Показано с 1 по 19 из 19.

Как максимально обезопасить запуск неизвестного файла?

  1. #1
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    6
    Вес репутации
    60

    Как максимально обезопасить запуск неизвестного файла?

    В одной из тем я писал, как недавно ко мне проник вирус, удалил все антивирусы и прочую защиту, после чего мне пришлось систему переустанавливать. Жизнь научила. Теперь даже при установленном антивирусе и фаерволе побаиваюсь запускать подозрительные файлы на компьютере. Хотя раньше думал, что раз антивирус есть (хороший антивирус), то можно запускать что угодно.
    Конкретнее. В тот раз вирус проник ко мне через программу полученную по e-Mule. Запустил exe файл и прощай антивирусы! Поэтому вопрос: каким образом максимально обезопасить запуск подозрительных файлов, полученных не от хорошего друга или надежного источника, а просто через тот же e-Mule? Вариант не пользоваться e-Mule вообще не подходит, так как бывает нужна всякая мелочевка, здесь и сейчас.
    До описанного выше момента, я считал, что антивирус всегда либо обнаружит вирус/червя/трояна заранее, либо потом не даст ему установить свои коды в критические области системы. Убедился, что не всегда. Это странно. Неужели хороший антивирус, будучи уже установленным на компьютере, а значит имя преимущества, тем не менее не может проконтролировать куда вирус записывает свои коды? Если имеются опасения по поводу файла, то нельзя ли поместить его в какую-нибудь особую зону или ограничить в правах, так чтобы он мог "прыгать" только в области определенной папки, ничего не записывая в windows?

    P.S. Раньше у меня были Symantec Antivirus 10 + Zone Alarm 7, теперь перешел на KIS 7. Пока бета-версия, но работа нравится, скоро куплю полную лицензию.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    86
    Самое главное не кликать на файл два раза
    Сперва можно прогнать через основной антивирус. Если антивирус молчит, но файл вам кажется слишком подозрительным, то можно его прогнать по одну из он-лайн полигонов типа virustotal.com.
    (другие сервисы в этой теме: http://virusinfo.info/showthread.php?t=1379)

    Это, однако, только в том случае, если файл не слишком большой. Просто на каждом из сайтов есть свои ограничения.

    Да... основное правило - не качяйте кряки - это кладязь троянов

    Вариант номер два: испытывать файлы на виртуальной машине типа под Shadow User
    In Avira & Dr.Web we trust!

  4. #3
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    6
    Вес репутации
    60
    Прогнать через сайт - это хорошая идея. Но сомневаюсь в том, что это может помочь против не слишком явных вирусов. Вот у меня есть такой пример, все время хочу у специалистов спросить... Почти любая программа может создавать и удалять файлы. Word создает копии открытых документов, а затем удаляет, графические программы создают, а затем очищают вспомогательные для работы файлы. Примеров полно. При этом они делают это свободно, не спрашивая ни у кого разрешения. Даже тот же KIS 7, он контролирует обращение и целостность лишь самых важных файлов, а не каждого jpg файла на моем компьютере. Так вот если программы никак не контролируются, то что мешает какому-нибудь вирусу стереть половину моего жесткого диска? Я два раза кликнул на exe файле, а у меня раз и стерлось все. Раз настоящие программы используют методы, которые позволяют им без особого разрешения файлами распоряжаться, то что мешает вирусу использовать эти же методы. И никакой антивирус распознать такой код не сможет. Нельзя же антивирус заставить считать опасной любую программу, которая создает/удаляет программы.

