Malware Defender - Tutorial

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Lo puoi dire forte ...cmq è tanto che vorrei provarlo, prima o poi lo farò.

Complimenti per il lavoro cloutz!

Quote:

Originariamente inviato da Roby_P

Complimenti cloutz

Hai fatto davvero un gran bel lavoro

grazie mille ragazzi!

scusate la mia assenza, attualmente sono in "vacanza" (in realtà è una vacanza-lavoro)..dovrei tornare per settembre...

Buona estate a tutti,
Enjoy!

[kkt77]

Programma interessante, come tutti gli hips, ottimo thread.
Peccato sia a pagamento per uso privato.
Un utente XP, al posto di questo potrebbe usare Netchina che, sulla carta, mi sembra offrire lo stesso servizio.
O sbaglio?

Saluti a tutti

[cloutz]

Quote:

Originariamente inviato da kkt77

Programma interessante, come tutti gli hips, ottimo thread.
Peccato sia a pagamento per uso privato.
Un utente XP, al posto di questo potrebbe usare Netchina che, sulla carta, mi sembra offrire lo stesso servizio.
O sbaglio?

Saluti a tutti

netchina l'ho provato, è molto più instabile e giovane..troppo acerbo imho

[xcdegasp]

thread spostato e linkato

[cloutz]

Quote:

Originariamente inviato da xcdegasp

thread spostato e linkato

grazie mod

[cloutz]

segnalo questo tutorial di arran su Wilders, propone un'ottima configurazione alternativa:
http://www.wilderssecurity.com/showthread.php?t=252773

..a dimostrazione della versatilità di MD, ancora poco apprezzato purtroppo


provvedo a linkarlo nei primi post

[sampei.nihira]

Ti segnalo il link sotto Cloutz.
Ovviamente tu che hai il sw puoi ricavarne maggiori info di quelle che possono avere altri che leggono solamente.
Spero di aver fatto cosa gradita.
Salutoni.


http://www.wilderssecurity.com/showthread.php?t=252964

[cloutz]

Ti ringrazio, ultimamente MD è molto discusso su Wilders

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall
sospetto che ci sia un errore di base, qualcosa che ci sfugge

[sampei.nihira]

Quote:

Originariamente inviato da cloutz

Ti ringrazio, ultimamente MD è molto discusso su Wilders

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall
sospetto che ci sia un errore di base, qualcosa che ci sfugge

E' direi (purtroppo) un evento inevitabile che sotto Windows prima o poi si evidenzi una falla in un sw di sicurezza che prima (ognuno di noi) riteneva, magari erroneamente, quasi inviolabile.
Credo che mal accettare questa che ho definito "inevitabilità" abbia contribuito non poco alla mia curiosità verso il mondo Linux.
E' quindi saggio costruirsi una difesa multistrato per queste "fatalità" magari poco diffuse ma che costituiscono spesso,almeno per molti di noi,un pericolo quasi "insopportabile".

E infine una dolorosa constatazione.
Mi sembrano lontani i tempi quando su HW un pool di volenterosi contribuivano nell'insieme ad approfondire proprio queste questioni.

Spero quindi,perchè anche io non mi sottraggo alle mie mancanze,che dalle ceneri risorga presto quest'araba fenice che ha volato profiquamente fino ad ieri....

I miei migliori saluti.

[commi]

Quote:

Ti ringrazio, ultimamente MD è molto discusso su Wilders

io purtroppo ho avuto problemi con il pc, momentaneamente ho installato Comodo..
cmq wat0114 sa ciò che dice, MD lo conosce meglio di me..gli credo sulla fiducia

scherzi a parte, in settimana installo MD e provo..in caso segnalo a Xiaolin..


p.s.: Aigle ha dimostrato che oltre al D+, OA e GW, anche MD è vulnerabile al b.css!!
io avevo provato ma non ero riuscito a ricreare lo stesso scenario, commi mi pare avesse constatato il fallimento...
mi sembra strano, però, che lo falliscano tutti, persino GesWall
sospetto che ci sia un errore di base, qualcosa che ci sfugge

Ho provato a rinominare anch'io il file wuaclt.exe in wuaclt.doc editando la regola di explorer.exe (che di default è su "consenti") impostandola su "chiedi" e, rispondendo "nega" all'alert proposto, non si riesce a rinominare il file.
Quindi, nessun problema per MD..... in questo caso .


Altro discorso, a mio parere, è la gestione/segnalazione delle operazioni di creazione / scrittura / cancellazione dei file da parte di MD;
cogliendo l'occasione offerta dal 3d su Wilders, propongo questi 2 screen:

1°. Nel caso si intenda consentire ad explorer.exe di rinominare il file wuaclt.exe in wuaclt.doc, appare il seguente pop-up (scrivi file), che lascia intendere che explorer.exe vuole intervenire ("scrivere") in un file già esistente e non da crearsi ex-novo; se si clicca su "consenti" il file viene regolarmente rinominato in .doc:





2°. Nel caso si voglia fare l'operazione inversa e cioè rinominare wuaclt.doc in wuaclt.exe, appare un pop-up di altro genere (crea file) come se si trattasse di un file non esitente che explorer.exe cerca di creare da zero:



Quindi, comportamenti differenti per una medesima operazione.

