Malware Defender - Tutorial

[cloutz]

visto che non risponde nessuno io continuo imperterrito
Questi sono test miei personali, improntati a verificare e capire il funzionamento di MD (ruleset di default), per questo non ho seguito le linee guida del 3d Virus testing machine.
Dato che avevo gli screen già fatti nn mi costa niente postarli, a puro titolo informativo..


Trojan.Srizbi.Dropper



Rootkit.Hideproc.B



Rootkit.Phide.A



Rootkit.Agent.GH



Rootkit.Agent.EZ



Trojan.Spy.Agent.NXS


Saluti

[cloutz]

Malware Defender 2.4.1 - stabile

English version: http://www.torchsoft.com/download/md_setup.exe
Italian version: http://www.torchsoft.com/download/md_setup_ita.exe


Changelog:
- Added protection against killing processes by terminating job object.
- Added support for verifying file signature of process modules in background.
- Added support for managing registry, shutdown and lego notify routines.
- Fixed a bug when handling relative path.
- Fixed a bug when displaying application rule dialog on low resolution screen.
- Fixed a bug that cannot log denied actions when accessing protected processes.
- Fixed a bug that may cause deadlock.
- Fixed a bug when scanning kernel DPC timers.
- Fixed bugs in the hex file viewer.

Saluti

[arnyreny]

e' in programma uno sviluppo per i 64 bit?

[cloutz]

incollo direttamente la risposta di xiaolin :

Hello Christian,

The x64 version of MD will not be released in near future. I have not
decided when to implement the x64 version.

Thanks,
Xiaolin

[@Sirio@]

Quote:

Originariamente inviato da cloutz

visto che non risponde nessuno io continuo imperterrito

...

Per quello che mi riguarda, anche se non ho risposto apprezzo i tuoi test, penso tu lo sappia.... ultimamente sto organizzando una grande cosa (per me almeno) ed il tempo per i test non riesco a trovarlo...

Ciao

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Per quello che mi riguarda, anche se non ho risposto apprezzo i tuoi test, penso tu lo sappia.... ultimamente sto organizzando una grande cosa (per me almeno) ed il tempo per i test non riesco a trovarlo...

Ciao

[ot]
ti capisco, ormai a malapena trovo il tempo di aggiornare i programmi (tranne oggi, che son a casa malato)
il pc lo uso solo per studiare e fare gli esercizi in java, quindi penso proprio di fare un grosso taglio al mio parco software.

il tutto senza, però, sottovalutare la sicurezza, dato che il wi-fi d'ateneo è pieno di smanettoni informatici
[/ot]


Saluti

[arnyreny]

Quote:

Originariamente inviato da cloutz

incollo direttamente la risposta di xiaolin :

Hello Christian,

The x64 version of MD will not be released in near future. I have not
decided when to implement the x64 version.

Thanks,
Xiaolin

primo o poi saranno costretti a decidere di implementare i 64 bit,visto che microsoft sta gia pensando a quella 128 bit...credo che bisogna aspettare che i 64 bit entrino nelle case di tutti
grazie e ciao

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

[ot]
ti capisco, ormai a malapena trovo il tempo di aggiornare i programmi (tranne oggi, che son a casa malato)
il pc lo uso solo per studiare e fare gli esercizi in java, quindi penso proprio di fare un grosso taglio al mio parco software.

il tutto senza, però, sottovalutare la sicurezza, dato che il wi-fi d'ateneo è pieno di smanettoni informatici
[/ot]


Saluti

Ri-OT...perdonatemi

Cloutz (buona guarigione) sarei curioso di sapere se nella tua facoltà è diffuso il Mac, se sì in quale rapporto presumibilmente rispetto agli altri OS.
Ciao.

