|
|
|
|
Strumenti |
25-02-2014, 14:07 | #61 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Al di là di come si sviluppa il bypass che è evidentemente ermetico per chi non mastica la materia, sono da soppesare bene anche le note del lavoro che sottendono secondo me concetti più ampi (vedi in particolare la n29 "Though EMET is far from perfect, I personally see Microsoft making more of an effort toward security compared to other large vendors" e 20 "Enabling the non-default deep hooks would help catch this bypass, but we assume other bypasses could be found, and doubt users will change from the default EMET settings")... La 29, infatti - anche se si riferisce ad EMET-, è quello che in generale i ricercatori attribuiscono al progetto 8.x per quanto alla massa interessi 0 tesa com'è a giudicare il prodotto riconducendolo al solo elemento ModernUi... |
|
25-02-2014, 17:59 | #62 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Ultima modifica di nV 25 : 25-02-2014 alle 21:03. |
25-02-2014, 21:39 | #63 |
Senior Member
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
|
che annuncino di integrarlo in windows 9 così come MSE è diventato il defender di 8/8.1 .
non capisco perchè tenerlo: separato da windows non pubblicizzato alla massa senza installer-updater da versione precedente / senza update via WUS cioè, sempre cose fatte a metà? ok, la metà che viene fatta è portentosa. ma è metà.
__________________
|
27-02-2014, 12:41 | #64 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Deep Hooks attivo = NtProtectVirtualMemory hook(ed), di conseguenza lo Stage 2 dell'exploit -indicato a pag15 dello studio- si sarebbe "rotto". Per venire quindi al paragrafo "Disclosure and thounghs on repair", vediamo che con la v5.0TP è stato fatto proprio tanto il consiglio relativo all'attivazione di default della funzione incriminata quanto quello dell'introduzione di un meccanismo più sofisticato che mascheri meglio gli indirizzi di memoria dove sono mappate le API (EAF+)* mentre è completamente trascurato il consiglio n°4 che vorrebbe vedere l'estensione delle mitigazioni di tipo ROP ai processi a 64bit. *In order to do something “useful”, shellcode generally needs to call Windows APIs. However, in order to call an API, shellcode must first find the address where that API has been loaded. To do this the vastmajority of shellcode iterates through the export address table of all loaded modules, looking for modules that contain useful APIs. Ultima modifica di nV 25 : 27-02-2014 alle 12:47. |
|
27-02-2014, 12:51 | #65 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
che vuoi che ti dica?
Onestamente preferisco si concentrino più sulla sostanza che non sulla forma come stanno facendo ora, tant'è vero che di tutti i consigli che mi sono permesso di girargli per migliorare quella che secondo me sarebbe l'esperienza d'uso del programma (in poche parole, renderlo meno corporate) ne hanno preso in considerazione... 0 Ultima modifica di nV 25 : 16-03-2014 alle 18:08. |
16-03-2014, 13:46 | #66 |
Senior Member
Iscritto dal: Mar 2006
Messaggi: 3929
|
__________________
HP Pavilion Power 15-cb037nl | Core i7 7770HQ - RAM 16GB DDR4-2400 - GeForce GTX 1050 4GB - Samsung NVME 128GB + Seagate Barracuda Pro 1TB 7200rpm - Win 10 Pro |
16-03-2014, 15:06 | #67 | |
Senior Member
Iscritto dal: Jan 2010
Città: Milan
Messaggi: 9802
|
Quote:
|
|
20-03-2014, 22:44 | #68 |
Senior Member
Iscritto dal: May 2004
Messaggi: 8313
|
Molto interessante, magari quando esce il 5 lo provo, ma è necessario tenere abilitato il "UAC" di Windows?
A quali programmi si sostituisce completamente? A parte l'antivirus (io uso Avast Free) che va lasciato come base, di quali altri programmi posso fare a meno che invece avrei affiancato all'antivirus stesso? Esempio: Malwarebytes+HitmanPro+HitmanPro.Alert |
21-03-2014, 11:06 | #69 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
sono 2 cose completamente diverse.
