-
Junior Member
- Вес репутации
- 74
DefenseWall HIPS: установка, настройка, проблемы в работе
А почему программа за меня решает что опасное,а что нет?Я выделяю безопасные зоны,но как я понял например все р2р клиенты не безопасные,так что они не будут работать с полной функциональностью?Можно ли мне что то добавить,а что то убрать из красной зоны?И Вы меня очень сильно извините,но идеально защиты нет и не будет никогда.А так очень интереная программа.Вы траил даёте?А не конфликтует ли программа с антивирусом и фаерволлом?Если один у другого будет будет блокировать то получится приблизительные эффект двух антивирусов.Или если есть она то ничего другого ненадо?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Идеальный защитник
Лично мое мнение.
"Идеальный защитник" - это как вечный двигатель: все хотят но никто не может . Прогресс остановить нельзя, и прогресс средств нападения - тоже. На всякую хитрую задницу ... (сами знаете). Соревнование снаряда и брони практиццки вечно.
Я кончил.
-
-
Сообщение от
rav
...Известный российский эксперт в области противодействия зловредному ПО Олег Зайцев (автор замечательной антишпионской программы AVZ, респект!) проверил своими тестами программу DefenseWall и не обнаружил в ней ни одной возможности, позволившей бы стандартным зловредам вырваться за пределы зоны недоверенных процессов либо закрепиться в системе...
А нестандартные зловреды все-таки могут вырваться за пределы указанной зоны?
-
-
Сообщение от
Dark_Blaze
А почему программа за меня решает что опасное,а что нет?
Программа за тебя ничего не решает. Есть профиль приложений, защищаемых по умолчанию. Это удобно для простых пользователей.
Сообщение от
Dark_Blaze
Я выделяю безопасные зоны,но как я понял например все р2р клиенты не безопасные,так что они не будут работать с полной функциональностью?
Они будут работать с полной фукнциональностью. У меня eMule- всё пучком. Ты хоть программу-то пробовал?
Сообщение от
Dark_Blaze
Можно ли мне что то добавить,а что то убрать из красной зоны?
Всегда. Легко.
Сообщение от
Dark_Blaze
И Вы меня очень сильно извините,но идеально защиты нет и не будет никогда.
На чём строится подобная уверенность? Вот я, например, так и не поимел зловреда на свою машину не разу в жизни.... Чем не идеальная защита?
Сообщение от
Dark_Blaze
А так очень интереная программа.Вы траил даёте?
30-дневный полнофункционал.
Сообщение от
Dark_Blaze
А не конфликтует ли программа с антивирусом и фаерволлом?
Не должна. Понятно, что завсегда можно вытащить из широких штанин такую конфигурацию AV/FW, что программе придётся плохо, но это решабельный вопрос. Для этого и существует тех. поддержка. Никто не совершенен (С) "Кто-то любит погорячее".
Сообщение от
Dark_Blaze
Если один у другого будет будет блокировать то получится приблизительные эффект двух антивирусов.Или если есть она то ничего другого ненадо?
Да нет, кросс-блокирования не будет. Эффекта двух антивирусов- тоже. А в принципе- да, резидентный антивирус уже не нужен (да и тормоз он, этот резидентный модуль антивирусов). Единственное что- DefenseWall не умеет сам потом вычищать неактивных зловредов из компьютера. Их нужно будет или руками очищать, оли антивирусом.
Последний раз редактировалось rav; 14.12.2005 в 14:08.
-
-
Сообщение от
Dmitry
Лично мое мнение.
"Идеальный защитник" - это как вечный двигатель: все хотят но никто не может
. Прогресс остановить нельзя, и прогресс средств нападения - тоже. На всякую хитрую задницу ... (сами знаете). Соревнование снаряда и брони практиццки вечно.
Я кончил.
Да, поэтому я всегда говорю, что важно не количество прикрытых дыр, а скорость реакии на новые!
-
-
Сообщение от
santy
А нестандартные зловреды все-таки могут вырваться за пределы указанной зоны?
Для всякой программы можно найти специфичные для неё векторы атаки, приводящие к прорыву оборонительного периметра. Но пока продукт не стал массовым- поверь, никто заморачиваться по этому поводу не будет! Да и я не сижу сложа руки!
-
-
Сообщение от
santy
А нестандартные зловреды все-таки могут вырваться за пределы указанной зоны?