[cloutz]

Quote:

Originariamente inviato da arnyreny

primo o poi saranno costretti a decidere di implementare i 64 bit,visto che microsoft sta gia pensando a quella 128 bit...credo che bisogna aspettare che i 64 bit entrino nelle case di tutti
grazie e ciao

bisogna però che ciò abbia benefici evidenti, altrimenti non è giustificato il cambiamento, e l'inutilità del "progresso per il progresso" è ben nota.
poi possono implementare pure i 128 e 256 bit, ma se a me (come al 99% degli utenti casalinghi) bastano i 32...

se poi si cambia per moda, allora è un'altra storia, ma non cercate di convincermi che è una necessità

Saluti

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

Ri-OT...perdonatemi

Cloutz (buona guarigione) sarei curioso di sapere se nella tua facoltà è diffuso il Mac, se sì in quale rapporto presumibilmente rispetto agli altri OS.
Ciao.

Nel mio corso di laurea più o meno sono divisi così (tieni conto che si parla di Informatica però, in Scienze della Formazione, per dirne una, dubito che siano questi i numeri ovviamente):

• Microsoft: pochini, un 25-30% (tutti Vista o Seven, solo uno o due Xp)
• Linux: tanti, un 35%
• Mac: tantini, 35-40%

I miei docenti per lo più usano Mac, qualcuno Seven già dalla rc
Posso darti questi dati perchè un giorno in aula mi ero messo a contarli (la lezione era pesantissima)

Darti delle info per ateneo è alquanto difficile. In generale, senza alcun dubbio, al di fuori di informatica si hanno più OS windows, a discapito di linux e mac..
grazie per la buona guarigione

Saluti

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

Nel mio corso di laurea più o meno sono divisi così (tieni conto che si parla di Informatica però, in Scienze della Formazione, per dirne una, dubito che siano questi i numeri ovviamente):

• Microsoft: pochini, un 25-30% (tutti Vista o Seven, solo uno o due Xp)
• Linux: tanti, un 35%
• Mac: tantini, 35-40%

I miei docenti per lo più usano Mac, qualcuno Seven già dalla rc
Posso darti questi dati perchè un giorno in aula mi ero messo a contarli (la lezione era pesantissima)

Darti delle info per ateneo è alquanto difficile. In generale, senza alcun dubbio, al di fuori di informatica si hanno più OS windows, a discapito di linux e mac..
grazie per la buona guarigione

Saluti

Si, mi interessava proprio "informatica".
Grazie dei dati.
Immaginavo una certa diffusione del Mac ma questi numeri sono oltre ogni aspettativa,grazie ancora

Perdonate questo nuovo OT,non si ripeterà più !!

[arnyreny]

Quote:

Originariamente inviato da cloutz

bisogna però che ciò abbia benefici evidenti, altrimenti non è giustificato il cambiamento, e l'inutilità del "progresso per il progresso" è ben nota.
poi possono implementare pure i 128 e 256 bit, ma se a me (come al 99% degli utenti casalinghi) bastano i 32...

se poi si cambia per moda, allora è un'altra storia, ma non cercate di convincermi che è una necessità

Saluti

non bisogna cambiare x moda ma x necessita' la vita va avanti...mi meraviglia un discorso del genere fatto da te che sei uno studente...o sei di quelli del xp a vita?

[cloutz]

Quote:

Originariamente inviato da arnyreny

non bisogna cambiare x moda ma x necessita' la vita va avanti...mi meraviglia un discorso del genere fatto da te che sei uno studente

Il fatto è che la mia vita decido io come deve andare avanti, non lo faccio dire a Microsoft, AMD, Intel ecc..
Vogliono implementare architetture x64, x128? liberi di farlo, ma perchè io la usi devo guadagnarci.
Si chiama capacità di giudizio (simile anche alla capacità critica), ed è proprio quello che ci insegnano a scuola

In sostanza si tratta di scegliere la versione giusta in base alle proprie esigenze, e vorrei conoscere l'utente casalingo a cui non bastano i 32bit per la gestione della memoria ed elaborazione interna dei dati, per stringergli la mano
2^32 indirizzi di celle (circa 4Gb), direi che bastano ad un utente casalingo..
lasciamo stare poi il fattore sicurezza sui 64bit che è mooolto relativo.

