Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Guida all'uso dei Programmi (https://www.hwupgrade.it/forum/forumdisplay.php?f=122)
-   -   Prevenire è meglio che curare :) Software HIPS (https://www.hwupgrade.it/forum/showthread.php?t=1064733)


nV 25 15-11-2005 19:39

Prevenire è meglio che curare :) Software HIPS
 
Il contenuto di questo post è rilasciato con licenza Creative Commons




NOTE:

27/6/10: visto che il thread non viene chiuso, ho deciso di rivedere la struttura del post iniziale al fine di dargli un taglio più decoroso...

29/7/10: rivisti leggermente i periodi nel tentativo di rendere la lettura più scorrevole...
Resta ferma cmq la mancanza di tempo che mi impedisce in particolare di stendere 2 righe sul Sandbox di CIS4.

7/8/10: apportate ulteriori correzioni/aggiunte...

23/11/11: inserito il collegamento alla guida di DefenseWall 3...

In realtà, il post potrebbe essere ulteriormente arricchito da diverse altre considerazioni ma ritengo sia inutile spendere altre energie in un discorso che interessa realmente a pochi...


-------------------------------------------------------------------------

La necessità di ricorrere a questa nuova classe di software di sicurezza derviva fondamentalmente dall'inadeguatezza degli Antivirus tradizionali a contrastare con le loro tecnologie i malwares più sofisticati e, in generale, i cosi' detti "0 days", virus talmente recenti per i quali cioè non si dispone ancora delle apposite firme di riconoscimento...


Le strategie che possono essere messe in campo per cercare di arginare queste minacce, dunque, sono fondamentalmente di due tipi:

1) ricorrere ad un Account limitato

2) affiancare una nuova linea di difesa a quelle tradizionali cosi' da costituire un sistema di protezione articolato su più livelli contro cui l'infezione dovrà scontrarsi prima di riuscire ad operare pienamente.

Gli HIPS nelle loro diverse incarnazioni costituiscono proprio questa nuova linea di difesa...

Data la profondità cui si spingono questi strumenti per filtrare i comportamenti delle diverse applicazioni (realizzata solitamente attraverso specifici driver che operano particolari alterazioni al modo in cui è implementato il meccanismo delle "chiamate di sistema"), è preferibile installare 1 solo HIPS per macchina:
una "catena di hook" sulla solita API, infatti, può mettere potenzialmente in discussione l'intero modello di difesa generando instabilità (BSOD) o interferenze tra una soluzione e l'altra...


Due, fondamentalmente, sono i modelli di riferimento cui è possibile ricondurre l'intero panorama di queste soluzioni:
  1. gli HIPS "puri"
  2. i Sandbox

Da questi, poi, prendono vita "incarnazioni ibride", come i Behaviour Blocker [BB], che inseriscono una sorta di "intelligenza artificiale" per tentare di interpretare le azioni operate dai programmi messi sotto osservazione.

Se gli HIPS puri rimettono interamente nelle mani dell'utente qualsiasi decisione circa la bontà o meno di un particolare comportamento generando di conseguenza una notevole quantità di avvisi, i BB, sulla base delle regole di AI precedentemente costituite dai loro programmatori, mettono in allarme l'utente solo quando si verifica l'incontro tra una regola precedentemente costituita e una precisa serie di azioni tenuta dal programma monitorato.

I Sandbox, invece, operando su basi diametralmente opposte, hanno come riflesso principale il fatto di liberare l'utente dal dover prendere una qualsiasi decisione:
il loro motore, in pratica, provvede a scartare automaticamente le azioni che, in fase di progettazione, sono state identificate come anomale...

Dall'analisi di massima dei modelli di cui sopra emerge dunque chiaramente un elemento:
ciascuna implementazione, cioè, produce un preciso grado di invasività, massimo nel caso degli HIPS puri, modesto nel caso dei BB e minimo nel caso dei Sandbox...

Se il modello, allora, si rivolge principalmente ad un'utenza più scaltra capace di gestire numerosi popup, il è disegnato per un'utenza più eterogenea dato che l'utente non viene praticamente messo di fronte a bivi...


I 2 modelli, peraltro, oltre che "nell'uso quotidiano", si differenziano anche nella fase di "messa in sicurezza" della macchina:
l'HIPS puro, infatti, richiede un certo periodo di apprendimento (Learning Mode..) perchè possa operare efficacemente segnalando solo operazioni anomale, il Sandbox invece è "pronto all'uso" e non richiede solitamente l'adozione di particolari strategie per poter esprimere pienamente le proprie potenzialità...

