|
|
|
|
Strumenti |
18-04-2008, 17:25 | #21 |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
In ambiente sandboxato crasha direttamente l'applicazione.....
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... |
18-04-2008, 17:28 | #22 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
@ sampei:
io dissi che quando l'hips di KIS 8 arriverà alla stessa sofisticazione di PS, chissà dove sarà PS... Understand? Perchè ufficialmente è si' fermo alla 1.43 del 29/1/08 ma sotto le ceneri il progetto va avanti.. (non farmi anzi aggiungere altro dato che mi è stato richiesto di non parlare*...) IDEM per altri hips (EQS e cosi' via...) Quando arriverà la v8, è probabile che resti alla 7 o che shifti verso altre soluzioni... Vedremo... PS: cmq non releghiamo il thread a PS ma (se possibile) estendiamolo anche ad altri prodotti: io ho dato rilievo al mio...perchè uso quello e non potevo fare altrimenti, ma avrei fatto la stessa identica cosa per altri software se li avessi avuti sotto il cofano... *sarò un boss? -------------------------------------- EDIT: il test in sè per sè credo sia interessante perchè va a valutare diverse cose, alcune anche sofisticate. Guai a pensare cmq che le meccaniche implementate nei virus (un pochettino + cazzuti..) siano *SOLO* quelle del tool in questione: in questo senso, allora, questo strumento può assimilarsi in definitiva al vecchio adagio "meglio di un calcio nelle °°".... ma tant'è.... Se dico boiate, fatemelo notare Ultima modifica di nV 25 : 18-04-2008 alle 17:42. |
18-04-2008, 17:53 | #23 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
__________________
Try again and you will be luckier.
|
18-04-2008, 17:59 | #24 | |
Senior Member
Iscritto dal: Aug 2006
Messaggi: 4350
|
Quote:
|
|
18-04-2008, 21:29 | #25 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Si, per il momento non mi sembra stia sfigurando
__________________
Try again and you will be luckier.
|
18-04-2008, 22:43 | #26 |
Senior Member
Iscritto dal: Apr 2007
Messaggi: 2301
|
|
19-04-2008, 10:18 | #27 |
Senior Member
Iscritto dal: Feb 2007
Città: Salerno......
Messaggi: 3254
|
Ehehehe..socio come ragionavamo in privato...lo sai come devi fare...
__________________
Opera disabilitazione script ed iframe Recuperare le proprie password on line. Messenger: massima attenzione ai SITI TRUFFA | GUIDA:ShutdownTimer (Spegnimento auto pc) | Quando il centro sicurezza non riconosce i soft. Guida a Malwarebytes' Anti-Malware = tiemp bell e na volta... |
19-04-2008, 10:38 | #28 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
e, di grazia, si può sapere qual'è il motivo del pianto disperato nonchè della richiesta di aiuto?
Nessuno cmq che mi fa screen/posta il log del solo test n°2 sia nell'ipotesi in cui si vietino tutti i comportamenti anomali nonchè nel caso di assenso alla creazione/scrittura/sovrascrittura dei file in system32\drivers? Chill-out? [...]? Aiò! GRAZIE PS: e se mettessi nel 1° post i risultati registrati con soluzioni di difesa diverse? Ultima modifica di nV 25 : 19-04-2008 alle 13:18. |
19-04-2008, 13:16 | #29 |
Senior Member
Iscritto dal: Apr 2007
Messaggi: 2301
|
subito dopo ctl.exe crasha(allegato) mi ritrovo il processo nel task(secondo allegato) in pratica mi ritrovo nella sua stessa situazione: http://www.wilderssecurity.com/showp...79&postcount=3 account admin,sandboxie 3.24,ma anche con la 3.25 a quanto pare siamo sempre lì.... ps:qualcuno di voi,sempre per restare in tema di test,ha fatto il BOTester(sempre sfornato da comodo group)? Ultima modifica di BEY0ND : 25-04-2008 alle 12:42. |
19-04-2008, 21:37 | #30 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
stesso vale per GeswWall Free, risultati diversi http://www.wilderssecurity.com/attac...1&d=1208553338 http://www.wilderssecurity.com/attac...1&d=1208633358
__________________
Try again and you will be luckier.
