Malware Defender - Tutorial

[cloutz]

Quote:

Originariamente inviato da nV 25

Domandina secca e dura ():

dopo aver creato una regola di blocco, come si fa a dire a MD di **NON** loggare tutte le volte l'evento in questione?

es:
gradirei NON vedere più la linea sotto tutte le volte che apro winamp...

se ho capito quello che vuoi dire, basta togliere la spunta all'opzione Log Evento una volta creata la regola..
Questa è la medesima cosa però fatta con emule:


Quando cerco di connettermi l'azione viene bloccata e non c'è nessuna voce nel Log..


altrimenti controlla di non aver spuntato questa opzione generale :

Quote:

Originariamente inviato da nV 25

**********************

Sull' "anche te usi MD?...potremo essere in 4 in Italia...", credo che l'immagine sotto sia sufficientemente esaustiva...

Unbelievable

[nV 25]

Grazie anzitutto per la risposta.

In effetti, a "dar noia" è il settaggio sull'opzione generale che ha "priorità maggiore" sull'impostazione "per process" (di fatto, dunque, mi devo rassegnare)...

PS:
Per avere invece le linguette delle "proprietà" di un'applicazione non per esteso ma con uno "sviluppo" identico a quanto da te postato come si fà?

es:


Txs

[cloutz]

Quote:

Originariamente inviato da nV 25

Grazie anzitutto per la risposta.

ma scherzi??
Avevo in mente di accennare circa la gestione delle regole in prima pagina, ma è una cosa abbastanza lunga e che devo ancora capire del tutto ...

Quote:

Originariamente inviato da nV 25

PS:
Per avere invece le linguette delle "proprietà" di un'applicazione non per esteso ma con uno "sviluppo" identico a quanto da te postato come si fà?

es:


Txs

basta ridimensionare la finestra (ti metti sul bordo e la trascini per rimpicciolirla)

Saluti

[nV 25]

Quote:

Originariamente inviato da cloutz

...basta ridimensionare la finestra (ti metti sul bordo e la trascini per rimpicciolirla) ...

le impostazioni "di dimensione" della finestra vengono xò "dimenticate" alla successiva riapertura delle stesse...



Sulla gestione delle regole e/o loro configurazione, invece, il capitolo dovrebbe essere assimilato anche se restano pure per me zone d'ombra che mi impediscono di affermare di avere un pieno controllo sul programma...

Di sicuro, cmq, queste zone non coinvolgano gli aspetti più sensibili che potrebbero altrimenti minare quel senso di sicurezza che porta ad affidarsi ad una soluzione in luogo di un'altra...

Ciao e grazie ancora,
resto sintonizzato.

nV alias Massi.

[cloutz]

Quote:

Originariamente inviato da nV 25

le impostazioni "di dimensione" della finestra vengono xò "dimenticate" alla successiva riapertura delle stesse...



Sulla gestione delle regole e/o loro configurazione, invece, il capitolo dovrebbe essere assimilato anche se restano pure per me zone d'ombra che mi impediscono di affermare di avere un pieno controllo sul programma...

Di sicuro, cmq, queste zone non coinvolgano gli aspetti più sensibili che potrebbero altrimenti minare quel senso di sicurezza che porta ad affidarsi ad una soluzione in luogo di un'altra...

Ciao e grazie ancora,
resto sintonizzato.

Hai cliccato OK dopo aver ridimensionato?
Se si, in teoria dovrebbe ricordarsi la dimensione...



Per le priorità, in realtà, le regole fondamentali che seguo (e che saranno di uso quotidiano) sono pochissime e banali. Penso che non sia tutto qui, per questo ero un pò diffidente...cmq:
- MD assegna le priorità from bottom to the top, secondo questo schema.
- Appena creiamo una regola, file o applicazione che sia, MD gli assegna la priorità maggiore, e la troveremo infatti in basso.
- Le Regole Applicazioni hanno priorità maggiori rispetto alle Regole Globali (File/Registry/Network Global Rules)
- Le regole per ogni applicazione hanno priorità maggiori rispetto alle policies dei gruppi.