Sono insomma 2 filosofie diverse per cercare di arrivare al medesimo obiettivo:
mettere il più possibile in sicurezza il Pc da operazioni comunemente impiegate nei malwares...


Gli HIPS di 1° tipo: i puri.

Dopo un periodo di forte diffusione tra gli appassionati caratterizzato dalla presenza sul mercato di diverse alternative, questo modello di difesa vive oggi un periodo di oggettiva difficoltà.

La complessità di queste soluzioni nel momento della messa in sicurezza della macchina e nella gestione del quotidiano unita ad una politica di prezzi evidentemente non vincente (licenza vitalizia...), ha rappresentato un forte ostacolo alla diffusione su larga scala di questi prodotti facendo vacillare peraltro la capacità di sopravvivenza delle rispettive software house sempre più strette, oltretutto, nella morsa di grandi gruppi di interesse che hanno proposto soluzioni più o meno equivalenti gratuitamente...

L'unico prodotto degno di nota di questa categoria è sicuramente Malware Defender.
Sebbene a seguito di alcune recenti vicende il suo sviluppo futuro sia alquanto nebuloso, è un software molto robusto capace di garantire un eccellente livello di protezione grazie alla copertura di un largo ventaglio di azioni potenzialmente pericolose e, per semplicità, riassunti nello schema sottostante.


(In realtà, oltre al controllo sui permessi di cui sopra, MD è in grado di filtrare anche una particolare forma di intercomunicazione tra processi [NamedPipes] nonchè operazioni su file/cartelle/registro.
La sua difesa, infine, si completa di un basic network filtering firewall...)


Il funzionamento di questi strumenti, dunque, ruota attorno alla costituzione di un apposito insieme di regole (RuleSet) che definisce il grado di libertà di movimento attribuito a ciascun processo.

Se a compiere una particolare azione è proprio un processo del RuleSet e questa rientra nel grado di libertà precedentemente definito (e formatosi durante la fase di apprendimento...), l'azione in questione verrà automaticamente autorizzata altrimenti si produce una situazione di stallo (PopUp) che informa sul tentativo operato dal processo stesso di acquisire un ulteriore permesso...

Se invece a compiere una generica azione è una applicazione estranea al RuleSet, qualsiasi richiesta di permessi che discende la prima esecuzione è rimessa nelle mani dell'utente chiamato di volta in volta a decidere cosa accordare e cosa scartare...

(La foto seguente dovrebbe aiutare a capire proprio il concetto di "grado di libertà" assegnato per es. ad un particolare processo di sistema, in questo caso explorer.exe.



Fin tanto che ad es. explorer.exe non tenta di manipolare lo spazio di memoria di altri processi [rappresentato dalle voci "access data of other processes/control other processes and threads"], il programma è trasparente, non produce cioè situazioni di allarme con i suoi popup.

La regola generica che governa la richiesta di permessi operata da applicazioni estranee al Ruleset è invece rappresentata nell'immagine sottostante).





La capacità di interpretare gli avvisi unita alla creazione di un valido ruleset che non assegni permessi inutili a processi che potrebbero girare correttamente anche con meno diritti, relega dunque queste soluzioni ad un'utenza più esperta.

Una serie di funzionalità avanzate, poi (come la possibilità di creare regole a partire dal log o dai popup, di controllare anche durante un processo di installazione certe operazioni cosi' da poterle eventualmente scartare, ecc...), rendono questo software davvero unico.

Anche se esula dall'obiettivo di questo thread proporre dettagli maggiori sull'HIPS in questione, mi piace cmq far vedere almeno la pulizia dei suoi popup capaci di fotografare, con estrema eleganza e ricchezza di particolari, il momento dell'intercettazione di un'operazione tra quelle ovviamente contemplate dall'engine del programma:



Download v.2.8.0.0001: http://dl.360safe.com/md_setup_en.exe
Thread ufficiale: L I N K!.




Uno sguardo particolare agli HIPS di 2° tipo: i Sandbox.

Il riflesso comune di questi strumenti, come abbiamo visto, è l'automatizzazione del processo di filtraggio di determinati "comportamenti" cosi' da liberare l'utente da qualsiasi scelta tipica invece degli HIPS tradizionali...
La figura in oggetto, infatti, rappresenta un meccanismo di sicurezza teso a separare, con apposite politiche di tipo allow/deny, lo spazio nel quale operano i diversi programmi assegnando "di fabbrica" a quelli posti sotto la sua supervisione restrizioni tali che, limitandone l'operatività, finiscono per contenerne anche il rischio...

