Nuovo set di test da Comodo

[lancetta]

In ambiente sandboxato crasha direttamente l'applicazione.....

[nV 25]

@ sampei:

io dissi che quando l'hips di KIS 8 arriverà alla stessa sofisticazione di PS, chissà dove sarà PS...

Understand?

Perchè ufficialmente è si' fermo alla 1.43 del 29/1/08 ma sotto le ceneri il progetto va avanti.. (non farmi anzi aggiungere altro dato che mi è stato richiesto di non parlare*...)
IDEM per altri hips (EQS e cosi' via...)

Quando arriverà la v8, è probabile che resti alla 7 o che shifti verso altre soluzioni...
Vedremo...




PS:
cmq non releghiamo il thread a PS ma (se possibile) estendiamolo anche ad altri prodotti:
io ho dato rilievo al mio...perchè uso quello e non potevo fare altrimenti, ma avrei fatto la stessa identica cosa per altri software se li avessi avuti sotto il cofano...





*sarò un boss?



--------------------------------------
EDIT:
il test in sè per sè credo sia interessante perchè va a valutare diverse cose, alcune anche sofisticate.
Guai a pensare cmq che le meccaniche implementate nei virus (un pochettino + cazzuti..) siano *SOLO* quelle del tool in questione:
in questo senso, allora, questo strumento può assimilarsi in definitiva al vecchio adagio

"meglio di un calcio nelle °°"....

ma tant'è....


Se dico boiate, fatemelo notare

[Chill-Out]

I Tests stanno arrivando anche su Wilders

http://www.wilderssecurity.com/showthread.php?t=206668

[sampei.nihira]

Quote:

Originariamente inviato da Chill-Out

I Tests stanno arrivando anche su Wilders

http://www.wilderssecurity.com/showthread.php?t=206668

Vista sp1 non sfigura.....

[Chill-Out]

Quote:

Originariamente inviato da sampei.nihira

Vista sp1 non sfigura.....

Si, per il momento non mi sembra stia sfigurando

[BEY0ND]

[lancetta]

Quote:

Originariamente inviato da BEY0ND

Ehehehe..socio come ragionavamo in privato...lo sai come devi fare...

[nV 25]

Quote:

Originariamente inviato da BEY0ND

e, di grazia, si può sapere qual'è il motivo del pianto disperato nonchè della richiesta di aiuto?



Nessuno cmq che mi fa screen/posta il log del solo test n°2 sia nell'ipotesi in cui si vietino tutti i comportamenti anomali nonchè nel caso di assenso alla creazione/scrittura/sovrascrittura dei file in system32\drivers?

Chill-out? [...]?
Aiò!

GRAZIE



PS:
e se mettessi nel 1° post i risultati registrati con soluzioni di difesa diverse?

[BEY0ND]

subito dopo ctl.exe crasha(allegato)
mi ritrovo il processo nel task(secondo allegato)
in pratica mi ritrovo nella sua stessa situazione:
http://www.wilderssecurity.com/showp...79&postcount=3
account admin,sandboxie 3.24,ma anche con la 3.25 a quanto pare siamo sempre lì....

ps:qualcuno di voi,sempre per restare in tema di test,ha fatto il BOTester(sempre sfornato da comodo group)?

[Chill-Out]

Quote:

Running sandboxed with SBIE (EQS disabled)

Rootkit1-----protected
Rootkit2-----protected
DLL1--------some kind of loop, frozen in "testing"
DLL2--------protected
BITS--------leaktest crashes...I asume "protected"?


hhhmmm strange...I chose to test again sandboxed, now with "Run all tests" checked, and I got this:

Rootkit1-----protected
Rootkit2-----vulnerable
DLL1--------some kind of loop, frozen in "testing"
DLL2--------protected
BITS--------vulnerable

a parte che i risultati sono discordanti , ma per quanto riguarda BITS, si è vero che se ne và per conto suo ma sempre all'interno della sandbox

stesso vale per GeswWall Free, risultati diversi

http://www.wilderssecurity.com/attac...1&d=1208553338

http://www.wilderssecurity.com/attac...1&d=1208633358

[@Sirio@]

@ nV 25

Ho fatto il test: http://www.hwupgrade.it/forum/showpo...postcount=2987

[Nicodemo Timoteo Taddeo]

Mah... posso avanzare quelche dubbio sulla validità del test? A me qualcosa non torna, o perlomeno non riesco a trovare spiegazioni valide alle differenze che vado a proporre:

XP home edition, test eseguito come utente limitato:


Sempre XP HE test eseguito con il runas (esegui come amministratore):


XP HE test eseguito con account di amministratore a tutti gli effetti:



Ora qualcuno saprebbe spiegarmi come mai il servizio Background Intelligent Transfer riesca regolarmente a scaricare il file se effettuo il test come amministratore mentre magicamente viene bloccato se lo effettuo con l'esegui come?