In realtà bisogna sapere queste 2-3 cose, perchè ci fanno comprendere l'uso dell'opzione Ignore, quando andiamo a personalizzare il nostro ruleset, che in pratica "delega" i permessi rimettendosi alle regole di priorità immediatamente successiva...comodissimo imo nell'uso dei gruppi

Quote:

Originariamente inviato da nV 25

nV alias Massi.

finalmente un pò di vita reale


Saluti,
Christian

[sampei.nihira]

Quote:

Originariamente inviato da nV 25

Domandina secca e dura ():


Questa, invece, è per Sampei (che tanto sono sicuro vedrà, magari con calma, ma un passaggio su questo thread lo garantisce al 100%....)

Uhm...uhm 6860 K con 2 processi.
Enne sono curioso quindi il tuo "cambiamento" è dovuto soprattutto alla maggiore leggerezza del sw rispetto a DW ?

[nV 25]

Quote:

Originariamente inviato da sampei.nihira

...Enne sono curioso quindi il tuo "cambiamento" è dovuto soprattutto alla maggiore leggerezza del sw rispetto a DW ?

no, Sampei:
nessun problema di leggerezza o di robustezza.

Semplicemente non trovo soddisfazione da un software che lavora silenziosamente e che ha, in particolare, un log limitato a sole 50 righe...

Di fatto, quindi, amando il testing, mi è preclusa la possibilità di capire in tutta la sua interezza cosa accade in conseguenza di un qualcosa...

Fermo restando cmq che ho ancora la licenza di DW e che nulla mi preclude dal reinstallarlo, un utente come me gode letteralmente di più utilizzando un hips puro (e con le °°...) come MD:
gli sporadici pop-up che si producono dopo la fase di LM, infatti, so gestirli e non mi spaventano di certo...

"Dinni che venghino, i virus"...

[nV 25]

Quote:

Originariamente inviato da cloutz

Hai cliccato OK dopo aver ridimensionato?

incrediiiiiiibile, amiSci!
Non avevo dato l'ok!


PS:
se si vuole aggiungere qualcosa a quanto già detto sulle regole, per quanto riguarda l'accesso alle interfacce COM consiglierei di comportarsi come segue:

modificare i permessi delle regole di default per le applicazioni di sistema (in particolare, explorer/lsass/services/svchost) da permit ad ignore cosi' che, per questi processi, si venga avvisati dei tentativi di accesso per le sole interfacce "delicate" contemplate nella regola generica * che, difatti, ha nelle sue eccezioni 10 voci segnate come "critiche" e che hanno priorità maggiore (ASK) rispetto alla regola generica (PERMIT) attribuita a * stesso...



Per il dll loading, invece, modificare in ASK il permesso per la regola * e contemporaneamente impostare su PERMIT il controllo sulle dll per il gruppo installer & updater...

In questo modo, si ha controllo sulle dll per qualsiasi applicazione/processo fatto salvo il processo di installazione (regolato appunto dai permessi del gruppo "installer ecc" di cui sopra)..

Ciao ciao

[cloutz]

Quote:

Originariamente inviato da nV 25

incrediiiiiiibile, amiSci!
Non avevo dato l'ok!


PS:
se si vuole aggiungere qualcosa a quanto già detto sulle regole, per quanto riguarda l'accesso alle interfacce COM consiglierei di comportarsi come segue:

modificare i permessi delle regole di default per le applicazioni di sistema (in particolare, explorer/lsass/services/svchost) da permit ad ignore cosi' che, per questi processi, si venga avvisati dei tentativi di accesso per le sole interfacce "delicate" contemplate nella regola generica * che, difatti, ha nelle sue eccezioni 10 voci segnate come "critiche" e che hanno priorità maggiore (ASK) rispetto alla regola generica (PERMIT) attribuita a * stesso...



Per il dll loading, invece, modificare in ASK il permesso per la regola * e contemporaneamente impostare su PERMIT il controllo sulle dll per il gruppo installer & updater...