    Вот поэтому для таких подозрительных программ мне и кажется, что единственно возможное безопасное решение - категорически ограничить их возможности. Например, вот для программы папка и 10 Мб свободного места в ней и ни одного действия за пределами! Вот кусок оперативной памяти 1 Мб, и за него ни шагу! Неужели операционная система с помощью каких-нибудь антивирусов и других дополнительных программ не может обеспечить такую вот "испытательную" зону? Я уж не говорю о возможных (теоретически, так как я не программист такого уровня) более хитрых способах обмана вируса и проверки файла. Например, разве нельзя создать виртуальную эмуляцию своего компьютера? Этакая поддельная операционная система в настоящей? Чтобы на эмуляции проверить, как в ней себя ведет запущенный файл. И, если ничего плохого не делает, то пропускаем в настоящую систему. Или разве нельзя сделать так, чтобы антивирус эмулировал выполнение exe файла? Этакое выполнение exe файла в dubug режиме? Когда антивирус считывает то, что написано в exe файле, а затем по шагам начинает выполнять действия, на каждом этапе спрашивая меня, хочу ли я произвести те или иные изменения.
    Последний раз редактировалось chaoss; 13.11.2007 в 05:06.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Уважаемый chaoss.

    1) Многое зависит от того как настроить антивирус, в соответствии с этим так он и будет реагировать на поведение того или иного приложения.
    2) Влияют и наличие настроенных политик безопасности и статуса учетной записи текущего пользователя, Естественно влияет и выбор файловой таблицы, есть существенная разница между FAT и NTFS но многие на это ни как не обращают внимание. Некоторые из знакомых администраторов говорят мне NTFS не нужен файлы удаленные из под этой таблицы сложнее восстанавливать!
    3) Процесс самого антивируса должен быть защищен паролем.
    4) Создание виртуальных машин давно используется для работы со зверьем, но не стоит забывать что это все пишется человеком и обходится тоже человеком, а соответственно есть зверье которое успешно определяет что запущено на виртуальной машине!

    Хотелось бы у Вас узнать что вы подразумеваете под "явным вирусом" все условно есть многие вредоносные программы которые не являются 100% таковыми!

    Ну раз вам так интересно тогочто касается "испытательной зоны" то мне кажется Вам дали вполне не плохой совет воспользоватся Shadow User !

    И вот честно сказать не совсем понял зачем нужно чтоб антивирус эмулировал работу по шагам...? Антивирус нужнен не для того чтоб эмулировать поведение вредоносов, а для того чтоб ряовой пользователь мог себя обезопасить в некоторой степени от влияния этих программ!

    Если интересно поведение вирусов может проще устроится в какую нибудь антивирусную лабораторию ?
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    86
    Цитата Сообщение от chaoss Посмотреть сообщение
    1. Этакая поддельная операционная система в настоящей?

    2. Когда антивирус считывает то, что написано в exe файле, а затем по шагам начинает выполнять действия, на каждом этапе спрашивая меня, хочу ли я произвести те или иные изменения.
    1. А чем Шедоу Юзер не подходит?

    2. Мне интересно, на каком сотом клике у вас закончится терпение? А времени и сил много ли после этого останется на работу с файлом или программой? Попробуйте поэкспериментировать с ХИПС-настройками КИС или Комодо 3 выставив в соответствующих модулях максимальный режим контроля. Если выдержите водопад всплывающих табличек, вас можно принимать в Штирлицы

    П.С. Встретить вирус, который че-то там специально стирает полдиска из вредности - надо еще поискать. Сейчас основной вид угроз - троянцы.

    П.П.С. А если ни один из общей совокупности из более чем 30 он-лайн антивирусов (на сайтах приведенных по ссылке) ничего не нашел, но вы все равно сомневаетесь в файле, его всегда можно послать в одну из антивирусных лабораторий, где аналитик разложит его по косточкам и скажет зловред это или нет Рекомендую лаборатории ЛК и Вэб - быстро реагируют на письма. Так же советую подождать с загрузкой и установкой какого-либо кейгена или крэка и посмотреть отзывы юзеров - через недельку наверняка всплывет если это зловред
    Последний раз редактировалось TANUKI; 13.11.2007 в 06:23.
    In Avira & Dr.Web we trust!

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Согласен с TANUKI !
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от TANUKI Посмотреть сообщение
    П.С. Встретить вирус, который че-то там специально стирает полдиска из вредности - надо еще поискать. Сейчас основной вид угроз - троянцы.
    ОФФ: Лежит у меня в загашнике такой - макровирус. Запускается в Excel,
    стирает все офисные документы + видео,музыку.
    Описание есть здесь на сайте.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от chaoss Посмотреть сообщение
    раньше думал, что раз антивирус есть (хороший антивирус), то можно запускать что угодно....Неужели хороший антивирус, будучи уже установленным на компьютере, а значит имя преимущества, тем не менее не может проконтролировать куда вирус записывает свои коды?
    Уж сколько раз твердили миру (с) : Никакой антивирус а приори не может распознать все вирусы. Причина проста: сначала пишется зловред, а уж только после того, как он кому-то навредил, пытаются антивирусные вендоры создать рутину, которая его распознает и обезвредит. Самое надежное - вообще не запускать подозрительные файлы. А если чисто из спортивного интереса, то согласен с предложением
    Цитата Сообщение от Jolly Roger
    устроится в какую нибудь антивирусную лабораторию

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    А может проще не вирус изолировать, а коллекции картинок и музыки? Записать на болванку (а лучше на несколько =)) и фиг вирус что-то повредит

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от PavelA Посмотреть сообщение
    ОФФ: Лежит у меня в загашнике такой - макровирус. Запускается в Excel,
    стирает все офисные документы + видео,музыку.
    Описание есть здесь на сайте.
    Ну если так то можно и скрипт написать который будет по списку расширений вытирать
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    chaoss, поставь любую нормальную HIPS и запускай чего хочешь.
    http://www.softsphere.com - DefenseWall, DefencePlus

  13. #12
    Geser
    Guest
    Как интересно. Все кричат какая дырявая Винда, в то же время никто не умеет пользоваться встроенными инструментами защиты.
    А ведь можно на подозрительном файле кликнуть правой кнопкой, и выбрать в меню "Run as"("Запустить как") а потом поставить птичку "Protect my computer..."
    Ракой запуск соершенно безопасен

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Geser Посмотреть сообщение
    Такой запуск соершенно безопасен
    наверное ты прав : у меня например GoogleEarth запускается с сообщениями о невозможности создания папок там-то и там-то, AutoCAD LT 2007 не запускается вообще. Так что тут чего-то не додумано до конца, как и в общей концепции безопасности Made in Richmond. В этом плане концепция UNIX/Linux намного продуманнее: как известно, системные изменения и установка приложений возможна только из-под логина администратора (root), а смена логина возможна и в рамках сессии без logoff а.

  15. #14
    Geser
    Guest
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    наверное ты прав : у меня например GoogleEarth запускается с сообщениями о невозможности создания папок там-то и там-то, AutoCAD LT 2007 не запускается вообще. Так что тут чего-то не додумано до конца, как и в общей концепции безопасности Made in Richmond. В этом плане концепция UNIX/Linux намного продуманнее: как известно, системные изменения и установка приложений возможна только из-под логина администратора (root), а смена логина возможна и в рамках сессии без logoff а.
    Всё додумано. Запускаемому файлу обрезаются права по максимуму. Естественно что большинство программ работать не будут, но речь шла о пробном запуске подозрительного файла. Например кейгены так запускаю всегда. И даже если в нём троян, опасности никакой.
    В более продвинутом варианте создаётся пользователь с ограниченными правами и всё подозрительное запускается тем же способом, но от его имени с его правами.
    Тем же способом можно выполнять инсталяцию программ с правами админа работая из под ограниченного пользователя.

    Добавлено через 4 минуты

    П.С. Настоящая проблема Винды, на самом деле, не в том что у неё нет механизмов защиты. Их вагон, и они отлично работают. Проблема в криворуких программистах которые любят лезть с записью (уже после инсталяции) в защищенные разделы и ветки реестра где делать им совершенно нечего и незачем, в связи с чем многие программы не работают под ограниченными учетками. А так же в необразованных пользователях.
    Последний раз редактировалось Geser; 13.11.2007 в 15:01. Причина: Добавлено

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    86
    Цитата Сообщение от Geser Посмотреть сообщение
    выбрать в меню "Run as"("Запустить как") а потом поставить птичку "Protect my computer..."
    А в висте есть только запустить от имени администратора
    In Avira & Dr.Web we trust!

