Prevenire è meglio che curare :) Software HIPS - Pagina 39

nV 25 · 11-03-2007, 19:08

asp che se c'è, si sente eraser...

EDIT:
il bimbo riposa...cmq gli ho segnalato il post...e mi son raccomandato di non farmi fare brutta figura....

LOLLLL

sampei.nihira · 11-03-2007, 21:19

Enne, buonasera !!

Dai un pò un occhio (anche due se ti và

) a questo:

http://www.javvin.com/packet-securit...FQIFEAodB2kNmQ

E' in bella mostra su "Antirootkit.com"

nV 25 · 11-03-2007, 22:22

Quote:

Originariamente inviato da sampei.nihira

Enne, buonasera !!
...

ciao anche a te.

Domani ci getto un'occhiata....

PS: prova SSM anche te, bye byeeeee

sampei.nihira · 11-03-2007, 22:46

Quote:

Originariamente inviato da nV 25

ciao anche a te.

Domani ci getto un'occhiata....

PS: prova SSM anche te, bye byeeeee

ciaooooo.

tonziefed · 12-03-2007, 21:00

Quote:

Originariamente inviato da nV 25

SSM2 free è IL software HIPS che tutti dovrebbero utilizzare visto che è indiscutibilmente il migliore tra tutte le soluzioni freeware...

WinPatrol, se si vuole, non è certo indispensabile.
In 1° pagina non ho fatto altro che segnalare come consigliate 2 soluzioni che si sposano bene tra loro, non appesantiscono il sistema e che forniscono un ECCEZIONALE protezione contro molte (tutte?) le minacce più rognose attuali e probabilmente future....(grazie a SSM, si intende...)

Sulla seconda parte del tuo discorso (AVS [o Kav] e la sua assenza di una vera euristica...), bè:
in parte SI.

Di sicuro i rootkit (e una buona fetta di altre cosette...) sono ricordi del passato se non si scazza ai pop-up....

Ti ringrazio per i consigli

, come versione ho visto che oltre a quella free ce n'è anche una full (a pagamento)...tu quale usi? Ci sono grosse differenze, colmabili con altri software o si può essere sufficientemente tranquilli con la free? Calcola che non sono un utonto!

nV 25 · 12-03-2007, 21:32

Quote:

Originariamente inviato da tonziefed

......a) tu quale usi? b) Ci sono grosse differenze, colmabili con altri software o si può essere sufficientemente tranquilli con la free? Calcola che non sono un utonto!

a) Process Guard

b) differenze?
http://www.syssafety.com/product.html

La 1° differenza evidente che si ricava dalla tavola sopra è il Basic Network Firewall e il Targeted Process Protection che caratterizzano la v.full, a seguire il Low level disk access control...

ParlamoSe chiaro:
la free è + che suff per dare una svolta decisiva/definitiva contro una grossa pletora di rischi (rootkit in primis..), però se hai un 30-ino di € per le tasche e NON sei un utonto (come hai fatto notare..), non puoi NON PENSARE ad una delle v.Full di questi programmi...

Direi presuntuosamente 3 nomi su tutti* (perdonassero se mi sbilancio...):

Process Guard (appena escono con la nuova versione....

), SSM o ProSecurity...

*= per restare nell'alveo dei behaviour blocker...

nV 25 · 12-03-2007, 21:46

Per continuare la risposta:

come si fa a consigliare una cosa sulla base di cosi' pochi elementi?
Per es, sui nomi che ho citato poc'anzi mi sono limitato alla sola sfera della ROBUSTEZZA che è (per me, si intende..) la SOLA cosa che mi interessa da un programma del genere.

Se uno NON vuole l'invasività, bè...va da se che cmq un software di questo tipo, per quanto buono, non vada bene costringendoci per forza di cose a ripiegare su altre soluzioni, stile CIPS (=PrevX) o SandBox (sul modello di DefenseWall/Sandboxie)....

