www.MegaLab.it

[sampei.nihira]

@ Claudio

prova a modificare l'IL di un sw manualmente.
Scarichi sumatrapdf portable in documenti.
Apri da amministratore il prompt dei comandi.
dai il comando cd\
Che significa change directory.
poi segui il percorso del sw.
Dovrebbe essere:

users
nome tuo account
documenti
Ovvio devi dare il comando cd users/......puoi anche seguire i percorsi parziali e dare invio ogni volta,funziona ugualmente e fai pratica.
poi quando sei in documenti dai il comando

icacls sumatrapdf.exe /setintegritylevel X

devi sostituire la X con il valore di Il che vorrai far assumere al sw.
per esempio se è medio (M) e lo vuoi portare a basso devi inserire la lettera L (che stà per low ovviamente).

Prova puoi verificare anche prima e dopo con PE.

[[Claudio]]

[color=#000080]@ Claudio
prova a modificare l'IL di un sw manualmente.

@Sampei .... mi hai letto nel pensiero ... stavo giusto per inviarti un PM

Stavo cercando di capire qualcosa in merito a StripMyRights; ieri sera, in rete ho trovato:
questa guida;
questo post.

Tutta roba parecchio interessante ma vista l'ora tarda di ieri (e complici un paio di birre in più) ci ho capito poco (ma oggi pomeriggio ci torno sopra, rileggendo entrambi), ho scoperto che di StripMyRights non viene rilasciata una versione compatibile per Win 7

Il metodo che mi hai proposto mi sembra più semplice: provo e ti farò sapere come è andata

[gianpietro]

Ciao [Claudio]

Ricevuto nuove risposte da Systeweak e HitmanPro:

---------------------------------------------------------------------------------------------------------------------------------------

Systeweak

Dear Gianpietro

Thank you for getting back to us.

Please note I undestand your concerns that as a user of our product this may create a doubt in your mind.

However, I would like to assure you that this is a false positive and we have already talked with Panda Security to fix this in their next update. Hopefully this should be fixed in the next definition update. Once it does, I will email you to confirm the same.

Please do not hesitate to contact us, should you have further queries.

Regards

Aditya Gangwal
Systweak Support Team.

---------------------------------------------------------------------------------------------------------------------------------------

HitmanPro

Usually you just need to let HitmanPro finish the upload.
You don’t have to do anything manually.
Once the file is uploaded successfully, it should not appear again.
Can you send me a picture of the error message you get?

Best regards,

Lisa Turkenburg

Support & Office Manager

SurfRight
Lansinkesweg 4
7553 AE Hengelo
The Netherlands

Inviato supplemento di informazioni richieste.

[[Claudio]]

Allora, @Sampei, provato con il tuo metodo, ma qualcosa mi sfugge.

Naturalmente tu hai semplificato, ma il percorso corretto (in questo caso di esempio) è: users/nome utente/documents/SumatraPDFPortable

Questo il IL originario:



La modifica apportata (ho volutamente scelto di espandere le dir in maniera fosse più chiaro:



Come noti la modifica a L è avvenuta con successo, ma .... se lancio Sumatra ..... che deve essere eseguito come Esegui come Amministratore, altrimenti mostra questo avviso:



ecco cosa accade:



Quindi prima (vedi 1° screen di PE) il livello Integrity era MEDIO, dopo la modifica (vedi 2° screen di PE) il livello è ALTO.

Ora, o è corretto cosi oppure sono io che non ho capito una mazza: partendo dal presupposto che si abbassa il IL presupponevo di ritrovare, alla voce Integrity, il livello [b]BASSO[/url].

[sampei.nihira]

Ma dove hai fatto il download di sumatrapdf portable ?
Come vedi:

http://blog.kowalczyk.info/software/sum ... iewer.html

la ver portable è scaricabile nel sito web del produttore.
Ed è un semplice exe da inserire in documenti (per semplicità lo abbiamo inserito in origine quì ma tu lo puoi inseire dove ti pare) dopo estratto.
Riprova...che è meglio.

p.s. Cestina il "tutto" che hai scaricato da portableapps.

