Test Antivirus - Firewall - Antimalware - Suite

[Legolas84]

Quote:

Originariamente inviato da eraser

Tra parentesi, mi era sfuggita questa frase Se chi scrive codice, lo scrive da cani, per forza che altera il normale funzionamento del sistema operativo.

Ma c'è modo e modo di programmare, e ci sono software di sicurezza che rispettano in maniera eccezionale il sistema operativo.

D'altro canto ci sono altrettanti software di difesa proattiva che alterano in maniera spaventosa il funzionamento del sistema operativo

Kaspersky rispetta o stravolge?

[eraser]

Quote:

Originariamente inviato da Legolas84

Kaspersky rispetta o stravolge?

la prossima domanda?

[Legolas84]

Quote:

Originariamente inviato da eraser

la prossima domanda?

Non dirmi che non puoi dare un tuo giudizio (comunque soggettivo) in base alle tue conoscenze, su come lavora Kaspersky. Se poi non lo sai in quanto magari non hai accesso al software come lo hanno gli sviluppatori dello stesso è un altro discorso

[eraser]

Quote:

Originariamente inviato da Legolas84

Non dirmi che non puoi dare un tuo giudizio (comunque soggettivo) in base alle tue conoscenze, su come lavora Kaspersky. Se poi non lo sai in quanto magari non hai accesso al software come lo hanno gli sviluppatori dello stesso è un altro discorso

Dunque, questo è un mio personalissimo parere, quindi è una cosa da NON seguire. Né c'entra niente con la società attuale per cui lavoro

Ma, in ordine, con:

• Un setup di 67 MB
• 4 driver caricati nel kernel
• 10 callback routine registrate
• 48 SSDT hook
• 21 Shadow SSDT hook
• 6 ObjectType hook

E mi sto scordando sicuramente (e volutamente) qualcosa

Ma comunque sia, pur essendo un software molto efficace e ultra-premiato, come mia scelta personale non lo installerei mai nei miei sistemi

[Legolas84]

Quote:

Originariamente inviato da eraser

Dunque, questo è un mio personalissimo parere, quindi è una cosa da NON seguire. Né c'entra niente con la società attuale per cui lavoro, che tra l'altro lascerò formalmente a breve

Ma, in ordine, con:

• Un setup di 67 MB
• 4 driver caricati nel kernel
• 10 callback routine registrate
• 48 SSDT hook
• 21 Shadow SSDT hook
• 6 ObjectType hook

E mi sto scordando sicuramente (e volutamente) qualcosa

Ma comunque sia, pur essendo un software molto efficace e ultra-premiato, come mia scelta personale non lo installerei mai nei miei sistemi

Mi interessa tantissimo questo discorso, purtroppo però non sono abbastanza esperto da capire cosa possano causare di negativo al sistema tutti i punti che hai citato.... compromettono la stabilità del sistema? danno la possibilità a kaspersky di acquisire dati sensibili dell'utente? Vorrei capire ogni punto della lista che negatività comporta... anche perchè come detto uso Kaspersky fin dalla versione 6.0 quindi mi fa sicuramente piacere capire meglio!

[xcdegasp]

@ "Gianky....! " :
ti chiederei di modificare la firma perchè viola il Regolamento del Forum:

Quote:

Signature

E' possibile inserire una signature personale che rispetti una delle seguenti forme:

• massimo 3 righe di solo testo con un massimo di 3 smiles dell'Hardware Upgrade Forum. L'altezza massima della signature deve essere non superiore a quella di 3 righe di solo testo (approssimativamente circa 50 pixel).
  
  
• un'immagine 100 X 50 X 5KBytes di peso e una riga di testo (non deve andare a capo).

La lunghezza della propria signature deve essere verificata alla risoluzione di 1024 pixel, aiutandosi anche con il layout fixed al quale corrisponde una risoluzione di 1024 pixel.

grazie

[Romagnolo1973]

azz, eraser ci dai una ferale notizia ma me la immaginavo vedendo un po' come vanno le cose da quando webroot ha comprato prevx, si è aggiunto un livello decisionale che prima non c'era e che è molto differente dalla gestione precedente dove il focus erano gli utenti e le loro esigenze o problemi.

