UFFICIALE Antivirus, antimalware: consigli, opinioni e dubbi degli Utenti

Pubblicità
Mursey ha detto:
Mah... tu di sicuro visto che hai l'identico pc che ha yes...

Comunque non mi interessa, se lo staff non interviene e tu puoi contribuire al forum in modo positivo chi se ne frega se sei yes, anzi... bentornato !
Clicca per espandere...

Le combinazioni dei componenti sono miliardi... come dire che fra 7 miliardi di abitanti un sosia ci deve pur essere :)
 
Ultima modifica:
tredicesimo ha detto:
Dite questo?: https://www.tomshw.it/forum/threads/come-difendere-al-meglio-windows.560991/

Beh, nel post iniziale ci sono informazioni oggettivamente utili... quindi, qualunque cosa abbia fatto in seguito, il suo contributo positivo l'ha dato. Io sicuramente mi sarei stancato di scrivere quel poema, considerato - ripeto - che la sicurezza non è il settore che mi appassiona di più :)
Clicca per espandere...

bentornato yes! mi piacerebbe che tornasse anche cecchino, contribuiva cmq al forum e discussioni erano anche simpatici, se entro certi limiti
 
D'accordo, ero yes. Comunque siete stati davvero dei bastardi. Mi stavo rendendo utile in questo forum. Stavo facendo solo del bene. Ma nessun problema. Mi registrerò quante volte mi bannerete.

P.S.: adesso potete bannare anche quest'altro account.
 
Fpir31 ha detto:
Io l'avevo lasciata attiva la ricerca nel cloud ma ho sempre avuto il dubbio che rallentasse il sistema, è per questo motivo che l'hai disabilitata?
Clicca per espandere...
No. Va levata perché a volte gli impiegati COMODO sbagliano e mettono in whitelist file dannosi nel cloud, provocando la loro esecuzione. Abbiamo analizzato il problema nel forum Malwaretips dopo che questo utente ha realizzato un video (qiesto), e concluso che bastava disabilitare la ricerca in cloud per evitare il problema. Fortunatamente, nel caso trattato nel video, l'eseguibile era un info-stealer (flaggato come sicuro ed eseguito senza limitazioni), che tuttavia droppava un altro file (il.verp payload). Il payload era trattato come "non riconosciuto", dunque il firewall bloccava con successo le sue connessioni
 
Per prima cosa, vi linko un sito utile conosciuto da pochi: scansiona un qualsiasi file con tutti i motori antivirus aggiornati ogni 15 minuti. In cambio delle definizioni antivirus, il sito manderà alle case antivirus i nuovi virus, così da porterli aggiungere alle definizioni
https://www.virustotal.com/it/
Io ritengo che tutti gli antivirus, gratuiti o a pagamento, siano diventati obsoleti nel 2017 (ma anche prima), per una serie di ragioni
-Funzionano tramite sistema a blacklist e sono default allow: sono quasi totalmemte basati sulle definizioni (o firme). Queste sono identificatori per i file dannosi: ne abbiamo una diversa per ogni file dannoso. Considerata l'enorme quantità di virus rilasciata ogni giorno (200000?) capirete che è impossibile farne una per ogni virus. Inoltre, tramite definizioni, si arriva sempre in ritardo, ovvero dopo la diffusione del virus. Quasi tutti gli antivirus possiedono inoltre dei behavioural blocker, componenti in grado di rilevare comportamenti dannosi e in grado di bloccarli. Seppur questi vengano solitamente definiti come componenti "zero-day", in molti casi, i comportamenti vengono sempre aggiunti dopo la diffusione di un nuovo virus (ad esempio, se incontriamo un ransomware che usa un nuovo metodo per criptare i file, saremo fregati). Ogni antivirus è default-allow, cioè autorizza l'esecuzione di codice non rilevato dalle definizioni e non fermato dai behavioural blocker.