Ed il DLL Injection 2 come mai riesce ad essere portato a termine se lancio il test con l'esegui come e viene invece bloccato da amministratore?

Decisamente strano che la dll risulti non accessibile da amministratore, mentre lo sia regolarmente con l'esegui come. Secondo me qualcosa di sbagliato in quei test c'è.



ps. l'unico programma di sicurezza che gira in background è Antivir premium, che però non segnala nulla, quindi non penso dipendi da lui. Niente HIPS e niente PFS.

Saluti.

[nV 25]

Quote:

Originariamente inviato da @Sirio@

http://www.hwupgrade.it/forum/showpo...postcount=2987

bello!
Con tutte le fotarelline come piacciono a me....

OSSERVAZIONI su D+:
1- se non ho letto male su Wilders (correggetemi se sbaglio!!), il 2° pop up in assoluto che si registra a livello temporale (foto sotto..) *non comporta* nessun tipo di conseguenza sullo svolgimento del test indipendentemente dal fatto che si risponda ok o nega....



E' possibile che l' "obtain an elevated privilege" (API collegata: AdjustPrivilegeToken?) sia l'ennesimo FP non ancora corretto di D+ o che, sotto certe condizioni, sia mal implementato....
WHO KNOWS?


2 - attinente al Rootkit test 2, quello che interessa a me....

Siccome il tentativo di accesso all' SCM è mostrato subito all'inizio del test, ne ricavo che D+, in qualche maniera, "isola" di default alcune zone dell'OS che rimandano ad elementi di criticità (come per l'appunto system32\drivers..)
Se non ho letto male, infatti, te hai detto OK e subito dopo sono apparsi i tentativi di sovrascittura su beep.sys e, a ruota, la creazione di beep.sys_old?...
(non c'è traccia, xò, di beep.sys? !!)

(PS: sarebbe interessante vedere cosa succede quindi se blocchi subito l'accesso all'SCM...)





Il mio dilemma, cmq, me lo può risolvere solo lo svil di PS (che xò ora è in "SABBA STATE"... ) o nick s (su wilders..)
Perchè non registro l' "apertura" di beep.sys (che è già caricato da XP) come avviene per n-veri-rootkit? (Nulprot, Cutwail-Storm worm, [...])?

ES:

Forse il tool di Comodo è "più morbido" dei recenti rootkit ITW?

3 - Legato al 3°/4° test:
come avevo anche detto precedentemente nelle note per PS, è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error".
In sostanza, negando subito la creazione/scrittura, non si da modo al test di fare effettivamente tutto il suo corso di azioni maligne..

Si passa, per carità, ma in una fase più a monte (di fatto, simuleremmo un sandbox o un account limitato):
è bello, allora, seguire un pò di più lo "scorrere della corrente verso il mare" per vedere il seguito....

[xcdegasp]

Nel mio caso OA segnalava la sovrascrittura e salvataggio di beep.sys ho quindi provato a rifare i test bloccando questo processo..
il primo messaggio che si apre, e in questo caso l'unico, è di eseguire il programma:



poi la fine stradi avvio del programma dove premo il tasto "test":



in meno di 2 secondi ho la fine dei test:



in differita prevx mostra il popup di cosa sta avvenendo o per meglio dire cosa è successo:




questa è l'elenco dei programmi concessi/bloccati in OnlineArmor ordinati dal più recente al più vecchio:





account del gruppo amministratori, avira pe, prevex2.0, a-squared-antimalware, Online Armor...


lo stesso test su account limitato (vergine):
prima richiesta d'esecuzione


come prima in 2 secondi mostra la fine del test:


in differita prevx segnala questo:



le impostazioni di OnlineArmor sui prog bloccati che è medesima a prima inquanto in comune:

[nV 25]

...e se invece beep.sys NON fosse un driver effettivamente caricato sul mio OS (il che spiegherebbe perchè non c'è tentativo di apertura..) ?

Mi sa che sono vicino alla soluzione...

Chi mi da i comandi per SC?

[pistolino]

Il test mi sembra decisamente interessante e mi piacerebbe testarlo su EQS 3.41 (la v 4.0 è oggettivamente ancora troppo buggata a mio modo di vedere. ).
Siccome al momento non ho a disposizione una VM su cui svolgere i test senza paura di far saltare tutto, preferisco rimandare il mio test a quando avrò più tempo.
Tuttavia, ciò non mi ha impedito di soddisfare la mia curiosità...così ho pensato di dare una spulciata ai commenti su Wilders, dove ho appreso che EQS blocca tutti i test tranne il BITS Hijack. Sembra però che esista una qualche chiave di registro che, se aggiunta al monitoraggio della rule-list, permetterebbe di prevenire il dirottamento.