Ultima modifica di Chill-Out : 19-04-2008 alle 22:05. |
|
20-04-2008, 00:47 | #31 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
|
20-04-2008, 07:11 | #32 |
Senior Member
Iscritto dal: Mar 2008
Messaggi: 18220
|
Mah... posso avanzare quelche dubbio sulla validità del test? A me qualcosa non torna, o perlomeno non riesco a trovare spiegazioni valide alle differenze che vado a proporre:
XP home edition, test eseguito come utente limitato: Sempre XP HE test eseguito con il runas (esegui come amministratore): XP HE test eseguito con account di amministratore a tutti gli effetti: Ora qualcuno saprebbe spiegarmi come mai il servizio Background Intelligent Transfer riesca regolarmente a scaricare il file se effettuo il test come amministratore mentre magicamente viene bloccato se lo effettuo con l'esegui come? Ed il DLL Injection 2 come mai riesce ad essere portato a termine se lancio il test con l'esegui come e viene invece bloccato da amministratore? Decisamente strano che la dll risulti non accessibile da amministratore, mentre lo sia regolarmente con l'esegui come. Secondo me qualcosa di sbagliato in quei test c'è. ps. l'unico programma di sicurezza che gira in background è Antivir premium, che però non segnala nulla, quindi non penso dipendi da lui. Niente HIPS e niente PFS. Saluti. |
20-04-2008, 10:00 | #33 | |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Quote:
Con tutte le fotarelline come piacciono a me.... OSSERVAZIONI su D+: 1- se non ho letto male su Wilders (correggetemi se sbaglio!!), il 2° pop up in assoluto che si registra a livello temporale (foto sotto..) *non comporta* nessun tipo di conseguenza sullo svolgimento del test indipendentemente dal fatto che si risponda ok o nega.... E' possibile che l' "obtain an elevated privilege" (API collegata: AdjustPrivilegeToken?) sia l'ennesimo FP non ancora corretto di D+ o che, sotto certe condizioni, sia mal implementato.... WHO KNOWS? 2 - attinente al Rootkit test 2, quello che interessa a me.... Siccome il tentativo di accesso all' SCM è mostrato subito all'inizio del test, ne ricavo che D+, in qualche maniera, "isola" di default alcune zone dell'OS che rimandano ad elementi di criticità (come per l'appunto system32\drivers..) Se non ho letto male, infatti, te hai detto OK e subito dopo sono apparsi i tentativi di sovrascittura su beep.sys e, a ruota, la creazione di beep.sys_old?... (non c'è traccia, xò, di beep.sys? !!) (PS: sarebbe interessante vedere cosa succede quindi se blocchi subito l'accesso all'SCM...) Il mio dilemma, cmq, me lo può risolvere solo lo svil di PS (che xò ora è in "SABBA STATE"... ) o nick s (su wilders..) Perchè non registro l' "apertura" di beep.sys (che è già caricato da XP) come avviene per n-veri-rootkit? (Nulprot, Cutwail-Storm worm, [...])? ES: Forse il tool di Comodo è "più morbido" dei recenti rootkit ITW? 3 - Legato al 3°/4° test: come avevo anche detto precedentemente nelle note per PS, è necessario autorizzare preventivamente la creazione/scrittura del file dll.dll su HD altrimenti il test muore sul nascere restituendo la voce "error". In sostanza, negando subito la creazione/scrittura, non si da modo al test di fare effettivamente tutto il suo corso di azioni maligne.. Si passa, per carità, ma in una fase più a monte (di fatto, simuleremmo un sandbox o un account limitato): è bello, allora, seguire un pò di più lo "scorrere della corrente verso il mare" per vedere il seguito.... Ultima modifica di nV 25 : 20-04-2008 alle 10:14. |
|
20-04-2008, 10:13 | #34 |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Nel mio caso OA segnalava la sovrascrittura e salvataggio di beep.sys ho quindi provato a rifare i test bloccando questo processo..
il primo messaggio che si apre, e in questo caso l'unico, è di eseguire il programma: poi la fine stradi avvio del programma dove premo il tasto "test": in meno di 2 secondi ho la fine dei test: in differita prevx mostra il popup di cosa sta avvenendo o per meglio dire cosa è successo: questa è l'elenco dei programmi concessi/bloccati in OnlineArmor ordinati dal più recente al più vecchio: account del gruppo amministratori, avira pe, prevex2.0, a-squared-antimalware, Online Armor... lo stesso test su account limitato (vergine): prima richiesta d'esecuzione come prima in 2 secondi mostra la fine del test: in differita prevx segnala questo: le impostazioni di OnlineArmor sui prog bloccati che è medesima a prima inquanto in comune:
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
Ultima modifica di xcdegasp : 20-04-2008 alle 10:32. |
20-04-2008, 10:33 | #35 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
...e se invece beep.sys NON fosse un driver effettivamente caricato sul mio OS (il che spiegherebbe perchè non c'è tentativo di apertura..) ?
Mi sa che sono vicino alla soluzione... Chi mi da i comandi per SC? |
20-04-2008, 10:50 | #36 |
Senior Member
Iscritto dal: Jan 2005
Messaggi: 7200
|
Il test mi sembra decisamente interessante e mi piacerebbe testarlo su EQS 3.41 (la v 4.0 è oggettivamente ancora troppo buggata a mio modo di vedere. ).
Siccome al momento non ho a disposizione una VM su cui svolgere i test senza paura di far saltare tutto, preferisco rimandare il mio test a quando avrò più tempo. Tuttavia, ciò non mi ha impedito di soddisfare la mia curiosità...così ho pensato di dare una spulciata ai commenti su Wilders, dove ho appreso che EQS blocca tutti i test tranne il BITS Hijack. Sembra però che esista una qualche chiave di registro che, se aggiunta al monitoraggio della rule-list, permetterebbe di prevenire il dirottamento. Regards |
20-04-2008, 11:28 | #37 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
tutti passano tutto, e tutti vissero felici e contenti ....