Tra l'altro, nel 2° pop-up, l'obiettivo non è wuaclt.exe, come erroneamente riportato, bensì wuaclt.doc; infatti, cliccandovi sopra in cerca di wuaclt.exe, si riceve il messaggio:




La gestione un pò bizzarra dei file l'avevo a suo tempo segnalata a Xiaolin con shots a corredo e supporto del mio inglese scarso, ma, come in altri casi, a quell'orecchio (il codice) non ci sente.



Riguardo il test con il file b.css, confermo la vulnerabilità di MD rilevata anche da Aigle.
Aggiungo che gli stessi risultati si ottengono lanciando TPR.pif (file creato da b.css) con explorer.exe, oltre che con il programma Xyplorer: prima del pop-up relativo all'esecuzione del processo TPR.pif, appare l'alert riguardante il tentativo di connessione ad internet da parte dello stesso explorer (lo stesso accade per Xyplorer).
L'ho provato anche su hips della vecchia guardia (RTD e SSM) oltre che con DW: nessuno segnala/blocca la presunta "manipolazione" di explorer.exe e Xyplorer.exe.

Ciao.

[cloutz]

Grazie infinite commi

1. Per quanto riguarda il test di modifica wuaclt.exe in wuaclt.doc, Xiaolin risponde qui...
   in sostanza si tratta di un problema di ruleset, di diritti troppo permissivi verso explorer.exe (suppongo probabilmente x il Learning Mode)
   
2. per la differenza scrivi/crea file non ci avevo mai fatto caso
   
3. mentre il fatto che falliscano praticamente tutti sul b.css , continua a lasciarmi sempre più perplesso.. ci sarà qualcosa di fondo che non funziona, che non capiamo..forse proprio come dice sampei, se le fondamenta non sono stabili prima o poi si cade

Quote:

Originariamente inviato da sampei.nihira

[...]
E infine una dolorosa constatazione.
Mi sembrano lontani i tempi quando su HW un pool di volenterosi contribuivano nell'insieme ad approfondire proprio queste questioni.

Spero quindi,perchè anche io non mi sottraggo alle mie mancanze,che dalle ceneri risorga presto quest'araba fenice che ha volato profiquamente fino ad ieri....
[...]

a cosa ti riferisci? a quando si discuteva sulle configurazioni di sicurezza??
altrimenti mi sa che parli proprio di tempi remoti, in cui non ero ancora entrato in hwu lol

Saluti

[cloutz]

Quote:

Originariamente inviato da commi

Riguardo il test con il file b.css, confermo la vulnerabilità di MD rilevata anche da Aigle.
Aggiungo che gli stessi risultati si ottengono lanciando TPR.pif (file creato da b.css) con explorer.exe, oltre che con il programma Xyplorer: prima del pop-up relativo all'esecuzione del processo TPR.pif, appare l'alert riguardante il tentativo di connessione ad internet da parte dello stesso explorer (lo stesso accade per Xyplorer).
L'ho provato anche su hips della vecchia guardia (RTD e SSM) oltre che con DW: nessuno segnala/blocca la presunta "manipolazione" di explorer.exe e Xyplorer.exe.

Qualcosa mi dice che la soluzione sta qui
Trismenegistos ha rifatto il test e quello che è venuto fuori, è che Aigle ha fatto un buco nell'acqua

rinominando b.css in b.exe lo esegue via explorer.exe e ne monitora le azioni normalmente. Poi, rendendo visibili i file nascosti, esegue trp.pif via explorer, constatando che compie le stesse ed identiche azioni di b.css (quindi trp.pif non manipola in alcun modo xyplorer, o chi per esso, ma compie le stesse azioni di b.css).

Continuando per logica, quegli avvisi non si sa da dove saltano fuori, ma non sono riferiti al malware (dato che ha sempre lo stesso comportamento, e quelle non sono sue azioni).

Quindi non c'è nessuna vulnerabilità secondo Trismenegistos..ammesso che lui abbia ragione, e io abbia capito bene

..che dite?

[@Sirio@]

Ora me lo vado a leggere e poi ti dico...
Anche perché ieri sera ho provato con il b.css (senza xyplorer, proverò in seguito) ed ho avuto altri risultati... li posterò fra poco nel solito 3D.

Ciao.

[cloutz]

Quote:

Originariamente inviato da @Sirio@

Ora me lo vado a leggere e poi ti dico...
Anche perché ieri sera ho provato con il b.css (senza xyplorer, proverò in seguito) ed ho avuto altri risultati... li posterò fra poco nel solito 3D.

Ciao.

io ho testato MD, ho uppato solo parte del log (quello che interessava a noi) : LINK

[leolas]

comlpimenti cloutz, anche se sono un pò in ritardo

è fatta molto bene! Che programma hai usato per i vari screenshots?

