www.MegaLab.it

[hashcat]

fatto i test rispettando i criteri usati da hashcat (eseguirli tutti insieme, uno dietro l'altro).
l'unica miglioria che mi sono permesso di applicare, se me lo permettete, è questa:


almeno non devo stare a dire a DW ad ogni avvio se trattare il file X come Trusted o Untrusted (essendo il desktop, dove io li avviavo, una cartella di download lui giustamente lo chiede).

dopo averli avviati tutti avevo attivi 10+ malware, molti si sono ovviamente terminati da soli, hanno creato cloni, file in cartelle di sistema, voci di registro blablabla.
Ho cliccato il tastone rosso grosso di DW che recita "BLOCK ATTACK" e per magia i malware attivi in memoria sono svaniti.
Ho riavviato e, andando nella scheda File-Registry Rollback, ho selezionato la voce più vecchia e selezionato l'opzione Rollback to (che cancella tutte le modifiche successive a quell'evento selezionato).

Ovviamente, pc pulito, la scansione con MalwareBytes non mostra niente:

Codice: Seleziona tutto

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Versione database: 6369

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15/04/2011 18.48.38
mbam-log-2011-04-15 (18-48-38).txt

Tipo di scansione: Scansione veloce
Elementi esaminati: 129288
Tempo trascorso: 1 minuti, 25 secondi

Processi infetti in memoria: 0
Moduli di memoria infetti: 0
Chiavi di registro infette: 0
Valori di registro infetti: 0
Voci infette nei dati di registro: 0
Cartelle infette: 0
File infetti: 0

Processi infetti in memoria:
(Non sono stati rilevati elementi nocivi)

Moduli di memoria infetti:
(Non sono stati rilevati elementi nocivi)

Chiavi di registro infette:
(Non sono stati rilevati elementi nocivi)

Valori di registro infetti:
(Non sono stati rilevati elementi nocivi)

Voci infette nei dati di registro:
(Non sono stati rilevati elementi nocivi)

Cartelle infette:
(Non sono stati rilevati elementi nocivi)

File infetti:
(Non sono stati rilevati elementi nocivi)


Idem l'esito di HitmanPro..

Ho provato in questo modo anch'io e ho ottenuto gli stessi risultati, io avevo eseguito il test come lo avrebbe fatto un utente tipo.
Se ad esempio volessi consigliare ad un mio amico che installa molte cose sul proprio computer, lui probabilmente non sarebbe in grado di usarlo (capire su quale voce eseguire il rollback e su quale no) e non ne resterebbe soddisfatto, questo non vuol dire che non sia ugualmente un ottimo programma ma indica che non è di così semplice e immediato uso per un utente qualunque.

Per intenderci non sono d'accordo con questo:

DefenseWall HIPS (Host Intrusion Prevention System) is the simplest and easiest way to protect yourself from malicious software
Try DefenseWall HIPS today, and you will be convinced in its security and simplicity!

Spero di aver chiarito la mia posizione. Se vogliamo approfondire creiamo un argomento ad hoc poiche siamo ot.

[nv2]

ci tengo anzitutto a dire che mi sono scusato anche in pvt con hashcat per il mio atteggiamento...




Se mi permettete, vi scrivo anche una parte di un mio pvt di pochi min fà del quale asp peraltro risposta.



metti che un utente non sappia un °||° di PC.
Usa il PC normalmente e "si infetta".

In realtà, l'infezione è stata prevenuta dal Sandbox (se il malware è infatti un rootkit il cui scopo è quello di rendersi invisibile, DW scarta in automatico tutti questi tentativi e lascia che il malware scriva regolarmente chiavi di registro o file sull'HD:
anche se magari hanno l'attributo Hidden (nascosto) che ne impedisce la visione con explorer [navigazione diretta nella cartella incriminata], in realtà questi oggetti sono sempre intrappolati nella Rollback list.
Dunque, eliminabili direttamente con DW via RL)...

L'utente normale, dunque, cosa fa?
Lancia una scansione E CREDE ERRONEAMENTE di essere infetto visto che ha una segnalazione in merito ad una serie di voci...

In sostanza, che succede lanciando una scansione?
delegherebbe semplicemente all'AV la rimozione degli oggetti nocivi (file, chiavi di registro) sostituendola all'azione manuale dell'utente che altrimenti avrebbe dovuto agire ripulendo la zona untrusted ("il sandbox") tramite RL...

MA ricordo ancora una volta che la presenza di un oggetto infetto, se si usa uno strumento come DW, NON E' INDICATORE DI INFEZIONE!!!

[nv2]

[...]
Se ad esempio volessi consigliare ad un mio amico che installa molte cose sul proprio computer, lui probabilmente non sarebbe in grado di usarlo (capire su quale voce eseguire il rollback e su quale no) e non ne resterebbe soddisfatto, questo non vuol dire che non sia ugualmente un ottimo programma ma indica che non è di così semplice e immediato uso per un utente qualunque.

Per intenderci non sono d'accordo con questo:

DefenseWall HIPS (Host Intrusion Prevention System) is the simplest and easiest way to protect yourself from malicious software
Try DefenseWall HIPS today, and you will be convinced in its security and simplicity!

