Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties

Een nieuwe versie van de Alert-functie van Hitman Pro gebruikt een debugfunctie in Intel Core-chips en nieuwere Atom-cpu's om gebruikers te beschermen tegen return oriented programming. Ook beschermt de nieuwe versie tegen meer ransomware en tegen badusb-exploits.

De nieuwe versie van de software, die door het Nederlandse bedrijf Surfright wordt gemaakt, gebruikt de last branch record-functie van Intel Core i-chipsets en nieuwere Atom-chipsets om jumps in het geheugen bij te houden. "Eigenlijk is het een debugfeature", zegt Erik Loman van Surfright. De debugfunctie wordt bij installatie van Hitman Pro ingeschakeld om return oriented programming onmogelijk te maken.

Bij die aanvalstechniek worden de bestaande machine-instructies van een bepaald programma in een specifieke, door de aanvaller gekozen volgorde uitgevoerd, waardoor hij zijn eigen code kan samenstellen. Normaliter moet dat worden verhinderd door data execution prevention, dat voorkomt dat door de gebruiker beschrijfbaar geheugen wordt uitgevoerd, en address space layout randomization, waarbij geheugen-adressen willekeurig worden verdeeld om het moeilijker te maken voor aanvallers om ernaar te verwijzen.

Met behulp van de debugoptie kan Hitman Pro bijhouden welke jumps in het geheugen worden gemaakt. Volgens Loman van Surfright levert de functie vrijwel geen overhead op, omdat de processor de jumps zelf bijhoudt en wegschrijft naar een eigen register. Daarbij blijven de laatste zestien jumps bewaard. Die moeten wel worden uitgelezen door de software.

Hitman Pro Alert 3Hitman Pro Alert 3Hitman Pro Alert 3Hitman Pro Alert 3

Verder beschermt de nieuwe versie van de beveiligingssoftware tegen badusb, een type exploit waarbij een usb-stick zich kan voordoen als een toetsenbord om vervolgens toetsenbordbewerkingen uit te voeren. De nieuwe versie van Hitman Pro Alert waarschuwt wanneer een nieuw apparaat wordt aangesloten dat zichzelf als toetsenbord voordoet; gebruikers moeten op akkoord klikken voordat het apparaat wordt geaccepteerd. Ook voor sommige muizen met veel knoppen wordt een waarschuwing gegeven.

Verder beschermt de beveiligingssoftware tegen verschillende soorten ransomware, malware die bestanden versleutelt en de slachtoffers ertoe wil verleiden om geld te betalen om de bestanden weer te kunnen openen. Zodra verschillende bestanden in korte tijd achter elkaar worden versleuteld, slaat de software alarm en worden uit voorzorg back-ups van de bestanden gemaakt. De software kan dus ook alarm slaan als iemand in één keer een map met bestanden versleutelt met pgp.

Tot slot slaat de software alarm als malware die toch op de pc blijkt te zijn geïnstalleerd communicatie met een command-and-control-server uitwisselt. Daarvoor past de software bepaalde analyses toe.

Hitman Pro beschermde al langer tegen onder meer webcamhackers, door een waarschuwing te tonen als de webcam wordt gebruikt. De software leunt niet op definities van bekende malware, zoals de meeste beveiligingssoftware doet, maar probeert verdachte gedragingen van malware te herkennen. Daarbij wordt het geheugen bijvoorbeeld gecontroleerd op heap spraying, een techniek om het geheugen te vullen die vaak door aanvallers wordt gebruikt.

De software concurreert onder meer met virusscanners en MalwareBytes, maar ook met EMET, een framework van Microsoft dat voor een deel dezelfde functionaliteit biedt. EMET vereist echter het nodige configuratiewerk. Een licentie kost 20 euro per jaar voor één pc en 30 euro voor drie pc's, of 40 euro voor drie jaar op één pc en 60 euro voor drie jaar en drie pc's.

Moderatie-faq Wijzig weergave

Reacties (69)

Bij [return oriented programming] worden de bestaande machine-instructies van een bepaald programma in een specifieke, door de aanvaller gekozen volgorde uitgevoerd, waardoor hij zijn eigen code kan samenstellen.
Mee eens.
Normaliter moet dat worden verhinderd door data execution prevention, dat voorkomt dat door de gebruiker beschrijfbaar geheugen wordt uitgevoerd,
Nee, DEP doet juist helemaal niks tegen ROP.