[cloutz]

Quote:

Originariamente inviato da leolas

comlpimenti cloutz, anche se sono un pò in ritardo

Grazie leo

Quote:

Originariamente inviato da leolas

è fatta molto bene! Che programma hai usato per i vari screenshots?

un programma difficilissimo da usare e da trovare in giro, me l'ha fornito Bill in persona...Paint

Saluti

edit:
scusa ho capito a cosa ti riferisci, all'immagine tutta colorata con le freccette
Per quello ho incollato lo stamp in Word2007, ho fatto tutte le cazzatine colorate con le frecce e ne ho impostato la trasparenza.. e poi ho fatto uno stamp del documento di word

[sampei.nihira]

Cloutz ho notato all'estero una notevole scissione degli utenti nell'uso degli HIPS,meno frequente è in Italia.
Ovviamente coloro che preferiscono un prodotto free si orientano su D+ ed OA,anche se devo ammettere che il vincitore trà i due mi sembra proprio D+.
Mentre tra coloro che usano HIPS non free và per la maggiore proprio MD cioè un "classical HIPS" oppure un "Policy Based HIPS" DW.

Occorre ammettere che sono i Fantastici 4 del momento.

Se non avessi tutta questa avversità per i prodotti non free devo essere sincero che opterei per l'installazione di DW.

E' ovvio che un utente che vuole passare da un prodotto free ad un prodotto non free troverebbe alla lunga più convenienza in MD (che ha licenza vitalizia) se ben ricordo anche se inizialmente costa più di DW.

Tu hai scelto MD (ed insieme a nV25 che usa DW) credo che siete pochissimi in Italia ad usare questi prodotti anche per l'aspetto licenza vitalizia ?

[cloutz]

Quote:

Originariamente inviato da sampei.nihira

Cloutz ho notato all'estero una notevole scissione degli utenti nell'uso degli HIPS,meno frequente è in Italia.
Ovviamente coloro che preferiscono un prodotto free si orientano su D+ ed OA,anche se devo ammettere che il vincitore trà i due mi sembra proprio D+.
Mentre tra coloro che usano HIPS non free và per la maggiore proprio MD cioè un "classical HIPS" oppure un "Policy Based HIPS" DW.

Occorre ammettere che sono i Fantastici 4 del momento.

Se non avessi tutta questa avversità per i prodotti non free devo essere sincero che opterei per l'installazione di DW.

E' ovvio che un utente che vuole passare da un prodotto free ad un prodotto non free troverebbe alla lunga più convenienza in MD (che ha licenza vitalizia) se ben ricordo anche se inizialmente costa più di DW.

Tu hai scelto MD (ed insieme a nV25 che usa DW) credo che siete pochissimi in Italia ad usare questi prodotti anche per l'aspetto licenza vitalizia ?

sinceramente credo che, tra i prodotti a pagamento, quelli per cui valga realmente la pena di spendere qualcosa siano Prevx, Malware Defender e DefenseWall...

in realtà non ho acquistato alcuna licenza per Malware Defender, semplicemente credevo in tale progetto, l'ho fatto presente a Xiaolin mettendo a disposizione il mio supporto per lo sviluppo del programma, inizialmente con la traduzione con erreale, che ringrazio ...X. ci ha voluto premiare per il lavoro, abbastanza lungo tra l'altro considerando che eravamo in2, regalandoci una licenza..
pian piano la cosa si sta allargando alla segnalazione di bug, consigli su nuove features..ora ho scritto la guida (forse l'unica seria in Italia, o probabilmente proprio l'unica), con sua grande soddisfazione...

quindi non mi sono preoccupato del costo o della scadenza della licenza, ho solo offerto la buona volontà, e la mia disponibilità, ed è stata ripagata

tornando a noi... per onestà intellettuale è necessario specificare che si tratta di programmi (DW e MD) totalmente differenti, per cui ogni paragone è forzato imho..
la scelta, cmq, tra i 2 software dipende dall'utenza: se con conoscenze medio-basse consiglierei DW, zero popup e massima sicurezza (la licenza è da rinnovare, ma d'altronde la pigrizia si paga ); se, invece, l'utente ha voglia di imparare e non ha paura di qualche popup indubbiamente MD..



non penso ci sia nessun ragionamento di parte in quest'ultima mia affermazione, è solo una constatazione personale


Saluti

[nV 25]

scrivo poco (o nulla, visto che mi sento arido di qualsiasi input...) ma vi seguo sempre con grande piacere...

PS: Vi piace la nuova firma dove troneggia il mulo?
Ah, che lavoratore, lui....

[cloutz]

Quote:

Originariamente inviato da nV 25

scrivo poco (o nulla, visto che mi sento arido di qualsiasi input...)

vorresti dire che non ti diamo input?








...

no cmq come vedi in questo 3d non è che ci sia molto traffico..e davvero gli input scarseggiano, mentre la voglia di lasciar perdere tutto avanza, dato che mi sento quasi un fanatico a parlare da solo (o cmq sempre con quei 2-3 come me fissati sugli hips)