Nuovo set di test da Comodo

[@Sirio@]

Quote:

Originariamente inviato da nV 25

Premessa:

il tool è fatto da Comodo e quindi, a meno che uno non ne abbia scardinato le regole, D+ dovrebbe superare...il test dei suoi programmatori. (altrimenti, data la famosa lotta in atto, ci andrei al maniomio se facessero test che neppure loro riescono a passare.. )

I fatti:
sul p.to n°1, allora avevo letto bene. (per quanto riguarda il link dei rootkit, invece, lascerei perdere vista la loro "delicatezza":
spero tu mi capisca e non me ne voglia...)

probabilmente al tuo posto avrei risposto allo stesso modo.

Quote:

Sul p.to n°2:
ProSecurity, dopo il BLOCCO alla modifica di un file legittimamente presente sull'HD (beep.sys), segnala la creazione di 2 files, beep.sys_old & beep.sys? (con il punto interrogativo finale).

Diciamo che era una semplice osservazione...

il D+ invece non segnala niente a proposito di beep.sys?

Quote:

Invece una cosa non ho l'ho capita benissimo:
se impedisci A MONTE l'apertura dell'SCM, il 2° test "muore" senza arrivare a coinvolgere altro (la modifica dei .sys ecc)?
A regola è come dico...

Esatto il test finisce li e appare "Error"

Quote:

Sul p.to n°3:
DLL injection 1 rimane effettivamente congelato dando i blocchi che dicevi...




Considerazioni finali:
Comodo ha copiato discretamente bene ProSecurity, non c'è che dire (non mi sfidate con le prove perchè su questo punto sono capace di annientare chiunque...

Mi fido.. mi fido

Quote:

E poi, queste prove non sono nient'altro che nella storia (lontana..) del forum ufficiale della Comodo group...)

[murack83pa]

ho fatto il test e questo è il risultato:



windows xp, account limitato, avira premium, mamutu, comodo 2.4 (inutile dire che con account admin....non ho passato nulla..ma proprio nulla)

comodo, al momento del BITS test, mi ha dato questo avviso:


analizzando la libreria:


ovviamente si tratta del Background Intelligent Transfer

cmq un avviso inutile, visto che poi quel test nn l'ho superato

nel log di comodo vedo cmq questo:


tralasciando comodo, però mi sembra che questo test dovrebbe essere indirizzato anche verso behaviour blocker puri, ora mi chiedo: mamutu?

poichè ho visto che in wildsecurity, un utente aveva ThreatFire che ha dato un messaggio....(link)

beh..mi chiedo allora: ThreatFire è superiore a Mamutu? Mamutu è o non è un behaviour blocker puro?

da me Mamutu nn si è fatto sentire... ho controllato il log e nulla...

mi sa che ritornerò su ThreatFire...

PS: complimentoni vivisssimi a nV 25....i tuoi post e i tuoi esperimenti sono sempre interessantissimi...solo una piccola pecca (spero che nn ti offendi): troppa umiltà da parte tua.....sei uno dei pochi che riesce sempre a suscitare interesse e ammirazione da parte degli altri...e questo è un dato di fatto, leggendo i tuoi post...

[Chill-Out]

A parte il fatto che questo è un test rivolto sicuramente più agli HIPS puri che ai vari Behaviour Blocker imho, in ogni caso non mi sebra che TF abbia fatto una gran figura.

[murack83pa]

Quote:

Originariamente inviato da Chill-Out

A parte il fatto che questo è un test rivolto sicuramente più agli HIPS puri che ai vari Behaviour Blocker imho, in ogni caso non mi sebra che TF abbia fatto una gran figura.

secondo me pure questo test è piu indicato per hips, però un Behaviour Blocker dovrebbe perlomeno accorgersi di quello che sta succedendo...mamutu nn si accorge di nulla...ma proprio nulla..nn c'è menzione....mentre mi sembra che per lo meno tf si accorga di qualke cosa.....