In questo modo, si ha controllo sulle dll per qualsiasi applicazione/processo fatto salvo il processo di installazione (regolato appunto dai permessi del gruppo "installer ecc" di cui sopra)..

Ciao ciao

GRANDE!
Grazie, mi mancava questo lato di te

quindi, se ho capito bene:
con la prima parte abbiamo modificato i permessi per explorer/lsass/services/svchost, circa le interfacce COM, in modo da essere avvisati per questi file (mentre prima quei processi potevano fare ciò che volevano):



la seconda parte si riferisce a questa regola (application rules - normal/caricare dll)?


e serve, in pratica, per dare il consenso alle applicazioni nel gruppo Installer or Updater di caricare dll, mentre MD ci avviserà per ogni altra applicazione (regola= *).


Giusto?
provo un pò queste modifiche, poi linko il tuo post in prima pag, sempre se vuoi...

Saluti

[nV 25]

C'è un errore:
interfacce COM, *non* file/cartelle...

Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.

Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.

Ma è proprio cosi'?

NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.

ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.

Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...











---------------------

La 2° parte si riferisce proprio a quello che dici te...

Eventualmente, le applicazioni fidate del gruppo "normale" possono essere settate su PERMIT per il discorso dll evitando cosi' di appesantire il RuleSet avendo eventualmente cura di lasciare attivo il controllo in questione sulle applicazioni che sono si' sicure ma che hanno cmq una qualche interazione con la rete (browser, pdf reader vari, lettori/riproduttori audio/video alla vlc/media player)....


---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.


L'ultima voce è "Accesso Interfacce COM".

Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost.

In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco[*], è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco[*]...

A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a[*]...


PS:
ma che vuoi linkare?
Tanto, una volta capito, il software si usa solo noi...

E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii"....


A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso....

[cloutz]

Quote:

Originariamente inviato da nV 25

C'è un errore:
interfacce COM, *non* file/cartelle...

Regole applicazioni normali ->espandile->cerca la regola asterisco (*)
permessi generici (di default!) su ASK fatto salvo Dll/COM su permit.

Gli accessi alle interfacce COM, dunque, sembrerebbero ammessi.

Ma è proprio cosi'?

NO, perchè esplorando la regola in questione (*) si scopre che 10 interfacce sono non solo elencate ma anche settate su ASK.

ASK, in questo caso, ha priorità> di PERMIT per i motivi che hai spiegato qualche post fà.

Il problema, xò, è che questo filtro sulle 10 interfacce critiche verrebbe effettuato solo sulle applicazioni/processi del ramo "applicazioni normali" MA NON per i processi di sistema settati invece su PERMIT che, in questo caso, hanno priorità > essendo le rispettive regole nel ramo gruppi "System" in basso nel ruleset...

---------------------
La 2° parte si riferisce proprio a quello che dici te...

---------------------
EDIT
---------------------
per renedere ancora + semplice la 1° parte del mio discorso, uso l'immagine che mi hai postato te.


L'ultima voce è "Accesso Interfacce COM".

Bene, è quella voce che dicevo di modificare da permit (default!) ad ignore per explorer/lsass/services/svchost.

In questo modo, se ad es explorer accede ad una delle famose 10 interfacce protette impostate nella regola asterisco[*], è proprio la regola asterisco che entra in gioco visto l'attributo "ignora" che è collegato al processo coinvolto, explorer.exe, per quanto questo nello schema generale abbia priorità > rispetto ad asterisco[*]...

A default, invece, passerebbe qualsiasi azione di questa natura (sulle interfacce!) visto che PERMIT avrebbe priorità > su ASK collegato a[*]...

si hai ragione, scusa non so perchè ho pensato alle regole file
cmq dovrebbe essere tutto chiaro ora...

per le Interfacce COM:
modifico i permessi per quei processi (explorer.exe ecc) ad Ignore, in modo che faccia forza la regola *, la quale Consente tutte le interfacce tranne le 10 critiche, per cui aprirà popup..

per il caricamento dll:
vado a modificare i permessi generali della solita regola *, portando su Ask tale linguetta. Modifico anche la stessa voce del gruppo Installer or Updater, impostando su Consenti (solo loro avranno il permesso di caricare dll, gli altri programmi dovranno chiederlo, in base alla regola*)..