Il Sandbox, dunque, è la riduzione di diritti attribuiti a determinati processi in base a particolari politiche e non va dunque confuso col concetto di "contenitore virtuale", elemento che può anche non essere presente per configurare la fattispecie in oggetto...

Le soluzioni più famose di questa categoria sono fondamentalmente 3,
Sandboxie, GesWall, DefenseWall,
ciascuno, come è facile immaginare, con le proprie peculiarità.

Il (Sandboxie) è quello che si avvicina di più ad un virtualizzatore puro facendo leva sulla presenza di un contenitore virtuale entro cui vengono confinate le modifiche al file system e al registro.



Qualsiasi file creato da un processo sandboxato, dunque, è posto all'interno di questa zona speciale dell'HD e precisamente nella sandbox folder che corrisponde alla cartella reale nella quale sarebbe stato copiato in assenza di virtualizzazione.

La chiusura del programma sandboxato, inoltre, consente di avere ragione di qualsiasi "detrito" posto all'interno del contenitore (Sandbox) a meno che l'utente non disponga espressamente il contrario.

Nonostante la presenza del virtual container che potrebbe indurre a pensare di trovarsi di fronte ad un virtualizzatore puro, la natura policy based Sandbox di questo prodotto emerge distintamente nell'osservazione dell'immagine sotto che mostra un insieme di azioni impossibili da virtualizzare (in particolare, la 1° e la 2° opzione...) se non con soluzioni dedicate (Virtual Machine),



Di fronte al tentativo di un programma sandboxato di caricare un kernel mode driver, infatti, Sandboxie mostra un popup che informa circa la castrazione di quest'operazione, vedi SBIE2103.


Il (GesWall), è un mix tra Sandboxie e DefenseWall.

Al policy based Sandbox che si traduce nello scartare automaticamente determinate operazioni, GW unisce infatti una sorta di virtualizzazione su file/chiavi di registro chiamata reindirizzamento (REDIRECT):
se un'applicazione isolata tenta di sovrascrivere un file protetto, GesWall predispone un'apposita zona (\geswall\redirect folder) all'interno della quale COPIA il file stesso cosi' che l'applicazione che ha richiesto di manipolare quel file possa portare a termine la sua operazione.




La copia, infine, viene eliminata dal contenitore virtuale nel momento in cui l'applicazione isolata viene chiusa.

Quello che è essenziale rimarcare, dunque, è il fatto che col gioco del REDIRECT si riesce ad ingannare l'applicazione isolata facendogli credere di essere riuscita nel suo intento.
(L'inganno è osservabile controllando anche l'immagine sotto che mostra nello specifico l'ipotesi del reindirizzamento operato sul registro di sistema.
A dispetto infatti del report del simulatore che sottolinea erroneamente come il test sia fallito [modification successful], il popup di GesWall informa che in realtà è stato operato un reindirizzamento su chiavi "fake" senza intaccare dunque il sistema reale.
)



Anche nel caso di GesWall la natura policy based Sandbox emerge chiaramente dall'immagine che segue che mostra distintamente un'azione di blocco su una risorsa di sistema (directory spool\prtprocs)...



[L'intero sviluppo del tentativo di infezione (in questo caso, un sample del famigerato rootkit della famiglia TDL) è ricavabile dall'analisi del Log].




A differenziare peraltro GW dalle altre due soluzioni concorrenti contribuisce sicuramente anche il discorso legato ai differenti livelli di sicurezza ammessi da questo software.

Mentre DefenseWall, come Sandboxie, ammette 2 sole politiche per trattare applicazioni/processi (trusted/untrusted per DW, Sandboxato/non sandboxato per Sandboxie), GesWall offre la possibilità di scegliere tra 3 differenti livelli di sicurezza modificando di conseguenza il proprio comportamento in accordo con la policy selezionata.




In GesWall, dunque, l'isolamento può essere
  1. limitato alle sole Jailed Application (o applicazioni per le quali non sono definite particolari politiche di default e che, di conseguenza, possono accedere solo ad un set predefinito di risorse)
  2. esteso alle applicazioni conosciute che, come tali, dispongono di un apposito ventaglio di regole...
  3. automatico senza la produzione di alcun popup...

Poichè è adottata di default la policy n°2, viene mostrato un popup ogni qual volta è avviata un'applicazione che rientra nel database di applicazioni isolabili...




DefenseWall, infine, si posiziona nell'universo di questi strumenti di protezione come puro policy based Sandbox.