Het idee van DEP is dat een aanvaller niet zijn eigen code ergens in een variabele (= data) kan stoppen en daar vervolgens met een truc naartoe kan springen (= execution). In combinatie met het feit dat een aanvaller normaal gesproken geen code aan kan leveren heb je dan een zeer goede verdediging. Alles is data of code, data kan niet uitgevoerd worden en code heeft de aanvaller geen toegang tot... dus dan kan er nooit kwaadaardige code uitgevoerd worden.

Totdat iemand ROP bedacht... :(

Door allerlei bestaande stukjes code achter elkaar te plakken, kun je een programma "in elkaar puzzelen", zonder je eigen code het geheugen in te smokkelen. Als al die bestaande stukjes code eindigen op een RETurn instructie, dan kun je ze namelijk achter elkaar plakken door te rotzooien met de return-adressen. Een RET is vergelijkbaar met een JuMP instructie, behalve dan dat een JMP zelf zegt waar ie naartoe wil springen, terwijl een RET op de stack kijkt wat de bestemming moet zijn.
Je kunt dus "een programma schrijven" door alleen maar de goede return addresses achter elkaar op de stack te zetten en te wachten totdat de eerstvolgende RET instructie (onbedoeld) ertoe leidt dat je programma wordt uitgevoerd. En daar zit het probleem: het idee van DEP is om code execution op (onder andere) de stack te voorkomen, maar dat betekent alleen dat er geen instructies op de stack uitgevoerd kunnen worden. Het lezen van een return address wordt door DEP, hoewel het wel degelijk invloed heeft op welke code er draait, niet als "code execution" beschouwd en dus ook niet geblokkeerd.

Is DEP aan te passen zodat het lezen van een return address ook geblokkeerd word? Nee, niet op een x86 CPU, daar is het bijhouden van return addresses namelijk een primair doel van de stack; blokkeer dat en er is geen enkel programma meer dat kan draaien.
Een (theoretische) oplossing zou zijn om de CPU twee stacks te geven: eentje voor return addresses en eentje voor de lokale variabelen van functies en register overflow*). Dat grijpt echter op zo'n laag niveau in, dat de complete architectuur van de processor (en de instructieset) aangepast zou moeten worden. De meest recente poging om x86 van de troon te stoten heette Itanium... en was een complete mislukking. Als zelfs Intel zelf, met een investering van miljarden dollars, er niet in slaagt om x86 te vervangen door iets beters, dan betwijfel ik of deze post heel veel kans maakt om het wel voor elkaar te krijgen...

*) Als je die nieuwe stack simpelweg in executable memory zet, dan krijg je geheugen dat is gemarkeerd als executable én writable... da's een ander bekend probleem. Dit is alleen een zeer korte schets van een oplossing; om het daadwerkelijk aan de praat te krijgen is veel meer nodig dan deze ene "simpele" aanpassing.
en address space layout randomization, waarbij geheugen-adressen willekeurig worden verdeeld om het moeilijker te maken voor aanvallers om ernaar te verwijzen.
Mee eens.
Geldt het verhaal van een ROP ook voor een x64 cpu?
De enige vereiste voor ROP is dat de processor een stack heeft. Met andere woorden, dat werkt op elke processor.
Er zijn wel processoren met één (of meerdere) registers voor de meest-recente return addresses (registers overschrijven is veel lastiger dan geheugen overschrijven), maar bij mijn beste weten is er altijd een mechanisme om "het overschot" naar het geheugen te schrijven als alle "return registers" vol zijn. Dit vormt dus geen beveiliging tegen ROP, het betekent alleen dat "de gewone code" (van het draaiende programma) een paar extra RETs moet uitvoeren voordat "de ROP-code" wordt aangeroepen.

Om ROP te kunnen misbruiken moet je een manier verzinnen om de stack te overschrijven. Voor zover ik weet heeft x86-64 geen extra beveiligingen om dit te voorkomen. Ik denk ook niet dat dat mogelijk is... Omdat de stack altijd te lezen en schrijven moet zijn voor het proces zelf, heeft de processor geen methode om te voorkomen dat een bug in de code het mogelijk maakt de stack te overschrijven.

[Reactie gewijzigd door robvanwijk op 9 april 2015 19:38]

Ja, x64 is feitelijk een x86 met extensies om 64-bit adressering te ondersteunen. Waarschijnlijk zijn de verschillen wat genuanceerder, maar hier komt het feitelijk op neer.
Er waren toch nieuwe processoren op de markt met ingebakken protectie zodat software niet gebruikt kon worden?
Waarom zou iemand een processor willen waarop geen software gebruikt kan worden?
Bedankt voor de heldere uitleg over ROP! _/-\o_
Mooi, en duidelijk verhaal.