L'UAC è una sorta di separatore di privilegi pensato per far si che chi usa il PC lo faccia con il minor grado possibile "di libertà" indipendentemente dal fatto che l'utente loggato sia amministratore o utente, e questo in virtù del fatto che i diritti pur ridotti che gli sono accordati in fase di log-in sono cmq sufficienti per lo svolgimento delle attività quotidiane. Ne discende, allora, che non solo dell'UAC non si dovrebbe fare *mai* a meno, ma anche che sarebbe opportuno farlo nella sua forma più piena (quindi, con l'UAC impostato al suo valore massimo dato che a default è bypassabile per una serie di ragioni). EMET, invece, porta tecnologie inedite a favore dei processi per far si che questi risultino il meno possibile exploitabili. In conclusione: su qualsiasi PC è caldamente raccomandato l'uso contemporaneo delle 2 "tecnologie". Quote:
|
|
21-03-2014, 12:19 | #70 | ||
Senior Member
Iscritto dal: May 2004
Messaggi: 8313
|
Quote:
Quote:
Malwarebytes non ha molto a che fare con EMET quindi penso sia un tipo di protezione aggiuntiva che eventualmente si potrebbe affiancare, quindi Avast+malwarebytes. Per quanto riguarda Hitman Pro.Alert invece anche lui si occupa di exploit no? E la versione Cryptoguard anche dei crypto ransomware. EMET fa la stessa cosa? Tutto questo più che altro per sapere alla fine se metto Avast + EMET, cosa mi manca? Avevo letto la prima pagina ma non ho ancora capito quali dei mille programmi di difesa che ci sono posso evitare e quali invece sono ancora da affiancare per completezza. |
||
21-03-2014, 14:01 | #71 | ||||||
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Probabilmente sarete sempre alle prese con installer perchè, nel mio caso (e credo di fare un uso comune del mezzo), l'UAC non interviene *mai*. (Se mi fate anzi 2 esempi di vita quotidiana in cui ci si imbatte nella richiesta di elevazione ve ne sarei grato). Quote:
Quote:
Quote:
Quote:
EMET difende esclusivamente da quei malware che fanno leva sugli exploit per aprirsi la strada che gli consente di infettare successivamente la macchina (è un pò come se fossero "malware a stadi" dove il primo passaggio è il tentativo di prendere possesso delle risorse di un processo attraverso una sua debolezza per poi sfruttarle per dar origine all'infezione vera e propria [2° stadio]). Se il malware non tenta di sfruttare debolezze ma si limita a fare quello che gli pare con meccanismi "trasparenti", EMET di fatto non serve a nulla (ecco perchè può servire sempre un Antivirus). Quote:
Allo stesso tempo capirai che questo thread non può essere usato come una guida alle più disparate configurazioni per quanto adesso un'idea più chiara dovresti averla, no? |
||||||
22-03-2014, 12:13 | #72 | ||
Senior Member
Iscritto dal: May 2004
Messaggi: 8313
|
Quote:
Ieri ho provato a metterlo al massimo... ed anche io credo di fare un uso comune del mezzo, lasciando perdere l'installer che è un caso a sè, nell'uso quotidiano a me ha subito dato noia. Come sono andato a cliccare sull'icona di SRWare Iron (uso la versione portable, non so se con quella installata è uguale) l'UAC è immediatamente comparso ad avvertire di permettere modifiche e bla bla bla. Ovviamente non lo fa una volta e basta ma tutte le volte che si apre... quindi rimesso disabilitato. Quote:
La sicurezza è importante ma se metto sul pc Avast+Malwarbytes+Hitman Pro+HitmanPro Alert+EMET giusto per fare un esempio o altri programmi similari, posso anche non creare conflitti ma di sicuro lo azzoppo un po'... |
||
23-03-2014, 00:23 | #73 |
Senior Member
Iscritto dal: Apr 2001
Città: Giovinazzo(BA) ...bella città, riso patat e cozz a volontà!