[[Claudio]]

p.s. Cestina il "tutto" che hai scaricato da portableapps.

Sono un ....

Ok, adesso si che ci siamo

PRIMA:



DOPO:



Le domande te le pongo dopo, @sampei (é ora di cenare)

[[Claudio]]

@Gian, almeno per la questione Panda, direi che hai chiarito: è un FP.
Per HitmanPro .... forse non hanno capito il problema (restore di un file posto in quarantena, se non ricordo male).

[sampei.nihira]

p.s. Cestina il "tutto" che hai scaricato da portableapps.

Sono un ....

Ok, adesso si che ci siamo

PRIMA:



DOPO:



Le domande te le pongo dopo, @sampei (é ora di cenare)

Chi la dura la vince.
Leggerò le domande domani....sai i "vecchietti" cenano con le galline e vanno a nanna presto !!!

[[Claudio]]

Chi la dura la vince.
Leggerò le domande domani....sai i "vecchietti" cenano con le galline e vanno a nanna presto !!!

Direi che, principalmente, la vittoria è tua

Il metodo, benché un pochino macchinoso (ma una volta fatta la mano, si procede velocemente) è efficace.

Passiamo alle domande:

1) intanto vediamo se ho ben capito il concetto: in caso di utilizzo esclusivo di un account con privilegi di amministratore (il mio caso), abbassando l'integrity level di un software, questo viene eseguito come se fosse eseguito con un account senza privilegi amministrativi?;

2) una volta abbassato l'integrity level di un software (per comodità d'esempio, VLC), quando aggiorni quel software e in fase di aggiornamento viene disinstallata la versione precedente, la regola viene mantenuta oppure deve essere reimpostata?;

3) in linea generale, a quali software è consigliato impostare la regola (vado a spanne: Internet Explorer, Windows Media Player e simililari, software P2P, Skype e similari)?.
E i software di protezione? (antivirus, antimalware, Sandboxie, ecc.)?

Per ora, non mi viene in mente altro

[[Claudio]]

@Sampei, giusto per togliermi una curiosità (facendo riferimento a questo post) ho confrontato (sottoPE) le proprietà di Sumatra:

mio screen:



suo screen:



Da cosa viene determinata la differenza in BUILTIN/admin?.

[sampei.nihira]

Claudio mi scuserai ma non sono mai riuscito a rispondere per sezioni......
Allora in merito alla domanda su Didier la differenza risiede nel fatto che lui usa in quello screen XP.
Quando un sw si aggiorna occorre ripetere tutta la procedura.
Ecco perché non conviene abbassare manualmente l'IL di molti sw basta utilizzare quei pochi più bersagliati per stare un attimino tranquilli.
La domanda su quali di questi sw è più complessa.
Ad esempio alcuni non funzionano se provi ad abbassare l'IL per esempio JAVA è uno di questi.
Altri hanno una funzionalità ridotta e quindi occorre verificare se all'utente ciò và bene per le proprie esigenze.
Altri ancora per esempio WMP potrebbero subire l'abbassamento dell'IL ma la procedura per far ciò è più complessa rispetto a quella solita che ad oggi visto che non l'ho più eseguita da diverso tempo........me la sono dimenticata !!
Se non ricordo male proprio Didier Stevens aveva scritto in merito occorrerebbe ritrovare una sua esposizione.
Quando i processi di un sw girano ad IL low sono isolati rispetto al sistema alla stessa stregua di un sandbox.
perché processi ad IL inferiore non possono interagire con processi ad IL superiore.
Questo vale anche per le iniezioni DLL.
Chrome ci insegna che eisterebbe un IL inferiore al low.
E' visualizzato in PE come livello non attendibile.
Non è possibile con icacls abbassare ulteriormente,quindi sotto al low l'IL di un sw.
Occorre utilizzare uno strumento CHML scritto da M.Minasi (che trà parentesi io ho implementato nel pc di mia figlia)
in questo caso è possibile ma il sw non è utilizzabile.
Presumo perché il sw non è stato progettato come Chrome per funzionare ad un IL inferiore al low.