[Chill-Out]

Quote:

Originariamente inviato da murack83pa

secondo me pure questo test è piu indicato per hips, però un Behaviour Blocker dovrebbe perlomeno accorgersi di quello che sta succedendo...mamutu nn si accorge di nulla...ma proprio nulla..nn c'è menzione....mentre mi sembra che per lo meno tf si accorga di qualke cosa.....

qualche cosa non è abbastanza

[Marco P.]

Ma scusate, i Behaviour Blocker non dovrebbero bloccare o comunque segnalare comportamenti sospetti? L'installazione di un rootkit, l'intrusione in un processo, cosa sono allora?
Anche io con prevx2.0 non ho avuto il minimo avviso di quello che stava accadendo anche se nel registro sono presenti tutte le modifiche ma alla voce "Risposta" c'è scritto: Consentito. Non riesco proprio a capire come l'euristica(perchè è proprio di euristica che si parla proprio perchè il leak test di Comodo non è presente nella Community) possa non aver rilevato una cosa così!!! e non capisco perchè neanche nella funzione Expert(in prevx) la risposta agli avvisi si a sempre in base all'euristica e non interpellando l'utente!! Pazzesco. Questo programma è una delusione continua forse perchè lo credevo più "intelligente".....ciao

[murack83pa]

Quote:

Originariamente inviato da Chill-Out

qualche cosa non è abbastanza

beh, però convieni pure tu che chi gira con account limitato.....puo stare un po piu tranquillo,no?

la dicitura error nn vuol dire forse aver superato il test?

e cmq, riguardo Tf, per me quel qualkosa conta....non pretendo di avere la max protezione e ne sono cosciente, e per questo giro in limitato, altrimenti installarei un Hips oppure un Cips completo, ma un minimo.....

se poi penso che mamutu è a pagamento e Tf è free....

per me è grave che mamutu nn rilevi nulla rispetto a Tf....

[nV 25]

Quote:

Originariamente inviato da murack83pa

...

a) ...complimentoni vivisssimi a nV 25....i tuoi post e i tuoi esperimenti sono sempre interessantissimi...b) solo una piccola pecca (spero che nn ti offendi): troppa umiltà da parte tua.....c) sei uno dei pochi che riesce sempre a suscitare interesse e ammirazione da parte degli altri...e questo è un dato di fatto, leggendo i tuoi post...

a), c)
Mi hai semplicemente commosso....

Per mia natura, cmq, non ho mai ricercato forme di visibilità e forse questo freno (che si confonde con l'umiltà...) si coglie nelle mie parole...

Freno che cmq, parlando di informatica, non è legato solo a questa fisiologica "discrezione" ma più che altro ad una consapevolezza, e cioè quella di avere LIMITI ENORMI....

Se alla luce di questo mi ponessi anche su un pulpito con l'atteggiamento di chi dispensa prediche, bè:
ingannerei solo il prossimo....

Più che umiltà, allora, nel mio caso si potrebbe parlare di correttezza verso chi legge...(e cosi' ho risposto al b)...)

Cmq grazie di cuore!

[murack83pa]

Quote:

Originariamente inviato da nV 25

...

[nV 25]

La butto li' senza alcun commento anche perchè non ho avuto assolutamente tempo di indagare ma solo di eseguire...


Comodo Firewall Test Suite, 34 test in totale (segnalato inizialmente qui!)

Condizioni di test:
- sistema reale (no VM)
- XP Pro SP3
- LUA
- KIS 7.0.1.325
- RTD Pro v1.0
- CLT lanciato con diritti limitati

Le .dll che è necessario caricare perchè vi sia l'inizializzazione del test (da RTD):





Punteggio: 330/340



Estratto del log di RTD:


Log PDM per la scheda "registro" (RTD, infatti, non monitora di default le chiavi evidenziate sotto...):


Log PDM relative agli "eventi":




...........................

Test affidabile?
Varierebbero i risultati lanciando CLT.exe con diritti di amministatore?


