COMODO Internet Security

[cloutz]

Quote:

Originariamente inviato da Koldy

Ciao ho inserito tra le esclusioni di sistema sia cmdagent.exe che cavscan.exe, ho effettuato un paio di scansioni con risultato molto soddisfacente, nel senso che aprendo altre applicazioni il sistema è molto più fluido anche durante la scansione.

Ciao koldy

perfetto

[cloutz]

Quote:

Originariamente inviato da nV 25

OK, proviamo a vedere di tirare giù qualcosa di molto semplicistico concentrandoci in maniera particolare su quelle che sono le differenze tra CIS 3.5.x e 3.8.x ...

Nella versione 3.5.x il processo services.exe era gestito secondo la policy Windows System Applications e sostanzialmente, in accordo con quella policy, godeva di un grado di libertà pressochè illimitato (per il mio esempio mi interessa sottolineare in particolare il fatto che avesse totale libertà di movimento nella fase di registrazione di valori nella chiave HKLM\SYSTEM\CONTROLSET???\SERVICES\* )...

...

Allo stesso tempo, Comodo monitorava il tentativo di accedere all'SCM (che potremmo vedere come una sorta di "gestore dei servizi di sistema"...) con la regola sotto:

...

Quando dunque un processo estraneo al ruleset (si pensi ad un malware..) tentava (es.!) di registrare il proprio servizio, la prima cosa che doveva fare era guadagnarsi l'accesso al benedetto SCM e l'utente, dunque, registrava un pop-up di questo tipo:

...

[cut]

Chiaro?

Chiarissimo
Grazie ancora nV..infatti avevo provato a seguire il modello della tua configurazione (per trovare le sostanziali differenze con la mia), ed avevo notato un pò di avvisi in più rispetto a My Protected COM Interface...

adesso è tutto chiaro

-------------------

Quindi, ricapitolando MOLTO a grandi linee :

• Nella 3.5 Services.exe (in quanto Win Sys Application) poteva scrivere nel registro, nel tuo esempio alla chiave HKLM\SYSTEM\CONTROLSET???\SERVICES\*, tranquillamente..
  L'unico avviso era riguardante l'accesso del file al Service Control Manager, offrendo quindi un controllo molto più a monte ma generico (non avvertendo direttamente sulle modifiche registro)...

• La 3.8, invece (avendo modificato i diritti Win Sys Application), di default controlla services.exe solo per le chiavi di registro, e non per il Service Control Manager (perchè un controllo esclusivo su questo avrebbe reso incomprensibile, ai più, l'azione il/legittima)...
  In realtà, però, il suo controllo è molto efficace in quanto avvisa sul fatto che il tale processo tenta di controllare Services.exe e poi che Services.exe tenta di scrivere nel registro

• La tua configurazione aggiunge anche un migliore controllo a My Protected COM Interfaces (aggiungendo \RPC Control\ntsvcs)..quindi in caso di attività malevola si avrebbe prima un avviso su questo (quando il sample cerca di ottenere il controllo sui servizi), poi su services.exe che modifica il registro eccecc...
  Quindi si ha un controllo su entrambi i piani...

In sostanza, con la tua config, hai deciso di riportare un livello di protezione che, nella configurazione @default della 3.8, era stato tagliato fuori, sommandolo al controllo sul registro...

Giusto?

---------------------

p.s.:Tengo a specificare che non voglio farti sentire obbligato a rispondere, posso capire che sia una scocciatura dare spiegazioni a tutti riguardo le proprie scelte-configurazioni (tantomeno devi sentirti costretto a farlo verso me/noi)

Si fa solo per capire qualcosa in più riguardo questo programma, conoscerne i limiti e le potenzialità, nei limiti del possibile e della disponibilità di ciascuno di noi

[nV 25]

no problem, è proprio cosi' come dici te...

[Roby_P]

Eccomi sono tornata

nV spero che tu abbia la pazienza di Sirio, perchè mi sto studiando i tuoi ultimi post ed ho un sacco di domande
Però te le faccio un pò per volta eh!