"Normaliter moet dat worden verhinderd"
Het woord dat slaat dus niet op DOP maar gewoon op het runnen van eigen code..
Bedankt voor je uitgebreide toelichting op de werking van Hitman Pro en DEP.
Even voor de duidelijkheid dit artikel gaat over HitmanPro.Alert 3 en niet over HitmanPro wat een second-opinion antimalware scanner is.

HitmanPro.Alert 3 kan hier gedownload worden: http://dl.surfright.nl/hmpalert3.exe

[Reactie gewijzigd door VicSmurf op 9 april 2015 16:22]

* License is for all HitmanPro products, incl. HitmanPro.Alert
Hiermee is HitmanPro dan ook geen second-opinion antimalware scanner meer
Omdat er een license (= betaalmodel) is dat meerdere programma's dekt, veranderd ineens de functie van alle programma's die daaronder vallen?

Nope, VicSmurf heeft gewoon gelijk. Volgens Surfright.nl zelf:
  • HitmanPro - on-demand forensic-based second opinion Anti-Malware
  • HitmanPro.Alert - real-time signature-less solution against cyber attacks
dan nog steeds vind ik het een beetje een 'lastig' iets moet je allert nu als een soort realtime antivir oplossing zien of nog steeds als een mallware remover/blocker want in dat laatste geval mis ik voor die prijs toch nog wel een meegeleverde firewall zoals je bijv bij esset voor die prijs wel krijgt...
Er is 1 licentie voor beide producten inderdaad maar dit artikel gaat alleen over HitmanPro.Alert 3. Dat wilde ik alleen duidelijk maken :)

Meer informatie over HitmanPro.Alert 3: http://www.surfright.nl/nl/alert

[Reactie gewijzigd door VicSmurf op 9 april 2015 16:29]

Nederlands top product, niet duur, werkt bij mij zonder problemen. Ik raad iedereen aan die paar tientjes te investeren in een veiligere computer.

In de loop der jaren heb ik meermaals incidenteel Hitman Pro gebruikt om rommel van mijn pc te verwijderen. Tegenwoordig heb ik continu een betaalde versie draaien.

Edit- was me ff niet duidelijk dat er verschillende producten zijn, Hitman Pro en Hitman Pro Alert... Verder nogmaals dat van hierboven; Kopen! 😁

[Reactie gewijzigd door Yalden op 9 april 2015 16:02]

Het zijn twee verschillende producten, alleen volgens mij valt de licentie onder Hitman pro.

Na installatie van Alert werd hij automatisch geactiveerd en de resterende tijd van mijn Hitman pro licentie overgenomen.
Als ik beide open, HitmanProAlert 3.0.36 build 181 en HitmanPro 3.7.9 buid 240, en ik laat Alert scannen dan start de scan-engine van HitmanPro.
In de resultaten van HitmanPro krijg ik een gedetailleerde lijst van uitgevoerde en gevonden bewerkingen/resultaten.
Die krijg ik niet te zien als ik scan met alleen Alert open.
Al weet ik dat niet helemaal zeker, ik had mijn PC al opgeschoond voordat ik Alert installeerde, Alert zegt nu niets (0) gevonden waar bij een geopende Pro ik te zien krijg wat er gedaan is en dat er niets gevonden is.

Fraaie simpele overzichtelijke interface van Alert overigens, ook met uitgebreide bediening.
Beetje Metro/Tiles-achtig, ik kan dat wel waarderen.

Maar eens aanzien hoe traag mijn systeem nu wordt met vier realtime-scanners (HmAlert, MBAM, Defender en System Shield), System Guard, en EMET. :+
Er is er altijd wel één die als eerste real-time melding geeft bij fouterikjes (meestal MBAM) en bij afwisselende scans vinden ze alleen maar cookies.
Maar misschien kan er wel eentje uit.... ;)

Update 10/4:
Inmiddels is Alert er weer af.....
Geen idee of meer mensen er last van hebben maar ik had voor het eerst een blue screen en dat bleef hangen....volgens mij bij herstarten PC.
Verder geen wijzigingen behalve Alert en het laatste blue screen was in het begin van W8, hééél lang geleden..
Opstarten na hard reset ging de eerste keer wel maar mijn interface was niet de oude, nogmaals opnieuw opstarten is vaak een simpele oplossing maar hierbij liep de pc weer compleet vast.
Na hard reset weer een blue screen met opstarten en daarna nog een, beide bleven hangen op gegevens verzamelen 0% ; SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (CLASSPNP.SYS).
Uiteindelijk gelukkig vanuit het geavanceerde opstartscherm, dat automatisch opent na twee opstartfouten, met systeemherstel weer aan de gang gekregen waarbij systeemherstel meldde dat het mislukt was (onbekende fout geen wijzigingen) maar na opstarten de pc toch teruggezet was naar het gekozen herstelpunt. :?
Ben na drie kwartier geëtter nu bezig met de laatste heropstart voor opnieuw geïnstalleerde updates.

