Torna indietro   Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > AV e sicurezza in generale

NZXT Canvas 32Q: 165 Hz, curvo e per giocatori
NZXT Canvas 32Q: 165 Hz, curvo e per giocatori
Abbiamo provato il nuovo NZXT Canvas 32Q, un monitor che offre le caratteristiche di base che un giocatore si aspetta e diverse possibilità di aggancio alla scrivania, anche per le configurazioni con doppio monitor. Non eccelle, ma neanche delude negli aspetti cardine: lasciamo parlare i nostri test!
Samsung presenta Galaxy Z Fold4, Z Flip4, Watch5 e 5 Pro e i Buds 2 Pro! Eccoli tutti
Samsung presenta Galaxy Z Fold4, Z Flip4, Watch5 e 5 Pro e i Buds 2 Pro! Eccoli tutti
L'evento di unpacked di Samsung ha ufficialmente svelato quelli che sono i nuovi Galaxy Z Fold4 e Galaxy Z Flip4 in arrivo in questo 2022. I pieghevoli dell'azienda sudcoreana che sembra essere veramente l'unica a migliorarsi di anno in anno con questi prodotti che ancora una volta fanno parlare di sé. Ecco tutto quello che dovete sapere dalle specifiche al prezzo e alla disponibilità.
ASUS Zenbook 14 OLED: tutto in uno schermo
ASUS Zenbook 14 OLED: tutto in uno schermo
E' un notebook sottile caratterizzato da uno schermo molto particolare: i 14 pollici di diagonale sono abbinati d un rapporto tra i lati di 16:10 e soprattutto alla tecnologia OLED. Sotto la scocca un processore Intel Core di 12-esima generazione ad architettura ibrida e una dotazione hardware completa, per un prezzo che è molto concorrenziale
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 17-04-2008, 18:38   #1
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Nuovo set di test da Comodo

Confesso che era già da un pò che sognavo l'idea di disporre di un qualcosa che consentisse di simulare tecniche usate da real malwares per "dipanare" [] i Pc invece che costringermi a scaricare di volta in volta direttamente i vari virus da fonti poco raccomandabili...

Un qualcosa, insomma, che fosse specifico per hips/behaviour blocker puri e non fosse sempre il solito LeakTest...

Bè:
questo tool sembrerebbe avermelo fornito giusto ieri Comodo!
(in verità in rete sono reperibili tantissimi altri tool specificamente modellati per gli hips come ad es. l'ormai famoso APT della DiamondCS, spt, AKLT, [...], o il recentissimo bypass hips di un famoso (?) hacker cinese, un certo mj0011 [tool del quale peraltro mi piacerebbe scambiare 2 parole anche con voi]... )

La "bellezza" di questo strumento, allora, è il fatto di simulare sia tecniche di installazione driver abbondantemente impiegate nei rootkit di tipo kernel mode, sia tecniche di process attacks injection...

Il tool è questo:


Per fortuna, abbiamo un descrizione dell'obiettivo che si propone ogni singolo test:
Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.

Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B).

DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state.

DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory.

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)





LINK:
http://forums.comodo.com/leak_testin...2866#msg152866




ProSecurity:

Ultima modifica di nV 25 : 19-04-2008 alle 13:15.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 18:38   #2
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Qui il test nel dettaglio esaminato caso per caso.

Condizioni di test:
- Sistema reale (no VM)
- XP Pro SP2 aggiornato
- Account in uso: Admin
- Hips: ProSecurity 1.43
- Behaviour Blocker: PDM (Kis 7.0.1.325)

Rootkit Installation 1 - Loads a driver in via ZwSetSystemInformation API. A very old, known and effective way to install a rootkit.





Rootkit Installation 2 - Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager (e.g. Trojan.Virantix.B)



(EDIT: ho dimenticato la foto della creazione di beep.sys?: si vede cmq dal log sotto...)



DLL Injection 1 - Injects DLL into trusted process (svchost.exe) by injecting APC on LoadLibraryExA with "dll.dll" as a param. The string "dll.dll" is not written into process memory, it's from the ntdll.dll export table which has the same address in all processes. The APC is injected into second thread of the svchost.exe which is always in alertable state
(NB: è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error" [che equivale a PASSATO!]..
Vedi foto sotto per la creazione/scrittura della Dll...)