Rimanendo invece sui programmi di tipo behaviour blocker (PG, SSM, PS...), ti posso dire che SSM/PS sono molto più ricchi di PG quanto a funzionalità:
ad es, ti serve (oltre al Firewall) che l'HIPS ti faccia, tra le tante cose, anche una sorta di controllo sulle connessioni in uscita?

E qui fai già la prima scremata dalla lista sopra visto che PG lo escludi a priori...
Oppure:
mi serve anche la funzionalità installation mode? (molto interessante, cmq...)
Di nuovo, la selezione ricade su SSM/PS...

Ecc...

nV 25 · 12-03-2007, 22:19

Ecco qui (per chi usa SSM free/Full) una lista sommaria di avvisi DA TENER ATTENTAMENTE SOTTO CONTOLLO qualora si dovessero presentare:

al 99% sono indicatori di un pericolo GRAVE....

NB: il discorso indicato con a) nello screen diciamo che si presta a molte interpretazioni:
sulla carta, cmq, è una CHIAMATA inevitabile (e spessissimo benigna..) che ci indica cosa stà per eseguirsi....

Alcuni dettagli, diciamo cosi', li trovate nel link che avevo citato qualche post indietro a proposito di "PG free è sufficientemente sicuro"?
Potrei anche riassumerlo un attimo, ma credo sia cmq già chiaro abbastanza...

L'avviso indicato con a) si presenta OGNI QUAL VOLTA viene eseguito un processo NUOVO ( non "imparato" da SSM nella scheda application rules...)
Spero di non aver creato confusione.
L'ho messo in colore blu apposta....

nV 25 · 12-03-2007, 22:47

Sempre a proposito di SSM free,poi, è obbligatorio settarlo almeno come in figura:

Il log personalmente lo terrei cosi':

E questo, per concludere, è un Leaktest:

OK, per stasera basta, domani si guarda PrevX (specie l'aspetto del consumo di risorse....

Vero eraser??
Le vecchie versioni, almeno, impattavano sensibilmente sul sitema....)

nV 25 · 13-03-2007, 23:31

ok, ho dato un'occhiata a PrevX ma (aimè, e con buona pace di eraser che probabilmente mi smonterà...) a dir che la parte prevenzione mi abbia lasciato l'amaro in bocca è poca cosa....

PrevX è facilmente terminabile sia in User che in Kernel Mode dal tool APT della DiamondCS (la casa di Process Guard):
va bene che APT è un semplice simulatore di tecniche volte a terminare processi in memoria per cui (da un lato) è normale (ed eticamente giusto) che non sia intercettato euristicamente come malware da PrevX, ma se un vero agente virale sfruttasse una di queste tecniche per terminare i software di sicurezza installati da un utente (tra cui il nostro PrevX...), addio protezione....

Simulando una tecnica Kernel mode, il Pc si imballa (o, meglio, la VM...):

In user, già la 1° fa far festa finita al CIPS...

PrevX si illumina come un albero di natale...

Fortuna che il Physical memory access è intercettato bene

in linea con questo,

ma per il Dll injection non si sa neppure cosa sia (test 1/2/3)....

o lo si intercetta a mezzo "stratagemmi" (copycat/thermite = malware...

)

Il Loading/Unloading driver affidato alla sola euristica probabilmente è una decisione eccellente per un prodotto che vuol dire la sua contro vere minacce rimanendo nell'alveo di un prodotto semplice per l'utenza, ma.....

Bang.exe (per carità, assolutamente non pericoloso...), mi fa riavviare la VM in tempo reale appena caricato il suo driverino bang.sys....

juninho85 · 13-03-2007, 23:41

segnala ad eraser,vediamo cosa ne pensa

BlackDiamond · 20-03-2007, 18:05

Finalmente ho trovato qualcuno che parla di Prevx anche su questo forum...

