www.MegaLab.it

[hashcat]

Il non analizzare i file in scrittura mi lascia perplesso, devo sperimentarlo.

Anche perché così a nudo (senza COMODO in seconda) passa tanta roba, esempio un MBR Rootkit scrive solamente non apre alcun file.

L'eseguibile deve comunque avviarsi prima di poter scrivere:

•Il modulo Protezione File System: analizza (ed eventualmente blocca) gli eseguibili all'esecuzione.

Comunque Comodo (quasi certamente) segnalerebbe l'operazione pericolosa.
Inoltre se il file viene eseguito nella sandbox di Comodo a livello circoscritto, quest'ultimo non ha la possibilità di caricare driver di sistema, né di accedere (in lettura o scrittura) direttamente al disco (quindi di modificare il mbr) (almeno senza generare avvisi di alta pericolosità).

[Pct]

Ecco la configurazione avanzata (configura esattamente come mostrato nelle immagini):







(Stesse impostazioni per le tre sezioni:)












Mi sono dimenticato di specificarlo, devi aggiungere alle esclusioni del modulo "Protezione File System" tutta la cartella di Comodo in Program Files e il processo cmdagent.exe alle esclusioni del modulo "Protezione Web".

In particolare l'ultima regola serve per escludere dal controllo del Web Shield il processo k9filter.exe che appartiene a K9 Web Security (per evitare incompatibilità).

Grazie mille di tutto hashcat! Appena ho di nuovo il pc sotto mano configuro Avast come mi ha suggerito

[sampei.nihira]

*** Premessa ***

Visto che il meteo avrebbe dato tempo brutto nella mia zona (ed invece al momento il tempo è passabile ) questa mattina non sono andato al mare.
Ne ho approfittato per un test nel pc di mia figlia.

******************************************************************

Sapete tutti che dalla versione di Chrome 20 i suoi processi girano ad un integrity level impostato a "non attendibile" (untrusted).
Che è il gradino sotto al basso (low).
Ho voluto provare ad abbassare manualmente Sumatrapdf e Vlc.
Ricorderete che avevo abbassato il livello di questi sw tramite icacls al livello low.
Ma con icacls non è possibile abbassare un livello di integrità sotto al low occorre usare il fenomenale tool di Minasi CHML.

Nella pagina di Minasi ci sarebbero una serie di limitazioni nell'usare questo tool con 7.
Io ho trovato un escamotage che permette il suo funzionamento in modo diretto.
Basta seguire questa semplice procedura:

1) Copiare il sw nella directory C:\windows\system32
2) avviare un propt dos con privilegi amministrativi.
3) Andare direttamente al percorso del file a cui vorrete provare ad abbassare l'IL
4) inserire il comando:

chml nomefile.estensione -i:u

ovviamente u stà per integrity level "untrusted"

Io ho provato con VLC e Sumatrapdf ma questi sw con il livello untrusted non si avviano (almeno con le mie impostazioni di sicurezza) non ho provato a default:

Uploaded with ImageShack.us

l'immagine sopra vi mostra il percorso nella cartella documenti se vorrete fare un test con un file che ovvio posizionerete in quella cartella.
Poi ho provato a reinserire il valore low e tutto ha funzionato nuovamente.

Buon test.

[hashcat]

Attualmente, dopo aver provato Kingsoft Antivirus 2012 (nota positiva per il prodotto), fallito il tentativo di provare Outpost Firewall Pro, sto provando Webroot Secure Anywhere Antivirus.
Devo dire che in quanto a rilevazioni e leggerezza, quest'ultimo, non è affatto male.

[eugenio19911]

Webroot Secure Anywhere Antivirus, ho letto in giro parecchie controversie su questo prodotto: o troppo negative o troppo positive la verità sarà nel mezzo?
ma dato che io i prodotti a pagamento non li prendo in considerazione non esprimo un giudizio anche se prevalgono le negativo (sempre voci di corridoio). rimpiango l'efficientissimo prevx che dopo l'acquisizione della webroot è crollato a dir poco

[hashcat]

Lo sto provando perché ho trovato una promozione che mi permette di provarlo gratuitamente per 160 giorni.

Il problema principale, come ed evidenziato da quasi tutte le analisi / recensioni di questo prodotto è il tasso di falsi positivi / programmi non riconosciuti come sicuri.

Ad esempio: ieri avevo installato la versione di prova del prodotto DFX Audio Enhancer, non è apparso alcuno avviso (del tipo file infetto), ma molti dei processi del prodotto erano classificati come "sotto monitoraggio" (Webroot aveva fatto ciò senza avvertire l'utente), quindi, dopo essermene accorto, li ho impostati manualmente come sicuri. Il programma funzionava comunque senza problemi anche se monitorato.

Probabilmente se i prezzi fossero più popolari, sarebbe un prodotto degno di essere provato (ovviamente affiancato da un firewall / HIPS).

P.S.: La scansione approfondita, dura circa 30 sec.

[devicepenguin]

Deseleziona la casella Questo computer è un Internet Security Gateway.

Che sarebbe questa http://yfrog.com/j1ashampoosnap2012072423hp

Scusa,ci spieghi dettagliatamente quale è la differenza tra l'avere e il non avere il flag su quella impostazione?

[Giascar]

Deseleziona la casella Questo computer è un Internet Security Gateway.

