, PC Tools)

E concordo, Malware Defender è forse uno dei software di sicurezza migliori che abbia mai visto su Windows 32bit.
Senza dubbio il miglior hips.

Quando son passato ai 64bit avevo i brividi solo ad installare D+ o OA, o PC Tools.. li conosco, e non c'è paragone.
Un qualunque hips in commercio non avrebbe retto il paragone, ho preferito usare tipologie di protezione totalmente diverse, altrimenti il confronto sarebbe stato istintivo (e si capisce la ovvia sensazione di insicurezza provocata).

Può sembrare un ragionamento presuntuoso e di parte (nostalgico?) ma alla fine della fiera è quello che penso del mondo degli hips.

Un saluto a tutti

Non è un ragionamento presuntuoso ma è la verità, qui non si sta parlando a caso ma sta parlando gente che ha usato per un periodo di tempo questo software e quindi ne conosce pregi e difetti...diciamolo dai che è il miglior modulo HIPS, una roccia, l'unico difetto come sappiamo è l'usabilità e la non facilità d'uso per la maggior parte delle utenze (che poi alla fine non è difficile da capire, basta un po di impegno, nient'altro :) ) quindi non è alla portata di tutti (causa del suo fallimento).

Quando usavo MD su Vista 32 bit non avevo più il timore di beccarmi un malware, potevo visitare la peggiore feccia del Web senza preoccuparmi di beccarmi infezioni, mi sentivo dentro ad una botte non di ferro ma di acciaio :p Ciao

L I N K (http://www.wilderssecurity.com/showpost.php?p=1840837&postcount=762)

What's new?
- Fixed incompatible issue with other applications.
- Fixed a bug that the "Autostarts Locations" group didn't work in some cases.
- Fixed a bug that the protections didn't restore after pausing protections and restarting Windows.
- Fixed a bug that the CPU usage of process or thread was not correct in multi-processor system.
- Fixed a bug when scanning user mode code hooks.

ho installato da poco questo programma.il pc è pulito
con prosecurity mi pare che si poteva dirgli : il pc è pulito,permetti tutto quello che c'è.

con malware defender non trovo quest'opzione e dovrei stare perennemente in learning vanificando la sicurezza

esiste un opzione simile?

ho installato da poco questo programma.il pc è pulito
con prosecurity mi pare che si poteva dirgli : il pc è pulito,permetti tutto quello che c'è.

con malware defender non trovo quest'opzione e dovrei stare perennemente in learning vanificando la sicurezza

esiste un opzione simile?

ciao!
non uso più MalwareDefender da tempo, comunque quello che dici tu con questo software non si può fare..

tendenzialmente quelle che dici tu sono modalità che hanno pro e contro negli hips puri: migliorano notevolmente la vita agli utenti, ma bisognerebbe gestire con molta attenzione queste "whitelist", magari usando firme digitali di software attendibili (o di Microsoft), che sono comunque "falsificabili" o rubabili.

comunque tornando a noi, non si può fare :D
puoi ottenere lo stesso risultato tenendo in learning mode per qualche giorno il tuo pc (e intanto apri tutti i tuoi programmi), in modo che possa imparare le regole principali.
poi abiliti la modalità normale e dovresti essere disturbato solo per azioni che lui non ha imparato, quindi per azioni a lui "nuove"!

ovviamente, occhio a non introdurre malware mentre è in learning mode, altrimenti saresti vulnerabile.
e i primi riavvii falli sempre in learning mode!
ti consiglio caldamente di leggere la guida in prima pagina prima di iniziare ad usarlo!


Ciao

Segnalo, a beneficio dei pochi/pochissimi utilizzatori (me compreso :D) di questo HIPS, il rilascio di una nuova versione. Anche se i 64 bit continuano a non essere supportati, almeno, dopo mesi di letargo, qualcosa torna a muoversi:

Link download:
http://dl.360safe.com/md_setup_en.exe
(velocità download degna di un 56k :D)

Changelog:
Kernel block access to the COM interface.
Kernel block access services manager.
Intercept the process added to the JOB object.
Intercepted by registering hotkeys to record keystrokes.
Parameters to solve SSDT HOOK improper handling can cause blue screen problem.
Notes displays an alert window to window above the rules.
Solve the performance problems resulting from a large number of logs, a second log does not repeat the same show.
Automatically merge contents of the log window and displays the count of the same log.
Within two seconds after the bubble does not prompt display shows the new bubble.
Fix some small bug.