Facci sapere dove vai a "svernare", perchè chi acquisirà il tuo operato farà sicuramente un bel salto di qualità.

[nV 25]

Quote:

Originariamente inviato da Legolas84

Mi interessa tantissimo questo discorso, purtroppo però non sono abbastanza esperto da capire cosa possano causare di negativo al sistema tutti i punti che hai citato.... compromettono la stabilità del sistema? danno la possibilità a kaspersky di acquisire dati sensibili dell'utente? Vorrei capire ogni punto della lista che negatività comporta... anche perchè come detto uso Kaspersky fin dalla versione 6.0 quindi mi fa sicuramente piacere capire meglio!

sono tutti meccanismi tesi ad intercettare le "chiamate" che un programma effettua verso determinate risorse di sistema cosi' che "chi supervisiona" (in questo caso, il programma di sicurezza...) possa tenere sotto controllo quello che stà succedendo mettendo eventualmente in allerta l'utente o scartando automaticamente "la chiamata"...


A grandi linee, il concetto è questo...

Eraser, è ovvio, avrebbe la possibilità di integrare le 2 paroline spese sopra con un vero e proprio trattato ma la materia, come è facile immaginare, è estremamente complessa per essere trasmessa a chi come noi ha poche conoscenze informatiche...

Un'es. della complessità di cui sopra viene osservando questi articoli:
http://www.codeproject.com/KB/system/hooksys.aspx
http://www.codeproject.com/KB/DLL/funapihook.aspx
.....

[nV 25]

Banalizzando:

A, per ottenere il suo obiettivo, deve chiamare in causa la risorsa di sistema X.

Il programma di sicurezza prende il controllo della funzione che permette proprio lo sfruttamento della risorsa X (aggancia cioè la funzione che porta ad X reindirizzandola sotto il suo controllo, da qui hook o "agganciare")...


E' evidente, allora, che ogni qual volta A chiama in causa la risorsa X, è in realtà il programma che ha posto l'hook che "scarta" la richiesta d'uso di quella funzione visto che ne ha materialmente il controllo...


E' altresi' evidente che quando si mette mano al sistema cosi' in profondità "alterandone" quella che è la funzionalità "di default", se le cose non sono fatte bene si rischia di fare più danni della grandine, ecc...

Credo che eraser, quando ha manifestato la sua personale contrarietà, si riferisse a questo discorso, da qui il suo scetticismo verso i programmi troppo "invasivi" per quanto (magari) efficaci...

[Romagnolo1973]

bisogna dire , altrimenti magari si pensa che più hook ci siano e meglio è, che gli hook sono anche fonte di problemi e vulnerabilità, quindi più ce ne sono e più facile per un attaccante ben fatto è prendere possesso del sistema, idem per i driver, più ne usa un programma e più è facile sfruttarne il lavoro per altri non proprio ben intenzionati, oltre al fatto che i driver potrebbero portare a incompatibilità e malfunzionamenti sul pc. Quindi un buon programma antivirus o antiqualcosa dovrebbe avere un giusto bilanciamento tra il suo interfacciarsi col kernel e il non offrire il fianco ai virus. Un annetto fa (mi sa anche 2) quelli di Matousec trovarono una vulnerabilità che coinvolgeva gli hook ssdt che se ben sfruttato in coppia con un exploit di un pdf o un file word poteva portare all'infezione del pc senza che tutti gli AV dicessero nulla. Della vulnerabilità non soffrivano i prodotti Immunet e MSE perchè non usano hook SSDT per il loro funzionamento.
http://www.matousec.com/info/article...y-software.php

Edit: stavo scrivendo quando il buon ENNE ha ulteriormente dettagliato la sua risposta che è proprio quello che volevo mettere io in evidenza.

Chissà magari un giorno vedremo un bel elenco con una classifica dei vari software con indicato quanto vanno a modificare il sistema originale, sarebbe una bella cosa, un test diverso dai soliti, non so quanto significativo ma sicuramente originale, non penso però che mai lo vedremo

[nV 25]

magari poi riapri un nuovo thread visto che questo è stato inquinato.