(Il suo sviluppatore, infatti, definisce cosi' il proprio software:
"DefenseWall is a pure policy-based sanbox (its registry virtualization part is so little you may forget about it).
It's working on driver-lever pre-defined security ruleset (allow-deny) + new resource protection section (granular resources access to protect your sensitive information from being hijacked).
Its rollback feature is limited (it can't rollback files modified) and, mostly, made in order to allow advanced users manually remove malware from hard disks."
)


Facendo in pratica dell'isolamento perseguito attraverso un impiego massiccio di politiche di tipo allow/deny il proprio schema di protezione, DefenseWall si assimila idealmente ad un account limitato che impiega funzionalità di HIPS per contenere i rischi provenienti dai processi più comuni che interagiscono con internet.

Il suo limitatissimo ricorso allo strumento della virtualizzazione è infatti osservabile anche nella foto che segue che mostra chiaramente tanto la castrazione del tentativo di scrittura in una precisa locazione protetta del registro di sistema nonchè un'analoga operazione condotta sul file system...





L'idea di fondo di questo programma prevede dunque che le applicazioni e i processi che interagiscono con internet (assimilabili a veri e propri vettori di infezione o threat gateways) debbano essere isolati facendoli girare in un ambiente "virtuale", separato (in termini di permessi...) dal resto dei processi.

(Dall'home page, infatti, si si può leggere quanto segue:
DefenseWall HIPS divides all applications into 'Trusted' and 'Untrusted' groups.
Untrusted applications are launched with limited rights to modification of critical system parameters, and only in the virtual zone that is specially allocated for them, thus separating them from trusted applications.
In the case of penetration by malicious software via one of the untrusted applications (web browsers etc), it cannot harm your system and may be closed with just one click!
)


Il meccanismo di difesa implementato in DefenseWall (isolamento...) si completa poi da un semplice principio che prevede l'ereditarietà degli attributi sia per i file potenzialmente pericolosi creati da processi untrusted che per eventuali processi secondari che dovessero nascere dai primi...

In qualità di Sandbox puro che non vive attorno al concetto del virtual container, DefenseWall non si preoccupa di dover riservare porzioni speciali dell'HD entro le quali confinare operazioni legate al file system/registro ma lascia che queste risorse si posizionino nella loro locazione naturale dopo averle opportunamente disarmate assegnandogli uno status particolare (untrusted).

Pur non contando cmq sul contenitore virtuale, DefenseWall è in grado di tener traccia di trutti i "detriti" risultanti da una installazione untrusted per consentirne la rimozione in un qualsiasi momento attraverso l'uso dell'apposita funzione di RollBack assimilabile idealmente ad una sorta di macchina del tempo...
(Prendendo infatti come esempio l'immagine sottostante, si osserva come, selezionando una qualsiasi voce [la n°1..], si riesce ad aver ragione di tutti gli eventi prototti successivamente all'evento selezionato [e evidenziati in colore blu])...




A difesa del mantenimento dello status di file/cartelle è stata peraltro sviluppata una tecnologia che porta il nome di Total untrusted files movement control:
grazie a questa viene coperta l'ipotesi di operazioni di movimento ( come taglia, copia, incolla..) compiute da processi trusted (es, explorer..) sui files in oggetto.

Quest'elemento, che può sembrare marginale o scontato, differenzia peraltro DW da GesWall visto che quest'ultimo dimentica lo status originario di un file trasformandone gli attributi in trusted! nel momento in cui venga variata la locazione del file stesso in conseguenza proprio di un operazione di movimento...

Per tutelare dati e informazioni sensibili DefenseWall predispone poi la completa separazione tra processi untrusted operata mediante un database precostituito di risorse protette relative ad alcune applicazioni e ai loro elementi vitali (Resource Protections).
L'effetto di questa funzionalità è quello di permettere al programma di castrare qualsiasi tentativo di comunicazione tra processi isolati che abbia come obiettivo proprio la condivisione e l'uso di informazioni delicate...

(La lista, personalizzabile naturalmente a piacere dall'utente finale, comprende i seguenti processi:

)

GUIDA DefenseWall 3: USO QUOTIDIANO del programma...
...e uno sguardo al suo "dietro le quinte"...

Esempio di installazione untrusted che, a causa delle restrizioni imposte dal Sandbox, fa si che il programma NON parta correttamente: 1,2,3,4, ecc...

Esempio di installazione untrusted che, pur con le restrizioni del Sandbox, non impedisce al programma di funzionare correttamente: 1.


Principali differenze tra Sandboxie & DefenseWall.