Da quello che leggo NV 25 ha fatto dei test sul funzionamentoe ne sono risultati dei problemi... sono molto contento perchè fino ad ora ero riuscito a sentire solo cose positive

Personalmente sonodiventato un grande fan di questo software e mi sono documentato molto sul suo funzionamento... e limitarsi nel dire che è un prodotto che utilizza un sistema euristico non è tutta la verità...

In pratica questi "furboni" della Prevx hanno pensato di creare un due Database su cui far lavorare il software... uno personale e locale sul PC (modificabile da control center dedicato via web) e uno mondiale che risiede nella loro server farm... in pratica ogni qual volta viene segnalato un comportamento "strano" questo viene catalogato sia sul PC in locale che sul DB mondiale... e non serve far partire download per aggiornare il DB in locale ma basta che il client sia in rete per interrogare in tempo reale il DB centralizzato e rendersi conto di avere davanti un virus o un falso positivo.

Molte informazioni su questo software le ho trovate in giro per la rete (visto che in italiano si trova poco) e ho trovato molto interessante questo test effettuato dagli americani:

http://onlypunjab.com/fullstory2k7-i...sID-11782.html

...insomma quando vedi che il tuo antivirus trova i rootkit 10 giorni prima della concorrenza... beh non ho dubbi su cosa acquistare!

Inoltre si può abbinare al normale antivirus... io personalmente ho tenuto NOD32 fino a quando non è scaduto senza avere problemi.

Ciao a tutti

nV 25 · 20-03-2007, 19:41

Quote:

Originariamente inviato da BlackDiamond

...

Da quello che leggo NV 25 ha fatto dei test sul funzionamentoe ne sono risultati dei problemi... sono molto contento perchè fino ad ora ero riuscito a sentire solo cose positive

...

c'è sempre qualche voce fuori dal coro, no?

Mi rendo conto, inoltre, di quanto sia stato poco sensato muovere affermazioni cosi' "importanti" (in particolare, le mie perplessità circa la reazione di PrevX contro APT4...) quando NON si è veramente CERTI di quello che si afferma...

Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

Per qualche misterioso motivo, xò, il CIPS in questione sulla mia VM non era stato installato a dovere per quanto APPARENTEMENTE non avesse dato nessun segnale di un suo qualche malfunzionamento.

Ecco, quest'ultimo punto, semmai poteva essere di interesse per eraser e soci, ma ormai...

Di nuovo, scusa per le ERRATE informazioni.

EDIT: il mio penultimo post non lo edito giusto per dare modo di vedere come può essere fatta CATTIVA informazione.

BlackDiamond · 20-03-2007, 20:13

Quote:

Originariamente inviato da nV 25

c'è sempre qualche voce fuori dal coro, no?

Mi rendo conto, inoltre, di quanto sia stato poco sensato muovere affermazioni cosi' "importanti" (in particolare, le mie perplessità circa la reazione di PrevX contro APT4...) quando NON si è veramente CERTI di quello che si afferma...

Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

Per qualche misterioso motivo, xò, il CIPS in questione sulla mia VM non era stato installato a dovere per quanto APPARENTEMENTE non avesse dato nessun segnale di un suo qualche malfunzionamento.

Ecco, quest'ultimo punto, semmai poteva essere di interesse per eraser e soci, ma ormai...

Di nuovo, scusa per le ERRATE informazioni.

EDIT: il mio penultimo post non lo edito giusto per dare modo di vedere come può essere fatta CATTIVA informazione.

Io personalmente sono contento per le "voci fuori dal coro" soprattutto perchè vedo che parli per esperienza e non per "sentito dire" quindi tutto quello che esce in questo modo è interessante... comunque per il suo funzionamento... avevo letto da qualche parte... che buttare giù la console non basta per fermarlo... ha un eseguibile che lavora a basso livello difficile da fermare... poi è ovvio che prima o poi qualcosa se lo inventeranno... bisogna poi vedere quanto sono veloci gli sviluppatori inglesi

juninho85 · 20-03-2007, 20:23

Quote:

Originariamente inviato da nV 25

Cosi' come confermatomi anche da eraser in PVT, PrevX protegge contro questi tentativi di disattivazione.

miseriaccia,non poteva postare qui?!