Spero di aver chiarito la mia posizione. Se vogliamo approfondire creiamo un argomento ad hoc poiche siamo ot.

l'utente medio, infatti, NON dovrà usare la RL!
Il rischio, infatti, è che cancelli anche oggetti (pur sempre untrusted) ma LEGITTIMI! (es, perché creati da un qualsiasi programmino non nella white list e che funziona regolarmente anche come untrusted, vedi la mia "lezione" sulla RL)


L'AV, dunque, si sostituisce all'azione manuale sulla RL ed srà dunque lui ad eliminare gli oggetti infetti quando gli pare, perché non è detto infatti che un AV veda sempre un malware se è di tipo 0-day ...


Gli oggetti infetti, in un programma come DefenseWall & GesWall, NON SONO INFATTI INDICATORI DI INFEZIONE ATTIVE ma solo RESIDUI, RIFIUTI che appesantiscono inutilmente l'HD...

[kronos]

Ho provato in questo modo anch'io e ho ottenuto gli stessi risultati, io avevo eseguito il test come lo avrebbe fatto un utente tipo.
Se ad esempio volessi consigliare ad un mio amico che installa molte cose sul proprio computer, lui probabilmente non sarebbe in grado di usarlo (capire su quale voce eseguire il rollback e su quale no) e non ne resterebbe soddisfatto, questo non vuol dire che non sia ugualmente un ottimo programma ma indica che non è di così semplice e immediato uso per un utente qualunque.

Per intenderci non sono d'accordo con questo:

DefenseWall HIPS (Host Intrusion Prevention System) is the simplest and easiest way to protect yourself from malicious software
Try DefenseWall HIPS today, and you will be convinced in its security and simplicity!

stavamo discutendo di un bypass di DefenseWall che lasciava delle chiavi di registro (argomento di fatto smontato nella pratica e nella teoria), e siam passati a criticare le politiche delle sandbox (quanto dici vale per tutti i tipi di sandbox)?

Approfondendo anche quella strada, comunque, si noterà che DW lascia quelle tracce -di per sè inermi, ho dimostrato come il processo sia pienamente reversibile a mano in ogni momento- è vero.
Ma, a questo punto, le strade sono 2:
-agire con la scheda di rollback, come ho fatto io
-agire con Antivirus, Antimalware ecc, che rileveranno le tracce infette (quando queste saranno rilevate, aggiunte al database, dato il ritardo delle definizioni degli antivirus)

Ora l'utente avanzato può usare la Rollback e venirne a capo in 5 secondi netti, ma il novizio può stare sicuro usando la 2 strada, prima o poi il suo antivirus riconoscerà i file infetti e li eliminerà in maniera autonoma (qualora ciò non avvenisse, o non si voglia aspettare, si può sempre chiedere supporto e gli basterà muovere 2 tastini per eliminare le modifiche del malware).

Il virus è un programma che abbiamo installato come Untrusted, non ci fidiamo molto di lui.. ma ostinatamente lo vogliamo avviare, anche dopo averlo installato, perché da veri niubbi non abbiamo capito che è un virus?
Lo si avvia, il malware attivo crea finestre, crea fastidio in n modi, non fa quello che vogliamo... ci accorgiamo che abbiamo preso una bufala, si schiaccia STOP ATTACK e i malware attivi vengono chiusi.

Ovviamente tutto ciò si poteva evincere dall'help...

[nv2]

Altro riferimento a proposito degli oggetti infetti rilevati su un sistema che utilizza DW come sua 1° linea di difesa:
http://www.hwupgrade.it/forum/showpost. ... count=2892

Se non altro, anche se OT, questo "sfogo" è servito (credo) a chiarire un po' meglio la logica di funzionamento di un prodotto STRAORDINARIO che allo stato ha, come sua unica pecca, il fatto di non essere x64 compatibile....

[kronos]

per quanto mi riguarda la parentesi si chiude qua: non è stato provato niente, non ci perdo neanche più tempo.

[nv2]

tutti (compresi nomi illustri...) mi hanno fatto notare che ho esagerato...


Me ne scuso nuovamente...

[sampei.nihira]

Buon giorno ,purtroppo anche oggi (e sigh domani) pochissimo tempo.......

Vedo che la vicenda si è conclusa bene.
In fondo tutti noi siamo quì per approfondire,sempre più, una materia che ci appassiona ed interessa.

Ed alcuni di noi possono reagire in modo agli occhi altrui "esagerato" quando altri toccano alcuni tasti che denigrano un sw.
Io in primis lo sò bene.
Per anni, con Opera, ho avuto nei confronti di qualcuno (anche in questo forum ssjx lo può testimoniare ) le reazioni di nV25, che è una persona straordinaria che ha molto da offrire a coloro che vogliono imparare.

Poi devo dire che con l'età si cambia,si smussano le nostre posizioni...........insomma avete capito.

Faccio solo notare che i nomi illustri citati da Enne comprendono anche uno degli sviluppatori di Prevx.
Che non è intervenuto minimamente nella questione cui abbiamo letto tutti dei FP che era l'argomento primario di questo 3D.

Una lezione di umiltà e signorilità cui tutti,primo frà tutti io,dobbiamo far tesoro.