Ecco qui, allora, l'iniezione della Dll in un ramo di svchost...



...e un pop-up del registry guard che coinvolge la chiave File Rename Operation:



Bloccare quest'ultima operazione lascia in stato sospeso il test (appunto, si vede la dicitura "testing..." pur essendo finito il tutto)





DLL Injection 2 - An old technique. The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory
(nota: ProSecurity non mostra nel pop-up la voce "create remote thread" (come EQS, ad es...) bensi' la generica voce Write Process Memory il che spiega perchè sotto sembra avvenire una cosa diversa da quella che si proporrebbe Comodo ["The DLL is injected via remote thread creation in the trusted process, without using WriteProcessMemory"]...)




(anche sopra c'è il pop-up del registry guard per il File Rename Operation...)

BITS Hijack - Downloads a file from the internet using "Background Intelligent Transfer Service" which acts from the trusted process (svchost.exe)



Se si blocca il controllo DDE/OLE/COM, il test "muore"...
Se lo si autorizza, finalmente interviene il PDM del Kis (hidden data sending..)



Il test è quindi passato...





CONSIDERAZIONI:

esclusivamente sul test, o Rootkit Installation 2 che mi ha letteralmente "schoccato" e costretto a rieseguire una rapida batteria di rootkit (cazzuti) per riprova... (tutto STRA-OK!, cmq )
Qui (per me, almeno) si entra nell'alveo dell'ignoranza più assoluta per cui è possibile che qualsiasi considerazione che segue sia folle/errata.

Allora, qual'è il problema?
Comodo dice che il test "Loads driver by overwriting a standard driver (beep.sys) and starting it with service control manager".

ProSecurity, invece, *NON* segnala tentativi di apertura di beep.sys ma solo la sovrascrittura del file in oggetto (e la creazione di un altro .sys, si vede negli screen..)

Con veri Rootkit, invece, le diverse azioni dei malwares risultano ben visibili....
Esempi fatti ieri sul mio Pc REALE e *non* in VM...




In sostanza, non c'ho capito una minch*ia....

Ultima modifica di nV 25 : 18-04-2008 alle 19:13.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 19:01   #3
marmotta88
Senior Member
 
L'Avatar di marmotta88
 
Iscritto dal: Jun 2007
Città: Verona
Messaggi: 645
Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

__________________
Desktop: Asrock FM2A75-DGS R 2.0, A105800K, 2x 4GB Vengeance 1600, Corsair CX430, Crucial MX100 256gb,MSI r7 370 4gb, Antergos Cinnamon, W 10 Pro, Trust GXT 38, Trust GXT 25. MOTO G 16GB. TV TOSHIBA 32" FHD. Vaio VPCEB: I3 330, Linux mint Xfce, Asus K54HR pentium b960 w7 HP.
marmotta88 è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 20:03   #4
sampei.nihira
Senior Member
 
Iscritto dal: Aug 2006
Messaggi: 4350
Quote:
Originariamente inviato da marmotta88 Guarda i messaggi
Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

Usando la "riduzione dei privilegi del browser" il risultato è identico.
Questo dimostra che la riduzione dei privilegi consente di ottenere il massimo vantaggio (specie in navigazione ed apertura posta elettronica) usando l'account amministratore quindi con il minimo disagio.
Credo che il test sia inattendibile se lanciato in modalità virtuale.
sampei.nihira è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 20:15   #5
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
grazie per la segnalazione
provo subito


EDIT:
un genio! mi sono ricordato che ho disinstallato OA mezz'ora fa



(aspetto la new release ita)
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 20:17   #6
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
Quote:
Originariamente inviato da marmotta88 Guarda i messaggi
Ciao, anchio vado matto per questo genere di tests.

Ecco il mio risultato, fatto lanciando il programma da account limitato,
il mio software di protezione è Mcafee Virus Scan Plus (non ha dato alcun segno di vita).

[CUT]
senza HIPS passi ben poco
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 20:32   #7
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da leolas Guarda i messaggi
senza HIPS passi ben poco
ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...

----------

Sarebbe necessario scrivere un sacco di cose anche perchè credo che potenzialmente questo test (se pur molto limitato) possa insegnare anche a noi molti aspetti interessanti....
Cosi' come "error" del test andrebbe interpretato, ecc...