Kars · 20-03-2007, 22:38

Credo che un antivirus si puo' giustamente definire:
"Applicazione in grado di verificare la presenza di virus nei file memorizzati sui vari supporti (floppy, disco fisso, zip, etc), in memoria, e nel settore di boot. In caso venga trovato un virus conosciuto è normalmente possibile procedere all'eliminazione e/o alla pulizia del file. Gli antivirus hanno anche una funzione preventiva, cioè rimangono sempre attivi per impedire l'accesso dei virus al sistema. Devono essere periodicamente aggiornati per avere una protezione efficace."
Sebbene ho sempre sostenuto quanto l' euristica negli antivirus fosse una barzelletta, sono dell' idea che per un antivirus non sia necessario fare anche da application-protect, cosi' come non e' necessario farlo per un personal firewall. Mi viene in mente le accuse che fecero a Nav sul fatto che si insediasse nel pc come un rootkit, accuse giuste secondo me. In questi 2 ultimi anni abbiamo visto gli antivirus piegati da "banalissimi" application hijack, i cosiddetti pen-test, abbiamo visto i personal firewall passivi quando i worms si auto propagavano dai pc fidati. Se ci mettiamo nella baraonda anche gli anti spyware allora credo proprio che sia molto facile che un normale utente sia alquanto confuso e preso in giro magari. Ma forse non ancora abbastanza, mettiamo che virus e worms usino per nascondersi tecniche che prima si usavano solo nei rootkits, ovvero compromettendo l' intero sistema. Abbiamo un bel casino direi. Cosa vorrei allora come protezione ideale (terrena) per un normale utente in ufficio? Definito il target aspirerei a un applicativo che mi consenta di definire delle regole sull' apertura e il caricamento di applicazioni e drivers, di bloccare silensiosamente accessi a basso livello e di monitorare attivita' di inteprocesso, basta, questo mi e' sufficente.
Trovo che prevx1 sia una valida opzione, anche' se non ho ben chiaro se la sua versione free continua a fare da "application protection rules" e quindi manca solo della funzione signature-analyzer, perche' se cosi' fosse mi andrebbe bene anche se passano le dll-injection, che verrebbero bloccate cmq a monte. Se questo e' quello che fa' prevx1 e da quanto ho visto e' anche abbastanza nob-friendly ci sono allora poche alternative per questo target di utenti.
ciao

_____
Kars2

uno-dei-tanti · 22-03-2007, 13:43

gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio

al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso [IMG]

[/IMG] e dopo il mio allow me ne chiede ancora un 2° prima che si esegua [IMG]

[/IMG]

uno-dei-tanti · 22-03-2007, 13:47

gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio

al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso [IMG]

[/IMG] e dopo il mio allow once me ne chiede ancora un 2° prima che si esegua [IMG]

[/IMG]

Kars · 22-03-2007, 23:17

Quote:

Originariamente inviato da uno-dei-tanti

gran 3d
possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm)
lo fa eseguire senza battere ciglio
-cut-

Parti dal fatto che eicar e' un test solo per accertarsi che l' antivirus funzioni e magari non sia disabilitato. SSm non e' un antivirus e quel eicar e' un banalissimo file di testo rinominato in .com, il quale contiene una serie di caratteri che dovrebbero allertare l'antivirus.
Il fatto che ssm non ti avverte che ntvdm.exe stia in partenza, deriva dal fatto che esiste gia' una regola che consente al processo di partire, sta' di fatto che ntvdm non centra nulla con l' eicar.
Per provare la bonta' dei 2 programmi puoi iniziare a guardarti questo sito:
www.firewallleaktester com
ciao

uno-dei-tanti · 23-03-2007, 17:04

kars c'hai preso in pieno

ntvdm.exe era trai processi autorizzati e non me ne ero accorto

ho fatto i leaktest e scaricato qualche schifezza dalla rete, ssm free è un muro invalicabile, (al pari della ghost security suite).