  17. #16
    Junior Member Репутация
    Регистрация
    05.11.2007
    Сообщений
    6
    Вес репутации
    60
    Geser Вы меня просто просветили! Никогда не думал, что у Windows XP есть такая простая и доступная команда, как запуск с такими вот ограниченными правами. Давно надо было этим пользоваться!

    TANUKI а чуть подробнее про программу Shadow User. Просто программа инсталируется на компьютер и как бы эмулируем мою операционную систему? И достаточно эффективно для проверки на наличие троянов в подозрительных файлах?

  18. #17
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    86
    Цитата Сообщение от chaoss Посмотреть сообщение
    а чуть подробнее про программу Shadow User.
    Программу ставим на комп. Запускаем программу. Включаем режим Shadow User. Программа скажет, что нужно перегрузиться. После перезагрузки она эмулирует Винду. Это заметно по изменившемуся фону рабочего стола фирменному. С этого момента можно над машиной издеваться как угодно - хоть пол реестра снести, хоть 20 вирусов запустить. Потому что после нажатия клавиши Reset система загрузится с чистого листа - без изменений

    Только нужно учесть один нюанс, точнее два, а если еще точнее - три.

    Первое: если серферить в режиме Shadow user по инету, то файлы сохраненные во время сессии (например, программы или клипы) после перезагрузки сотрутся! Поэтому можно в настройках выделить какую-то область диска, типа карантина, куда они будут записываться и останутся на диске даже после перезагрузки.

    Второе: если ставить какой-то сторонний софт, то после перезагрузки он так же будет снесен и не останется на машине. Поэтому его так же можно в настройках внести в исключения (или как там. я уже точно не припомню), что бы он остался в системе после перезагрузки.

    И, третье, самое главное! Ни в коем случае не следует включать в настройках "загружаться в режиме ShadowUser и после перезагрузки" Понимаете к чему я клоню? Хотя есть там какой-то выход из этой щекотливой ситуации, но я не помню какой. В общем, лучше так не чудить - перезагрузился и все
    Удачи в экспериментах.

    П.С. Мог в чем-то ошибиться, давно юзал прогу, пусть знающие форумчане поправят если что
    In Avira & Dr.Web we trust!

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2006
    Сообщений
    88
    Вес репутации
    68
    Это получается типа виртуальной машины, только одновременно одна система а не 2?
    Быстрее, но менее гибко.
    У меня стоит VirtualPc -бесплатный продукт MS.
    НА котором чистая вритуальная машина с установленной xp. даже не помню насколько она пропатчена. ежели побаловаться с какой то заразой надо или поробовать чего то, чем не хочется засорять родную систему - запускаю vitual Pc (20 сек), открываю из витрульной папки необходимые файлы, делаю что надо смотрю что происходит. Наблюдаю как фаервол сечет странные попытки выхода в интернет....ну и т.д.
    К тому же идеально для запуска всяких кейгенов.

  20. #19
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для TANUKI
    Регистрация
    01.02.2007
    Адрес
    Kiev-Tokyo
    Сообщений
    454
    Вес репутации
    86
    Цитата Сообщение от Helgin Посмотреть сообщение
    У меня стоит VirtualPc -бесплатный продукт MS.
    Тоже вариант Таких эмуляторов немало
    In Avira & Dr.Web we trust!

Похожие темы

  1. Ответов: 1
    Последнее сообщение: 30.09.2011, 17:11
  2. Ответов: 10
    Последнее сообщение: 13.04.2010, 17:23
  3. Apple пытается в iPhone обезопасить свой браузер Safari от конкуренции
    От SDA в разделе Лечение и защита мобильных устройств
    Ответов: 1
    Последнее сообщение: 30.10.2008, 12:45
  4. Ответов: 4
    Последнее сообщение: 24.03.2008, 11:09
  5. Нужен максимально простой файервол
    От ScratchyClaws в разделе Межсетевые экраны (firewall)
    Ответов: 58
    Последнее сообщение: 12.11.2007, 23:04

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01295 seconds with 17 queries