Страница 1 из 5 12345 Последняя
Показано с 1 по 20 из 97.

Бета-тестирование DefenseWall Host Intrusion Prevention System.

  1. #1
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415

    Бета-тестирование DefenseWall Host Intrusion Prevention System.

    Всем доброго времени суток.

    Предлагаю протестировать мою новую программу DefenseWall HIPS. Она представляет собой полноценный программный sandbox для защиты системы от всякого разнообразного зверья. Всем активно принявшим участие в тестировании гарантируются ключи на программу на сто лет. Программа предназначена для линейки Windows 2000/XP.

    Идеология программы примитивна и проста. Все приложения в ней можно разделить на доверенные и недоверенные. Доверенным можно всё, недоверенным нельзя ничего. "Ничего" в данном случае означает защиту от модификации критических мест файловой системы (My Documents, Windows, Program Files), реестра (автозагрузка, настройки браузера и системных приложений) и самой системы (установка/модификация/удаление драйверов, открытие \\Device\\PhysicalMemory и т.д.). Также DefenseWall HIPS отделяет недоверенные процессы от доверенных (точнее, защищает доверенные от недоверенных). Все процесы, порождённые недоверенными, также являются недоверенными. В случае обнаружения опасного действия со стороны недоверенного приложения программа блокирует это действие и сообщает о нём пользователю покрасневшей иконкой в трее. Программа работает на минимуме ресурсов, никаких всплывающих окон с идиотскими вопросами а-ля "процесс сделал попытку подпрыгнуть, позволить или пристрелить на месте?" (правильный ответ- "а фиг его знает"), всё очень легко и быстро.

    Но самое главное- это кнопочка "Убить все недоверенные приложения". Если вам только показалось, что система начала вести себя не так, как обычно, если в Task Manager появились какие-то левые процессы- одно нажатие вышеозначенной кнопочки - и зверью каюк. Его процесс будет закрыт, а поскольку он не сможет прописать себя в автозагрузку, то и получить управление он уже никогда не сможет. Остаётся только вычистить его модуль антивирусом во время плановой проверки системы.

    Сама программа представляет собой полнофункциональную 30-дневную бету. Брать можно здесь: http://www.softsphere.com/cgi-bin/re...me=DEFENSEWALL

    Хелпа пока нет. Часть функционала, связанного с системой регистрации, также отсутствует (не по моей вине, должна скоро появиться). Все возникающие вопросы- на форум.

    Заранее всем спасибо. Надеюсь на плодотворное и конструктивное сотрудничество.
    http://www.softsphere.com - DefenseWall, DefencePlus

  2. Реклама
     

  3. #2
    Geser
    Guest
    Интересненько. Прийду домой погоняю

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?
    Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?
    Настроек автозапуска нет?
    Defence wall internall service не запустилась, при попытке запуска вручную-
    ошибка 1053, служба не ответила на запрос своевременно.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от HATTIFNATTOR
    iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?
    Да, это профиль по умолчанию при установке.

    Цитата Сообщение от HATTIFNATTOR
    Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?
    Да, именно так.

    Цитата Сообщение от HATTIFNATTOR
    Настроек автозапуска нет?
    А они реально нужны?

    Цитата Сообщение от HATTIFNATTOR
    Defence wall internall service не запустилась, при попытке запуска вручную-
    ошибка 1053, служба не ответила на запрос своевременно.
    Так и должно быть. Сервис отрабатывает своё только при старте системы, а дальше он не нужен (и нефига ему лишние ресурсы жрать). Если бы что-то было не так с сервисом- программа бы выдала мессаджбокс по данному поводу.
    http://www.softsphere.com - DefenseWall, DefencePlus

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206
    Цитата Сообщение от rav
    А они реально нужны?
    Не знаю... я предпочитаю все вручную запускать.

  7. #6
    Geser
    Guest
    Я вот подумал (пока на работе, саму прогу не смотрел). Концепция конечно проста, но вряд ли будет удобна. Для каждого недоверенного процесса, как минимум, нужна возможность задавать исключения в плане доступа к диску и реестру. В идеале нужна возможность создавать правила для каждого прилажения, как разрешающие так и запрещающие.

  8. #7
    Geser
    Guest
    ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет Всё загадочно и не понятно.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,179
    Вес репутации
    3380
    Я тоже попробовал - принцип действия можно изучить по логу AVZ, идея по сути достойная - "Firewall уровня приложений", если это так можно назвать - перехват ключевых функций и мониторинг. Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.

  10. #9
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.
    Вот и я о том же. И с возможностью автоматического обучания. Типа, запускаеш приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от Geser
    ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет Всё загадочно и не понятно.
    Пришли мне сам лог-файл, версию ОС и IE. Тут есть два варианта: или в IE установлены дополнительные тулбары/BHO, или он не разу не запускался (IE, равно как и FireFox, при первом запуске доустанавливают свои компоненты. Нужно просто запуститься в первый раз как доверенный( там кнопочка есть) и больше никаких проблем не будет). И вообще, можно выделить все эти события и нажать "Filter"- больше они в логе отображены не будут.