Quote:

Originariamente inviato da arnyreny

o sei di quelli del xp a vita?

sono di quelli che "si cambia quando è realmente conveniente", non quando aggiungono le finestre trasparenti
Scherzi a parte Vista l'ho provato, mi sono fatto un'opinione in merito e guardando i pro e i contro personali mi conveniva ancora XP (qui ritorna la capacità di giudizio).
Sia chiaro che non è da intendersi come chiusura mentale, ma semplice risultato di un'analisi personale.
Per frutto di una simile analisi credo proprio di passare a Seven tra non molto (mesi..)

Siamo molto OT ormai, chiuderei qui non tanto per me quanto per la gente che legge e riceve le notifiche del 3d, ritrovandosi magari risposte che non gli interessano...cmq disponibile anche a continuare in pvt se vuoi

Saluti

[cloutz]

ATTENZIONE: consiglio vivamente di aggiornare alla versione 2.4.3!

Codice:

Download Malware Defender 2.4.3:

English version: http://www.torchsoft.com/download/md_setup.exe
Italian version: http://www.torchsoft.com/download/md_setup_ita.exe

Infatti le precedenti versioni risultano vulnerabili a questo POC (nel link trovate tutte le info, molto chiare e dettagliate peraltro).
In particolare sembra che MD venga killato al riavvio, sia GUI che servizio.

Ad ogni modo ha corretto, in tempi molto brevi direi



p.s.: non ho ancora letto interamente quell'articolo, anche perchè si sa quanto è buona la traduzione di google ...appena ho tempo di leggerlo tutto per bene, e capire come agisce sto POC, magari lo provo..

Saluti

[cloutz]

a quanto pare questo mj0011, un security researcher cinese, sta mettendo alla prova MD creando questi POC in grado di bypassarlo (il che ci fa molto piacere, visto che la cosa è pubblica e Xiaolin corregge!)

a quanto pare i primi due POC riguardavano il modo in cui MD trattava gli hook (in particolare NtCreateFile), mentre ora è uscito il terzo POC di mj0011, che sfrutta un problema nella protection file

qui la nuova beta inglese 2.4.4_b1 che corregge l'ultimo POC
http://www.torchsoft.com/download/md_setup_2.4.4_b1.exe

Saluti

[@Sirio@]

Quindi sono validi solo per MD, cioè non riescono con altri HIPS?

Avevo scaricato killmdfile per provarlo con CIS...

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Quindi sono validi solo per MD, cioè non riescono con altri HIPS?

Avevo scaricato killmdfile per provarlo con CIS...

non credo che riesca a killare altri programmi, essendo il test basato proprio sulla gestione degli hook di MD (killmdfile)..
poi proprio la struttura è diversa, MD usa degli user mode hook (ring3), mentre se non sbaglio CIS usa dei kernel mode hook (ring0)

comunque provare non costa nulla!

[@Sirio@]

Quote:

Originariamente inviato da cloutz

non credo che riesca a killare altri programmi, essendo il test basato proprio sulla gestione degli hook di MD (killmdfile)..
poi proprio la struttura è diversa, MD usa degli user mode hook (ring3), mentre se non sbaglio CIS usa dei kernel mode hook (ring0)

comunque provare non costa nulla!

Si volevo farlo come ti ho detto..appena riesco provo.

Tornando a CIS.... li usa entrambi ..come altri programmi, se non sbaglio anche Outpost.

Le faremo sapere

[cloutz]

Ultima versione Beta: 2.4.4 b2

http://www.torchsoft.com/download/md_setup_2.4.4_b2.exe

What's new?
- Added protection against changing security permissions of files and registry keys.
- Fixed bugs when parsing file paths.
- Minor improvements and fixes.


Saluti

[cloutz]

NEWS!
Nuova beta 2.4.4_beta3

Download: http://www.torchsoft.com/download/md_setup_2.4.4_b3.exe

what's new since beta2?
- Improved the ability to detect actions of loading DLLs. (changed the implementation from RING3 to RING0)


NOTE: If you upgrade MD from old versions, it's recommended to restart system after upgrade.


...c'era qualcosa che bolliva in pentola in tutto questo apparente silenzio