Segnalo, a beneficio dei pochi/pochissimi utilizzatori (me compreso :D) di questo HIPS, il rilascio di una nuova versione. Anche se i 64 bit continuano a non essere supportati, almeno, dopo mesi di letargo, qualcosa torna a muoversi:

Link download:
http://dl.360safe.com/md_setup_en.exe
(velocità download degna di un 56k :D)

Changelog:
Kernel block access to the COM interface.
Kernel block access services manager.
Intercept the process added to the JOB object.
Intercepted by registering hotkeys to record keystrokes.
Parameters to solve SSDT HOOK improper handling can cause blue screen problem.
Notes displays an alert window to window above the rules.
Solve the performance problems resulting from a large number of logs, a second log does not repeat the same show.
Automatically merge contents of the log window and displays the count of the same log.
Within two seconds after the bubble does not prompt display shows the new bubble.
Fix some small bug.
Grazie della segnalazione, purtroppo il problema della compatibilità 64bit è una costante di questi tipi di software :cry:

Segnalo, a beneficio dei pochi/pochissimi utilizzatori (me compreso :D) di questo HIPS...

fossi in te sarei orgoglioso di questa unicità...
Nella botte piccola, d'altronde, "ci stà il vino bono"...

Aggiornato il link al download anche sul thread "prevenire :blah: :blah: " quindi grazie al quadrato per la segnalazione...

fossi in te sarei orgoglioso di questa unicità...
Nella botte piccola, d'altronde, "ci stà il vino bono"...

La mia faccina era per sottolineare appunto quel sentirsi 'quasi unico' ad utilizzare un software del genere ed allo stesso tempo per esprimere rammarico per il fatto che un eccellente prodotto (tra l'altro divenuto gratuito) come MD non abbia il seguito che merita (lo so, sto riprendendo la trita e ritrita questione riguardante gli HIPS).

A dimostrazione dell'orgoglio nell'usare un HIPS e di essere affetto dalla 'sindrome del pop-up' a tutti i costi :D, confesso, di utilizzare, insieme a MD, ancora il vecchissimo RTD ;) (anche qui il vino è tuttora bono e non è ancora aceto):)


Aggiornato il link al download anche sul thread "prevenire :blah: :blah: " quindi grazie al quadrato per la segnalazione...

Di nulla figurati, è sempre un piacere evidenziare la sopravvivenza di un progetto ;)

...confesso, di utilizzare, insieme a MD, ancora il vecchissimo RTD ;) (anche qui il vino è tuttora bono e non è ancora aceto):)...

ALT!:

MD + RTD....sul solito PC?

Dimmi di no, ti prego...:sperem:



Guarda, lo direi anche se fino ad oggi non hai mai riscontrato il minimo problema...


Non ci Tarnakizziamo* almeno noi, dai...:)




*dicesi di fenomeno paranoico incontrollabile che spinge ad installare n-mila software di difesa in real time, vedi anche la tray bar di questo tizio, tale tarnak appunto:
http://www.wilderssecurity.com/showpost.php?p=1994140&postcount=3926

Mi spiace deluderti, ti dico davvero di si :sofico:
Dopo 3 anni di utilizzo, posso affermare che MD e RTD convivono felicemente senza alcuna incompatibilità (niente bsod, nè 'la memoria poteva essere written' etc.) e, soprattutto, non ho mai beccato malware, virus, rootkit etc. (e ci mancherebbe...dirai :D)

Senza voler entrare nei dettagli di questa scelta che può sembrare eccessiva, ci sono alcuni aspetti per i quali preferisco RTD, come, ad esempio, un controllo in creazione/scrittura/lettura dei file meglio strutturato rispetto a MD e con la possibilità (davvero impagabile) di poter consentire/negare una determinata azione per un tot. tempo*.
Poi, nel caso di overdose da pop-up :), esiste sempre la possibilità di abilitare l'installing mode oppure di trattare un'applicazione come trust.

In compenso, a riprova del fatto che non ho l'aspirazione a Tarnakizzarmi :D (avevo già visto la sua sterminata traybar da te segnalata tempo fa), aggiungo di aver disinstallato l'antivirus in realtime (Avira) già da alcuni mesi e di aver rinunciato a Malwarebytes' Pro e AppGuard pur avendone una regolare licenza, mentre resiste/rà Sbie e, mio malgrado, Comodo (solo il firewall, te l'assicuro ;)).

Meriterò l'assoluzione? :ciapet:


* Almeno avrò suscitato in te bei ricordi o sbaglio?

* Almeno avrò suscitato in te bei ricordi o sbaglio?
mooolti ricordi...:(
...Meriterò l'assoluzione? :ciapet:
fossi io il prete (e ci vorrebbe proprio anche quella...) ripasseresti dal via senza neppure l'odore di un'assoluzione...





Oimmei* i "miei ragazzi" come mi stuprano l'OS... :cry:


* O mio Dio,...

...fossi io il prete (e ci vorrebbe proprio anche quella...) ripasseresti dal via senza neppure l'odore di un'assoluzione...

Azz che intransigenza :eek:
nemmeno con la rinuncia all'antivirus in realtime si riesce ad ottenerla? :D


Oimmei* i "miei ragazzi" come mi stuprano l'OS... :cry:

Tranquillo "maestro", nessuno stupro del SO, anzi, un utilizzo ancor più consapevole ;)