Ah, è bene tener in considerazione una cosa: Tale funzione NON deve poter essere killata, nè, in caso di crash, rimanere spenta, se nel pannello, sia manualmente, che automaticamente, risulta avviata.
Tale fattore, in quanto, se il processo và a farsi benedire, dopo un crash, un qualsiasi malware può generare un attacco DoS apposito, al fine di spegnere il Behavior Blocker.
Es.
1) Il programma maligno, viene avviato dall'utente
2) Il programma maligno causa un iniezione di codice anomalo, che conduce, il sistema, nel crashare alcuni moduli
3) Il Behavior Blocker rimane spento (mentre il malware è acceso)
4) Il Malware fà bisboccia nel sistema e la sicurezza è andata a quel paese (senza affrancatura, nè biglietto di viaggio)
Opzioni
Personalmente, ha poco senso slegare queste 3 opzioni:
Code: Select all
* identificare l'accensione dei programmi
* identificare la sostituzione dei programmi
* identificare quando i programmi tentano di avviare altri programmi
Code: Select all
* informare dello stato di un programma (se scandito dagli engine eucaristici, oppure no)
Code: Select all
* presentare una descrizione generica riguardo il rischio possibile, a seconda del tipo di programma attivo
Frasi, ipotetiche, che possono essere inserite, come descrizione, in caso di Popup possono essere:
Per l'avvio di un programma:
Code: Select all
[b]Avvio di un File Eseguibile[/b]
E' stato avviato il programma: $NomeProgrammaDaEseguire
E' consigliato permetterne l'esecuzione, solo se tale sollecitazione è volontaria e consapevole. In caso contrario, si consiglia di vietare tale comportamento, onde evitare l'avvio di operazioni che potrebbero causare effetti indesiderati (a volte anche gravi).
Code: Select all
[b]Sostituzione di un File Eseguibile[/b]
E' stato identificato un tentativo di sostituzione del programma: $NomeProgrammaSostituito
E' consigliato permette la sostituzione, solo se l'operazione è stata compiuta volontariamente e consapevolmente. In caso contrario, si consiglia di vietare tale attività, onde evitare la possibile sostituzione del file, con una versione contenente codice malfunzionante o pericoloso.
Code: Select all
[b]Esecuzione Nidificata[/b]
Il programma: $NomeProgrammaRichiamante
Ha tentato di eseguire il programma: $NomeProgrammaRichiamato
E' consigliato permetterne l'esecuzione, solo se tale sollecitazione è volontaria e consapevole. In caso contrario, si consiglia di vietare tale comportamento, onde evitare l'avvio di operazioni che potrebbero causare effetti indesiderati (a volte anche gravi).
Code: Select all
[b]Tentativo d'Interazione con l'Utilità di Pianificazione[/b]
Il File Eseguibile: $NomeFile
Ha tentato di apportare delle modifiche all'utilità di pianificazione di sistema: $Aggiunta/$Modifica/$Cancellazione
$InformazioneCoinvolta
E' consigliato permettere tale operazione, solo se il file è sicuro. In caso contrario, si consiglia di vietare la configurazione di tale impostazione, onde evitare l'esecuzione di programmi che potrebbero ridurre la sicurezza o la stabilità di sistema, ed, in certi casi, anche comportando una perdita di dati. Inoltre, altri applicativi leciti, potrebbero non funzionare più in modo corretto.
Code: Select all
[b]Tentativo d'Interazione con l'Utilità di Esecuzione Automatica[/b]
Il programma: $NomeProgrammaRichiamante
Ha tentato di apportare delle modifiche all'utilità di esecuzione automatica: $Aggiunta/$Modifica/$Cancellazione
$InformazioneCoinvolta
E' consigliato permetterne l'esecuzione, solo se tale sollecitazione è volontaria e consapevole. In caso contrario, si consiglia di vietare tale comportamento, onde evitare l'avvio di operazioni che potrebbero causare effetti indesiderati (a volte anche gravi). Inoltre, altri applicativi leciti, potrebbero non funzionare più in modo corretto.
Nel corpo del popup, bene in vista, inserire un pulsante decisionale per permettere tale esecuzione, un altro per vietarla, un checkbox per rendere permanente tale decisione, un altro se si vuole loggare tale attività in un file, ed un altro ancora se si vuole essere avvisati di tale esecuzione.
Inoltre, un buon consiglio è quello d'introdurre un eventuale switch per visualizzare eventuali informazioni aggiuntive specifiche ed esaustive (da includere in caso di logging), tra cui (alla rinfusa):
Code: Select all
Path Eseguibile Avviato: $Drive\$Path\$EseguibileConNomeEdEstensione
Path Eseguibile Sostituito: $Drive\$Path\$EseguibileConNomeEdEstensione
Path Eseguibile Richiamante: $Drive\$Path\$EseguibileConNomeEdEstensione
Path Eseguibile Richiamato: $Drive\$Path\$EseguibileConNomeEdEstensione
Path File Sospettato: $Drive\$Path\$FileConNomeEdEstensione (usato per le attività d'interazione sospetta)
Descrizione: $DescrizioneDell'Eseguibile
Versione Del File: $Versione ($BuildEdAltreInfo)
Esecuzione Nidificata Richiesta: $DataEOraDelRichiamo
File Richiamante Creato: $DataEOraDiCreazione
File Richiamante Modificato: $DataEOraDiModifica
Ultimo Accesso al File Richiamante: $DataEOraUltimoAccesso
File Richiamato Creato: $DataEOraDiCreazione
File Richiamato Modificato: $DataEOraDiModifica
Ultimo Accesso al File Richiamato: $DataEOraUltimoAccesso
File Controllato Dall'AntiVirus/Engine Euristico di Sistema: $Sì/$No ($SoloDall'EngineEuristico/$SoloDall'AntiVirus/$DaEntrambi)
Ultimo Controllo del File: $DataEOraUltimoControllo
File Considerato Sicuro: $Sì/$No ($SoloDall'EngineEuristico/$SoloDall'AntiVirus/$DaEntrambi)