Aimè, mi rendo conto di aver aperto troppo frettolosamente il thread quando, da parte mia, ho conoscenze scarsissime della materia [= lacune a go go..] e poco tempo a disposizione perchè:
a - volevo uscire
b - ho proprio poco tempo
c - ti tocchi! (l'opzione c, infatti, è sempre costante in tutti i sondaggi ed è quella che ho scritto poc'anzi ....)

Ultima modifica di nV 25 : 17-04-2008 alle 20:35.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 17-04-2008, 20:43   #8
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
Quote:
Originariamente inviato da nV 25 Guarda i messaggi
ALT!
non facciamo disinformazione generalizzando.

Se usa un account limitato, molti rischi se li scansa a priori...
Giusto

In effetti, mi sono accorto di aver detto una gran ****ta: l' "error" è interpretabile come "test passato", in effetti

E ho letto il post frettolosamente, non notando che aveva i diritti limitati (come puoi vedere anche dal post prima, in quel momento ci stavo poco con la testa )
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 12:00   #9
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27452
ho provato il test con l'account del gruppo administrator e config che uso normalmente sul notebook:


OnlineArmor
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 12:36   #10
marmotta88
Senior Member
 
L'Avatar di marmotta88
 
Iscritto dal: Jun 2007
Città: Verona
Messaggi: 645
Ciao, ho fatto altri due tests,

Da account limitato lanciando il programma come amministratore:



infine mi sono loggato con l' account di amministratore:



sono messo proprio male!
__________________
Desktop: Asrock FM2A75-DGS R 2.0, A105800K, 2x 4GB Vengeance 1600, Corsair CX430, Crucial MX100 256gb,MSI r7 370 4gb, Antergos Cinnamon, W 10 Pro, Trust GXT 38, Trust GXT 25. MOTO G 16GB. TV TOSHIBA 32" FHD. Vaio VPCEB: I3 330, Linux mint Xfce, Asus K54HR pentium b960 w7 HP.
marmotta88 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 13:21   #11
ShoShen
 
Messaggi: n/a
dell'ultimo test se ne parlava anche su pc al sicuro...adesso non so se sia lo stesso test comunque credo che il concetto sia quello (comodo lo passava)
http://www.pcalsicuro.com/main/2007/...sa-i-firewall/
  Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 14:41   #12
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
2° post fatto

Mancano ancora mooooooooolte cose, ma almeno un'idea la abbiamo...

Il 2° post, peraltro, si conclude con una mia domanda:
vi sarei infinitamente grato se poteste controllare con i vostri software e farmi sapere (meglio se con foto di pop-up/log)...

Grazie





NB per sampei:
semmai i test possono essere superati senza ricevere alcun pop-up da parte di PS:
a me, infatti, qui serviva "far vedere"

Ultima modifica di nV 25 : 18-04-2008 alle 14:44.
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 14:47   #13
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
com'è ovvio che sia, Mike ha già detto che nella prossima release OA passerà i test: http://support.tallemu.com/vbforum/s...ead.php?t=3418

Inizio davvero a pensare anch'io che comodo e OA se la stiano tirando troppo, con questi test.... Appena ne esce uno di nuovo, fanno i salti mortali per riuscire a passarlo il giorno dopo............. mentre entrambi ci stanno mettendo anni a far uscire la traduzione

EDIT: Dimenticavo!!! Complimenti nV per il lavoro svolto!!!
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 14:48   #14
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo... ) per fare la trad.




@ Leo:
grazie!

Datemi delle risp, cmq, perchè ho dei "vuoti" d'ombra ASSOLUTI...
nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 14:50   #15
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
Quote:
Originariamente inviato da nV 25 Guarda i messaggi
perchè non hanno nV 25 che (AGGRATISSE) si mette a fracassarsi i maroni (non quelli del futuro governo... ) per fare la trad.




Veramente il programma SAREBBE già tradotto (vero degasp e "me stesso"?).
Il problema è che è da 2 settimane che dovrebbe uscire la traduzione...

Per COmodo, invece, non hanno ancora reso disponibili i files da tradurre

ps: leggi l'edit dell'altro post
edit: ok, l'hai fatto xD


EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire...