Sandboxie, in quanto soluzione che si avvicina di più al virtualizzatore puro, ruota attorno al concetto del contenitore virtuale, un ambiente fittizio (o, meglio, una zona speciale dell'HD..) totalmente scorrelato dal sistema reale nel quale vengono confinate tutti le operazioni relative al file system (file scaricati,...) e al registro.
Il recinto predisposto da Sandboxie, dunque, risulterà inaccessibile a meno che non si rimuovano di proposito gli elementi in esso contenuti.
La chiusura del programma sandboxato, inoltre, comporta la rimozione automatica di tutte le tracce contenute nel contenitore virtuale fatto salvo il contenuto di determinate locazioni per le quali è offerta la possibilità di un recovery nella stessa posizione nel sistema reale.

DefenseWall, invece, come Sandbox puro, non riserva zone speciali dell'HD alla costituzione del contenitore virtuale ma lascia che i file si posizionino nella loro locazione naturale dopo averli opportunamente disarmati assegnandogli lo status untrusted (e a patto che, cmq, la locazione naturale non coincida con particolari zone per le quali è espressamente prevista un'azione di blocco, come ad es. System32\drivers).




Non è peraltro solo la presenza o meno dell'elemento "contenitore virtuale" a differenziare le due figure di Sandbox:
DefenseWall, infatti, mediante il ricorso ad un'apposita lista precostituita di programmi untrusted, provvede ad isolare in via automatica tutte le applicazioni che, interfacciandosi con internet, costituiscono un possibile vettore di infezione.
In DefenseWall, dunque, un threat gateway è sempre isolato a meno che l'utente stesso non disponga diversamente.

In Sandboxie, invece, è l'utente che di volta in volta decide cosa isolare da cosa escludere dalle restrizioni del Sandbox a meno di non disporre della versione a pagamento che prevede espressamente la possibilità di forzare un programma a partire sandboxato, operazione cmq non "trasparente" come in DefenseWall (di default, infatti, il Sandbox è pronto all'uso..) visto che richiede una precisa riconfigurazione dei settaggi.

La possibilità di poter intervenire direttamente sulla personalizzazione dei settaggi, pertanto, potrebbe indurre un certo tipo di utenza a considerare maggiormente Sandboxie in luogo di DefenseWall che, come si è visto, garantisce invece una sorta di uniformità del grado di protezione a prescindere dal livello di esperienza dell'utenza...


(Un'idea sui programmi considerati automaticamente da DefenseWall come potenziali veicoli di infezione è ricavabile dalla scheda che segue:



E' poi direttamente il motore di DW ad esaminare al 1° riavvio il contenuto dell'HD alla ricerca di quelli che sono i threat gatewways effettivamente installati in locale senza dover appesantire inutilmente la lista di elementi untrusted da voci di fatto non presenti.

L'immagine sotto, pertanto, mostra proprio il caso di un Computer nel quale siano presenti solo una piccola parte di elementi dell'intera untrusted list...

).


L'ultima considerazione è legata infine ad un vecchio adagio, e cioè perchè si raccomanda a chi usa DefenseWall (o GesWall..) di usare un Antivirus tradizionale quando invece la solita raccomandazione non è cosi' pressante per l'utente che usa Sandboxie...

Bè, la risposta è legata essenzialmente al concetto di VIRTUAL CONTAINER:
se la chiusura del processo sandboxato consente di aver ragione di qualsiasi modifica intervenuta al file system/registro mediante la cancellazione del contenuto del contenitore virtuale (caso di Sandboxie), la stessa cosa non vale nè per DefenseWall nè per GesWall.
I file, infatti, in accordo con l'architettura di questi programmi, vengono copiati nelle rispettive locazioni naturali dell'HD se pur in stato *D I S A R M A T O* (=innocuo).

E li' possono rimanere fin tanto che non si intervenga manualmente sulla scheda di RollBack (caso di DefenseWall).

Ecco allora che se un utente non ha un sufficiente livello di esperienza per procedere con la rimozione manuale dei detriti via Rollback stesso, può delegare il compito della pulizia all'Antivirus senza preoccuparsi cmq di QUANDO avverrà il riconoscimento tramite lo strumento delle firme:
i file, nel frattempo, restano come C O N G E L A T I, e quindi incapaci di produrre alcun danno reale alla macchina.


