Guida - Malware Defender
NOTA: Il contenuto di quest'opera è rilasciato con licenza Creative Commons Attribution-Noncommercial-Share Alike 2.5
NEWS: MALWARE DEFENDER È DIVENTATO FREE!! Per i curiosi: il suo ex sviluppatore, Xiaolin, è entrato a far parte del gruppo http://labs.360.cn/ ed è stato costretto a lasciare Malware Defender. In ogni caso il software ora è diventato gratuito, ma lo sviluppo pare ancora attivo, anche se procede un pò più a rilento (che ci siano altri garzoni ad aiutare Xiaolin, troppo occupato con 360? :D). Purtroppo, non ho ancora capito il perchè, è stato interrotto il supporto per la localizzazione in italiano del software. Ergo dalla versione free, MD sarà disponibile solo in cinese o inglese.. Considerazione importante: anche se pian piano lo sviluppo dovesse rallentare non c'è da temere: MD è un software molto solido, ed inoltre gli hips non necessitano di grandi aggiornamenti continui! Basta che sia garantito il bugfix per le feature più importanti. E per ora Xiaolin risponde ad ogni email inviata al supporto tecnico, con la stessa velocità di sempre ;) :D Informazioni Utili
Download Area Codice:
Malware Defender 2.7.1 - STABILE Introduzione Malware Defender nasce come hips (Host Intrusion Prevention System), cui però è stato aggiunto un modulo firewall. Il metodo d’azione dell’hips consiste nel monitorare qualunque evento avvenga nel pc in modo che, nel caso in cui si verifichi un’azione sospetta (o per cui non vi è una regola), l’utente venga allertato attraverso dei popup. In questo modo è possibile prevenire, potenzialmente, qualunque tipo di minaccia, ammesso che l’utente sia consapevole e giudichi correttamente la legittimità di un’azione. Esistono dei leaktest, che mettono alla prova questo genere di applicazioni contro possibili attacchi. Questo è il sito di riferimento. Consiglio a chi non conosce molto gli hips la lettura di questo 3d di nV 25, che propone un'infarinatura globale sulle migliori tecnologie di difesa preventiva. N.B.: Premetto che questa guida si propone di essere una presentazione del software, con una breve descrizione delle funzionalità principali (anche perché siamo in poco più di un paio ad usarlo in tutta Italia, se è vero)..quindi niente di eccessivamente impegnato, almeno per ora… Non è mio interesse soffermarmi sulla spiegazione di ogni singola voce (anche perché richiederebbe una vita), ma solo illustrare quali saranno le opzioni cui sicuramente dovrete ricorrere nel normale utilizzo di MD, in modo da fornirvi i mezzi per poter “sopravvivere”. Niente di più. Quindi se intendete usare questo software consiglio caldamente di leggere tutto il tutorial: ho trattato solo le cose principali, da sapere per forza per usare decentemente MD. Se trovate problemi, incompatibilità o crash potete scrivere in inglese al supporto della Torchsoft support@torchsoft.com (se non ve la cavate con l’inglese mandatemi un pm, girerò la segnalazione allo sviluppatore). Se invece trovate problemi di traduzione segnalatelo pure a me, o nella discussione o via pm, e provvederò a correggere al più presto. Installazione L'installazione non presenta nulla di complesso, per questo andrò veloce.. Scaricate l’ultima versione del software dalla sezione Download Area e avviate il setup, procedendo sempre cliccando Avanti. Terminata l’installazione vi troverete davanti a questo avviso: Lo stesso sviluppatore, Xiaolin, consiglia di abilitare la Modalità Apprendimento e di fare almeno un riavvio e loggarsi con ogni utente, per poi tornare in Modalità Normale; questo in modo che MD possa imparare da solo alcune regole, altrimenti ci metterebbe subito in difficoltà. Ci si presenterà anche un avviso riguardo il download dei simboli kernel, accettate e aspettate; vi verrà chiesto di accettare il download dal server Microsoft, fatelo. |
Configurazione