Идеальной защиты не может существовать по определению ... конечно, если автор зловреда является хорошим хакером или систмещиком и он детально изучит работу DW, то можно найти брешь и обойти защиту. Другое дело в том, что это потребует затрат времени, денег ... и тогда встанет вопрос об экономической целесообразности разработки методик преодоления DW. Вероятность того, что конкретный зловред столкнется с версией DW, которую он умеет обходить - почти нуль. Рассуждаем дальше - DW прогрессирует, следовательно обнаруженные уязвимости будут закрываться - это еще больше усложнить задачу атакующего.
Последний раз редактировалось Зайцев Олег; 14.12.2005 в 14:13.
-
-
Junior Member
- Вес репутации
- 74
To rav:
Всё понял.Спасибо.И по поводу того что вы никогда не поймали зловреда,я вот на своей новой машине тоже пока нечего не поймал,антивирус Аваст,фаэволл Аутпост.И дело скорей не в защите,дело в голове.Если человек знает куда лучше не лезть,если человека знает чего лучше не открывать он просто туда не идёт и этого не открывает и все хорошо.Я так понял что это программа как бы эвристический механизм работающий в реальном времени,то есть кто то что то не то сразу по шапкеА сколько стоит лицензия?
Вот видите даже многоуважаемый Олег признаёт.Но факт,что если о ней никто не знает,то и соответственно нет не на неё противодействия,но как только она популирезируется,я уверен что будет не интересно...Но сам факт,и рожение его,короче если вы заткнёте за пояс нортона с его "антивирусом и фаейволлом" то вы добились успехаПопробую я прогу...только ради интереса в злачные места я вс еравно лезть не буду,и может АВЗ совместить как то,АВЗ ведь гасит мусор и это очень качественно.Просто то что он не удаляет уже напряг для прсотго пользователя как мне кажется.И,если порграмма не даёт проспится зловреду в автостарте,в регистре и других местах,но его пропускает,каков смысл?Децл поздно догналЗловред перепрыгнет прога его из виду потеряет и зловрд спокойно пропишется везде где ему надо...во пример,злобный Look2Me,если он на машине то туши свет кидай гранату,если он засел как сможет ему противодействовать ваша программа?
-
Сообщение от
Dark_Blaze
И дело скорей не в защите,дело в голове.
Ну так! Именно в ней, родимой! Но, в любом случае, ей надо помогать грамотными тулзами.
Сообщение от
Dark_Blaze
Я так понял что это программа как бы эвристический механизм работающий в реальном времени,то есть кто то что то не то сразу по шапке
Именно.
Сообщение от
Dark_Blaze
А сколько стоит лицензия?
499 рублей на Софткее, $29 для буржуев. За год. Если после этого срока нужны будут онлайновые обновления программы (пока не реализовано) и быстрая тех.поддержка- ещё $10 за год. Сама защита при этом будет работать.
Сообщение от
Dark_Blaze
Вот видите даже многоуважаемый Олег признаёт.Но факт,что если о ней никто не знает,то и соответственно нет не на неё противодействия,но как только она популирезируется,я уверен что будет не интересно...
Когда оно будет, это время.... Да и программа к этому времени серьёзно вырастет. Тебе сейчас нужна безопасность? Ну вот тебе средство.
Сообщение от
Dark_Blaze
Просто то что он не удаляет уже напряг для прсотго пользователя как мне кажется.
Нет, не напряжёт. У меня на винте валяется куча тестовых зловредов- ну и что, я же их руками доверенными не запускаю! Валяются себе и валяются...
Сообщение от
Dark_Blaze
И,если порграмма не даёт проспится зловреду в автостарте,в регистре и других местах,но его пропускает,каков смысл?Децл поздно догнал
Зловред перепрыгнет прога его из виду потеряет и зловрд спокойно пропишется везде где ему надо...
Не сможет. Выпрыгнуть из sandbox он не сможет, в этом весь смысл защиты.
Сообщение от
Dark_Blaze
во пример,злобный Look2Me,если он на машине то туши свет кидай гранату,если он засел как сможет ему противодействовать ваша программа?
В названии программы чётно написано "Prevention"- что значит предупреждение угроз, а не борьба с ними постфактум, когда нужно гранаты бросать . То есть программа не вычищает с машины уже существующих зверьков, она предупреждает опасность ими заразиться по-взрослому!
-
-
Junior Member
- Вес репутации
- 74
To rav:
По взрослому это как?Мне 18 лет мне можно сказать)))А так,то есть,грубо говоря,я иду на ХХХ сайтец и ко мне что то через что то начинает ломится,тогда это программа это "вылавливает" и мне говорит мол то то и то то проломилось или пытается проломится?Ибо если пытается то я могу успеть среагировать,а если уже,то что тогда?Вот например тот же Look2Me без рестарта его удалить невозможно,но после рестарта он уже есть,или он есть в sandbox?Это как я понял эквивалент карантина,то есть все таки программа то что залезло блокирует,так?И,вот например программа мне сообщила,мол то то и то то пролезло,она говорит что именно и (что очень важно)куда именно,папку,имя файла,ключ в регистре.И,вот под контролем определённая группа программ через которые даже если что то и попытается залезть то не выйдет,а если это новая дыра в винде?Заплатки ещё нет,и это зона считается абсолютно безопасной.Что тогда?Очень прошу не понять меня не правильно,я не хочу искать дыр в программе или её минусы,просто мне очень интересноА почему программа не совместима с Касперским?
-
Сообщение от
Dark_Blaze
По взрослому это как?
Мне 18 лет мне можно сказать
)))
Это значит- модифицировать системные параметры так, что ты ещё долго будешь всё восстанавливать назад. Если вообще восстановишь.
Сообщение от
Dark_Blaze
А так,то есть,грубо говоря,я иду на ХХХ сайтец и ко мне что то через что то начинает ломится,тогда это программа это "вылавливает" и мне говорит мол то то и то то проломилось или пытается проломится?Ибо если пытается то я могу успеть среагировать,а если уже,то что тогда?Вот например тот же Look2Me без рестарта его удалить невозможно,но после рестарта он уже есть,или он есть в sandbox?Это как я понял эквивалент карантина,то есть все таки программа то что залезло блокирует,так?И,вот например программа мне сообщила,мол то то и то то пролезло,она говорит что именно и (что очень важно)куда именно,папку,имя файла,ключ в регистре.И,вот под контролем определённая группа программ через которые даже если что то и попытается залезть то не выйдет,а если это новая дыра в винде?Заплатки ещё нет,и это зона считается абсолютно безопасной.Что тогда?Очень прошу не понять меня не правильно,я не хочу искать дыр в программе или её минусы,просто мне очень интересно
А почему программа не совместима с Касперским?
В чём, собственно, вопрос, я из этого потока сознания не понял. Всё, собственно, просто. Если зловред попадает в зону недоверенных, то живёт он там либо до схлопывания зоны недоверенных, либо до перезагрузки. После перезагрузки управление на себя он не получит.
Программа с Каспером совместима. Читаем внимательно.
-
-
Сообщение от
rav
Да нет, кросс-блокирования не будет. Эффекта двух антивирусов- тоже. А в принципе- да, резидентный антивирус уже не нужен (да и тормоз он, этот резидентный модуль антивирусов). Единственное что- DefenseWall не умеет сам потом вычищать неактивных зловредов из компьютера. Их нужно будет или руками очищать, оли антивирусом.
1. не проще ли технологию DefenseWall внедрить в антивирусные мониторы?
2. Каким образом зловред попадает в зону недоверенных - автоматом (т.е. если он выполняет набор потенциально опасных действий)? Насколько я понял, руками ВЫНОСЯТ реально безопасные процессы из зоны недоверенных? А как, например, можно вынести IE, если вместе с ним могут грузиться реальные зловредные программы?
3. что означает схлопывание зоны недоверенных процессов?
4. каково назначение продукта DefensePlus?
-
-
не понял шутки юмора...
только у меня это чудо-юдо прога насмерть выбила загрузку OS: winXPsp2...
да так шо ни защищеный режим ни воостановление последней удачной конфы не помогают...
м-дааа.. как можно было купится на 450кил лекарства от всех болезней?!! и чо теперь мне прикажете делать делать?...
-
-
Загрузится с boot cd и сделать восстановление
-
-
Сообщение от
werga
не понял шутки юмора...
только у меня это чудо-юдо прога насмерть выбила загрузку OS: winXPsp2...
да так шо ни защищеный режим ни воостановление последней удачной конфы не помогают...
м-дааа.. как можно было купится на 450кил лекарства от всех болезней?!! и чо теперь мне прикажете делать делать?...
В защищённом режиме деинсталяцию не пробовали сделать?
-
-
Сообщение от
santy
1. не проще ли технологию DefenseWall внедрить в антивирусные мониторы?