Quote:

Originariamente inviato da nV 25

[....]

[size="1"]Moduli installati: Firewall, HIPS
Firewall Security Level: Custom Policy Mode
D+ Security Level: Paranoid Mode
Configuration: COMODO - Proactive Security

Miscellaneous -> Settings


Defense+ Settings

In Setting -> Update ha tolto la spunta alle due voci relative a lookup e submit.
E' per un motivo specifico, tipo consumo di RAM, o semplicemente perchè non ti interessano?
In D+ Setting -> General Setting hai tolto la spunta a "bla bla Trusted Software Vendors" e di questo abbiamo già parlato.
Io preferisco lasciarla, tanto in Paranoid Mode non usa la lista.
Credo però che la usi per segnalare nei pop up che un'applicazione secondo COMODO è sicura, mi scrive una cosa tipo "safe application digitally firm Microsoft ..."
Anzi se qualcuno di voi che ha deselezionato la voce ha fatto caso se nei pop up gli compare questa dicitura, sarei curiosa di saperlo
Altra domanda: Passati i 120 secondi se non rispondo al pop up che succede?!?
Ho visto che non hai spuntato "Block all the unknown request...".
Io l'ho spuntata perchè l'ha spuntata Romagnolo....copiare Romagnolo è uno sport molto diffuso qui nel forum, io per ora sono in pole position

Ciao e grazie

[Roby_P]

Quote:

Originariamente inviato da cloutz

p.s.:Tengo a specificare che non voglio farti sentire obbligato a rispondere, posso capire che sia una scocciatura dare spiegazioni a tutti riguardo le proprie scelte-configurazioni (tantomeno devi sentirti costretto a farlo verso me/noi)

Si fa solo per capire qualcosa in più riguardo questo programma, conoscerne i limiti e le potenzialità, nei limiti del possibile e della disponibilità di ciascuno di noi

cloutz sei un vero signore!!
Scusa nV! Io avevo dato per scontato il tuo intervento per chiarire alcune cose

Ciao ciao

[Koldy]

Quote:

Originariamente inviato da cloutz

perfetto

Salve ho cantato vittoria troppo presto pur utilizzando le impostazioni che mi hai suggerito ho avuto nuovamente lo stesso problema: Stop failed. Error code 0x800705aa. Risorse di sistema insufficienti per utilizzare il servizio. Stavolta non in scansione ma mentre cercavo di avviare una sessione di scansione praticamente l'antivirus era inutilizzabile,per ripristinare il tutto o dovuto riavviare manualmente dal tasto reset del pc, perchè da start programmi manco si riavviava e neanche si spegneva. In questo modo se non te ne accorgi rimani senza protezione antivirus, perckè ho visto che anche il data base risulta 0. Mentre funziona regolarmente il firewall con il defense+. Sara un bug o c'è qualche conflitto con qualche altro programma.Ho anche threatFire ma ho messo i suoi processi tra le esclusioni di cav.

[nV 25]

Quote:

Originariamente inviato da Roby_P

...

rispondo, tranquilla:

devo finire prima il post su CLT, 1 attimo!

[Koldy]

Quote:

Originariamente inviato da Koldy

Salve ho cantato vittoria troppo presto pur utilizzando le impostazioni che mi hai suggerito ho avuto nuovamente lo stesso problema: Stop failed. Error code 0x800705aa. Risorse di sistema insufficienti per utilizzare il servizio. Stavolta non in scansione ma mentre cercavo di avviare una sessione di scansione praticamente l'antivirus era inutilizzabile,per ripristinare il tutto o dovuto riavviare manualmente dal tasto reset del pc, perchè da start programmi manco si riavviava e neanche si spegneva. In questo modo se non te ne accorgi rimani senza protezione antivirus, perckè ho visto che anche il data base risulta 0. Mentre funziona regolarmente il firewall con il defense+. Sara un bug o c'è qualche conflitto con qualche altro programma.Ho anche threatFire ma ho messo i suoi processi tra le esclusioni di cav.