Appena terminata l’installazione, al successivo riavvio, noteremo due nuove voci nel taskmanager relative a Malware Defender. Questi sono i valori dei suoi processi dopo 5 ore di lavoro: Noteremo, tra le altre cose, la presenza dell'icona di MD in TrayIcon: Con un tasto dx sull’icona in Tray si aprirà il menu contestuale: Troviamo la scelta Opzioni, cliccandoci si aprirà questa finestra, in cui sono presenti una miriade di possibili configurazioni: Di queste consiglio di controllare che le seguenti siano impostate così: Generale > Avvia MD con Windows... Abilitato Generale > Usa nome random per il driver di MD... Abilitato Protezione> Tutte le protezioni Abilitate Protezione> Modalità di protezione... impostato su Normale Protezione > In modalità Apprendimento, se viene trovata una regola “nega”… Abilitato Protezione > Disabilita mdhook.dll ... Disabilitato Conferma> Tutte le opzioni Abilitate Anche cliccando su Protezione (nel menu contestuale), abbiamo la possibilità di attivare/disattivare i vari livelli di protezione di Malware Defender. Ovviamente consiglio di tenere tutto attivo. Sempre nel menu contestuale possiamo notare 3 differenti modalità principali:
Cliccando invece su Apri Malware Defender (o facendo doppio click sull’icona in Tray) si aprirà la schermata principale del programma, simile alla seguente: Possiamo trovare diverse categorie:
Cliccando su una regola applicazione qualsiasi (in questo caso rundll32.exe), entreremo in una finestra che ci consentirà di gestire i permessi di quest’applicazione: Per ogni azione abbiamo diverse opzioni tra cui scegliere:
Mettendo la spunta sulla voce Log Evento, potremo far in modo di creare un evento nel log, ogni volta che viene eseguita l’azione, qualunque sia il comando deciso. Altra cosa importante è l’uso dei Log, che ritroviamo in fondo nella pagina principale: cliccando su una voce del log col tasto dx, potremo direttamente creare/modificare/copiare la regola, con un solo click. N.B.: Questa è, in 2 parole, la gestione delle regole di MD (in realtà ci sarebbero da fare una serie di discorsi riguardanti la priorità delle regole e le altre voci sui processi, moduli, hook, registro ecc…ma io stesso le sto ancora studiando, e la guida si propone di trattare le cose principali da sapere) N.B.2: Nel caso vi voleste avventurare nella creazione delle regole consiglio di abilitare sempre i log, e di controllarli spesso. Saranno i log a dirvi se la regola va bene o no. In tal caso consiglio la lettura di una serie di utili link, anche solo per capire meglio il funzionamento e il “gioco” delle regole, tutti made in Wilders: http://www.wilderssecurity.com/showt...45#post1360445 http://www.wilderssecurity.com/showt...3728&highlight http://www.wilderssecurity.com/showt...wall+configure questa, invece, è un'ottima configurazione proposta da arran su Wilders (strano :D): http://www.wilderssecurity.com/showthread.php?t=252773 se volete leggere la storia di come MD si sia fatto conoscere, e apprezzare, in questi ambienti leggete questo 3d: http://www.wilderssecurity.com/showthread.php?t=217522 |
Angolo Test
Ringraziando Romagnolo per l'input, uso questo post per inserire un piccolo test, che ci mostra come Malware Defender agisce di fronte a un'infezione (in questo caso simulata). Dico simulata perchè si tratta del test TrojanSimulator, che semplicemente imita il comportamento di un normale trojan, senza però infettare realmente il nostro sistema (sarà infatti disinstallabile). Scarichiamo il pacchetto del test qui ed estraiamolo. Dopo aver letto come agisce nel file readme.txt, avviamo il file trojansimulator.exe. N.B.: nel mio caso Prevx 3.0 (attivo durante il test) rileva un comportamento sospetto e ci avvisa, giustamente, bloccando l'intruso: Comunque lo considero come Trust e continuo:) Riceveremo il primo popup, che ci avvisa dell'esecuzione del malware ad opera di explorer.exe (se neghiamo questo avviso il test non inizia, in quanto ne neghiamo l'esecuzione:D ): Consentiamo e ci apparirà questa finestra, in cui dovremo cliccare su Install, per installare il finto trojan: Qui prevx mi avvertirà ancora per la creazione del file TSServ.exe: Lo Trusto ancora e vado avanti:O MD mi avvisa che il file trojansimulator.exe sta cercando di creare un nuovo processo chiamato tsserv.exe (dalla linea di comando vediamo il comando /install): Consentendo permettiamo al test di continuare, e vediamo che tsserv.exe imposta un nuovo valore di registro (per l'avvio automatico). In questo modo farebbe avviare automaticamente il trojansimulator: Se consentiamo anche questo, vediamo l'avviso del test, che ci informa del fatto che il trojan simulator è stato installato correttamente: Attraverso questo test abbiamo visto come sia importante saper interpretare correttamente i popup, per rispondere nel miglior modo possibile, ed evitare danni. Consentire 2-3 popup di Malware Defender così critici, potrebbe significare essere infettati senza neanche accorgersene. Paradossalmente la miglior cosa è negare l'infezione sin dall'esecuzione, consentendo solo:
Se, avendo una buona configurazione di base (con antivirus, browser con javascript disabilitati o NoScript, sistemi di sandbox), negate tutto ciò che non rientra in queste 2 categorie (che rappresentano, da sole, un buon discriminante alla portata di tutti), siete al sicuro dal 99% dei malware. Poi, ovviamente, serve anche cognizione di causa, nel non bloccare eventi/azioni del normale funzionamento del sistema operativo, e non andare a mettersi nei casini da soli :ciapet: ....:D |
"Chicche"
Le osservazioni che troverete in questo post sono personali, quindi opinabili. Buona parte di questi settaggi, anzi tutti, nascono da nV 25, quindi il merito va a lui;) N.B.: Tali settaggi incrementano indubbiamente i livelli di controllo di MD, permettendoci di monitorare azioni/aree che con ruleset di default non vengono controllati. Possono risultare però assillanti, e non è detto che sappiate gestire la situazione, quindi adottateli con cognizione di causa. |
...per ora ho terminato...:)
In caso ci fossero richieste da utenti, e quindi ci fosse la reale necessità, amplierò la guida...d'altronde su MD di cose da dire ce n'è una marea.. in particolare stavo cercando di studiarmi qualche restrizione in più in modo da rendere disponibile un ruleset predefinito (tipo quello provato da Kees su W.), ma aspetto una modifica di Xiaolin sulla creazione delle regole:D p.s.: ho già sbaglito il titolo..c'è Tutorial che è da togliere :muro: :cry: |
Complimenti cloutz. :mano:
Hai fatto davvero un ottimo lavoro, sia per la traduzione che per la guida. Grazie. ;) |
Quote:
ne approfitto per comunicare che MD è vulnerabile, a quanto pare, a questo PoC test.. l'.exe in questione, infatti, riesce a terminare qualunque programma indipendentemente dall'hips, che viene bellamente bypassato:fagiano: chiunque volesse l'.exe del test mandi un pm. Ho avvisato Xiaolin intanto.. |
Quote:
|
Complimentoni cloutz! E' da un po' che seguivo (in sordina) il thread degli hips e il tuo sviluppo su questo software.
Auguroni per la guida. Bravo! :) |
Quante (piacevoli) novità in pochi giorni di mia assenza !! :)
Bravo Cloutz.;) Il tuo commento sulla poca diffusione di alcuni sw di sicurezza (ma non solo) in Italia è azzeccato. Ad esempio Netchina (pur essendo free e questo è già un bel vantaggio) secondo me segue in parte la stessa sorte di MD. Altro svantaggio di MD è il posizionamento in classifica M. in confronto ad altri sw free. Non che la cosa sia completamente indicativa ma..... |
Grazie ragazzi:D
spero, con questo 3d, di far appassionare qualcuno...anche se, come sappiamo bene, gli hips non entusiasmano molto gli utenti:read: Quote:
Sono sicuro che se fosse free gli utenti ci sarebbero, soprattutto gli smanettoni che ora sono col D+ o chi ama un vero hips granulare.. per i test di Matousec qui c'è la risposta di Xiaolin che, a quanto pare, non è interessato a modificare MD in base ai test falliti... anche perchè, come hips, MD può dare la paga a molti che si posizionano più in alto, al di là di cosa dica Matousec... ------------------------------------------------- in riferimento a questa vulnerabilità, Xiaolin risponde: This POC have been released in the Chinese MD forum first. It cannot kill MD. I will think about whether to fix it or not. Best Regards, Xiaolin |
e bravo il nostro cloutz davvero un lavorone, il programma è davvero ottimo come la qualità della tua guida. Se anche solo una persona si sensibilizza all'uso degli Hips behh allora il lavoro non è vano, anzi.
Penso che a forza di predicare l'uso di questi software prima o poi qualcuno ci darà retta. |
ottimo lavoro :)
|
Quote:
inserirei differenza tra la free e la professional http://www.gentlesecurity.com/professional.html peccato che e' solo x 32 bit |
Quote:
Quote:
Quote:
|
Quote:
ma non gira su i 64...peccato |
e' molto simile a real defender...prosecurity...
:D con una grafica molto migliorata:Prrr: |
Quote:
Complimenti per il lavoro cloutz! :mano: |
Complimenti cloutz :D
Hai fatto davvero un gran bel lavoro :eek: |
Tutti gli orari sono GMT +1. Ora sono le: 12:37. |
Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.