Benieuwd of dat meer mensen is overkomen.

[Reactie gewijzigd door Teijgetje op 10 april 2015 16:35]

Het toetsenbord van mijn laptop Acer V3-771G met Windows 8.1 was niet meer te gebruiken. Ik kon met een extern toetsenbord weer toegang krijgen tot mijn laptop. Hitman Pro Alert meteen verwijderd. Na zoeken met Google meerdere gelijkaardige meldingen gevonden.
Er wordt altijd gesteld dat het tegelijkertijd gebruiken van meerdere van dit soort pakketten tot allerlei conflicten, crashes en false positives kan leiden. Zelf gebruik ik standaard Norton 360 (licentie) en draai ik van tijd tot tijd Superantispyware of MBAM. Gebruik jij Hitman Pro continu naast je virusscanner en leidt dit niet tot problemen?
Klopt, ik heb continu McAfee en Hitman Pro aan zonder problemen. Zo nu en dan krijg ik van een van de twee een melding die volgens mij dan ook wel echt is.
Hitman Pro, heb er vaker over nagedacht. Maar wat is de toegevoegde waarde van oa Hitman Pro als ik nu BitDefender draai? Is het de moeite waard?
Hitman Pro is voor gebruikers die absoluut geen virussen op hun PC willen hebben/krijgen, ik gebruik het zelf altijd als mensen al een virus op hun PC hebben, dan vind de virus scanner deze niet en Hitman Pro vist hem er binnen een paar seconden uit, verder geen ervaring met hun realtime bescherming, echter aan het stuk te lezen is deze vrij agressief.
als je echt een hardnekkige virus hebt die niet weg wil
Die wordt met Hitman Pro helaas ook niet gevonden en opgelost, zie mijn topic: Mogelijk een virus, maar verwijderbaar?

Uit mijn ervaring ziet Hitman Pro een hoop schadelijke dingen, eigenlijk nog meer dan malwarebytes. Echter ziet Hitman Pro ook een hoop onschadelijke dingen zoals punkbuster. In het geval dat je een "tweaker" bent is Hitman Pro handig om te gebruiken als malwarecleaner, in het geval dat je dat niet bent kan je beter voor malwarebytes gaan.

Zie mijn topic: Mogelijk een virus, maar verwijderbaar?
Ik was al fan van Hitman Pro in de oude tijd waneer Hitman nog een Auto-It scipt was met allerlei anti-spyware / anti-virus tools.
De Hitman Pro 3.x heb ik direct aangekocht en altijd maar blijven verlengen voor al mijn pc's.
Ik gebruik Kaspersky anti-virus die in de top 3 altijd zit qua detectie en verwijderen van virussen.
Deze is de grove borstel op mijn PC.
Hitman Pro is de fijne borstel die zaken die door de mazen van het net zijn gekropen dan verwijderd.
Scannen met Hitman Pro 3.x duurd met een SSD +/- 1 minuut en dagelijks een scan voor ik pc afsluit zodat pc weer tiptop is bij volgende boot.
Gratis voor de mensen met een licentie voor Hitman Pro licentie, nu een shitload aan extra bescherming erbij voor zelfde prijs.
Ik slaap nu beter door weer een extra laag beveiling op mijn pc en dit voor 60 euro voor 3 pc's voor 3 jaar. Dit maakt 7 euro per pc per jaar.
Daarvoor eet ik geen boterham minder.

Bedankt Surfright en Mark Loman hiervoor.
kasperski is inderdaad ook goed en je merkt er ook niet zoveel van als het op je pc draait. Sommige scanners vertragen je pc behoorlijk!
Misschien is dit wel op een aantal fronten vooruit lopen op de feiten wat HitmanPro doet.
Een techniek die met de huidige aanvlasmethoden en encrypties wel eens veel kan gaan redden.

"De software leunt niet op definities van bekende malware, zoals de meeste beveiligingssoftware doet, maar probeert verdachte gedragingen van malware te herkennen. Daarbij wordt het geheugen bijvoorbeeld gecontroleerd op heap spraying, een techniek om het geheugen te vullen die vaak door aanvallers wordt gebruikt."