Se avrò ancora di nuovo questo tipo di problema toglierò l'antivirus ed al suo posto metto avira antivir free 9, per un anno ho usato la version 8 premium del quale sono rimasto veramente molto soddisfatto.

[cloutz]

Quote:

Originariamente inviato da Roby_P

[...]
In D+ Setting -> General Setting hai tolto la spunta a "bla bla Trusted Software Vendors" e di questo abbiamo già parlato.
Io preferisco lasciarla, tanto in Paranoid Mode non usa la lista.
Credo però che la usi per segnalare nei pop up che un'applicazione secondo COMODO è sicura, mi scrive una cosa tipo "safe application digitally firm Microsoft ..."
Anzi se qualcuno di voi che ha deselezionato la voce ha fatto caso se nei pop up gli compare questa dicitura, sarei curiosa di saperlo
[...]

su questo posso risponderti in maniera abbastanza sicura che non c'entra...anche togliendo la spunta ai Trusted Software Vendors si ha dicitura "xxx is a safe application signed by Microsoft" (per esempio)...

questo lo puoi vedere dal test che avevo fatto (link): pur avendo disabilitato i Trusted Software Vendors ricevo quelle info

ad esempio vedi questo avviso (sempre tratto da quel test):


Ciaociao

Edit:
grazie Roby_P, troppo gentile

[nV 25]

OK...

Molto velocemente, per vedere in pratica l'impatto delle mie rimanipolazioni sulle Pseudo Com Interfaces, ci viene in soccorso CLT.

Lo lancio e mi comporto inizialmente come dovrebbe fare chiunque nel momento in cui usa un HIPS puro rispondendo quindi NO! a qualsiasi pop up.
(Anzi, il buon senso di un utente normale non dovrebbe arrivare neppure a permettere la prima esecuzione ma essendo CLT un test che simboleggia una forzatura a tutto il discorso, si può eseguirlo senza troppi patemi d'animo... )

1

2

3


Sintesi:




Rispondendo invece OK ad 1[in questo modo simulo la config. di default che non prevede il privilegio LoadDriver!!], il test Rootkit Installation:missingdriverload restituisce questi 2 pop-up



........................................

(Dando l'OK a 2, invece, mi trovo di fronte a questa situazione per il 2°test:


.........................................

Ma arriviamo all'RPC Control\ntsvcs...

Senza il filtro in questione (v3.8), scompare il pop-up n°3 e il test restituirà questo pop up per la tecnica RootkitInstallation:ChangeDrvPath:

4

Al contrario dunque di qualsiasi altro HIPS che abbia avuto modo di provare, D+ vede questo passaggio che di proposito ho messo a dimensione naturale...
(è il famoso processo AB che vuole usare services.exe per registrare la chiave ecc ecc, vedi qui! a metà pagina..)

Comodo, invece, SOLO dopo aver dato l'OK a questa richiesta di permesso (n°4), restituisce il solito avviso al pari degli altri:

5

(Qui, infatti, si vede come ProSecurity e MalwareDefender superano la situazione di "impasse")...








Con D+, quindi, a default si hanno 2 livelli di controllo (contro l'1 degli altri...), mentre io, che amo allargarmi [] disporrò di 3 livelli, l'SCM, AB che vuole usare services e services che vuole registrare la chiave XY...