Quote:

Originariamente inviato da nV 25

PS:
ma che vuoi linkare?
Tanto, una volta capito, il software si usa solo noi...

E qui, peraltro, mi viene in mente il mitico Vasco di "SIAMO SOLIIIII, siamo soliiiiiiiiiiii"....


A meno che tu non voglia fare un promemoria...per TE stesso, nel qual caso....

si esatto, poi siamo a 4 pagine del 3d, non 500

Grazie nV, pure oggi (forse) ho capito qualcosa di nuovo

Saluti

[nV 25]

per carità:
come hai avuto modo di vedere, anche te mi hai dato una grossa mano.


PS:
visto che si parla di un programma a pagamento, per comprarlo (alla luce di quello che è l'attuale tasso di cambio €/$), ho sborsato nientepopòdimenoche la cifra di....





















































27€ per la licenza VITALIZIA.

La volevi la licenza?
E ora pane e cipolle fino a Natale, bene!

*****
Serio:
sai cosa?

Bisognerebbe chiedere a X. se ci crea un account su kafan cosi' da poter vedere le immagini degli utenti che sul suo forum ufficiale hanno postato tutorial e quant'altro...

Ci pensi te a sentire se ci può fare questa cortesia?

[cloutz]

Quote:

Originariamente inviato da nV 25

per carità:
come hai avuto modo di vedere, anche te mi hai dato una grossa mano.


PS:
visto che si parla di un programma a pagamento, per comprarlo (alla luce di quello che è l'attuale tasso di cambio €/$), ho sborsato nientepopòdimenoche la cifra di....


27€ per la licenza VITALIZIA.

La volevi la licenza?
E ora pane e cipolle fino a Natale, bene!

io 0€ (che col cambio fanno sempre 0$ )


no ma cmq, scherzi a parte, li vale tutti dai.. è un bel giocattolino...
poi tra di noi (me e MD) è stato amore a prima vista

Quote:

Originariamente inviato da nV 25

*****
Serio:
sai cosa?

Bisognerebbe chiedere a X. se ci crea un account su kafan cosi' da poter vedere le immagini degli utenti che sul suo forum ufficiale hanno postato tutorial e quant'altro...

Ci pensi te a sentire se ci può fare questa cortesia?

si, ora gli scrivo
io me lo sono letto (link, anche se ci ho capito poco o niente), non tutto ma le discussioni delle ultime 2-3 pagine + quelle in rilievo.. materiale ce n'è, ma niente di altamente illuminante...

cmq qualche 3d interessante c'è ecco.. ricordo di un caso, dove xiaolin stesso era intervenuto testando MD contro un malware (e spiegando come rimuovere le infezioni attraverso MD)..

Ti faccio sapere

[cloutz]

ecco la risposta:

It's allowed to register new user of bbs.kafan.cn at each Sunday's 10am -
10:30am (Beijing time, UTC+8).

in pratica non aveva voglia (), il che vuol dire che sabato sera, alle 2, dobbiamo registrarci..
questi qua non sono tanto apposto cmq, fanno registrare gli utenti solo mezzora a settimana

ci penso io sabato alla registrazione

[@Sirio@]

Quote:

Originariamente inviato da nV 25

...

Semplicemente non trovo soddisfazione da un software che lavora silenziosamente e che ha, in particolare, un log limitato a sole 50 righe...

Di fatto, quindi, amando il testing, mi è preclusa la possibilità di capire in tutta la sua interezza cosa accade in conseguenza di un qualcosa...

... un utente come me gode letteralmente di più utilizzando un hips puro (e con le °°...) come MD:

...

Che ti avevamo detto sampei ed io? (non si può andare contro natura )

Ovviamente scherzo enne ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.