ma quelli che piangono aiuto perchè si sono beccati il solito trojan, dialer o rootkit che sia, perchè non hanno perso mezz'ora del loro preziosissimo tempo a leggere questo thread? ah già dovevano scaricare l'ultima suoneria della signora veronica ciccone.
dice il saggio: "chi è causa del suo mal pianga sè stesso"

11-03-2007, 19:08	#761
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	asp che se c'è, si sente eraser... EDIT: il bimbo riposa...cmq gli ho segnalato il post...e mi son raccomandato di non farmi fare brutta figura.... LOLLLL Ultima modifica di nV 25 : 11-03-2007 alle 19:13.

12-03-2007, 22:19	#768
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Ecco qui (per chi usa SSM free/Full) una lista sommaria di avvisi DA TENER ATTENTAMENTE SOTTO CONTOLLO qualora si dovessero presentare: al 99% sono indicatori di un pericolo GRAVE.... NB: il discorso indicato con a) nello screen diciamo che si presta a molte interpretazioni: sulla carta, cmq, è una CHIAMATA inevitabile (e spessissimo benigna..) che ci indica cosa stà per eseguirsi.... Alcuni dettagli, diciamo cosi', li trovate nel link che avevo citato qualche post indietro a proposito di "PG free è sufficientemente sicuro"? Potrei anche riassumerlo un attimo, ma credo sia cmq già chiaro abbastanza... L'avviso indicato con a) si presenta OGNI QUAL VOLTA viene eseguito un processo NUOVO ( non "imparato" da SSM nella scheda application rules...) Spero di non aver creato confusione. L'ho messo in colore blu apposta.... Ultima modifica di nV 25 : 12-03-2007 alle 22:26.

22-03-2007, 13:43	#777
uno-dei-tanti Registered User Iscritto dal: Mar 2007 Messaggi: 3	gran 3d possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm) lo fa eseguire senza battere ciglio al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso [IMG][/IMG] e dopo il mio allow me ne chiede ancora un 2° prima che si esegua [IMG][/IMG]

22-03-2007, 13:47	#778
uno-dei-tanti Registered User Iscritto dal: Mar 2007 Messaggi: 3	gran 3d possibile che SSM free si faccia turlupinare dal file eicar (il falso virus scaricabile da qui http://www.eicar.org/anti_virus_test_file.htm) lo fa eseguire senza battere ciglio al contrario l'ottimo Appdefend (ghost security suite) mi chiede un 1° permesso [IMG][/IMG] e dopo il mio allow once me ne chiede ancora un 2° prima che si esegua [IMG][/IMG]

11-03-2007, 21:19	#762
sampei.nihira Senior Member Iscritto dal: Aug 2006 Messaggi: 4350	Enne, buonasera !! Dai un pò un occhio (anche due se ti và ) a questo: http://www.javvin.com/packet-securit...FQIFEAodB2kNmQ E' in bella mostra su "Antirootkit.com"