(E' utile, probabilmente, sottolineare di nuovo un concetto:
quello che vede cioè un MALWARE I N A T T I V O! come essenzialmente INOFFENSIVO!
Allo scopo, dunque, ricorro ad un passaggio tratto dall'home page di GesWall:

"File presence doesn't flag a problem yet. There are security products that prevents creating files, but GeSWall designed to work in other way.
Instead of blocking file creation (no matter what destination: system32, temp, etc. ) GeSWall tracks out files created by isolated applications.
Assume you have somehow received that trojan through the isolated browser. GeSWall will not prevent the file to be written in system32.
However, on the trojan start GeSWall will isolate it and prevent a damage posed by this trojan: no trusted file can be modified or deleted, no confidential data leaked.
So basically the trojan is locked within GeSWall's isolation layer and cannot do a harm.
Additionally, GeSWall prevents subsequent auto-runs (when it is started without your desire on some event: every boot, logon, etc.) of this trojan. It means that trojan will not be installed in the system and cannot "re-started" later.
GeSWall use this "tracking" approach in order to be as non-intrusive as possible [...]
In that scenario you would need an Antivirues in order to clean malware files from your system, when a vendor becoming aware of it.
But, again, just presence of malware files on your disk does not mean that you are infected by the malware.
"
)

-------------------------------------------------------

Andando comunque più a fondo, emerge quello che è un paradosso che sembra contrastare con quanto affermato poc'anzi, e cioè "il paradosso Sandboxie" e la rivalutazione degli strumenti a lista nera (Antivirus).

Se da un lato è vero che l'uso di un AV potrebbe risultare più pressante per l'utente inesperto di DefenseWall per i motivi che si sono elencati, dall'altro lato è altrettanto vero che questi residui sarebbero comunque inoffensivi per il discorso legato all'ereditarietà degli attributi...

Cosa, invece, se l'utente inesperto di Sandboxie decidesse di percorrere la strada del salvataggio di un file presente nel Sandbox ritenendolo (incautamente..) inoffensivo? (si pensi ad es. ad un file pdf, ecc..)
Il file, infatti, uscendo dal Sandbox si troverebbe libero da qualsiasi restrizione manifestando pertanto tutti i suoi effetti nocivi...

Paradossalmente, allora, ci potremmo trovare di fronte ad una situazione diametralmente opposta rispetto a quanto tracciato visto che, con il ribaltamento dei ruoli, sarebbe stavolta l'utente intermedio di Sandboxie ad avere più bisogno di uno strumento di protezione basato su firme...


Non ultimo, resta da considerare un ulteriore elemento che porta anch'esso nella direzione della rivalutazione del ruolo di un Antivirus.

Per eludere i Sandbox e le VM, i malwares hanno infatti sviluppato apposite tecnologie volte a "capire" se si trovano a girare o meno in un ambiente isolato mutando di conseguenza comportamento a seconda di ciò che si trovano di fronte.

Alla luce dunque di questi escamotage, diventa estremamente complesso per l'utente finale basarsi solo sul report prodotto da un Sandbox o da una VM per capire quando sia realmente possibile fidarsi di un file...
L'unico canale percorribile dunque per aver l'assoluta certezza che un file sia innocuo rimane inevitabilmente lo strumento basato su firme, l'Antivirus..


Bastano infatti poche linee di codice perchè un dato programma arrivi a capire se, una volta lanciato, si troverebbe ad es. a girare in Sandboxie
Codice:

BOOL IsSandboxie()
    if(GetModuleHandle("SbieDll.dll"))


...o in una VM come VirtualBox,
Codice:

bool DetectVBox()
{
if (prcIsRunning("VBoxService"))
return true;
else
return false;
}




*******************************

La tavola sintetica di Kees1958 sulle differenze tra DefenseWall & GesWall:

BravoGT83 15-11-2005 19:50

scotty è in bravo cognolino :p :)

ottimo lavoro ;)

FOXYLADY 15-11-2005 20:10

Ottimo lavoro :)
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella :D non servono poi tanti programmi per la sicurezza.

Ciao

BravoGT83 15-11-2005 20:22

Quote:

Originariamente inviato da FOXYLADY
Ottimo lavoro :)
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella :D non servono poi tanti programmi per la sicurezza.

Ciao

poco ma sicuro....ma purtroppo sono casi rari :mc:

Jaguar64bit 15-11-2005 20:49

L'Avk2006 incorpora il modulo comportamentale per la prevenzione dei nuovi virus , che poi non sia un sistema infallibile questo è normale.

Stereogab 15-11-2005 20:50

ben fatto nV :)
ben vengano thread cosi'

Quote:

Originariamente inviato da FOXYLADY
Però io rimango dell'idea che la miglior prevenzione sta nella testa.... di chi usa il PC.
Se c'è quella :D non servono poi tanti programmi per la sicurezza.

