View Single Post
Old 31-01-2009, 00:54   #170
commi
Senior Member
 
Iscritto dal: Mar 2005
Messaggi: 1487
Quote:
Originariamente inviato da levriero Guarda i messaggi
Mi vengono in mente 3 sole possibilità..per kasistika già riskontrata...
1)qualke settaggio su RTD per il soft in oggetto..o una rule di permesso ke konsente il bypass del kontrollo
2)un possibile intervento tardivo di RTD rispetto all'azione del soft..(tipo RTD impegnato nel kontrollo di un altro processo ke si avvia in konkomitanza kon l'avvio di SB...RTD non lo vede...o comunque un accesso konsentito da un programma al quale si è dato pieno assenso).
3)Hai aggiornato SB e questo si avvia kon un processo monitorato.
NON ho atre idee...andrebbe monitorato il lavoro dell'hips in entrambi i kasi
Innanzitutto, ti ringrazio per i suggerimenti.

Riassumo, per grandi linee, tutti gli accorgimenti avuti durante i test effettuati in precedenza che non hanno dato l'esito sperato:

- agli alerts di RTD su SpyBlaster ho sempre dato assenso "solo per questa volta" (this time);

- ho provato a dare assenso solo al primo alert negando quello successivo; poi ad autorizzare i primi 2 negando il terzo ecc.; concedendo, quindi, i permessi uno alla volta (negando quello successivo) fin quando questi sono stati necessari per il corretto avvio di SB;

- ho anche "registrato" nel log di RTD tutte le azioni permesse a SB e non vi è traccia dell'accesso al disco;

- ho installato SB subito dopo l'installazione di RTD in un sistema con XP "pulito" (quindi SB è stato il secondo programma che ho installato dopo RTD);

- avendo un disco con file system fat32 ne ho provato un altro in NTFS a cui ho applicato la stessa procedura del punto precedente;

- le regole di RTD su SpyBlaster sono identiche a quelle "vigenti" quando ho installato MD, quindi anche nel caso avessi dato assenso ad una determinata azione di SB, non dovrebbe comunque presentarsi l'alert di RTD.

L'unico dubbio che mi è rimasto è questo: visto che quando parlo di XP "pulito" mi riferisco al ripristino del file immagine creato con Acronis True Image, vuoi vedere che se, invece, ripeto l'installazione ex-novo del SO.......
Possibile ci possano essere delle differenze tra un file immagine ed una installazione "fresca" di XP che possano avere influito sulla questione?
Resta comunque il fatto che, nelle stesse condizioni, altri hips come SSM, D+ e MD rilevano l'accesso.
commi è offline   Rispondi citando il messaggio o parte di esso