Su EQS (3.41): i risultati, prima del post chiarificatore di Mele20, sembravano xò onestamente molto discordanti... Mi rendo sempre più conto cmq che, a prescindere da questo specifico test e specie alla luce della sofisticazione cui sono arrivati questi software, i risultati registrati sono talvolta troppo correlati al manico: in questo senso, dunque, l'idea alla base di DefenseWall espone meno (o nulla) l'utente al rischio di errori nella configurazione delle regole, ecc visto che è lo sviluppatore stesso del software che si addossa questa responsabilità.... Su OA2: faccio fatica a seguire il post del mod visto che non sono pratico di questo software... Delle Prevx, poi, conosco solo il loro tool di rimozione gratuito*... Nessuno cmq mi dice quali comandi è necessario utilizzare per vedere quali driver sono caricati dal SO? *condivido peraltro la scelta di togliere la registrazione degli eventi dal log visto che le motivazioni (su Pc al sicuro..) sono lineari.... |
20-04-2008, 12:40 | #38 |
Bannato
Iscritto dal: May 2007
Città: London
Messaggi: 3186
|
Per rispondere ai tuoi dubbi ti posso dire che:
1- no non hai letto male, anche dandogli il permesso il risultato non cambia, dovrei fare altre prove per capire meglio... ma non ho tutte le risorse che hai tu (mi dovresti dire dove posso prendere uno di questi rookit.. magari in MP, o forse già hai scritto da qualche parte dove, non ricordo). 2- giusto, alla richiesta di accesso all'SCM ho dato l'OK per far terminare il test, in questo modo mostra Protected, se blocco subito l'accesso all'SCM il test mi da errore e prosegue. Non ho capito una cosa: in che senso non c'è traccia di beep.sys? Perchè dovresti registrarne l'apertura? Non mi sembra che beep.sys venga aperto.. viene tentata la modifica e poi la creazione di beep.sys_old. O forse non mi è chiaro qualcosa? Un'altra cosa curiosa avviene nel terzo test DLL injection 1, se alla richiesta della creazione di un nuovo files dll.dll do l'accesso e dopo nego alle richieste successive di clt, ad accedere a svchost in memoria e a modificare una chiave protetta del registro, succede che il test rimane "congelato" cioè nell'interfaccia rimane scritto Testing... e passa a quello successivo. Continuo, DLL injection 2. Di nuovo domanda per la creazione di dll.dll, accetto, e mi passa il test dandomi Protected. Continuo, BITS Hijack, access a protected COM interface, accetto... passo anche questo, Protected e DLL Injection rimane in Testing... Anch'io non sto capendo un mazza. |
20-04-2008, 13:10 | #39 |
Bannato
Iscritto dal: Jan 2003
Città: Lucca
Messaggi: 9119
|
Premessa:
il tool è fatto da Comodo e quindi, a meno che uno non ne abbia scardinato le regole, D+ dovrebbe superare...il test dei suoi programmatori. (altrimenti, data la famosa lotta in atto, ci andrei al maniomio se facessero test che neppure loro riescono a passare.. ) I fatti: sul p.to n°1, allora avevo letto bene. (per quanto riguarda il link dei rootkit, invece, lascerei perdere vista la loro "delicatezza": spero tu mi capisca e non me ne voglia...) Sul p.to n°2: ProSecurity, dopo il BLOCCO alla modifica di un file legittimamente presente sull'HD (beep.sys), segnala la creazione di 2 files, beep.sys_old & beep.sys? (con il punto interrogativo finale). Diciamo che era una semplice osservazione... Invece una cosa non ho l'ho capita benissimo: se impedisci A MONTE l'apertura dell'SCM, il 2° test "muore" senza arrivare a coinvolgere altro (la modifica dei .sys ecc)? A regola è come dico... Sul p.to n°3: DLL injection 1 rimane effettivamente congelato dando i blocchi che dicevi... Considerazioni finali: Comodo ha copiato discretamente bene ProSecurity, non c'è che dire (non mi sfidate con le prove perchè su questo punto sono capace di annientare chiunque... E poi, queste prove non sono nient'altro che nella storia (lontana..) del forum ufficiale della Comodo group...) |
20-04-2008, 18:35 | #40 | |
Moderatore
Iscritto dal: Nov 2001
Città: Fidenza(pr) da Trento
Messaggi: 27465
|
Quote:
ma quello è il materiale. winlogon che viene usato da un qualcuno e nessun software dice nulla, non ci fosse stato il monitoring di prev nemmeno quello sapevo
__________________
"Visti da vicino siamo tutti strani..." ~|~ What Defines a Community? ~|~ Thread eMule Ufficiale ~|~ Online Armor in Italiano ~|~ Regole di Sezione ~|► Guida a PrivateFirewall
|
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 12:18.