Un saluto.

[sampei.nihira]

Quote:

Originariamente inviato da @Sirio@

Che ti avevamo detto sampei ed io? (non si può andare contro natura )

Ovviamente scherzo enne ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.

Un saluto.

Giusto lo stavo pensando anche io in quest'istante !!

Anche se MD e DW sono 2 sw veramente OK devo essere sincero io non trovo soddisfazione a pagare anche pochi euro in un SOLO sw di protezione.
Ciò in parte perchè posso installare un intero OS, con molti sw quindi, a costo zero.
Ma non è la sola ragione.
Occorre valutare il divario (che indubbio c'è) tra questi 2 sw e le alternative free.
Se questo divario non raggiunge il beneficio di un sw a pagamento per il momento non vale la pena l'installazione.

p.s
Ognuno si senta libero di agire come gli pare,io ho solo espresso un mio modo di pensare che ovviamente è cosa personale e non vuole essere nulla più.

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Che ti avevamo detto sampei ed io? (non si può andare contro natura )

Ovviamente scherzo enne ..e poi mi mancano i tuoi test, le prove, e le tue considerazioni.

...test*?










* MALWARE DEFENDER vs ROOTKIT.HIDEPROC.B
non sono ai livelli di nV però
è facilmente rintracciabile come sample...per chi lo volesse comunque basta dirlo

[@Sirio@]

...aaa nemmeno io, cmq l'importante è provare... cercando di capire cosa accade.

Quote:

Originariamente inviato da sampei.nihira

Giusto lo stavo pensando anche io in quest'istante !!

Anche se MD e DW sono 2 sw veramente OK devo essere sincero io non trovo soddisfazione a pagare anche pochi euro in un SOLO sw di protezione.
Ciò in parte perchè posso installare un intero OS, con molti sw quindi, a costo zero.
Ma non è la sola ragione.
Occorre valutare il divario (che indubbio c'è) tra questi 2 sw e le alternative free.
Se questo divario non raggiunge il beneficio di un sw a pagamento per il momento non vale la pena l'installazione.

p.s
Ognuno si senta libero di agire come gli pare,io ho solo espresso un mio modo di pensare che ovviamente è cosa personale e non vuole essere nulla più.

Io non ho intenzione di spendere un euro che sia uno, per qualunque SW, a meno che non sia per uso professionale e quindi, procuri dei guadagni.

Sono giunto a questa decisione col passare degli anni.... sai, una decina d'anni fa, forse qualcuno in più, mi trovavo con qualche soldino da parte ed avevo deciso di farmi un bel PC performante. Vista "la fissa" che ho sempre avuto.
Dopo essermi acculturato sull'argomento scelsi il case, le mie belle schede, le periferiche ed il software da installare, il tutto rigorosamente originale e "di marca" ....beh, spesi una cifra tipo 10.000.000 delle vecchie lire, se ci penso ancora mi viene da piangere
Continuai per un paio di anni a comprare software originali spendendo i sudati risparmi, però, dopo un po' questi SW diventavano obsoleti e per stargli appresso uno era "costretto" a comprare gli aggiornamenti o le nuove versioni
Piano piano, riflettendo, mi accorsi che non ne valeva la pena e decisi che da quel momento in poi non avrei più speso un cent.. soprattutto per i SW ma, visto le alternative, avrei usato solo SW free o open source.... continuo su quella strada.

Le cose ora sono un po' cambiate anche se non troppo, per esempio 27 € per una licenza a vita non sono molte... ci si può fare un pensierino

Ciao.

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Le cose ora sono un po' cambiate anche se non troppo, per esempio 27 € per una licenza a vita non sono molte... ci si può fare un pensierino

esatto, considerando che si tratta di un ottimo programma poi..

Saluti


p.s.: scusami ho editato il mio post precedente dopo che hai risposto..tanto il senso non cambia, ho solo aggiunto un link..

[cloutz]

Malware Defender vs Trojan-Proxy.Saturn.N