Che sarebbe questa http://yfrog.com/j1ashampoosnap2012072423hp

Scusa,ci spieghi dettagliatamente quale è la differenza tra l'avere e il non avere il flag su quella impostazione?

Quell'impostazione va abilitata se quel computer è responsabile della connessione internet di altri pc. In pratica gli altri pc per collegarsi alla rete passano da quello.
Altrimenti va disabilitata, in quanto perfettamente inutile.

[hashcat]

Quell'impostazione va abilitata se quel computer è responsabile della connessione internet di altri pc. In pratica gli altri pc per collegarsi alla rete passano da quello.
Altrimenti va disabilitata, in quanto perfettamente inutile.

Esatto, ma raramente necessita di essere abilitata, inoltre lasciarla abilitata comporta una diminuzione del livello di sicurezza della configurazione.

P.S.: Se si condividono file o cartelle fra più computer della stessa rete, la funzionalità deve rimanere attiva.

[sampei.nihira]

Visto che ho un po' di tempo ricapitolo velocissimamente per i lettori, con l'ausilio di immagini, le protezioni in questo caso antimalware native e non (quindi aggiunte tramite le estensioni) nel browser Chrome:

Uploaded with ImageShack.us

Uploaded with ImageShack.us

Si ha tale avviso solo dopo aver acconsentito il download.

Uploaded with ImageShack.us

Il recente layout di WOT, si nota anche l'intervento dei Norton DNS.

Uploaded with ImageShack.us

L'estensione Trafficlight che ha come caratteristica di intervento di presentarsi a video sempre per ultima.

Uploaded with ImageShack.us

Blocksi

[devicepenguin]

... e nonostante tutto,nel PC di sampei cera una comitiva proprio,di malware

che gli faceva addirittura l'applauso

[il demiurgo]

Come hd uno zywall 35 con turbocard connessa e lic antivirus dello zywall, lato pc nod32, lato wifi utilizzo uno zyxel mnp3160 con politiche di ristrettezza sui vari ssd

[sampei.nihira]

... e nonostante tutto,nel PC di sampei cera una comitiva proprio,di malware

che gli faceva addirittura l'applauso

Io uso Opera non chrome e quindi quel pc non è mio.

Il mio pc è certamente il pc, con OS Windows, meno dotato di sw di terze parti di sicurezza di tutti i lettori di MLI.
Non c'è nemmeno da scommetterci perché vinco di certo.

[devicepenguin]

[hashcat]

Il mio pc è certamente il pc, con OS Windows, meno dotato di sw di terze parti di sicurezza di tutti i lettori di MLI.
Non c'è nemmeno da scommetterci perché vinco di certo.

Attualmente l'unico software di sicurezza (di terze parti) (se così si può classificare), installato sul mio computer è il Windows Firewall Notifier, che non richiede nemmeno installazione.
Vinto?

[sampei.nihira]

Il mio pc è certamente il pc, con OS Windows, meno dotato di sw di terze parti di sicurezza di tutti i lettori di MLI.
Non c'è nemmeno da scommetterci perché vinco di certo.

Attualmente l'unico software di sicurezza (di terze parti) (se così si può classificare), installato sul mio computer è il Windows Firewall Notifier, che non richiede nemmeno installazione.
Vinto?

No vinco sempre io perché il mio OS (XP) è certamente "meno dotato" del tuo più recente.
Quindi avendo meno protezioni intrinseche......

Però dimmi la verità è reattivo come non mai il sistema eh ?

Senza ogni imballo dato da FW esterni,antivirus vari,HIPS.....

[hashcat]

No vinco sempre io perché il mio OS (XP) è certamente "meno dotato" del tuo più recente.

Tu avevi specificato software di terze parti di sicurezza, quindi

Però dimmi la verità è reattivo come non mai il sistema eh ?
Senza ogni imballo dato da FW esterni,antivirus vari,HIPS.....

Diciamo che il mio computer sta quasi sempre senza alcuna protezione aggiuntiva eccetto l'hardening del sistema operativo.
Le configurazioni che ogni tanto posto, le provo solo temporaneamente o per divertimento.

[eugenio19911]

@ hashcat
se non sbaglio hai installato anche k9 quindi da aggiungere nei processi attivi.

[Andy97]

[

No vinco sempre io perché il mio OS (XP) è certamente "meno dotato" del tuo più recente.
Quindi avendo meno protezioni intrinseche......

Però dimmi la verità è reattivo come non mai il sistema eh ?

Senza ogni imballo dato da FW esterni,antivirus vari,HIPS.....

Attualmente l'unico software di sicurezza (di terze parti) (se così si può classificare), installato sul mio computer è il Windows Firewall Notifier, che non richiede nemmeno installazione.Vinto?

Io ho un quad-core ed ho solo Panda e l'ultimo virus l'ho preso nel 2009 (avevo NOD 32)

[hashcat]

@ hashcat
se non sbaglio hai installato anche k9 quindi da aggiungere nei processi attivi.

K9 l'ho installato un po' di tempo fa (a scopo di testing).

Al momento l'unico programma di sicurezza (se così si può definire) è la gui che segnala e blocca le connessioni in uscita appoggiandosi al firewall di Windows 7.
Inoltre se dobbiamo fare i pignoli quel programma oltre ad essere standalone, non è nemmeno on-demand (si attiva solo in caso di connessione, rileva le connessioni analizzando il file di log del firewall attraverso un'operazione pianificata).

Quindi non ha processi in esecuzione se non quando un avviso viene mostrato.