Ciao

logico,ma premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca ;)
vedo troppe persone che se ne strabattono della sicurezza del proprio pc
quando poi gli impazzisce il sistema cominciano a preoccuparsi :muro:

Jaguar64bit 15-11-2005 20:57

Quote:

Originariamente inviato da Stereogab



logico,ma premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca ;)
vedo troppe persone che se ne strabattono della sicurezza del proprio pc
quando poi gli impazzisce il sistema cominciano a preoccuparsi :muro:

Infatti sante parole , c'è gente che non sa minimamente cosa sia un firewall , oppure non sa che I.E è un browser a rischio..oppure non sa che visitando certi siti se non si ha un antivirus potente..si rimane impestati , la gente non sa cosa sono gli activex , gli script dannosi i BHO...gli hiijackers.. ecc ecc ecc

ci sono utenti che girano senza Sp2 , non hanno un firewall...magari con l'av scaduto , poi vanno a cercare uno wallpaper in un sito e si beccano il trojan o lo spyware di turno...

FOXYLADY 15-11-2005 23:41

Quote:

Originariamente inviato da Jaguar64bit
Infatti sante parole , c'è gente che non sa minimamente cosa sia un firewall , oppure non sa che I.E è un browser a rischio..oppure non sa che visitando certi siti se non si ha un antivirus potente..si rimane impestati , la gente non sa cosa sono gli activex , gli script dannosi i BHO...gli hiijackers.. ecc ecc ecc

ci sono utenti che girano senza Sp2 , non hanno un firewall...magari con l'av scaduto , poi vanno a cercare uno wallpaper in un sito e si beccano il trojan o lo spyware di turno...

Quoto tutto :)
Aggiungo che sarebbe utile parlare anche di queste cose appunto, piuttosto che le solite discussioni riguardo agli antivirus e firewall, meglio questo o meglio quell'altro? Sono anche quelle utili, ma io dopo un pò mi annoio a parlare sempre delle stesse cose.....
Quindi ben vengano 3d che parlino di una sicurezza più a 360 gradi :)

nV 25 16-11-2005 10:10

anzitutto grazie, mi fa piacere che abbiate apprezzato questi suggerimenti che mi sono permesso di dare.....le risposte xò vengono solo da voi, che proprio digiuni in tema di sicurezza non siete... temo che "il vero target" di utenza a cui questi suggerimenti erano destinati non si sia nemmeno accorto di questo thread....ma forse era normale che fosse cosi' visto che, come sottolineato anche da voi, c'è sempre gente che a tutt'oggi viaggia senza il SP2 ( e forse anche il SP1...)

@ FOXY: Quando parli della noia che ti viene a parlare delle stesse tematiche, come ti dò ragione... :boh:
@ Stereogab: ... premesso che il buon senso non lo si puo' insegnare è meglio che la gente si premunisca...parole sante ;)
@ Jaguar64bit: vedi, AVK conferma quello che ho detto implementando una qualche forma di IPS in linea con quello che è la tendenza attuale in tema di sicurezza...

Infine un saluto a BravoGT :)

andorra24 16-11-2005 10:27

Per quanto riguarda gli HIPS con me sfondi una porta aperta perche' uso gia' ProcessGuard con cui mi trovo molto bene. WinPatrol l'ho usato in passato e nel suo genere e' un ottimo programma ma ultimamente l'ho tolto e sto usando un programmino nuovo che si chiama ArovaxShield e mi trovo bene.

nV 25 16-11-2005 17:46

Quote:

Originariamente inviato da andorra24
Per quanto riguarda gli HIPS con me sfondi una porta aperta perche' uso gia' ProcessGuard con cui mi trovo molto bene. WinPatrol l'ho usato in passato e nel suo genere e' un ottimo programma ma ultimamente l'ho tolto e sto usando un programmino nuovo che si chiama ArovaxShield e mi trovo bene.

Ho aggiunto ArovaxShield nel 1° post...effettivamente anche questo dicono sia un buon prodotto...
Confermi cmq che tanto questo che Winpatrol siano di fatto equivalenti a livello di funzionalità? :mbe:
Ciao :)

andorra24 16-11-2005 18:00

Quote:

Originariamente inviato da nV 25
Ho aggiunto ArovaxShield nel 1° post...effettivamente anche questo dicono sia un buon prodotto...
Confermi cmq che tanto questo che Winpatrol siano di fatto equivalenti a livello di funzionalità? :mbe:
Ciao :)

ArovaxShield lo uso da alcune settimane e per certi versi si comporta come winpatrol. E' un programmino freeware, molto leggero che monitorizza il registro di windows e appena ci sono dei cambiamenti lo notifica subito all'utente. Inoltre blocca i tentativi da parte di software malevoli di aggiungere entrate al menu' di avvio, blocca eventuali hijackers,controlla l'Host file, blocca anche i tracking cookies per Firefox. Ulteriori info si possono trovare sul suo sito: http://www.arovaxshield.com/

BravoGT83 16-11-2005 18:15

molto interessante adesso lo provo:D

nV 25 16-11-2005 18:22

se il timore ad installare questi prodotti è l'appesantimento del sistema, posso assicurarti che non è cosi'. ;)
A fronte di un peso pressochè inesistente, si irrobuistisce la protezione in maniera sensibile.