12-03-2007, 21:46	#767
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Per continuare la risposta: come si fa a consigliare una cosa sulla base di cosi' pochi elementi? Per es, sui nomi che ho citato poc'anzi mi sono limitato alla sola sfera della ROBUSTEZZA che è (per me, si intende..) la SOLA cosa che mi interessa da un programma del genere. Se uno NON vuole l'invasività, bè...va da se che cmq un software di questo tipo, per quanto buono, non vada bene costringendoci per forza di cose a ripiegare su altre soluzioni, stile CIPS (=PrevX) o SandBox (sul modello di DefenseWall/Sandboxie).... Rimanendo invece sui programmi di tipo behaviour blocker (PG, SSM, PS...), ti posso dire che SSM/PS sono molto più ricchi di PG quanto a funzionalità: ad es, ti serve (oltre al Firewall) che l'HIPS ti faccia, tra le tante cose, anche una sorta di controllo sulle connessioni in uscita? E qui fai già la prima scremata dalla lista sopra visto che PG lo escludi a priori... Oppure: mi serve anche la funzionalità installation mode? (molto interessante, cmq...) Di nuovo, la selezione ricade su SSM/PS... Ecc...

12-03-2007, 22:47	#769
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	Sempre a proposito di SSM free,poi, è obbligatorio settarlo almeno come in figura: Il log personalmente lo terrei cosi': E questo, per concludere, è un Leaktest: OK, per stasera basta, domani si guarda PrevX (specie l'aspetto del consumo di risorse.... Vero eraser?? Le vecchie versioni, almeno, impattavano sensibilmente sul sitema....)

13-03-2007, 23:31	#770
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	ok, ho dato un'occhiata a PrevX ma (aimè, e con buona pace di eraser che probabilmente mi smonterà...) a dir che la parte prevenzione mi abbia lasciato l'amaro in bocca è poca cosa.... PrevX è facilmente terminabile sia in User che in Kernel Mode dal tool APT della DiamondCS (la casa di Process Guard): va bene che APT è un semplice simulatore di tecniche volte a terminare processi in memoria per cui (da un lato) è normale (ed eticamente giusto) che non sia intercettato euristicamente come malware da PrevX, ma se un vero agente virale sfruttasse una di queste tecniche per terminare i software di sicurezza installati da un utente (tra cui il nostro PrevX...), addio protezione.... Simulando una tecnica Kernel mode, il Pc si imballa (o, meglio, la VM...): In user, già la 1° fa far festa finita al CIPS... PrevX si illumina come un albero di natale... Fortuna che il Physical memory access è intercettato bene in linea con questo, ma per il Dll injection non si sa neppure cosa sia (test 1/2/3).... o lo si intercetta a mezzo "stratagemmi" (copycat/thermite = malware... ) Il Loading/Unloading driver affidato alla sola euristica probabilmente è una decisione eccellente per un prodotto che vuol dire la sua contro vere minacce rimanendo nell'alveo di un prodotto semplice per l'utenza, ma..... Bang.exe (per carità, assolutamente non pericoloso...), mi fa riavviare la VM in tempo reale appena caricato il suo driverino bang.sys....

13-03-2007, 23:41	#771
juninho85 Bannato Iscritto dal: Mar 2004 Città: Galapagos Attenzione:utente flautolente,tienilo a mente Messaggi: 28978	segnala ad eraser,vediamo cosa ne pensa

20-03-2007, 18:05	#772
BlackDiamond Junior Member Iscritto dal: Mar 2007 Città: Roma Messaggi: 23	Finalmente ho trovato qualcuno che parla di Prevx anche su questo forum... Da quello che leggo NV 25 ha fatto dei test sul funzionamentoe ne sono risultati dei problemi... sono molto contento perchè fino ad ora ero riuscito a sentire solo cose positive Personalmente sonodiventato un grande fan di questo software e mi sono documentato molto sul suo funzionamento... e limitarsi nel dire che è un prodotto che utilizza un sistema euristico non è tutta la verità... In pratica questi "furboni" della Prevx hanno pensato di creare un due Database su cui far lavorare il software... uno personale e locale sul PC (modificabile da control center dedicato via web) e uno mondiale che risiede nella loro server farm... in pratica ogni qual volta viene segnalato un comportamento "strano" questo viene catalogato sia sul PC in locale che sul DB mondiale... e non serve far partire download per aggiornare il DB in locale ma basta che il client sia in rete per interrogare in tempo reale il DB centralizzato e rendersi conto di avere davanti un virus o un falso positivo. Molte informazioni su questo software le ho trovate in giro per la rete (visto che in italiano si trova poco) e ho trovato molto interessante questo test effettuato dagli americani: http://onlypunjab.com/fullstory2k7-i...sID-11782.html ...insomma quando vedi che il tuo antivirus trova i rootkit 10 giorni prima della concorrenza... beh non ho dubbi su cosa acquistare! Inoltre si può abbinare al normale antivirus... io personalmente ho tenuto NOD32 fino a quando non è scaduto senza avere problemi. Ciao a tutti