Regards

[nV 25]

tutti passano tutto, e tutti vissero felici e contenti ....


Su EQS (3.41):
i risultati, prima del post chiarificatore di Mele20, sembravano xò onestamente molto discordanti...

Mi rendo sempre più conto cmq che, a prescindere da questo specifico test e specie alla luce della sofisticazione cui sono arrivati questi software, i risultati registrati sono talvolta troppo correlati al manico:
in questo senso, dunque, l'idea alla base di DefenseWall espone meno (o nulla) l'utente al rischio di errori nella configurazione delle regole, ecc visto che è lo sviluppatore stesso del software che si addossa questa responsabilità....

Su OA2:
faccio fatica a seguire il post del mod visto che non sono pratico di questo software...

Delle Prevx, poi, conosco solo il loro tool di rimozione gratuito*...



Nessuno cmq mi dice quali comandi è necessario utilizzare per vedere quali driver sono caricati dal SO?



*condivido peraltro la scelta di togliere la registrazione degli eventi dal log visto che le motivazioni (su Pc al sicuro..) sono lineari....

[@Sirio@]

Per rispondere ai tuoi dubbi ti posso dire che:

1- no non hai letto male, anche dandogli il permesso il risultato non cambia, dovrei fare altre prove per capire meglio... ma non ho tutte le risorse che hai tu (mi dovresti dire dove posso prendere uno di questi rookit.. magari in MP, o forse già hai scritto da qualche parte dove, non ricordo).

2- giusto, alla richiesta di accesso all'SCM ho dato l'OK per far terminare il test, in questo modo mostra Protected, se blocco subito l'accesso all'SCM il test mi da errore e prosegue.

Non ho capito una cosa: in che senso non c'è traccia di beep.sys?
Perchè dovresti registrarne l'apertura? Non mi sembra che beep.sys venga aperto.. viene tentata la modifica e poi la creazione di beep.sys_old.
O forse non mi è chiaro qualcosa?

Un'altra cosa curiosa avviene nel terzo test DLL injection 1, se alla richiesta della creazione di un nuovo files dll.dll do l'accesso e dopo nego alle richieste successive di clt, ad accedere a svchost in memoria e a modificare una chiave protetta del registro, succede che il test rimane "congelato" cioè nell'interfaccia rimane scritto Testing... e passa a quello successivo.
Continuo, DLL injection 2. Di nuovo domanda per la creazione di dll.dll, accetto, e mi passa il test dandomi Protected. Continuo, BITS Hijack, access a protected COM interface, accetto... passo anche questo, Protected e DLL Injection rimane in Testing...



Anch'io non sto capendo un mazza.

[nV 25]

Quote:

Originariamente inviato da @Sirio@

...

Premessa:

il tool è fatto da Comodo e quindi, a meno che uno non ne abbia scardinato le regole, D+ dovrebbe superare...il test dei suoi programmatori. (altrimenti, data la famosa lotta in atto, ci andrei al maniomio se facessero test che neppure loro riescono a passare.. )

I fatti:
sul p.to n°1, allora avevo letto bene. (per quanto riguarda il link dei rootkit, invece, lascerei perdere vista la loro "delicatezza":
spero tu mi capisca e non me ne voglia...)

Sul p.to n°2:
ProSecurity, dopo il BLOCCO alla modifica di un file legittimamente presente sull'HD (beep.sys), segnala la creazione di 2 files, beep.sys_old & beep.sys? (con il punto interrogativo finale).

Diciamo che era una semplice osservazione...

Invece una cosa non ho l'ho capita benissimo:
se impedisci A MONTE l'apertura dell'SCM, il 2° test "muore" senza arrivare a coinvolgere altro (la modifica dei .sys ecc)?
A regola è come dico...

Sul p.to n°3:
DLL injection 1 rimane effettivamente congelato dando i blocchi che dicevi...




Considerazioni finali:
Comodo ha copiato discretamente bene ProSecurity, non c'è che dire (non mi sfidate con le prove perchè su questo punto sono capace di annientare chiunque...
E poi, queste prove non sono nient'altro che nella storia (lontana..) del forum ufficiale della Comodo group...)

[xcdegasp]

Quote:

Originariamente inviato da nV 25

Su OA2:
faccio fatica a seguire il post del mod visto che non sono pratico di questo software...

Delle Prevx, poi, conosco solo il loro tool di rimozione gratuito*...

purtroppo non so cosa risponderti... vedessi che cosa va a fare, ci fosse un log, ci fosse qualcosa che potrei usare come analisi...
ma quello è il materiale. winlogon che viene usato da un qualcuno e nessun software dice nulla, non ci fosse stato il monitoring di prev nemmeno quello sapevo