Anti Intrusioni (HIPS) e Anti Rootkit

Protezione in tempo reale dalle intrusioni, dai rootkit e tramite scansione del pc

Su cosa siano i rootkit e sulla loro pericolosità c'è già qui una pagina su Programmifree. Ricordo comunque due cose: molti antivirus come Kaspersky hanno già al loro interno delle funzioni antirootkit (per quanto in effetti non sullo stesso livello dei programmi specifici) e che l'impedire l'esecuzione di un rootkit in tempo reale (o il rimuoverlo una volta individuato) può essere dannoso se l'utente generico non sa bene quello che fa.
 

 

 
Voodoo Shield (freeware e shareware)

commento modificato: Luglio 2017

VoodooShield è un programma che controlla tutto quello che viene avviato sul nostro computer e che cerca di bloccare quello che potrebbe essere una minaccia.

Non è basato sulle firme digitali, ma sul controllo dei file eseguibili (.exe), bloccando tutto quello che non è in white list. 
E' particolarmente utile contro le minacce che ancora non sono state catalogate (dai ransomware a minacce di vario tipo) e non ancora aggiunte ai database degli antivirus (con la maggior parte dei quali può convivere senza problemi).

Può funzionare in una modalità automatica, chiamata AutoPilot (in cui il software prende le decisioni su cosa avviare e cosa no, basandosi su Virustotal e sulla AI) e Whitelist, in cui ci sarà spesso chiesto cosa fare fino a che l'apprendimento non sarà finito.

Qualora si scelga la modalità manuale, ogni volta che avviamo un file che non è nella white-list, Voodoo Shield ci aiuterà a decidere cosa fare, sia fornendoci i risultati di VirusTotal, sia mostrandoci una propria valutazione sulla potenziale pericolosità del file avviato.

Nel complesso aumenta di almeno un livello la protezione del nostro computer ed è veramente notevole che sia in gran parte gratuito.

download

GIUDIZIO: BUONO ++
 

 
 
RegRun Reanimator

E' un programma per trovare e rimuovere malware, rootkit, ecc., che si siano installati sul sistema.

Fa un elenco di tutti i processi o le attività sospette, e propone di risolvere i problemi. Sta quindi all'utente capire quello che va tolto e quello che va lasciato. In questo senso, è da consigliare solo agli esperti (assolutamente non eseguire pulizie in automatico).
Se non si è sicuri di un file segnalato come warning, su richiesta il programma si collega al server principale e cerca di dare informazioni, in percentuale, sulla probabilità che il file sia davvero un virus, un rootkit o altro.
Per esempio, avevo un processo che sapevo non essere un virus ma che RR dava come probabile virus, ho cliccato su NEED HELP e immediatamente, collegandosi al database, ha detto che al 95% non era un virus.

Nell'analisi è davvero molto potente, bisogna solo stare attenti a controllare nel dettaglio tutto quello che rileva (il numero di falsi positivi è elevato).

download

GIUDIZIO: BUONO ++
 

 
 
Sandboxie (sandbox)

commento aggiornato: Febbraio 2013

Non è un programma che si rivolge ai rootkit in quanto tale, bensì che ci impedisce di prenderli. In pratica crea una specie di virtualizzazione all'interno del pc (un po' come i programmi di emulazione/virtualizzazione), cioé come una scatola protetta in cui navigare tranquillamente, e in cui un eventuale virus o rootkit non va a coinvolgere l'intero pc.

Funziona molto bene, ma è opportuno ricordare che ad alcuni può dare problemi nella disinstallazione, e che i già citati programmi di virtualizzazione (per quanto più difficili da utilizzare all'inizio, mentre Sandbox IE è facilissimo) sono a mio giudizio ancora più sicuri.

NOTA: Per parecchio tempo è stato gratuito; adesso esiste una versione superiore a pagamento, che consente -tra l'altro- di avviare più programmi contemporaneamente nella sandbox.
 La versione gratuita continua a funzionare anche dopo i 30 giorni, anche se appaiono schermate che invitano a registrarsi.

download

GIUDIZIO: BUONO +
 

 
 
Anvir Task Manager free (rileva processi e servizi sospetti)

commento inserito: Novembre 2016

Anvir Task Manager è un software avanzato in grado di riconoscere e individuare processi e servizi sospetti.

 In altre parole avviando Anvir Task Manager si avrà una finestra simile a quella del Task Manager di Windows, ma con alcune voci in più, tra cui l'indicazione di una percentuale del rischio del processo/servizio stesso (un software sconosciuto avrà una percentuale di rischio elevata, visivamente mostrata dal colore rosso), mentre programmi conosciuti avranno un Security Risk molto basso (mostrato con il colore verde).

In via opzionale può anche sostituire il task manager di Windows (quando si preme Ctrl+Shift+Esc).

Quando si hanno dei dubbi su un processo, con un solo clic (basta cliccare con il tasto destro sul processo sospetto e poi Check Online) Anvir Task Manager lo invierà online a VirusTotal e ci mostrerà una finestra con i risultati.

Esiste una versione a pagamento, chiamata Pro, che ha alcune funzionalità in più, come la capacità di bloccare in maniera permanente i processi sospetti e un'analisi di sicurezza più avanzata, come descritto qui, ma già la versione free funziona molto bene. E' anche portabile.

download

GIUDIZIO: BUONO ++

 
 
Altri programmi Anti Intrusioni o AntiRootKit interessanti:


BufferZone Pro (sandbox)
ComboFix (antirootkit e antimalware)
Gmer (esegue una scansione per vedere cosa è sospetto)
Hijack This (molto potente, ma un po' complesso)
McAfee Site Advisor (mostra l'affidabilità e la sicurezza dei siti su cui navighiamo)
RunScanner (analizza il sistema per rilevare anomalie sospette)
Toolwiz time freeze  (permette di fare cambiamenti a Windows solo virtuali)

Winpatrol (dà un ottimo controllo sulla sequenza di avvio - startup)

Online Armor free (ottimo firewall con HIPS, ma non più sviluppato)
Defense Wall (sul tipo di SandBox IE -Shareware)
Prevx 3 (antirootkit/malware/spyware - Shareware)