20-03-2007, 22:38	#776
Kars Senior Member Iscritto dal: Jan 2003 Città: Roma Messaggi: 2814	Credo che un antivirus si puo' giustamente definire: "Applicazione in grado di verificare la presenza di virus nei file memorizzati sui vari supporti (floppy, disco fisso, zip, etc), in memoria, e nel settore di boot. In caso venga trovato un virus conosciuto è normalmente possibile procedere all'eliminazione e/o alla pulizia del file. Gli antivirus hanno anche una funzione preventiva, cioè rimangono sempre attivi per impedire l'accesso dei virus al sistema. Devono essere periodicamente aggiornati per avere una protezione efficace." Sebbene ho sempre sostenuto quanto l' euristica negli antivirus fosse una barzelletta, sono dell' idea che per un antivirus non sia necessario fare anche da application-protect, cosi' come non e' necessario farlo per un personal firewall. Mi viene in mente le accuse che fecero a Nav sul fatto che si insediasse nel pc come un rootkit, accuse giuste secondo me. In questi 2 ultimi anni abbiamo visto gli antivirus piegati da "banalissimi" application hijack, i cosiddetti pen-test, abbiamo visto i personal firewall passivi quando i worms si auto propagavano dai pc fidati. Se ci mettiamo nella baraonda anche gli anti spyware allora credo proprio che sia molto facile che un normale utente sia alquanto confuso e preso in giro magari. Ma forse non ancora abbastanza, mettiamo che virus e worms usino per nascondersi tecniche che prima si usavano solo nei rootkits, ovvero compromettendo l' intero sistema. Abbiamo un bel casino direi. Cosa vorrei allora come protezione ideale (terrena) per un normale utente in ufficio? Definito il target aspirerei a un applicativo che mi consenta di definire delle regole sull' apertura e il caricamento di applicazioni e drivers, di bloccare silensiosamente accessi a basso livello e di monitorare attivita' di inteprocesso, basta, questo mi e' sufficente. Trovo che prevx1 sia una valida opzione, anche' se non ho ben chiaro se la sua versione free continua a fare da "application protection rules" e quindi manca solo della funzione signature-analyzer, perche' se cosi' fosse mi andrebbe bene anche se passano le dll-injection, che verrebbero bloccate cmq a monte. Se questo e' quello che fa' prevx1 e da quanto ho visto e' anche abbastanza nob-friendly ci sono allora poche alternative per questo target di utenti. ciao _____ Kars2

23-03-2007, 17:04	#780
uno-dei-tanti Registered User Iscritto dal: Mar 2007 Messaggi: 3	kars c'hai preso in pieno ntvdm.exe era trai processi autorizzati e non me ne ero accorto ho fatto i leaktest e scaricato qualche schifezza dalla rete, ssm free è un muro invalicabile, (al pari della ghost security suite). ma quelli che piangono aiuto perchè si sono beccati il solito trojan, dialer o rootkit che sia, perchè non hanno perso mezz'ora del loro preziosissimo tempo a leggere questo thread? ah già dovevano scaricare l'ultima suoneria della signora veronica ciccone. dice il saggio: "chi è causa del suo mal pianga sè stesso"

Strumenti
Mostra una versione stampabile Invia questa pagina per email