Un software HIPS agisce monitorando il comportamento di un file e notificando all'utente qualunque comportamento sospetto esso intraprenda. Un software HIPS normale tiene sotto controllo solo determinate e prescelte aree del sistema.
DriveSentry (Download) è un software gratuito che ha la peculiarità di svolgere tutte le attività di un software HIPS in maniera un po' più personalizzabile. Significa che avremo la possibilità di settare le cartelle che il software dovrà monitorare, oltre ad averne una lista di predefinite.
DriveSentry gestisce i permessi di un processo in tre sezioni: cartelle, registro e dispositivi USB. In questo modo un processo potrebbe avere la possibilità di aggiungere e modificare file e cartelle, ma non nelle periferiche USB.
Insieme alle cartelle da monitorare, possiamo anche modificare la lista delle estensioni allarmanti. Solo la creazione di file con estensione in lista saranno notificati all'utente.
È anche possibile definire quali aree del registro di sistema monitorare. Dico indirettamente perché è tutto gestibile tramite delle opzioni del programma, non è possibile selezionare una singola chiave, DriveSentry permette di selezionare quali aree tematiche tenere sotto controllo, e, in maniera un pochino più complessa, anche scegliere singole chiavi da monitorare.
Naturalmente, come ogni software HIPS, c'è la possibilità di definire una lista di trusted application, programmi sicuri, che non hanno bisogno di autorizzazioni per eseguire operazioni nel sistema. Ovviamente, abbiamo già una lista di applicazioni fidate, parliamo di Esplora risorse, e di altri servizi fondamentali di Windows.
È disponibile un dettagliatissimo log delle operazioni effettuate da DriveSentry, ogni file che ha lasciato scrivere, ogni chiave modificata, è annotata in questi log.
Il programma contiene anche un piccolo database di firme virali con le quali può identificare tramite impronta i malware più diffusi, ma non è questo il punto di forza del software.
Ma niente paura, nelle prossime pagine vedremo come settare tutte le cose di cui avete avuto solo un assaggio! Proseguite nella lettura!
Installazione
L'installazione non ha nulla di complicato, si tratta come qualunque applicazione, di una serie di Avanti. L'unica cosa è che alla fine chiede di attivare un account anonimo, e chiede quindi di digitare le 6 cifre riportate nell'immagine mostrata dal programma, e proseguire cliccando su Activate.
Chiede poi di aggiornare il database delle firme virali, si tratta di un paio di minuti in cui si collegherà al server remoto per scaricare e installare le impronte dei malware conosciuti.
La prova sul campo
Dopo averlo installato, ho provato a lanciare un comando copy dalla linea di comando, e subito DriveSentry mi ha avvisato dell'aggiunta di un file in una cartella protetta.
Lanciando qualche malware, svolge egregiamente il suo lavoro e inizia a notificare tutte le modifiche.
Cliccando su Advanced View mi fornisce i dettagli della notifica. Processo che tenta di eseguire l'operazione e il file/chiave coinvolta.
Configurazione
Con un doppio clic nell'icona della system tray, apriamo l'interfaccia principale di DriveSentry. Spostiamoci sulla scheda Protection, e da lì, sulla tab Standard, e poi ancora su Folders a sinistra. Qui abbiamo una lista di cartelle protette di default, possiamo decidere di rimuoverle selezionandole e premendo Remove Folder.
Per aggiungerne, basta cliccare su Add Folder e, sfogliando i dischi collegati al computer, selezionare la cartella da monitorare.
Cliccando a sinistra su Files, abbiamo la possibilità di aggiungere (Add file) o eliminare (Remove file) le estensioni che rappresentano un pericolo per la sicurezza, e faranno scaturire notifiche da parte di DriveSentry qualora coinvolte in operazioni nelle directory protette.
Dall'ultima tab a sinistra, Settings, vi è tutta una serie di opzioni che per ovvi motivi non sto qui a spiegare. Di default DriveSentry si protegge da chiusure non autorizzate, protegge le aree adibite all'avvio automatico (Quindi sia l'Esecuzione Automatica che una parte del registro di sistema), e le impostazioni di Internet Explorer. Sono questi i tre grandi rami, da qui poi decine di opzioni più specifiche si diramano. I programmi fidati non seguono queste restrizioni.
In alto, spostiamoci sulla tab Advanced. In questa parte della configurazione, abbiamo in mano tutte le opzioni del programma, ma è molto più semplice settarle pian piano nelle altre parti del software.
Più precisamente, possiamo aggiungere, rimuovere, e modificare un'estensione, una cartella, un file o una chiave di registro da monitorare, ed, eventualmente, settare i permessi di questa per ogni processo.
La configurazione prosegue
Clicchiamo in alto su Access. Da qui possiamo gestire i permessi di ogni processo, dandogli selettivamente la possibilità di modificare file e cartelle, valori nel registro di sistema, e di scrivere sui dispositivi USB.
Con Add Program e Remove Program possiamo aggiungere regole per nuovi processi, mentre selezionandone uno e premendo New Rule abbiamo la possibilità di aggiungere una regola a un processo, e con Edit Rule possiamo modificare una regola di un processo.
Spostiamoci in alto su Log. Come dicevo nella prima pagina dell'articolo, in questa sezione del programma, DriveSentry annota tutte le operazioni da lui effettuate, in maniera davvero minuziosa.
Poco sotto, troviamo un grafico relativo ai log, che mostra le modifiche ai file e al registro in tempo reale.
Spostandoci infine su Options, possiamo modificare alcune funzionalità e alcune caratteristiche grafiche del programma. In ogni modo, sono già configurate a dovere, non dovreste avere bisogno di ricorrere a questa pagina.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati