Probeer op ons instituut al langer om EMET doorgevoerd te krijgen - tot op heden zonder succes wat naar mijn mening onterecht is want ja, want het is een makkelijke tool die de lat een stukje hoger legt. Implementatie is een eitje, en zelfs in een multi omgeving als de onze (inclusief Firewall, anti virus, paar honderd applicaties etc) draait het tot op heden geruisloos (getest vanaf versie 3.x sinds een dik jaar).

De technieken die in EMET zitten, worden doorlopend verfijnd. Tenzij kan
worden aangetoond dat er een generiek pad om EMET heen is, dus
onafhankelijk van welke blokkeringstechniek dan ook, is het gebruik zeker
aan te raden.

Nieuw in EMET 5 is de Attack Surface Reduction. Deze is nu alleen voor
enkele MS producten standaard ingericht en moet voor andere producten
handmatig in het Register worden ingesteld. Verwacht kan worden dat als
ASR definitief een nuttige toevoeging blijkt, de inrichting ervan ook met een
GUI ondersteund gaat worden

Ja, EMET kun je goed gebruiken om je systeem te harden. Er zijn methoden om EMET te omzeilen, maar die zijn nog zeldzaam.

EMET is een zeer sterke tool, mits goed geconfigureerd.
Aan te raden is om de "Popular Software" template te gebruiken van Microsoft.
Wanneer EMET meldingen maakt, is het goed om uit te zoeken waarom, inplaats van gelijk de tool uit te schakelen of de configuratie direct te verzwakken.

De kracht van EMET is ook dat oude software versie van bijvoorbeeld Adobe Reader, Flash en Java ook beschermd zijn tegen exploits, ondanks deze plugins niet de laatste updates hebben.
Laatst was er een test met Adobe Reader 9.0.0 (redelijk oud en niet gepatched.).
Toen werd een PDF ingeladen met bekende exploits die nog niet opgelost waren in deze versie.
EMET blokkeerde deze PDF door Reader af te sluiten, dus detecteerde dat er iets gebeurde dat niet goed was.

...
https://www.security.nl/posting/391583/Malware+stopt+virusscanner+via+Windows-beveiligingsfeature

Het houdt met een download niks tegen.
Ik had mijn laptop vernieuwd en downloade een Trash Gen,en spuugde me weer helemaal vol.
2500 stuks,kon ik weer opnieuw beginnen.
Ik heb EMET nu vol open Staan met Avira en een sandbox.
En Winpatrol.
Niks is meer veilig,het wordt steeds erger,en de lol gaat me er vanaf met de pc,erger!

Ik gebruik ook regelmatig Malwarebytes,en scan nu iedere dag met deze en Avira.
Allebei volledige scans.

@ Anoniem za.14-6, 23:47 uur,

EMET beschermt de applicaties waarop het is toegepast.
Als voorbeelden:
Bij een webbased aanval die probeert gebruik te maken van een ongepatchte kwetsbaarheid in de browser of in browser add-ons, zal EMET die aanval bemoeilijken en daardoor in veel gevallen verhinderen.
En bij een onverhoopte malware-infectie die probeert gebruik te maken van een ongepatchte kwetsbaarheid in bijvoorbeeld Microsoft Office, of WMP, of VLC mediaplayer, of een van de andere applicaties die je hebt beschermd door het EMET protection profile "Popular Software" toe te passen, dan zal EMET die aanval bemoeilijken en het uitvoeren van de betreffende malware daardoor in veel gevallen stoppen.

Echter, applicaties waarop de EMET mitigations niet zijn toegepast, die worden door EMET niet specifiek beschermd (hooguit door het door middel van EMET system wide toepassen van DEP en SEHOP en eventueel ASLR).

Download je malware die gebruik maakt van (ongepatchte?) kwetsbaarheden in applicaties waarop EMET niet is toegepast dus die niet worden bewaakt door EMET, dan biedt EMET geen bescherming tegen het uitvoeren van die malware.

Buiten dat, je zult wellicht iets verkeerd doen, gezien je vermelding "downloade een Trash Gen, en spuugde me weer helemaal vol. 2500 stuks".
Ik loop nóóit malware-infecties op, en hetzelfde geldt voor veel andere verstandige gebruikers. Wat voor onveilig gedrag of onveilige systeemconfiguratie heb je dat je zo'n malware-infectie oploopt?

En ten slotte, je schreef, "Ik heb EMET nu vol open staan".
Wat bedoel je daarmee?
Als je ermee bedoelt dat je EMET hebt geconfigureerd met indien mogelijk "Maximum security settings" en met protection profile "Popular Software" toegepast, dan is dat mooi, maar uiteraard slechts als één onderdeel van wat een brede veilige systeemconfiguratie moet zijn. (En vergeet het verstandige en veilige gedrag niet.)