Quello che emerge con chiarezza, cmq, e che ho peraltro avuto modo di sperimentare già da lungo tempo, è che RTD + KIS 7 si completano bene, moooolto bene.

Forse seguiranno approfondimenti...

[cloutz]

io, solo dietro account limitato (ovviamente ho dovuto disattivare le restrizioni al software): 250/340

invece con account amministratore: 30/340


in linea generale con le restrizioni al software non si avvia una mazza, quindi il livello di sicurezza di account limitato + restrizioni è molto di più del 73% (250/340)...non sarebbe male vedere il comportamento di EQS (magari con e senza gli Alcyon rulesets)

[sampei.nihira]

EQS 3.41 (senza gli AR) da account amministratore:




EQS 3.41 + Alcyon Rules e Account amministratore:



EQS 3.41 (senza gli AR/ o con è indifferente) + Account Limitato:



Quindi confermo che c'è differenza.
Inoltre informo gli utenti che hanno antivir (specie se come me con i settaggi HIGH) avranno 2 (probabilmente) avvisi di virus !!

nV25 mi coinvolge sempre nei momenti meno indicati,accidenti a lui.... ,prego quindi altri utenti di fare la segnalazione FP al sito AVIRA.


*********** AGGIORNAMENTO *************************************************************

Questo test è una riprova del motivo per cui io non uso gli AR.
Ho inserito uno screen ulteriore si vede naturalmente che il test da amministratore è migliore con gli AR.
Se fate questa ulteriore prova,quindi con gli AR, sotto AL ottenete esattamente lo stesso risultato precedente.

Sarebbe interessante se qualche utente esegue il test con EQS 4.

[cloutz]

ho notato il FP, infatti per fare il test ho disattivato AntiVir...
adesso segnalo ad Avira

EDIT:-----------

[leolas]

MA lol!!!!

Con Online Armor ho fatto 470/340



Magari riprovo, eh?

[cloutz]

Quote:

Originariamente inviato da leolas

MA lol!!!!

Con Online Armor ho fatto 470/340

sborone!!
si vede che la concorrenza è agguerrita?

[leolas]

Quote:

Originariamente inviato da cloutz

sborone!!
si vede che la concorrenza è agguerrita?

OA è sempre avanti



No, comunque ora l'ho rifatto (testando, come prima, OA e basta), e ho fatto 340/340 con clt.exe in modalità protetta, 290/340 con clt.exe non in modalità protetta

[cloutz]

allego lo screen, per chi non si fidasse
Win Xp SP3
AntiVir
win firewall
account limitato



@leolas:
non ho mai usato seriamente OA, quindi non lo conosce bene, anzi..la modalità protetta è una specie di sandboxie giusto?

[leolas]

Quote:

Originariamente inviato da cloutz

allego lo screen, per chi non si fidasse
Win Xp SP3
AntiVir
win firewall
account limitato



@leolas:
non ho mai usato seriamente OA, quindi non lo conosce bene, anzi..la modalità protetta è una specie di sandboxie giusto?

Mi fido, mi fido

Comunque, OA riduce i permessi di un'applicazione ai permessi che avrebbe in un account limitato
Una sandbox sarebbe carina, in effetti..

[cloutz]

Quote:

Originariamente inviato da leolas

Comunque, OA riduce i permessi di un'applicazione ai permessi che avrebbe in un account limitato
Una sandbox sarebbe carina, in effetti..

avrei puntato più sulla sandbox che sui diritti, però 340/340 non è mica male...

cmq sorge spontanea la domanda, e qui chiudo l'OT...allora OA non gira su account limitati?
confesso di non aver letto tutto la guida che hai scritto

[leolas]

Quote:

Originariamente inviato da cloutz

avrei puntato più sulla sandbox che sui diritti, però 340/340 non è mica male...

cmq sorge spontanea la domanda, e qui chiudo l'OT...allora OA non gira su account limitati?
confesso di non aver letto tutto la guida che hai scritto

No, ci gira, ma credo abbia poco senso usare la Modalità Protetta, lì