Ultima modifica di leolas : 18-04-2008 alle 14:56.
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 14:59   #16
xcdegasp
Moderatore
 
L'Avatar di xcdegasp
 
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27452
sì confermo è fatta da molto tempo... se pensassero a giocare meno "a chi ce lo ha più rocksolid" forse la rilasciano
xcdegasp è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 15:02   #17
nV 25
Bannato
 
L'Avatar di nV 25
 
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
Quote:
Originariamente inviato da leolas Guarda i messaggi


EDIT2: [eliminato da me] Potrei aver detto una cosa di cui altra gente potrebbe avere da ridire...
io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.



Visto che ci sono, anzi, continuo l'OT con il log di un SSDT restorer inizialmente testato da NicM
Perchè sprecare questa foto di ieri visto che il sample in questione apre il Pc come una lama calda affondata nel burro?

nV 25 è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 15:05   #18
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
Quote:
Originariamente inviato da nV 25 Guarda i messaggi
io lascio....non faccio mistero del mio sentire nè mi debbo vergognare di qualcosa
Fine OT.
ehm
dicevo che puoi andare a fracassare i maroni di tutti i leghisti al governo (dato che parlavi di "fracassare i maroni" e di "governo")



Speriamo che non ci sia nessun leghista qui, sennò
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 16:34   #19
leolas
Senior Member
 
L'Avatar di leolas
 
Iscritto dal: Feb 2007
Città: Modena
Messaggi: 4904
...

vedi che non dovevo dirlo?
leolas è offline   Rispondi citando il messaggio o parte di esso
Old 18-04-2008, 17:09   #20
sampei.nihira
Senior Member
 
Iscritto dal: Aug 2006
Messaggi: 4350
@ Enne

Enne ma un "vecchio" (senza secondi fini) amatore come te del KIS che va a fare questi test con il tuo "ancora per poco credo" "pupillo"...........
Tanto alla fine lo disinstallerai giusto ?

Meglio...... KIS 8 e......basta ?
Come mi scrivesti una volta a proposito di altro, io ho riciclato il "basta" ?

http://forum.kaspersky.com/index.php?showtopic=66237

Su,sù qualche anticipazione a questi poveri utenti che pendono dalle tue labbra !!

Ultima modifica di sampei.nihira : 18-04-2008 alle 17:19.
sampei.nihira è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


NZXT Canvas 32Q: 165 Hz, curvo e per giocatori NZXT Canvas 32Q: 165 Hz, curvo e per giocatori
Samsung presenta Galaxy Z Fold4, Z Flip4, Watch5 e 5 Pro e i Buds 2 Pro! Eccoli tutti Samsung presenta Galaxy Z Fold4, Z Flip4, Watch5...
ASUS Zenbook 14 OLED: tutto in uno schermo ASUS Zenbook 14 OLED: tutto in uno schermo
Nikon Z 9 vs. Fujifilm X-H2S: confronto a bordo pista con la NASCAR Nikon Z 9 vs. Fujifilm X-H2S: confronto a bordo ...
MacBook Air M2: cambia pelle ma non tradisce le origini MacBook Air M2: cambia pelle ma non tradisce le ...
Trovata, forse, la causa del cambiamento...
ASUS ROG Rapture GT-AX6000: un router pe...
Il software di guida autonoma di Tesla n...
Tineco Floor One S5 Steam: aspira e lava...
Da AMD i nuovi driver Software Adrenalin...
Febbre del Litio: la domanda sempre pi&u...
SentinelOne si integra con AWS Elastic D...
Samsung Galaxy S22 5G con 256GB al prezz...
Xiaomi CyberOne: ecco il robot umanoide ...
Motorola annuncia X30 Pro, S30 Pro e il ...
Migrare in cloud le VM da vecchie versio...
Tesla sceglie le batterie a lama di BYD ...
4,2 milioni di vetture elettriche vendut...
Xiaomi MIX Fold 2 ufficiale: il pieghevo...
Arlo Go 2, in prova la videocamera con b...
AMD Software Adrenalin 22.8.1
EZ CD Audio Converter
Avast! Free Antivirus
AVG Antivirus Free
AVG Internet Security
Chromium
LibreOffice Portable
OpenOffice Portable
Firefox Portable
NTLite
Mozilla Thunderbird 102
Backup4all
Prime95
Driver NVIDIA GeForce 516.94 WHQL
K-Lite Codec Pack Update
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 10:53.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
Served by www2v