"Zodra verschillende bestanden in korte tijd achter elkaar worden versleuteld, slaat de software alarm en worden uit voorzorg back-ups van de bestanden gemaakt."

Voor mij nu al een waardig opvolger voor NOD32, geen twijfel!

[Reactie gewijzigd door Vermeulen op 9 april 2015 15:42]

ESET NOD32 is een virus scanner, HitmanPro niet; Antimalware..
HitmanPro 3 is een snelle alles-in-één oplossing om virusen, spyware, trojaanse paarden, rootkits en andere malware op te sporen, te identificeren en te verwijderen.

Bron: http://www.surfright.nl/nl/products
Misschien een vraag die varieert per gebruiker. Maar wat is beter/fijner hitman of malwarebytes?
onze persoonlijke voorkeur op de zaak gaat uit naar hitman , je kan hem altijd even gratis 30 dagen proberen dus dat is met een autoit scriptje zo gedaan.

hitman is gewoon voor het echt goed schoonmaken , al gebruik je dan ook andere tools erbij.

Malware bytes is redelijk maar vind lang niet alles.

wij zouden alleen nooit hitman-alert gaan gebruiken etc, al die extra "bloatware". belangrijkste is het scannen en het opschonen ervan. Real time scanners lopen altijd achter de feiten aan.

[Reactie gewijzigd door Aionicus op 9 april 2015 15:28]

Elk programma loopt achter de feiten aan. Of je nou handmatig een dag later spant of je virus /malware scanner doet het die dag later automatisch. Heb je in het laatste geval toch meer gemak.
Dat klopt , maar dat is een gegeven feit , ze lopen altijd achter. aangezien wij vaak de computers op de zaak krijgen nadat de schade al is gebeurd is hitman toch het juweeltje om de meeste troep eruit te halen , daarna ga je handmatig aan de slag om de troep die is achter gebleven eruit te slopen.
Met opschonen en scannen loop je eigenlijk nog verder achter de feiten aan.
Ik heb een sterke voorkeur voor malwarebytes. En wel om de volgende punten:

- Kan scannen zonder internetverbinding
- Niet cloud gebaseerd
- Bent niet verplicht meldingen up te loaden
- Gratis, altijd
De premium is beter, haalt meer weg en je kunt als je goed uitkijkt tegenwoordig nog een pro\premium licentie kopen op het web voor minder dan een jaar licentie kost. :P
Ze halen hetzelfde weg, de premium heeft wat andere extra functies zoals real time protection, malicious website blocking en een taakplanner
malwarebytes is een realtime virus scanner en houd we wat tegen , hitman pro is om de ergste virussen te verwijderen en niet real time
malwarebytes is geen virusscanner maar een malwarescanner
Daar zit geen verschil meer in tegenwoordig: virusscanner == malwarescanner.
Vind ik wel. Zo is de echte Virusscanner Avira antivir beter in het vinden van virussen maar malwarebytes weer beter in het vinden van malware e.d.

Ik draai ze beide! ;)

Ik gebruik ADW cleaner met name voor de toolbars en custom search engines. Is hier erg goed in.

[Reactie gewijzigd door Tourmaline op 9 april 2015 18:32]

mijn illegaal gedownloade spel met crack word wel gepakt door windows defender, maar niet door malware bytes. vind het dus wel een behoorlijke gewaagde uitspraak die je doet :P
bedankt, sorry foutje :)

[Reactie gewijzigd door parsnep op 9 april 2015 15:26]

Is waar, maar Malwarebytes haalt wel (bijna) alles eruit. ;)
ja alle malware dus. Geen virussen.
En behalve dat leuke woordje, waarin verschilt het nou echt in dan?
Hitman Pro Alert is wel degelijk real time

En als je verschillen wilt weten : http://www.surfright.nl/nl/alert
"EMET vereist echter het nodige configuratiewerk." je kan er gewoon een profile inzetten en gaan met die banaan...
Vraag me af hoe dit reageert op JIT compilatie zoals in alle moderne browsers aanwezig is. Ik neem aan dat die gewoon blijven werken, anders zou het nogal een probleem worden.
netjes. net even geüpdate.. Ik gebruik altijd hitman pro voor bij mensen de pc virus/malware vrij te maken.. werkt altijd heel erg goed. + ik gooi er voor de zekerheid nog advcleaner erover heen. die haalt meestal nog wat reg commands eruit zodat de mallware zich niet opnieuw kan instaleren. ijzer sterke combo!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True