Prevenire è meglio che curare :) Software HIPS

[nV 25]

e allora si farà un BRAVO! anche per erreale!

[nV 25]

Quote:

Originariamente inviato da cloutz

...dopo la maturità magari un 3d ufficiale lo apro...

che sei un tipetto sveglio è emerso già da un pò:
sono certo che, se non ti distrai troppo dietro al PC, potrai essere ampiamente soddisfatto di te stesso..

In culo alla balena*!





*si risponde, semmai, non con il grazie di rito bensi' con un deciso "speriamo che non ca..."

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

gli stessi complimenti ovviamente sono riferiti anche ad Alessandro (erreale), senza di lui sarei ancora a metà del lavoro

comunque credo che massimo una decina di giorni e Xiaolin voglia far uscire MD Ita...

dopo la maturità magari un 3d ufficiale lo apro...

Saluti

Piccolo OT

Un grandissimo "In bocca al lupo" per la Maturità Cloutz.

Mi è venuto in mente un paragone con la nazionale di calcio e la sua recente figura contro il Brasile.

Niente a che vedere quando sono "maturato io" (poco bene devo dire nonostante l'ottimo voto finale ) nel 1982 quando abbiamo visto una strabiliante Italia, niente a che vedere con quella odierna.

Buona serata !!

[cloutz]

@nV e sampei:


Ritorno a studiare, mi mancano proprio dei pezzi del programma..cose mai sentite

Saluti

[cloutz]

scusate la mia assenza, dovuta allo studio matto e disperatissimo (ho l'orale sabato)

comunque MD ormai è terminato, oggi ho mandato le ultime correzioni a Xiaolin ch ha prontamente aggiornato la .dll...

ci tengo a specificare che abbiamo cercato di non tradurre l'intraducibile, alcune traduzioni forzate di termini tecnici risultano talvolta ridicoli...ragion per cui alcuni termini li troverete nella loro matrice originale.... [anche perchè si presuppone una cognizione di causa dietro l'uso di MD, la quale necessita di una minima conoscenza del lessico informatico imho]

questo è il link al download:
http://www.torchsoft.com/en/download.html

per ogni eventuale problema grammaticale o di traduzione che trovate mandatemi pure una mail o un PM, provvederò a sistemare al più presto


Saluti a tutti

[commi]

Grazie cloutz, l'ho appena scaricato; condivido la scelta di lasciare alcune parole "intradotte".
Faccio i complimenti e rinnovo i ringraziamenti a te ed erreale, aggiungendo un "in bocca al lupo" per sabato.

Conto di installare il pacchetto ITA appena posso.... purtroppo, da più di un mese a questa parte, il tempo per mettermi al pc è quasi inesistente.

Chiedo scusa, quindi, per non aver potuto mantenere l'impegno a suo tempo assunto nel testare MD con i sample segnalati da enne.
Spero di poterci dedicare un pò di tempo quanto prima.

Un saluto a tutti.

[cloutz]

Quote:

Originariamente inviato da commi

Grazie cloutz, l'ho appena scaricato; condivido la scelta di lasciare alcune parole "intradotte".
Faccio i complimenti e rinnovo i ringraziamenti a te ed erreale, aggiungendo un "in bocca al lupo" per sabato.

Conto di installare il pacchetto ITA appena posso.... purtroppo, da più di un mese a questa parte, il tempo per mettermi al pc è quasi inesistente.

Chiedo scusa, quindi, per non aver potuto mantenere l'impegno a suo tempo assunto nel testare MD con i sample segnalati da enne.
Spero di poterci dedicare un pò di tempo quanto prima.

Un saluto a tutti.

Grazie per l'in-bocca-al-lupo...e crepi

Io ho installato l'attuale versione sopra l'inglese senza problemi.. ho provato anche su una VM e stesso risultato...
ogni ulteriore feedback è ben accetto ovviamente

Buona serata

[commi]

Rilasciato RTD Smart 1.0 Beta 2.

Il download diretto del pacchetto di installazione:
http://www.rtdefender.com/downloads/rtdsmartbeta2.exe.

Changelog (by google translate):

- Updated the built-in rules to make the rules more reasonable;
- Improved the logic of the installation of software;
- Recommended user warning window Added the function to make a choice;
- Proven to increase the security function;
- Improved some aspects of the design;
- Department to repair a number of interfaces on the bug;
- Repaired may cause a blue screen of the bug.

