Trusted Zone o "Zona Attendibile"
La "Trusted Zone"
identifica sostanzialmente una
lista di oggetti (o insieme di programmi) che
non devono essere
controllati e che, pertanto, decidiamo di escludere dalla protezione.
Di fatto, la necessità di ricorrere a questa "zona speciale" (sicura) nasce dal fatto che il PDM del Kav6,
indipendentemente dalle impostazioni che gli attribuiamo, va talvolta a *
bloccare* erroneamente anche l'
esecuzione di alcuni programmi LEGITTIMI e questo perchè il loro funzionamento "richiama comportamenti che sono tra quelli classificati come pericolosi" in quanto solitamente utilizzati da malwares.
E' chiara allora l'importanza legata al fatto di saper utilizzare correttamente questa funzionalità specie nel caso si impieghino i settaggi suggeriti che sono *
preventivi* (e cioè,
bloccano a priori/avvisano del blocco).
Vi faccio vedere quindi brevemente il tipo di avviso che potreste ricevere quando il PDM è abilitato.
ipotesi:
a) intrusione nel processo (intrusi)
ABILITATO e settato a
default su "richiedi azione"
b) NOTEPAD esegue
dll injection (per questo test in realtà vado ad utilizzare thermite, un noto LeakTest per Firewall...)
Cosa accade se un eseguibile *sicuro*, per es. il nostro NOTEPAD, ha comportamenti tipici di questa classe comportamentale(dll injection)
?.
Lo eseguo e....borda, ecco l'allarme!
In questo caso, ovviamente, dovrei cliccare su
ignora per permettere al nostro file di potersi eseguire ugualmente (
anzi, meglio, dovrei aggiungerlo alla Zona Attendibile cliccando sulla scritta blu in basso a destra dell'avviso)...
Se si clicca invece su
termina/nega (
lo screen si riferisce per praticità al solo TERMINA...),
il processo di fatto
non parte.
Insomma:
SE SI ATTIVA IL PDM E SI LASCIA @ DEFAULT su "richiedi azione",
l'utente prima o poi è messo di fronte a delle scelte a cui, probabilmente, non sempre saprà
come rispondere.
In questo senso allora può essere sensato TUTELARSI A PRIORI con settaggi restrittivi quali quelli proposti.
OK:
ho il PDM settato in modo restrittivo e mi ritrovo con il Notepad del nostro es. bloccato! ( oltre a "comportamento pericoloso", "processi nascosti(rootkit)" e "valori sospetti nel registro", uso infatti anche questa impostazione per le DLL injection!)
E ora che faccio?
Sblocchiamolo!
Il
sintomo ovviamente è quello dell'
avviso del KAV (la mia misura preventiva, infatti, oltre a bloccare, AVVERTE!)
per cui è sufficiente andare su "
DETTAGLI", viene automaticamente aperta la
scheda di Log, ci si sposta su "
RILEVATI"
tasto destro del mouse sull'invader
->aggiungi a zona attendibile (
abbiamo quindi tutto il tempo di ricercare eventualmente su google info sul file bloccato...) e semplicemente
CLICCARE SU OK (
3)
1 e 2 esprimono le proprietà del file.
Agendo sull'ultima linea del riquadro rosa
dove c'è scritto "operazione di controllo" (seguire la freccia 2 ) o "maschera di verdetto" si può ulteriormente ampliare il ventaglio di comportamenti non monitorabili dal PDM per quell'eseguibile.
Alla fine, si controlla "il lavoro":
a,
b,
c
-----------------------------------------------------------------------------------------
Un'idea invece su
come configurare il KIS la potete ricavare leggendo questo post:
-----------------------------------------------------------------------------------------
Le REGOLE per eMule sono scaricabili da questo Link (
leggere bene il post):
http://www.hwupgrade.it/forum/showpo...postcount=3111