Ed a tal proposito mi chiedo esiste un sw simile.
Cioè che girerebbe anche ad IL non attendibile ?

http://www.wilderssecurity.com/attachme ... 1365417777

Ovviamente l'immagine sopra su W. è la mia......

[[Claudio]]

Claudio mi scuserai ma non sono mai riuscito a rispondere per sezioni......

Ma figurati @Sampei

Quando un sw si aggiorna occorre ripetere tutta la procedura.

Ok, preso nota.

Ecco perché non conviene abbassare manualmente l'IL di molti sw basta utilizzare quei pochi più bersagliati per stare un attimino tranquilli.
La domanda su quali di questi sw è più complessa.[
Ad esempio alcuni non funzionano se provi ad abbassare l'IL per esempio JAVA è uno di questi.

Chiederò un paio di consigli direttamente alla fonte.
Java, come Adobe Flash Player, per quanto mi riguarda, sono da considerati bannati (non li ho installati, I.E. non lo uso, quindi posso vivere anche senza dover correre dietro ai loro continui aggiornamenti tappabuchi).

Se non ricordo male proprio Didier Stevens aveva scritto in merito occorrerebbe ritrovare una sua esposizione.

Se è sul Blog di Stevens lo trovo (e lo linko).

Quando i processi di un sw girano ad IL low sono isolati rispetto al sistema alla stessa stregua di un sandbox.
perché processi ad IL inferiore non possono interagire con processi ad IL superiore.
Questo vale anche per le iniezioni DLL.
Chrome ci insegna che eisterebbe un IL inferiore al low. E' visualizzato in PE come livello non attendibile.

Me ne sono accorto ieri (quando ho abbasso l'IL di Sumatra); era tra le domande che volevo porti ma me ne sono scordato
Direi che la cosa ora è molto più chiara, @sampei; il metodo me lo hai fornito, non mi resta che capire su quali software intervenire (sicuramente Adobe Reader, comunque prima chiederò lumi a Kees).

[[Claudio]]

@Sampei, altra domanda:



come vedi dallo screen di PE, se eseguo Adobe Reader vengono visualizzati due processi (tieni conto che non ho ancora modificato nulla)
il primo ha un livello integrity M mentre il sottoprocesso (si dice cosi?) L.
La domanda è ti sembrerà banale: quando parliamo di abbassare IL, facciamo sempre riferimento al processo principale: come mai (come nel caso in esempio), il sottoprocesso viene eseguito di default con un livello Low?.
Adobe integra per caso una sorta di sandbox ed esegue i suoi sottoprocessi in modalità protetta?.

[gianpietro]

Ciao [Claudio]

Si Adobe integra una Sanboxie, vedi qui:

http://www.pcworld.com/article/2028163/ ... ndbox.html

[[Claudio]]

@Sampei, altra domanda: ....

Non è giusto trovare la "pappa pronta", quindi mi rispondo da solo.

Ho lanciato un file PDF:





se ne deduce che i sottoprocessi (chiamiamoli cosi) vengono esegui con integrity level LOW di default; e questo perché Adobe (dalla versione X, cosa che mi era sfuggita) integra una Sandbox Protected Mode.

Morale della favola: abbassare a LOW il processo principale (Adobe Reader rientra tra i software da prendere in considerazione).

[[Claudio]]

Su questo argomento, si dovrebbe aprire una discussione specifica, perché merita davvero di essere affrontato e condiviso senza che si "perda" nel contesto di una discussione come questa, che ha una impronta fortemente low coast.

E' vero che il metodo suggerito da @Sampei è un pochino macchinoso ( vedi esempio ) ma se ci prendete la mano, diventa facile, anche se si deve "lavorare" con il Prompt dei Comandi (come noterete, i comandi da utilizzare si riducono poi a due CD e DIR, insomma non è necessario essere dei maghi di comandi DOS).