Guarda i programmi che uso (in firma) e se hai modo di provarli, fammi sapere cosa ne pensi....ma sono sicuro su come mi risponderai:
Perchè li ho installati solo ora???? :D

Sono perfetti anche per i programmi gratuiti che ho inserito nel 1° post, in particolare AntiHook, assolutamente da provare se non si ha PG ;)

andorra24 16-11-2005 18:31

Quote:

Originariamente inviato da nV 25
Guarda i programmi che uso (in firma) e se hai modo di provarli, fammi sapere cosa ne pensi....ma sono sicuro su come mi risponderai:
Perchè li ho installati solo ora???? :D

Come HIPS uso ProcessGuard con cui mi trovo benissimo. Poi ho aggiunto ArovaxShield. Tempo fa ho tentato di provare Safe'n'Sec ma purtroppo non ho avuto un riscontro positivo perche',dopo averlo installato e dopo aver riavviato il pc, il programma mi notificava che il periodo trial era spirato e che dovevo acquistarlo. Ovviamente sono stata costretta a disinstallarlo e non ho avuto modo di testarlo.

Jaguar64bit 16-11-2005 18:54

Quote:

Originariamente inviato da andorra24
ArovaxShield lo uso da alcune settimane e per certi versi si comporta come winpatrol. E' un programmino freeware, molto leggero che monitorizza il registro di windows e appena ci sono dei cambiamenti lo notifica subito all'utente. Inoltre blocca i tentativi da parte di software malevoli di aggiungere entrate al menu' di avvio, blocca eventuali hijackers,controlla l'Host file, blocca anche i tracking cookies per Firefox. Ulteriori info si possono trovare sul suo sito: http://www.arovaxshield.com/

Interessante programma non lo conoscevo , se ti avverte delle modifiche al registro solo per questo è da tenere in considerazione.

nV 25 16-11-2005 18:58

Quote:

Originariamente inviato da Jaguar64bit
Interessante programma non lo conoscevo , se ti avverte delle modifiche al registro solo per questo è da tenere in considerazione.

il nocciolo della questione, per la verità, sarebbe sapere quali chiavi monitora....
Forse il migliore per questo fine è RegDefend della DiamondCS (in firma trovi qualche info)...anche Regrun dicono sia buono per tenere sott'occhio il registro....
Questo xò e free e la cosa non è trascurabile...

Se qualcuno volesse prendere visione delle chiavi tenute sott'occhio dai diversi programmi citati, guardi questo link: http://www.wilderssecurity.com/showthread.php?t=32823

ciao

andorra24 16-11-2005 19:10

Esiste anche un forum di supporto per ArovaxShield:
http://forum.arovaxcompany.com/

Stereogab 16-11-2005 19:26

Quote:

Originariamente inviato da andorra24
Esiste anche un forum di supporto per ArovaxShield:
http://forum.arovaxcompany.com/

l'ho appena installato :)
povero scotty pero',mi dispiace lasciarlo :D

Jaguar64bit 16-11-2005 19:26

Quote:

Originariamente inviato da nV 25
il nocciolo della questione, per la verità, sarebbe sapere quali chiavi monitora....
Forse il migliore per questo fine è RegDefend della DiamondCS (in firma)...anche Regrun dicono sia buono per tenere sott'occhio il registro....
Questo xò e free e la cosa non è trascurabile...

Se qualcuno volesse prendere visione delle chiavi tenute sott'occhio dai diversi programmi citati, guardi questo link: http://www.wilderssecurity.com/showthread.php?t=32823

ciao

Io credo che il problema è che uno non può avere per dire 5 programmi che all'avvio montorizzano e proteggono , anche perchè vedo in giro che non tutti hanno Pc potenti , spero che chi produce av possa presto inglobare le caratteristiche di questi programmi di controllo del registro che avete postato , cmq mi pare che il Bitdefender 9 abbia una sorta di controllo del registro quando si installa qualcosa , certo nulla di così specificamente dedicato al "problema" come i prodotti che avete citato.


Tutti gli orari sono GMT +1. Ora sono le: 14:09.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.