Veniamo all'analisi dei prodotti basati su whitelist, molto più efficienti. Questi hanno solitamente una whitelist di file sicuri, bloccando tutto ciò che non è noto alla whitelist. Così nessuno si dovrà mettete a creare migliaia di definizioni ogni giorno e bloccheremo ogni file sconosciuto alla whitelist, dunque qualsiasi nuovo virus. Questi prodotti sono chiamato default-deny. Abbiamo:
-VoodooShield free: si collega a VirusTotal e abbiamo praticamente le definizioni di TUTTI gli antivirus in realtime aggiornate ogni 15 minuti senza pagare nulla (Kaspersky, ESET, bitdefender, avira, avast e molti altri, inclusi prodotti basati su intelligenza artificiale usati solo in ambiente endpoint). Dunque: perché usare kaspersky free che è un default-allow quando possiamo usare questo che, tra l'altro, usa anche le definizioni di kaspersky? Se un file non è stato ancora scansionato con VirusTotal, verrà bloccato di default (da qui il default-deny). Ottimo a impostazioni di fabbrica. Più informazioni qui: https://www.tomshw.it/forum/threads/voodooshield-free-la-soluzione-contro-il-malware.651644/
-COMODO Firewall: usa la whitelist dei "trusted vendors". Ottimo prodotto, ma va configurato obbligatoriamente. Più info qui: https://www.tomshw.it/forum/threads...onfigurazione-per-protezione-avanzata.658029/
Gratuito
-EXE Radar pro della NoVirusThanks: prodotto italiano ma disponibile solo in lingua inglese (non chiedetemi il perché). Anche questo usa una whitelist definita dallo sviluppatore. Purtroppo, questo è a pagamento
-Re-HIPS: funzionamento simile, ma ancora in beta chiusa (dovete registrarvi per averlo)
-Appguard: per endpoint, funzionamento uguale ai prodotti indicati sopra
 
Ultima modifica da un moderatore:
13° II ha detto:
D'accordo, ero yes. Comunque siete stati davvero dei bastardi. Mi stavo rendendo utile in questo forum. Stavo facendo solo del bene. Ma nessun problema. Mi registrerò quante volte mi bannerete.

P.S.: adesso potete bannare anche quest'altro account.
Clicca per espandere...
Vola pikolo ancielo, vola.
 
TheMalwareMaster ha detto:
Per prima cosa, vi linko un sito utile conosciuto da pochi: scansiona un qualsiasi file con tutti i motori antivirus aggiornati ogni 15 minuti. In cambio delle definizioni antivirus, il sito manderà alle case antivirus i nuovi virus, così da porterli aggiungere alle definizioni
https://www.virustotal.com/it/
Io ritengo che tutti gli antivirus, gratuiti o a pagamento, siano diventati obsoleti nel 2017 (ma anche prima), per una serie di ragioni
-Funzionano tramite sistema a blacklist e sono default allow: sono quasi totalmemte basati sulle definizioni (o firme). Queste sono identificatori per i file dannosi: ne abbiamo una diversa per ogni file dannoso. Considerata l'enorme quantità di virus rilasciata ogni giorno (200000?) capirete che è impossibile farne una per ogni virus. Inoltre, tramite definizioni, si arriva sempre in ritardo, ovvero dopo la diffusione del virus. Quasi tutti gli antivirus possiedono inoltre dei behavioural blocker, componenti in grado di rilevare comportamenti dannosi e in grado di bloccarli. Seppur questi vengano solitamente definiti come componenti "zero-day", in molti casi, i comportamenti vengono sempre aggiunti dopo la diffusione di un nuovo virus (ad esempio, se incontriamo un ransomware che usa un nuovo metodo per criptare i file, saremo fregati). Ogni antivirus è default-allow, cioè autorizza l'esecuzione di codice non rilevato dalle definizioni e non fermato dai behavioural blocker.