1. А оно у меня есть (в смысле, свой собственный монитор)?
2. А зачем нужен антивирусный монитор?
Сообщение от
santy
2. Каким образом зловред попадает в зону недоверенных - автоматом (т.е. если он выполняет набор потенциально опасных действий)? Насколько я понял, руками ВЫНОСЯТ реально безопасные процессы из зоны недоверенных? А как, например, можно вынести IE, если вместе с ним могут грузиться реальные зловредные программы?
Или автоматом, если проникает в дыры недоверенных приложений или с их помощью (например, запускается руками в почтовом клиенте, добавленным в недоверенные), либо помещается туда руками.
Как раз наоборот- все считаются доверенными, кроме тех, кто добавлен с список недоверенных.
Сообщение от
santy
3. что означает схлопывание зоны недоверенных процессов?
Большая красная кнопка "Закрыть все недоверенные процессы".
Сообщение от
santy
4. каково назначение продукта DefensePlus?
Защита от переполнения буфера. Но она не очень качественно оттестирована пока что (судя по посту ниже), поскольку на порядок сложнее, чем DefenseWall.
-
-
Сообщение от
werga
не понял шутки юмора...
только у меня это чудо-юдо прога насмерть выбила загрузку OS: winXPsp2...
да так шо ни защищеный режим ни воостановление последней удачной конфы не помогают...
м-дааа.. как можно было купится на 450кил лекарства от всех болезней?!! и чо теперь мне прикажете делать делать?...
Видимо, ты спутал DefenseWall (1037 кб) и DefencePlus (450 кб). С DefencePlus могут быть проблемы, это действительно так. Она значительно сложнее DefenseWall, и, соответственно, там больше потенциальных ошибок.
-
-
кстати, после деинсталляции DefenseWall драйвер dwall.sys похоже продолжает работать.
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=080820)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80400000
SDT = 80480820
KiST = 80472128 (24
Функция ZwCreateFile (20) перехвачена (804A6FB0->BD9F3FEA), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwCreateKey (23) перехвачена (80511C9C->BD9F58CE), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwCreateProcess (29) перехвачена (804E20BE->BD9F6DCD), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwCreateSection (2B) перехвачена (804CAF6C->BD9F5219), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwCreateThread (2E) перехвачена (804E1482->BD9F81C0), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwDeleteFile (34) перехвачена (804A0D40->BD9F4F49), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwDeleteKey (35) перехвачена (80512060->BD9F5EF2), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwDeleteValueKey (37) перехвачена (8051227C->BD9F5FD7), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwDuplicateObject (3A) перехвачена (804D6004->BD9F6F6, перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwFsControlFile (4 перехвачена (804A71F0->BD9F71AD), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwLoadKey (56) перехвачена (805140A2->BD9F613C), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwLoadKey2 (57) перехвачена (80462F2A->BD9F62CE), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwOpenFile (64) перехвачена (804A8254->BD9F47D7), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwOpenProcess (6A) перехвачена (804DE97E->BD9F66CF), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwOpenSection (6C) перехвачена (804CC5FC->BD9F548A), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwOpenThread (6F) перехвачена (804DEC3E->BD9F6946), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwReplaceKey (A9) перехвачена (80514556->BD9F6464), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwReplyWaitReceivePortEx (AC) перехвачена (80434000->BD9F7783), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwRestoreKey (B4) перехвачена (80513A48->BD9F607E), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwResumeThread (B5) перехвачена (804E535A->BD9F8284), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwSetInformationFile (C2) перехвачена (804A91F8->BD9F5620), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwSetSystemInformation (D0) перехвачена (804923BC->BD9F769A), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwSetValueKey (D7) перехвачена (80513DE6->BD9F5E16), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwTerminateProcess (E0) перехвачена (804E3126->BD9F6F0F), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwTerminateThread (E1) перехвачена (804E334A->BD9F6E6F), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwWriteFile (ED) перехвачена (804AB2BC->BD9F4CA3), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Функция ZwWriteFileGather (EE) перехвачена (804AB962->BD9F4A83), перехватчик C:\WINNT\System32\Drivers\dwall.sys
Проверено функций: 248, перехвачено: 35, восстановлено: 0
-
-
Перегрузил компьютер после деинсталяции?
-
-
Сообщение от
Geser
Перегрузил компьютер после деинсталяции?
угу, не перегрузил... вроде сообщения о перезагрузке не было, после деинсталла...
-