Detto questo, ricordo i tempi in cui eraser diceva 1, 2....che poi portarono alla (famosa ) scannata, ecc...

[Legolas84]

Quindi sviscerando le cose in questo modo Kasper non sembra più così buono, anche se penso che tutti i programmi facciano uso di queste funzioni...

[eraser]

Quote:

Originariamente inviato da nV 25

E' altresi' evidente che quando si mette mano al sistema cosi' in profondità "alterandone" quella che è la funzionalità "di default", se le cose non sono fatte bene si rischia di fare più danni della grandine, ecc...

Credo che eraser, quando ha manifestato la sua personale contrarietà, si riferisse a questo discorso, da qui il suo scetticismo verso i programmi troppo "invasivi" per quanto (magari) efficaci...

Si, più o meno è questo

[eraser]

Quote:

Originariamente inviato da Legolas84

Quindi sviscerando le cose in questo modo Kasper non sembra più così buono, anche se penso che tutti i programmi facciano uso di queste funzioni...

Alt, non ho detto che non sia buono eh Non mettetemi in bocca parole che non ho detto

[maxx1973]

Quote:

Originariamente inviato da Legolas84

Quindi sviscerando le cose in questo modo Kasper non sembra più così buono, anche se penso che tutti i programmi facciano uso di queste funzioni...

Per essere buono, lo è; visti anche i risultati nei vari test.
Però, se ho capito bene, essendo radicato in profondità nel sistema operativo basta un errore da creare danni allo stesso e probabilmente se decidi di disinstallarlo è meglio formattare direttamente per togliere tutti i residui; ma questo succede per tutte le cose più complesse e non la vedrei con un essere non buono. Opinione mia

Ciao ciao

[Legolas84]

Quote:

Originariamente inviato da eraser

Alt, non ho detto che non sia buono eh Non mettetemi in bocca parole che non ho detto

Forse quelli di Kaspersky sono particolarmente bravi a mettere mano al sistema così in profondità.... a me sembra un ottimo prodotto, poi certo non posso sapere tutte le cose a riguardo che sai tu...

[eraser]

Quote:

Originariamente inviato da Legolas84

Forse quelli di Kaspersky sono particolarmente bravi a mettere mano al sistema così in profondità.... a me sembra un ottimo prodotto, poi certo non posso sapere tutte le cose a riguardo che sai tu...

Ma è anche una pratica altamente sconsigliata. Chi si ricorda BSODHook?

Senza considerare che con i sistemi a 64bit devono inventarsi qualche altro modo visto che non è possibile fare tutto quello che stanno facendo nella versione a 32 bit. E, visto che c'è la versione a 64 bit di Kaspersky, perché a 32 bit devono fare tutto questo macello?

[Legolas84]

Quote:

Originariamente inviato da eraser

Ma è anche una pratica altamente sconsigliata. Chi si ricorda BSODHook?

Senza considerare che con i sistemi a 64bit devono inventarsi qualche altro modo visto che non è possibile fare tutto quello che stanno facendo nella versione a 32 bit. E, visto che c'è la versione a 64 bit di Kaspersky, perché a 32 bit devono fare tutto questo macello?

Io uso Win64..... ma allora come funziona il mio? E' meno efficace?

[nV 25]

Quote:

Originariamente inviato da Legolas84

Io uso Win64..... ma allora come funziona il mio? E' meno efficace?

eraser non ha detto che su 64bit Kaspersky sia necessariamente meno efficace della versione a 32bit:
semplicemente fa notare che su 64bit lo stesso programma deve utilizzare un approccio diverso a causa della funzionalità PatchGuard che impedisce proprio la manipolazione di determinati elementi del Kernel tra cui, appunto, la tavola SSDT oggetto degli Hook di tipo tradizionale.

Dunque, dice eraser:
se su 64bit si è obbligati ad utilizzare un approccio diverso, perchè non utilizzare lo stesso metodo anche per i sistemi a 32bit?




Definitivamente eraser non ama l'API hooking...

[Legolas84]

Si ma quello che ho chiesto è: se su Win64 non può usare tutti i metodi di controllo descritti prima, allora che tipo di approccio usa Kaspersky?
Ed essendo un approccio diverso, è più o meno efficace?