@ Anoniem za.14-6, 23:51 uur,

Je noemt scans met MBAM en Avira.
Dat heeft echter niets te maken met EMET. EMET is geen malware-scanner.
EMET pas je toe om het uitvoeren van malware te bemoeilijken en te verhinderen.
Scans met MBAM en Avira gebruik je om eventuele malware op te sporen en te verwijderen.
Dat zijn verschillende dingen.
Ik begrijp daarom niet goed wat je bedoelde met je opmerking.

Bedankt voor je volledige uitleg,heeft me erg geholpen.
En voor je tijd hiervoor om te reageren.
Maar wist al dat EMET geen scanner is.
Heb trouwens ook nog deep hooks aangezet.
Ik wilde gewoon mijn programma's weer terug waar ik mee werkte,en kwam dat ineens mee.
Ja ik gebruik maximale settings,ook in Avira,en nog Secunia PSI.
En Zemana Anti Keylogger.
En werk met een Toshiba C875 14W,van afgelopen jaar.
Daar moeten nog 16GB inkomen,wat nu 6 is en een Hybride schijf.
Geheugen van Transcend en de schijf van Toshiba.
Die is nu anderhalf jaar oud.
Ik probeer ook nog wel eens wat programma's uit,dat moet ik ook maar eens laten.

Maar hoe pas ik dat profiel Popular Software toe?
Zag ook dat er helemaal niks staat waar dat normaal allemaal aangevinkt is,bij APPS.

De nieuwste EMET versie, EMET 4.1 Update 1, daarbij wordt Deep Hooks standaard toegepast.
https://www.microsoft.com/en-us/download/details.aspx?id=41138

Wellicht een download-adres dat niet deugde?
Download je je applicaties wel van de sites van de ontwikkelaars of uit andere veilige bron?

Zorg je dat je je eerst verdiept in wat je wilt uitproberen, en je download enkel veilige software van de sites van de ontwikkelaars of uit andere veilige bron, dan hoort er geen probleem te zijn.

Het allersimpelste:
EMET\ Import\ selecteer Popular Software.xml\ pas toe.
(Dat heb ik recent hier ook genoemd: https://www.security.nl/posting/390970#posting391148)
Maar staan er onder EMET\ Apps\ Appication Configuration al applicaties waarop mitigations zijn toegepast, dan levert dat voor zover ik weet een aantal dubbel-vermeldingen op. Dat kan geen kwaad, maar het is wel wat rommelig, vind ik.

Wat netter vind ik daarom het volgende:
Verwijder eerst onder EMET\ Apps\ Appication Configuration alle applicaties waarop mitigations zijn toegepast,
en importeer vervolgens het profiel Popular Software.
Ik heb dat eerder hier uitgebreid beschreven:
https://www.security.nl/posting/41491#posting370538
vanaf "verwijder het relatief beperkte standaard-profiel Recommended Software".

@TS: Je vraagt, is EMET de moeite waard? Maar je kunt beter vragen of jij de moeite waard bent om een 0-day aan te besteden?

EMET wordt regelmatig genoemd door Microsoft als 'mitigation'. Maar als bijvoorbeeld IE lek is, kun je ook een andere browser gebruiken tot de Out Of Band update klaar is (dit gebeurt een paar keer per jaar).

Je kunt je ook afvragen hoe een gebruiker op EMET reageert. Mijn ouders wil ik het niet aandoen. Met het risico dat office opeens afgesloten wordt terwijl er geen aanval plaats vond. Dat is namelijk het grootste risico met EMET. Dat het iets stuk maakt op je computer. Ik heb dat zelf twee keer gehad met het openen van IE 9 vlak na patch dinsdag. Kan niet met zekerheid zeggen dat dit door EMET kwam, maar sinds die eraf is is het nooit meer gebeurd (toch al een half jaar geleden denk ik).

Dus, ben jij zo interessant dat iemand een 0-day op jou wil gebruiken? Dan helpt EMET zeker.
Als je gewoon voorzichtig bent op internet en kan wachten op de patch waarvoor je EMET wil inzetten, waarom zou je het dan installeren? Vooral omdat je weet dat het programma's kan afsluiten (soms ook als er niets aan de hand is).

Maar als je computer blijft werken zonder problemen en je het leuk vind, dan kun je het zeker doen.

Een andere reden om EMET te installeren is voor mensen die hun computer niet goed updaten. Dan houdt EMET zeker een hoop malware tegen. Maar er is geen garantie dat er geen 'false positives' plaatsvinden.

Aan spiff en anderen
Heb die EMET 4.1 Update 1,maar moest Deep hooks toch aanvingken,stond uit.
Maar ik zal die eens opnieuw instaleren,en kijken of ik die apps dan toch krijg.

als malware-makers een 0-day vinden, die ze massaal willen gebruiken, doet het er niet toe of iemand de moeite waard is, daar word code voor geschreven, en die word via verschillende manier verspreid,

denken dat je NIET de moeite waard bent, kan een grote denkfout zijn, met grotere gevolgen dan je lief is ;)

Heb EMET opnieuw geïnstalleerd,apps werken nu bedankt jongens,met groet Vallen 46 uit Meijel.
Bedankt Spiff.