[cloutz]

@commi:

consiglio di aspettare un paio di giorni e riscaricare il pacchetto in ita, ho mandato delle nuove correzioni a Xiaolin...niente di importante comunque, si tratta di 3-4 imprecisioni (tipo maiuscole/minuscole)...

va be lo dico per correttezza, almeno ti trovi la versione superaggiornatissima

Saluti

edit:
Xiaolin ha aggiornato il file
Download

[commi]

Quote:

Originariamente inviato da cloutz

@commi:

consiglio di aspettare un paio di giorni e riscaricare il pacchetto in ita, ho mandato delle nuove correzioni a Xiaolin...niente di importante comunque, si tratta di 3-4 imprecisioni (tipo maiuscole/minuscole)...

va be lo dico per correttezza, almeno ti trovi la versione superaggiornatissima

Saluti

edit:
Xiaolin ha aggiornato il file
Download

Grazie per la segnalazione cloutz.

Ho provato la precedente ver. ITA e devo dire che è stato fatto un eccellente lavoro(ne):
complimenti

Mi appresto a provare la ver. aggiornata: se noterò qualcosina te lo farò sapere dopo questo sabato

[Kohai]

Ragazzi, buonasera a tutti, complimentoni per gli argomenti trattati e tanto di cappello per la vostra bravura... infatti mentre vi scrivo mi sento piccolo piccolo

Ho una domanda da porvi e mi scuso in anticipo per la mia eventuale incompetenza al tema trattato.

Volevo sapere se il modulo hips integrato nel firewall Online Armor sia da considerare alla stregua di quelli trattati da voi in queste ultime pagine o diverso (e quindi sarei curioso di sapere pregi e difetti di tale differenza).

Allego 2 link a 2 immagini (tanto per farne un esempio eh?! ) che ritraggono malware defender e le opzioni di OA, eccole:
-> http://www.picoodle.com/view.php?img....png&srv=img31
-> http://img245.imageshack.us/img245/6907/immaginenar.jpg

Ad un occhio impreparato come il mio sembrerebbero quasi uguali, attendo quindi fiducioso una vostra delucidazione al riguardo ed una risposta al mio quesito amletico.

Ciao e grazie

[nV 25]

Io, invece, approfitto dellla risalita di questo thread per segnalare che Riazzituoi ha avuto modo di testare il recente Worm Allegedly che stà facendo parlare parecchio di sè in questi ultimi giorni in quanto capace di bypassare diversi sistemi di Rollback...

http://www.wilderssecurity.com/showthread.php?t=248137



Da quanto ci dice Riazzi, inoltre, Sandboxie (che cmq non è un software di Rollback..) non è vulnerabile a questo malware...

Chissà se DefenseWall, invece, ehm...come dire*...?


Worm Allegedly Bypasses System Rollback Software

* se hai modo di testarlo, anzi...

[nV 25]

Spero di stuzzicare al test Riazzituoi dichiarando che anche Allegedly, come la stragrande maggioranza dei suoi predecessori, se ne ritorna allegramente al via senza riscuotere, peraltro, le famose 20.000 lire (Monopoli... )

[Sicuro anzi di averti stuzzicato a dovere, ti chiederei di allegare anche il log di Dw...]







Sulle differenze tra OA/MD:

entrambi sono sui livelli di eccellenza anche se MD si rivolge sicuramente ad un pubblico più raffinato...

Le differenze + macroscopiche tra le 2 soluzioni, cmq, dovrebbero risiedere nella funzionalità run safer (peculiare di OA) e nel fatto che OA è "più Firewall" di MD...

Questo, giusto in soldoni e senza scendere troppo nei particolari che rimetto volentieri, anzi, ad altri più preparati...

[riazzituoi]

.

[cloutz]

Quote:

Originariamente inviato da nV 25

Questo, giusto in soldoni e senza scendere troppo nei particolari che rimetto volentieri, anzi, ad altri più preparati...

dai nV qua di gente più preparata di te sugli hips non ce n'è, lo sai

@ Kohai
come già detto... in generale le aree protette dai due programmi sono le stesse solo che OA tende a decidere da solo e interrogare l'utente se strettamente necessario (per i vari oasis & co), mentre MD no....

per altre specifiche...

• MD in definitiva si rivela un hips più puro, mancando un pò dal lato firewall...in questo senso la cosa è voluta: Xiaolin non ha intenzione di sviluppare in modo significativo il firewall...
  mentre OA ha una buon modulo firewall...

• per l'opzioe di riduzione di privilegi gliel'ho chiesto personalmente e ha detto che ci penserà, sono scettico cmq
  Mentre OA ha già quest'opzione, che imho è un grosso punto a suo favore!

