N.B.
Ik had zoveel tijd genomen voor het schrijven van deze reactie, dat in de tussentijd (20:35+) W. Spu al veel beantwoord had van wat vanegmond had gevraagd, zo zag ik na het posten van mijn reactie.
Een deel van wat ik hieronder heb geantwoord is dus dubbelop. Maar dat is niet erg, denk ik.
Door vanegmond, 19:55 uur:
Ik moet EMET 5.0 nog installeren.
Dat Apps exporteren W.Spu kan ik niet volgen, want waar exporteer ik ze heen, wanneer ik Emet 4.1 al heb verwijderd?
Ik weet niet hoe nuttig het is om de configuratie van EMET 4.1 (Update 1?) te exporteren.
EMET installeren met "Use Recommended Settings", vervolgens protection profile Popular Software toepassen, en ten slotte tevens de EMET mitigations nog toepassen op de applicaties naar eigen wens, dat lijkt me niet bijzonder veel werk. (Wel om driemaal daags te doen, maar niet als dat maar eens in de zoveel maanden hoeft.)
Wil je echter toch graag de configuratie van EMET 4.1 (Update 1?) exporteren en later importeren in EMET 5.0, dan doe je dat exporteren via EMET 4.1\ Apps\ Export, waarbij je de Config files kunt opslaan onder een bestandsnaam naar keuze op een bestandslocatie naar keuze.
N.B. Dat doe je dan dus vanuit EMET 4.1. Je moet dan uiteraard niet eerst EMET 4.1 al verwijderen.
Na het installeren van EMET 5.0 kun je die bewaarde configuratie van EMET 4.1 importeren via Import.
Door vanegmond, 19:55 uur:
Spiff zegt alle software die ik er zelf ingezet heb verwijderen. Doe ik dit via Apps. en dan delete, stuk voor stuk?
Dan verwijder Emet 4.1, of kan ik dan Emet 5.0 over de oude installeren met Keep Exiting Settings?
Volgens W.Spu maak ik dan geen gebruik twee nieuwe onderdelen van Emet 5.0.
Ikzelf verwijder inderdaad een oudere EMET versie voordat ik een nieuwe EMET versie installeer, en voor het verwijderen maak ik eerst alle toegepaste EMET mitigations ongedaan.
Dit is echter niet nodig.
Ik ben gewoon een beetje gek.
Evengoed kun je de nieuwe EMET versie installeren zonder eerst de vorige versie te verwijderen.
Bij installeren heb je twee opties:
"Use Recommended Settings"
en "Keep Existing Settings".
Kies je "Use Recommended Settings" en heb je de vorige EMET versie niet eerst verwijderd, dan wordt automatisch de eerdere versie en de instellingen daarin verwijderd en de nieuwe versie met de aanbevolen instellingen geïnstalleerd.
Het probleem dat de nieuwe mitigations EAF+ en ASR dan niet worden toegepast treedt dan
niet op.
Kies je echter "Keep Existing Settings" en heb je de vorige EMET versie niet eerst verwijderd, dan wordt eveneens automatisch de eerdere versie verwijderd, maar dan worden de instellingen van de vorige EMET versie overgenomen in de nieuwe versie en de nieuwe mitigations EAF+ en ASR worden dan
niet toegepast.
N.B.
Het verwijderen van de oude EMET versie voor het installeren van de nieuwe versie is dus niet nodig.
Enkel maar wanneer je zo gek bent als ik.
Wil je om een of andere reden ook gek doen, dan kun je de mitigations in de oude versie als volgt simpel ongedaan maken:
Ga naar EMET\ Apps,
markeer de hele kolom applicaties door middel van Shift-knop vasthouden plus met de muis de eerste en vervolgens de laatste applicatie aan te klikken,
rechtsklik de gemarkeerde applicaties en kies "Disable All Mitigations",
en verwijder vervolgens alle applicaties door middel van "Remove selected" (rood kruis),
en ten slotte OK.
Maar nogmaals, doe dit enkel wanneer je dit leuk vind of neurotisch of anderszins zot bent, want er is geen noodzaak toe.
Door vanegmond, 19:55 uur:
Recommended Settings of Keep Exiting Settings, wat dan te doen?
Wil je dat de nieuwe mitigations EAF+ en ASR automatisch worden toegepast, dan is de optie "Use Recommended Settings" de optie die je wilt kiezen, zoals hierboven beschreven.
Door vanegmond, 19:55 uur:
Freemake is toch na het goed installeren en onderbrengen in EMET beter beschermd?
Of denk ik nu weer te simpel over het onderbrengen in EMET?
Het zal zeker niet slechter beschermd zijn.
Maar verder geldt wat ik al een paar keer eerder heb aangegeven:
Wil je de EMET's mitigations toepassen op Freemake Video Downloader, dan is het mijns inziens verstandig om uit te zoeken wát van Freemake Video Downloader er precies onder de hoede van EMET gebracht moet worden. Ik kan me voorstellen dat Freemake Video Downloader meerdere processen genereert. En tevens maakt Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik van WinPcap (zoals in je Freemake thread besproken:
https://www.security.nl/posting/395852), dus ik kan me voorstellen dat ook dat dan onder de hoede van EMET gebracht zou moeten worden.
Door vanegmond, 19:55 uur:
Het is alleen zo dat ik Freemake al zo lang gebruik, de Downloader en de Converter, maar ik moet maar eens induiken in andere opties, die dacht ik Anoniem al voorstelde.
Uiteraard bestaan er andere opties.
Maar laat je niet gek maken betreffend de Freemake software.
Aan de OpenCandy component van de Freemake installer is een aparte thread gewijd en ook in deze thread kwam het weer even aan de orde. OpenCandy is in principe geen probleem wanneer je er verstandig mee omgaat. Hoe hard MBAM en andere scanners ook gillen wanneer ze een OpenCandy bestand ontdekken.
Het feit dat Freemake Video Downloader via de FreemakeVideoCapture service (of CaptureLibService) gebruik maakt van WinPcap (zoals in je Freemake thread besproken:
https://www.security.nl/posting/395852), dat lijkt me nog het interessantste aandachtspunt.
Heb je je Freemake thread en ook dat wat daarin is geschreven over WinPcap inmiddels goed bestudeerd? Eerder gaf je aan dat je daaraan nog niet was toegekomen.
Volgens mij is alles al wel een keer gezegd, inmiddels, het probleem is echter dat er zovéél gezegd is. Ik kan me voorstellen dat het je kan duizelen. Vragen stellen en reacties krijgen gaat vlot, maar alles op een rijtje krijgen dat kan tijd kosten, vooral wanneer je zo'n beetje wordt overvoerd met informatie.
Een goed advies advies lijkt me om de tijd te nemen om alles dat gezegd en geschreven is en wordt rustig en goed te bestuderen, en waar nodig te herlezen.
N.B.
Ik had zoveel tijd genomen voor het schrijven van deze reactie, dat in de tussentijd (20:35+) W. Spu al veel beantwoord had van wat vanegmond had gevraagd, zo zag ik na het posten van mijn reactie.
Een deel van wat ik hierboven heb geantwoord is dus dubbelop. Maar dat is niet erg, denk ik.