In sintesi,
NO SCM access control (default!) ->processo AB chiede di utilizzare services (per ip. rispondo NO) e la "stampata" è questa che mostra chiaramente CLT come IL vettore dell'attacco:


Se invece alla richiesta d'uso di services da parte di AB rispondessi SI!, la "stampata" sarebbe quest'altra (identica, come dicevo, agli altri HIPS):

[cloutz]

Quote:

Originariamente inviato da Koldy

Salve ho cantato vittoria troppo presto pur utilizzando le impostazioni che mi hai suggerito ho avuto nuovamente lo stesso problema: Stop failed. Error code 0x800705aa. Risorse di sistema insufficienti per utilizzare il servizio. Stavolta non in scansione ma mentre cercavo di avviare una sessione di scansione praticamente l'antivirus era inutilizzabile,per ripristinare il tutto o dovuto riavviare manualmente dal tasto reset del pc, perchè da start programmi manco si riavviava e neanche si spegneva. In questo modo se non te ne accorgi rimani senza protezione antivirus, perckè ho visto che anche il data base risulta 0. Mentre funziona regolarmente il firewall con il defense+. Sara un bug o c'è qualche conflitto con qualche altro programma.Ho anche threatFire ma ho messo i suoi processi tra le esclusioni di cav.

Io credo di aver risolto, ad oggi nessun problema
magri anche io canto vittoria troppo presto

Ad ogni modo, visto che continui ad aver problemi (peraltro identici alla mia segnalazione) credo che basta accodarsi al mio ticket aperto in Antivirus Bug (link)..insomma se vuoi puoi postare direttamente il tuo problema in quel 3d che avevo iniziato io, vedrai che ti aiuteranno

[Roby_P]

Quote:

Originariamente inviato da cloutz

su questo posso risponderti in maniera abbastanza sicura che non c'entra...anche togliendo la spunta ai Trusted Software Vendors si ha dicitura "xxx is a safe application signed by Microsoft" (per esempio)...

questo lo puoi vedere dal test che avevo fatto (link): pur avendo disabilitato i Trusted Software Vendors ricevo quelle info

ad esempio vedi questo avviso (sempre tratto da quel test):


Ciaociao

Edit:
grazie Roby_P, troppo gentile

Ok grazie

[Koldy]

Quote:

Originariamente inviato da cloutz

Io credo di aver risolto, ad oggi nessun problema
magri anche io canto vittoria troppo presto

Ad ogni modo, visto che continui ad aver problemi (peraltro identici alla mia segnalazione) credo che basta accodarsi al mio ticket aperto in Antivirus Bug (link)..insomma se vuoi puoi postare direttamente il tuo problema in quel 3d che avevo iniziato io, vedrai che ti aiuteranno

Grazie, ma il problema e che io non conosco bene l'inglese,posso postare sul forum in Ita.

[levriero]

Roby, grazie di nuovo dell'aiuto...Sirio....spero ke tut NON te la sia pigliata.
RISOLTO IL MISTERO DELLA MIA KONNESSIONE^^
Avevo semplicemente un software permesso ke faceva partire la konnessione a quell'indirizzo ip ospitato dal server "non troppo affidabile".
Ekko, il software in questione era "VIRTUALBOX" (penultima beta..l'ultima NON sono ancora riuscito a scaricarla).
Adesso NON ritengo più tanto affidabile VirtualBox.
Intendo disinstallarlo e reinstallarlo sotto D+
La kosa mi puzza un pokino....la beta proveniva da majorgeeks e NON avevo kontrollato l'MD5....
Visto ke VirtualBox lo usano in parekki penso sia giusto mettere sul ki va la' soprattutto se krea una rete ke si appoggia ad indirizzi ke Pg2 NON ritiene affidabili.
Se qualkun altro ha delle konsiderazioni in merito, sono sempre in askolto^^

[andrea.ippo]

Quote:

Originariamente inviato da levriero

Roby, grazie di nuovo dell'aiuto...Sirio....spero ke tut NON te la sia pigliata.
RISOLTO IL MISTERO DELLA MIA KONNESSIONE^^
Avevo semplicemente un software permesso ke faceva partire la konnessione a quell'indirizzo ip ospitato dal server "non troppo affidabile".
Ekko, il software in questione era "VIRTUALBOX" (penultima beta..l'ultima NON sono ancora riuscito a scaricarla).
Adesso NON ritengo più tanto affidabile VirtualBox.
Intendo disinstallarlo e reinstallarlo sotto D+
La kosa mi puzza un pokino....la beta proveniva da majorgeeks e NON avevo kontrollato l'MD5....
Visto ke VirtualBox lo usano in parekki penso sia giusto mettere sul ki va la' soprattutto se krea una rete ke si appoggia ad indirizzi ke Pg2 NON ritiene affidabili.
Se qualkun altro ha delle konsiderazioni in merito, sono sempre in askolto^^

[OT]Annego nelle kappa [/OT]

[nV 25]

Quote:

Originariamente inviato da andrea.ippo

[OT]Annego nelle kappa [/OT]

+ 1...