• MD è molto più versatile e più customizzabile (sotto diversi punti di vista), OA direi proprio di no

questo è ciò che mi è venuto in mente, le cose principali, anche avendo letto il post di nV...per il resto non saprei...potrei dirti che MD occupa 15 Mb e OA quasi 60, anche se non penso ti interessi

Saluti

[nV 25]

non per falsa modestia, ma Riazzituoi (ad es..) mi va via anche in retromarcia...

Ma cmq, non è che stiamo qui a fare una gara su chi sa di più o di meno:
io, in questo settore, sono assetato di conoscenza e chiunque possa offrirmi spunti di riflessione o altro è benvenuto visto che mi offre motivo per crescere, che è poi fondamentalmente lo scopo per il quale continuo a seguire tutte queste tematiche...


@ riazzi (ecc..):
su', non rompere le pelotas con le tue legittime affermazioni e fai un check, che Ilya è alle prese con un curioso (?) errore nel codice della v3 e mi ha candidamente ammesso di non avere troppissimo tempo per verificare di persona...

Dal canto mio, ho tempo giusto per respirare e rimetto volentieri la palla al centro...

[nV 25]

Visto il clima di "familiarità" & "intimità" che caratterizza questo thread, vi riporto per chiarezza la mia missiva con Ilya...

In sostanza, a causa del mio tempo libero (0..) che mi impedisce di procedere di persona alla verifica, gli ho passato il link del sample e questa è stata la risposta:
"Well, I did run that samples and I see nothing with the log. Very strange.
But I don't see anything passed though. Tomorrow will try to run it for an hour."

C'è quindi una stranezza di fondo, e cioè che l'esecuzione del malware non produce nessun tipo di evento...
Allo stesso tempo, non registra anomalie al sistema...
"Si promette" di riverificare il sample (erano le 23 di ieri sera, l'1 di notte di Mosca..)

Alla mia successiva mail nella quale si diceva sostanzialmente cosa fosse emerso dalla sua successiva e più approfondita verifica, la risposta è stata di questo tenore:
"Yes, no news as I'm very busy with a strange BSOD issue with the V3 driver. When I find and fix the driver, I'll back to the topic."

Il tutto avveniva praticamente in tempo reale visto che, come detto + volte, tra le mie mail e le sue risposte non passano più di 20 minuti....

PS: a regola dal mese di agosto dovrebbe essere disponibile la beta della v3 che, come potete immaginare, ATTENDO IMPAZIENTE visto che implementerà una sorta di basic firewall in linea con la filosofia del suo HIPS:
effettività coniugata alla semplicità di utilizzo...


Vediamo, ma credo che brucerà i vari test di Matousec a prezzo di 0/1 (?) pop-up...

**********************************************

@ erreale:
dispiace veder cancellati i tuoi post per un moto di rabbia sebbene abbia quasi sicuramente capito da cosa sia stato indotto...

Questo thread, infatti, "non aveva colpa" della vicenda e perde sicuramente qualcosa...

Ciao, Ale!

[eraser]

Quote:

Originariamente inviato da riazzituoi

Se infatti il malware in questione riece a bypassare il driver del file system (sotto il controllo dell'I/O manager), può scrivere sul disco direttamente grazie al disk driver, in quanto verrà bypassato anche il driver filtro (che redirige la scrittura nella cache "virtuale"), figurativamente situato tra i due.

PS
dato che ho passato il sample anche a un altro utente, è probabile che lo testi su software differenti.

Gran parte dei software in questione non lavora a livello del driver che gestisce il file system, non solo almeno, visto che sarebbe folle e totalmente insicuro.

Invece il driver che gestisce la comunicazione con i dischi, il famoso "disk.sys" è quello che solitamente viene filtrato da questi software. La bravura sta tutta nel bypassare questo filtro (cosa peraltro abbastanza facilmente attuabile).

Quote:

Originariamente inviato da riazzituoi

Il sample è stato passato anche a Prevx.

Sì, mi è arrivato sotto mano il sample giusto ieri per analisi. È sicuramente molto interessante come sample, almeno ad una prima analisi tecnica.

[riazzituoi]

.

[eraser]

Quote:

Originariamente inviato da riazzituoi

se posso permettermi, sarebbe utile pubblicare qualcosa, soprattutto perchè c'è gente che è ancora scettica nel credere che questo o altri malware possano bypassare programmi di recovery/virtualizzazione.
E sinceramente non so se è più pericoloso il malware in questione, o questi utenti....

Come avevo detto già in un intervento precedente qualche tempo fa, non credo molto a queste tecnologie perché posso assicurare che sono facilmente bypassabili, perlomeno per come è ora il loro design.

Infatti quando mi è giunta voce di questo malware non mi ha stupito assolutamente, anzi mi sembrava strano che ancora non fosse stato sviluppato