Veniamo all'analisi dei prodotti basati su whitelist, molto più efficienti. Questi hanno solitamente una whitelist di file sicuri, bloccando tutto ciò che non è noto alla whitelist. Così nessuno si dovrà mettete a creare migliaia di definizioni ogni giorno e bloccheremo ogni file sconosciuto alla whitelist, dunque qualsiasi nuovo virus. Questi prodotti sono chiamato default-deny. Abbiamo:
-VoodooShield free: si collega a VirusTotal e abbiamo praticamente le definizioni di TUTTI gli antivirus in realtime aggiornate ogni 15 minuti senza pagare nulla (Kaspersky, ESET, bitdefender, avira, avast e molti altri, inclusi prodotti basati su intelligenza artificiale usati solo in ambiente endpoint). Dunque: perché usare kaspersky free che è un default-allow quando possiamo usare questo che, tra l'altro, usa anche le definizioni di kaspersky? Se un file non è stato ancora scansionato con VirusTotal, verrà bloccato di default (da qui il default-deny). Ottimo a impostazioni di fabbrica
-COMODO Firewall: usa la whitelist dei "trusted vendors". Ottimo prodotto, ma va configurato obbligatoriamente. Scaricate il mio file di configurazione, recatevi nella sezione "configurazione" di COMODO, importatelo, attivate la confogurazione e riavviate il pc
http://www80.zippyshare.com/d/Tp6jHmsR/36055/COMODO - Maximum Security.cfgx
Gratuito
-EXE Radar pro della NoVirusThanks: prodotto italiano ma disponibile solo in lingua inglese (non chiedetemi il perché). Anche questo usa una whitelist definita dallo sviluppatore. Purtroppo, questo è a pagamento
-Re-HIPS: funzionamento simile, ma ancora in beta chiusa (dovete registrarvi per averlo)
-Appguard: per endpoint, funzionamento uguale ai prodotti indicati sopra
Clicca per espandere...
VoodooShield funziona anche se si è offline? Scarica le firme in locale?
 
Fpir31 ha detto:
VoodooShield funziona anche se si è offline? Scarica le firme in locale?
Clicca per espandere...
Si. Se sei offline, va in default-deny automatico: manda un'allerta dicendoti di collegarti a internet per scansionare il file. Non scarica le firme in locale (meglio cosi!). Manda solo l'HASH a VirusTotal e prende l'ultimo rilevamento. Se l'HASH non è trovato da VirusTotal (nessuno ha ancora caricato quel file sul sito), nega l'esecuzione come "unknown file"
 
TheMalwareMaster ha detto:
Si. Se sei offline, va in default-deny automatico: manda un'allerta dicendoti di collegarti a internet per scansionare il file. Non scarica le firme in locale (meglio cosi!). Manda solo l'HASH a VirusTotal e prende l'ultimo rilevamento. Se l'HASH non è trovato da VirusTotal (nessuno ha ancora caricato quel file sul sito), nega l'esecuzione come "unknown file"
Clicca per espandere...

scusa ma voglio capire una cosa:
OGNI EXE Che c'è sul pc lui lo scansiona ogni volta con virustotal?
perche se un exe non è mai stato scansionato da nessuno su VT non te lo fa partire giusto?
 
darkside473 ha detto:
scusa ma voglio capire una cosa:
OGNI EXE Che c'è sul pc lui lo scansiona ogni volta con virustotal?
perche se un exe non è mai stato scansionato da nessuno su VT non te lo fa partire giusto?
Clicca per espandere...
Scansiona solo se esegui il file. Se un EXE non è mai stato scansionato su VirusTotal, lo blocca (default-deny). Non scansiona solo gli EXE, comunque
 
scusa ma mettiamo che quando è stato scansionato (magari giorni prima)il file veniva considerato innocuo,e invece è un virus
e il file NON viene riscansionato te lo fa passare per buono tac prendi il virus
 
darkside473 ha detto:
scusa ma mettiamo che quando è stato scansionato (magari giorni prima)il file veniva considerato innocuo,e invece è un virus
e il file NON viene riscansionato te lo fa passare per buono tac prendi il virus
Clicca per espandere...
Ricorda che hai anche il componente di intelligenza artificiale di VoodooShield (VoodooAI). Se questo componente rileva il file come dannoso e VirusTotal lo da come pulito, viene comunque bloccato. Se sei in autopilot, esegui un EXE ed entrambi danno pulito, passa. In ogni caso, un normale antivirus sarebbe molto più facile da bypassare. Questo è molto difficile, visto che ora si tende a distribuire virus tramite file .js e non EXE. Visto che l'IA scansiona solo gli exe, se in VodoooShield uno dei due componenti non è in grado di scansionare, il file viene bloccato (anche in autopilot). Se sei in smart o always on mode, ogni file verrà comunque bloccato, sicuro o non (ma non consiglio la always on, troppo paranoica) Leggi meglio qua come funziona https://www.tomshw.it/forum/threads/voodooshield-free-la-soluzione-contro-il-malware.651644/
 
Pubblicità
Pubblicità
Indietro
Top