Messaggi: 26487
|
In fin dei conti ognuno dei software che hai elencato utilizza algoritmi e procedure proprietarie, quindi è impossibile stabilire a priori eventuali conflitti o analisi sovrapposte e ripetute inutilmente dei file e dei processi.
Per i PC domestici un buon antivirus, il firewall del router (e quello del sistema operativo) e un hips o un tool anti exploit come Emet sono sufficienti a garantire una protezione adeguata senza gravare sulle prestazioni. Appesantire il sistema con altri programmi non mi pare conveniente in questo ambito. A proposito di Emet, è sorprendente anche la sua efficacia rapportata alla facilità di configurazione e alla bassissima influenza sulle funzionalità del sistema. Dico questo perché in questi giorni ho approfondito un po' di più il funzionamento di AppArmor su Linux (opensuse) e necessita di una configurazione maggiore da parte dell'utente in alcune circostanze (vedi utilizzo di samba con condivisione di percorsi diversi dalla home).
__________________
Ezio Lacandia on DeviantArt | Slimkat mod per N4 e N5 | Trattative mercatino HWU | Driver nForce NET Framework [Guida] | BSOD individuazione cause | Guida Sintetica Strap/Divisori P45 | Fix associazioni Vista/7 Problemi Win Installer | Avviare programmi senza richiesta UAC | Problemi Font | Guida Raccolte 7 | Win 32/64bit come perchè |
29-04-2014, 20:39 | #74 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
uppino (l'ho rifatta tutta)
|
18-05-2014, 01:29 | #75 |
Member
Iscritto dal: Jun 2009
Messaggi: 146
|
Domandina della buonanotte..............
E' possibile che Emet blocchi o "incasini" l'avvio o l'esecuzione di qualche programma senza darne notifica? Lo chiedo perche', avendo provato ad installarlo due volte (una su xp e adesso su 7), mi sembra di aver notato qualche anomalia nel comportamento di taluni programmi, e vorrei capire se potrebbe essere Emet la causa. Buonanotte..... |
18-05-2014, 10:57 | #76 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
In linea di massima ti direi che non c'è alcuna relazione (e in quella direzione va peraltro la mia esperienza) ma, per esserne un pò più certi, avrei bisogno di qualche elemento in più per capire meglio il contesto nel quale ti trovi. Ad es., le anomalie che noti sono legate ai programmi che hai emetizzato? Prima dell'installazione di EMET non avevi mai percepito quel problema? Prendendo a modello la mia "guida", come è configurato il tool? Ti riferisci alla versione 4.1 Update di cui ho messo il link all'inizio del thread? Hai altri software di sicurezza che lavorano in real time? Se si, quali? Messa cosi' sembra il 3° grado e me ne scuso ma in realtà le tue risposte sarebbero preziose per permettermi di avere un quadro migliore, ciao! Ultima modifica di nV 25 : 18-05-2014 alle 10:59. |
|
18-05-2014, 13:16 | #77 |
Senior Member
Iscritto dal: Jan 2007
Città: quel ramo del lago di como, che volge a mezzogiorno... ^^
Messaggi: 19625
|
o forse i programmi sono a tutto schermo e la notifica di Emet non riesce ad andare in primo piano.