@ cloutz:
esatto, gli screen n°10 & 11 del tuo Test! con il Rootkit che ti avevo girato illustrano proprio i 2 livelli da me simulati con CLT.exe...


EDIT:
post 7713 completato...

[nV 25]

Quote:

Originariamente inviato da Roby_P

...In Setting -> Update ha tolto la spunta alle due voci relative a lookup e submit.
E' per un motivo specifico, tipo consumo di RAM, o semplicemente perchè non ti interessano?

La 2°...

Non so cmq se cosi' facendo possa impattare in qualche modo sul consumo di risorse...

Quote:

Originariamente inviato da Roby_P

In D+ Setting -> General Setting hai tolto la spunta a "bla bla Trusted Software Vendors" e di questo abbiamo già parlato.
Io preferisco lasciarla, tanto in Paranoid Mode non usa la lista.
Credo però che la usi per segnalare nei pop up che un'applicazione secondo COMODO è sicura, mi scrive una cosa tipo "safe application digitally firm Microsoft ..."

E' possibile..

Io, per tagliare la testa al toro e avere il famoso controllo su quello che uso, ho optato per quella politica...

Quote:

Originariamente inviato da Roby_P

Altra domanda: Passati i 120 secondi se non rispondo al pop up che succede?!?

Default DENY!

Troverai l'eventuale voce bloccata nel log....

Quote:

Originariamente inviato da Roby_P

Ho visto che non hai spuntato "Block all the unknown request...".
Io l'ho spuntata perchè l'ha spuntata Romagnolo....

è possibile che nel caso di update automatico possa creare fastidi all'aggiornamento...

Non sò francamente di preciso se sia meglio la prima opzione o la seconda anche se non ritengo probabile che per il mio caso il non abilitare quella voce possa costituire una debolezza...(sborone mode OFF)...

[Roby_P]

Quote:

Originariamente inviato da nV 25

[.....]

Image Execution Control Settings



Computer Security Policy

(Fatto salvo pochissime applicazioni, la quasi totalità delle regole è posta sotto la regola "ALL APPLICATIONS"....)

Ciao nV,
eccomi di nuovo

Vabbè io Image Execution Control Level ce l'ho su aggressive, ma la cosa che mi ha incuriosito è un'altra....perchè hai precisato che solo alcune applicazioni sono al di sopra della regola All Applications? Che differenza fa?

Ciao ciao

[Albitexm]

Da quando ho preso una chiavetta USB per navigare in internet, tutte le volte che mi connetto, comodo mi visualizza questo messaggio :






Ogni volta l'indirizzo è diverso. (e il local network avanza come numero progressivo). Cosa devo fare ? Devo selezionare una delle due caselle ?

[nV 25]

Quote:

Originariamente inviato da Roby_P

....perchè hai precisato che solo alcune applicazioni sono al di sopra della regola All Applications? Che differenza fa?..

Anche qui ci sarebbe da spendere qualche goccio di saliva ma momentaneamente mi trovo a secco...




Temo, cmq, che le cose che ho detto fino ad ora (in particolare la mia configurazione ecc..) finiscano solo per disorientare la gente ... e questo, non a caso, era uno dei motivi che mi aveva indotto a non dire mai nulla in proposito per lo meno fino a ieri...



Peraltro in rete non si trova una emerita mazza in proposito, altrimenti rimandavo a quello e festa finita senza rischi di errori o altro...