Hitmanpro e i suoi falsi positivi?

[crazy.cat]

Ho iniziato a provare Hitman per farci l'articolo e iniziano i dubbi.
Ho provato a attivare la scansione EWS tanto per vedere cosa combinava, salta fuori una rilevazione di Ikarus, ma la scansione cloud di Emsisoft è fatta con il vecchio motore di scansione?
Mi sembra che di Ikarus se ne siano sbarazzati da qualche tempo.


O per fare le scansioni si appoggiano a virustotal visto che anche loro indicano questo file come malevolo solo con Ikarus.

Mi sembra poi che sia un portable (o quasi), in fase d'avvio chiede se si vuole installarlo o avviare direttamente la scansione.

Una volta scaduti i 30 giorni dopo l'attivazione della licenza, si possono ancora fare le scansione, ma non le rimozioni?

(mi rispondo da solo, scansioni possibili ma niente rimozione)

[The Walking Dead]

Ciao Crazy.
Via mail mi parlavi della facilità con cui HP rileva falsi positivi.
Molto appunto dipende dalla modalità di scansione.
Utilizzando la modalità EWS, indicata unicamente per l'utenza esperta e non impostata come default dal programma, vengono chiaramente segnalati (non necessariamente rilevati come malware) file assolutamente innocui, come quelli legati agli aggiornamenti recenti di Windows proprio perché i file che li compongono sono nuovi e poco conosciuti.
La modalità EWS nasce per individuare gli zero days, per cui chiaramente indica alcuni file che ritiene sospetti perché recenti, raramente visti nel mondo reale, in base alla sua origine, e la reputazione.


Non saprei invece indicare perché c'è una rilevazione di Ikarus, quando questo non è più presente tra i motori di scansione, credo sia semplicemente un residuo della precedente versione.
No, non utilizza Virus Total per lo scan.

Ci sono due interessanti funzioni, che credo possano essere menzionate.
Lo scan da tasto destro impostandolo tra le opzione del programma (è necessario installare HP, non è disponibile in versione portable) e l'invio del file a Virus Total al termine della scansione (clic sul file rilevato e poi dal menù strumenti, o qualcosa del genere, non ho HP installato in questo momento) invia a Virus Total.
Da menzionare la modalità di avvio sicuro (tenendo premuto CTRL facendo clic sulla icona di HP).

[crazy.cat]

Tra scansione normale e Ews mi ha dato solo una cosa in più in ews (che poi dal log non sono riuscito a capire a cosa si riferisse, troppe righe da leggere).
Si è comunque ben comportato alla fine, niente falsi positivi clamorosi.
Al momento, tranne l'ikarus misterioso non ho visto altro.
Mi stupisce sempre la velocità di scansione.

[The Walking Dead]

SI la modalità EWS indica qualche voce in più, dovuta al fatto che vengono segnalati anche file che per posizione, reputazione, origine, frequenza (del file), comportamento e altri parametri, che concorrono ad ad un punteggio finale, che indica quanto il file sia sospetto o da valutare.
Questa modalità presuppone che l'utente sia in grado di conoscere e valutare i file, per cui viene sconsigliata dallo stesso sviluppatore di HP.

[sondlive07]

io uso hitman spesso , ma anche se mi trova qualcosa vado a verificare una seconda volta con un altro strumento ( percorso e poi carico su vt ) oppure con mban.

la velocità della scansione in cloud è quello che preferisco di piu di questo strumento.

due cose vorrei sottolineare : la prima che si puo inserire il suo controllo nel menu contestuale; secondo se si volesse utilizzare la versione portable ( una scansione e via ) hitman non fara nessun backup di possibili voci rimosse qualora queste fossero non nocive !

[[Claudio]]

Ho iniziato a provare Hitman per farci l'articolo e iniziano i dubbi.
Ho provato a attivare la scansione EWS tanto per vedere cosa combinava, salta fuori una rilevazione di Ikarus, ma la scansione cloud di Emsisoft è fatta con il vecchio motore di scansione? Mi sembra che di Ikarus se ne siano sbarazzati da qualche tempo.

Era una cosa che avevo notato anche io circa una decina di scansioni fa; mi ero ripromesso di segnalare la questione al supporto, poi la cosa è rimasta lettera morta.
Alla prima occasione, lo farò.
Sto preparando la "bozza base" della guida, appena ho terminato, ve la giro i formato testo.

P.S.: @Dead .... da ora, i PM qui orrisone

[The Walking Dead]

Sto preparando la "bozza base" della guida, appena ho terminato, ve la giro i formato testo.

P.S.: @Dead .... da ora, i PM qui orrisone

Finalmente. :-D
Solo che non volevo scrivere post a caso, solo per avere questa funzionalità. :-D

Per la bozza, ma non ti serve una mano?
Come ci suddividiamo il lavoro?
Per me va bene in qualunque modo vogliamo fare.

[crazy.cat]

Finito http://turbolab.it/166
Promosso, anche se non sono del tutto un suo "appassionato".

Sto preparando la "bozza base" della guida, appena ho terminato, ve la giro i formato testo.
P.S.: @Dead .... da ora, i PM qui orrisone

Finalmente. :-D
Solo che non volevo scrivere post a caso, solo per avere questa funzionalità. :-D
Per la bozza, ma non ti serve una mano?
Come ci suddividiamo il lavoro?
Per me va bene in qualunque modo vogliamo fare.

Solo in privato queste cose...altrimenti gli altri non capiscono di cosa state parlando...

[[Claudio]]

Finito .... Promosso, anche se non sono del tutto un suo "appassionato".

Ottimo lavoro Crazy, però un piccolo accenno alla esecuzione di HitmanPro in modalità Force Breach Mode l'avrei fatto.

[crazy.cat]

però un piccolo accenno alla esecuzione di HitmanPro in modalità Force Breach Mode l'avrei fatto.

Traduci in termini più umani...
(non ho capito a quale funzione ti riferisci)

Update: ora capito e modifico.

Update Bis: Modificato, però se le robe più utili le nascondono sotto il cofano e non le spiegano da nessuna parte, non è che uno possa passare il tempo a leggersi il libretto delle istruzioni ogni volta.

[[Claudio]]

Update Bis: Modificato, però se le robe più utili le nascondono sotto il cofano e non le spiegano da nessuna parte, non è che uno possa passare il tempo a leggersi il libretto delle istruzioni ogni volta.

Colpa mia @Crazy, avrei dovuto specificare quando ne abbiamo parlato in PM e mi hai detto che preparavi l'articolo.

Giusto per completezza di informazione, c'è poi una terza modalità: HitmanPro.Kickstart USB flash drive, ma direi che è già una modalità destinata ad utenti più esperti.

[The Walking Dead]

Anche approfondire la funzionalità forensic timeline sarebbe stato interessante.
Anche se probabilmente è qualcosa di cui si può fare a meno, e non necessario all'uso di HP.
http://hitmanpro.wordpress.com/2013/02/ ... l-malware/