-
Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).
Кто что об этом думает - можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?
Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).
Как правило блокеры прописываются в автозагрузку модифицирую ключ запуска проводника:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Например внося такие изменения:
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe) (окно которого имеет наивысшей приоритет и поэтому все остальные окна вызываемые при помощи сочетаний клавиш будут открываться за ним (не будут видны)), попутно блокер отключает диспетчер задач и модифициркет ключи запуска в безопасном режиме (SafeBoot) - поэтому без LiveCD, если вы не найдётё ключ разблокировки в интернете - разблокировать систему (удалить блокер) не получится.
Как обезапасить себя от блокеров:
1) Жмёте ПУСК - в поле выполнить вводите regedit.exe (откроется редактор реестра)
2) Переходите в редакторе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3) Жмёте правой кнопкой мыши по Winlogon - выбираете пункт Разрешения - нажимаете Дополнительно - на вкладке Разрешения в поле Элементы разрешений щёлкаете два раза левой кнопкой мыши по очереди на правилах установленных для каждой группы пользователей - в открывшихся меню (для каждой группы пользователей) ставите галочку в столбце ЗАПРЕТИТЬ напротив строки ЗАДАНИЕ ЗНАЧЕНИЯ - ОК.
4) После того как вы выполните пункт 3 для правил установленных для всех групп пользователей - нажмите - ПРИМЕНИТЬ - ОК.
P.S. Данные изменения лучше производить после установки всех необходимых для вас программ, так как некоторый лигитимный софт также может вносить изменения в данный раздел реестра (например если мне не изменяет память программы от ЛК) - но бывает такое очень очень очень редко и если у вас возникнут проблемы при установке какого-либо софта (что вряд ли случится) - удалите созданные нами запрещающие правила - установите программу - затем заново выполните пункты с 1-го по 4-ый.
Эти нехитрые манипуляции позволят вам обезопасить компьютер от большинства блокеров и сохранят вам врямя и нервы в дальнейшем...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?
Dis is one half.
Press any key to continue...
-
Сообщение от
Karlson
а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?
Обратно всё без проблем отбрасывается - для этого нужно удалить созданные запрещающие правила и выполнить перезагрузку.
Кстати проверил на зловредах модифицирующих ключ запуска проводника - работает безотказно - они все идут лесом)))
P.S. Можно также аналогичную тему замутить с блокированием hosts файла от изменений через групповые политики...
Последний раз редактировалось Ingener; 27.09.2009 в 02:40.
GHETTO/STREET WORKOUT
-
Сообщение от
Ingener
можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?
Вряд ли, да и зачем?
Ведь намного правильней по умолчанию сидеть под ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись
А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму
-
Сообщение от
drongo
Вряд ли, да и зачем?
Ведь намного правильней по умолчанию сидеть под ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись
А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму
Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))
Даже если например юзер сидит в учётке с включенным UAC - что он ответит на запрос UAC о повышение привелегий... - а эти настройки смогут уберечь его от модификации зловредами ключа запуска проводника.
Насчёт того что эти настройки можно сбросить - я думаю врядли в ближайшее время появятся зловреды с таким функционалом (так как эта фича мало распространена).
Как один из рубежей обороны данная фича может будет полезна для рядового пользователя - хотя какой рядовой пользователь будет заморачиваться на эту тему)))
-
Данный ключ используют не только зловреды.
В одном из моих мест работы я использую Runpad. И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка. При отключении оболочки туда вносится стандартная запись. (С прошлыми версия было так, как сейчас это делается, я не знаю)
Есть ещё много других "обёрток" для системы, но их названия я уже вряд ли вспомню. Раньше дома я ставил такие программы
Если юзер поставит запрет на этот ключ, а потом ему вздумается установить одну из таких программ, то он будет разочарован.
Сидите под ограниченными учётными записями
Последний раз редактировалось light59; 28.09.2009 в 10:08.
-
Сообщение от
light59
И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка.
И сколько раз её надо запустить, чтобы она туда прописалась?
-
Junior Member
- Вес репутации
- 60
Сообщение от
Ingener
Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))
А кто не хочет сидеть(под юзером),будет клиентом раздела "Помогите".
-
chap, не хочу, но и не буду.
karsaz, столько котов в одном мешке! Удивляет сестра таланта.
Что там за образ и что за утилита, если они не снимают надобность в кодах?