__________________
|
18-05-2014, 13:44 | #78 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
il ragionamento che facevo io è questo (anche se, senza sapere quali sono i "taluni programmi" che gli creano fastidio è un pò un azzardo):
a) installo EMET → proteggo IE e Chrome → mi accorgo che un programma non emetizzato non parte (AutoCAD). C'è una relazione? Se esiste è da ricercarsi esclusivamente nei settaggi di sistema (DEP, ASLR,...): in nessun modo, infatti, il quadro delle mitigazioni per-processo può avere un impatto su elementi non contemplati nella lista di programmi protetti. Ma allora: che impostazione di sistema è stata data? (di default, infatti, 7/8.x hanno attive quelle tecnologie seppur in stato "rilassato" [=Opt-in] per far si che gli effetti coinvolgano esclusivamente i processi di sistema cosi' da interferire il meno possibile con i processi di terze parti). b) installo EMET → proteggo IE e Chrome → mi accorgo che proprio IE o Chrome presentano problemi ma non so risalire alla causa → uso il pop-up per vedere la mitigazione che da fastidio cosi' da poterla rimuovere/mi servo dello strumento visualizzazione eventi dove è possibile risalire a quello che EMET ha eventualmente bloccato c) EMET da semplicemente fastidio all'altro programma di sicurezza impiegato in real time sulla macchina |
18-05-2014, 13:51 | #79 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
per cui, dove si trova il nostro amico nel panorama che ho appena presentato?
In a, b, c? (o d che al momento non mi è venuto in mente??) Il non vedere l'eventuale pop-up di blocco, infatti (e cosi' in parte integro l'osservazione di Kronos) può essere "aggirato" controllando il registro eventi → voci relative ad EMET... |
18-05-2014, 19:01 | #80 |
Member
Iscritto dal: Jun 2009
Messaggi: 146
|
Anzitutto, vi ringrazio per le risposte..........Veniamo ai dettagli.
Il primo grosso scoglio è che, stupidamente, PRIMA ho disinstallato EMET, E POI ho scrutto in questo forum. Quindi, dopo questo post lo reinstallo, e poi vediamo quello che succede... Quindi tralasciando il buon vecchio XP, in cui fra la'altro molti programmi non funzionavano piu' al meglio, veniamo al dunque, per quello che posso dire allo stato attuale: Ovviamente, non so se i programmi in questione erano emetizzati, comunque, a memoria, ho riscontrato i seguenti problemi: 1) Programmi che, pur attivandosi tra i servizi, non partivano o si piantavano (live mail, km player, malvarebytes antimalvare, Sumo, PSI). In questo caso, dovevo andare in Servizi, disattivare il programma in questione, e provare a riavviarlo. 2) Installazioni che, dopo ampio "pensamento", si rifutavano di partire in quanto "probabilmente non disponevo della necessaria autorizzazione) 3) Antimalvare che aveva comportamenti anomali dopo l'aggiornamento delle firme. Questi problemi non si sono verificati prima dell'installazione di Emet, ed Emet è l'unica installazione che ho eseguito negli ultimi giorni (ergo, niente smanettamenti strani), e questo è il motivo per cui ho pensato ad Emet e non ad altro. Ho installato Emet 4.1, lasciandolo con le impostazioni raccomandate, ed aggiungendoci solo Firefox e Comodo Dragon, quindi direi che, prendendo a base la tua guida, non ho settato alcunche'. Per quello che riguarda i software di sicurezza in real time, premesso che comunque "tutti" inseriscono un servizio in avvio (anche quelli non in real time), e che quindi, per ora, non considerero' questi, ho attivi Nod32 e CIS con sandbox disattivata. Pop up di emet sono sempre stati assenti, sia in XP che adesso su seven, e tenderei ad essere sicuro che non ci fossero, visto che li ho cercati... Mi sembra di aver ricordato tutto il ricordabile, e non sembrava un terzo grado, sono io che, inizialmente, ho posto un quesito generico, anche perche' non sono affatto sicuro che sia Emet la causa di tutti questi problemi. Un'ultima cosa: dopo la disinstallazione di Emet, alcuni programmi hanno ripreso a funzionare (vedi SUMO) altri no (per esempio, Malvare lo ho disinstallato/reinstallato), Live Mail è sotto osservazione. Comunque, adesso mi faccio un salvataggio della partizione C, poi reinstallo Emet, e vediamo... Spero di essere stato esaustivo, mi scuso per la lungaggine, e grazie ancora per l'aiuto... Ciao |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 05:50.