Comunque, il risultato è assicurato e lo scopo raggiunto:

[[Claudio]]

E' vero che il metodo suggerito da @Sampei è un pochino macchinoso ( vedi esempio ) .....

che (fatti i conti della serva) si riduce a questo:

[sampei.nihira]

Su questo argomento, si dovrebbe aprire una discussione specifica, perché merita davvero di essere affrontato e condiviso senza che si "perda" nel contesto di una discussione come questa, che ha una impronta fortemente low coast.

E' vero che il metodo suggerito da @Sampei è un pochino macchinoso ( vedi esempio ) ma se ci prendete la mano, diventa facile, anche se si deve "lavorare" con il Prompt dei Comandi (come noterete, i comandi da utilizzare si riducono poi a due CD e DIR, insomma non è necessario essere dei maghi di comandi DOS).

Comunque, il risultato è assicurato e lo scopo raggiunto:

Buon pomeriggio Claudio.
Intanto vorrei augurare in primis a te ed a Dead un buon ferragosto.
Anche a tutti gli altri lettori ovviamente.
Io lo passerò in semplicità,come al solito, con la mia famiglia.
Non amo recarmi al mare,montagna.....a ferragosto.

Come vedi instillare curiosità e far pensare mi interessa molto.
E seguire un percorso è sempre interessante.
Altro argomento che potrà farti pensare.
Ti ricordi spero quando in passato ti avevo esposto una serie di modiche......tu avevi detto che stavi a posto così.
Ed ecco il pensiero.

Prendiamo ad esempio per semplicità il tuo Adobe.
Se lo lanci presumo si avvi.
Con tutte le implicazioni del caso.

Prendiamo il mio Sumatrapdf portable.
Se lancio il sw nudo e crudo......non si avvia.
Però se apro un qualsiasi pdf salvato nell'HD il tutto funziona a meraviglia.
Altra condizione di lancio quindi necessità che nell'HD ci sia almeno un file PDF.

Chi trà noi è per questo specifico "particolare" più protetto ?

[[Claudio]]

Intanto vorrei augurare in primis a te ed a Dead un buon ferragosto.
Anche a tutti gli altri lettori ovviamente. Io lo passerò in semplicità,come al solito, con la mia famiglia.
Non amo recarmi al mare,montagna.....a ferragosto.

Ricambio: anche io lo passo in famiglia (figlia e ..... beagle .... che non è un virus )

Prendiamo ad esempio per semplicità il tuo Adobe.
Se lo lanci presumo si avvi. Con tutte le implicazioni del caso.
Prendiamo il mio Sumatrapdf portable. Se lancio il sw nudo e crudo......non si avvia.
Però se apro un qualsiasi pdf salvato nell'HD il tutto funziona a meraviglia.
Altra condizione di lancio quindi necessità che nell'HD ci sia almeno un file PDF.
Chi trà noi è per questo specifico "particolare" più protetto ?

Vero @Sampei (avevo notato questo aspetto).
In realtà ho ragionato in questo modo: se apro AR apre un sottoprocesso; il sottoprocesso è già impostato in LOW; se abbasso a LOW il processo principale (Adobe) ottengo lo stesso livello di protezione (certo, con un sottoprocesso in più in esecuzione).

Proseguendo il discorso dei software a cui "porre attenzione", direi che la Suite di Office debba essere presa in considerazione (mi limiterò alle sole 3 che utilizzo: Word, Excel e PowerPoint).

Un consiglio @Sampei: quando avrò concluso con questo lavoro (procedo piano piano, per verificare non ci siano problemi) direi che posso fare a meno di Malwarebytes Anti-Exploit .... che ne pensi?.

[The Walking Dead]

Intanto vorrei augurare in primis a te ed a Dead un buon ferragosto.

Anche a te samp.