    Цитата Сообщение от Geser
    И с возможностью автоматического обучания. Типа, запускаешь приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.
    Проблема в том, что эти "разрешающие" правила теоретически можно будет использовать для атаки на программу. Плюс, нет гарантий, что оно не полезет при первом запуске в инет (например, за баннерами, как Опера) и не будет оттуда атакована. Проще запустить потенциально опасное приложение в первый раз как доверенное (с блокировкой инета), а потом запрещать всё, а чтобы икона не краснела- отфильтровывать сообщения. И всё будет работать.

    Цитата Сообщение от Зайцев Олег
    Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.
    Кто будет прописывать? Я разговаривал с простыми пользователями файеров- когда им вылезает окно с вопросом о сетевой активности приложения, они судорожно жмут на "ЗАПРЕТИТЬ"!!!!!!!! Или запускают файер в режим обучения, а потом долго не могут понять, почему ничего не работает!

    Вот прога от Агнитума вообще анализирует установленное ПО и на основе внутренних профилей сетевого поведения сразу настраивает правила. Но с сетевым поведением проще, чем с активностью на диске/в реестре. Причём намного.

    Да и вообще, если запретить доступ программы в инет- будет плохо. А если запретить запись в реестр- ничего не изменится, всё будет работать как и прежде. То есть файервольный путь в данном случае не есть путеводная звезда. Принципы тут другие.
    http://www.softsphere.com - DefenseWall, DefencePlus

  12. #11
    Geser
    Guest
    rav,
    тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.
    Если это программа, так сказать, для домохозяек, то ты прав. Но я думаю стоит сделать что-то более универсальное имеющее, к примеру, 2 режима работы. Режим по умолчанию, работающий как сейчас, и режим "эксперт" в котором можно задавать правила. Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.

    Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от Geser
    rav,
    тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.
    Для чайников. Универсально сделать не получится. На это есть как технические соображения, так и маркетинговые. Элементарное техническое- недоверенные процессы не защищищены друг от друга. Один недоверенный имеет права на внедрение в другой недоверенный. Это делает защиту по правилам неактуальной, поскольку нудно будет прописывать в правила не только ключи реестра, но и точные значения этих ключей. Путь изменился- и правило нужно менять. Иначе- каюк защите.

    Цитата Сообщение от Geser
    Если это программа, так сказать, для домохозяек, то ты прав.
    На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу. Я могу обойти их только на своём поле.

    Цитата Сообщение от Geser
    Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.
    Скорее проще будет договориться с производителями этих плагинов/тулбаров. Если они люди вменяемые- проблем не будет. Если же нет- рано или поздно их тулбар улетит в топку.

    Цитата Сообщение от Geser
    Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.
    Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.

    Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу.

    Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.
    http://www.softsphere.com - DefenseWall, DefencePlus

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от HATTIFNATTOR
    Не знаю... я предпочитаю все вручную запускать.
    На самом деле, весь основной защитный функционал там сосредоточен в драйвере. И его архитектура такова, что он должен запускаться при старте системы. А как так запускается GUI- это дело десятое. GUI можно даже выгрузить- всё равно защита будет и без него работать.

    Так что вручную- это неактуально. Ты представляешь себе домохозяйку, впучную запускающую драйвер с помощью подручных тулзов от Sysinternals или Compuware? Ну вот и я не представляю.....
    http://www.softsphere.com - DefenseWall, DefencePlus

  15. #14
    Geser
    Guest
    Цитата Сообщение от rav
    Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.

    Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу.

    Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.
    Логи я пришлю вечером т.к. ставил на домашнем компе.
    А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы. Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.

  16. #15
    Geser
    Guest
    На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу.
    Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.

  17. #16
    Geser
    Guest
    Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу
    Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от Geser
    Логи я пришлю вечером т.к. ставил на домашнем компе.
    А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы.
    К сожалению, это не так. Даже хороший продукт нуждается в рекламе. Может, году этак в 98-м было и так, но сейчас рынок софта переполнен.

    Цитата Сообщение от Geser
    Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.
    Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....

    А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?

    Цитата Сообщение от Geser
    Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.
    Так я так и говорил, ты, видимо, не прочитал мой пост внимательно. Я, собственно, именно так и делаю. Сейчас пойдёт версия 1.х0 для домохозяек. И я хороший солдат....
    http://www.softsphere.com - DefenseWall, DefencePlus

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    415
    Цитата Сообщение от Geser
    Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти
    А я чем занимаюсь по твоему? Именно это и делаю всеми доступными мне способами. Бета-тестирование- одно из них, собственно.
    http://www.softsphere.com - DefenseWall, DefencePlus

  20. #19
    Geser
    Guest
    Цитата Сообщение от rav
    Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....

    А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?
    Собственно я им послал её. Просто у них сейчас завал, так что неизвестно когда посмотрят. Но я уверен что они захотят возможность удалённой установки (это можно и ручками сделать, утилиткой от сисинтерналс но лучше бы поддерживалось) и централизованное изменение списка апликаций.

  21. #20
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    Короче, по теме. Насколько я понял, в антрастед ограничивается запись в реестр, но не вся, так что ли? Наблюдаю это на примере ИЕ. Можно поподробнее остановиться на том, что именно лимитируется, а то не знаю, куда копать. Далее, в листинге процессов при добавлении наблюдаются глюки как в самом контроле, так и в списке процессов (не хватает привилегий для получения полного пути к модулю?). При добавлении чего-то системного гуй вылетает...

    Это то, что пришло в голову в первые пять минут. Сама концепция программы (защита от эксплоитов, судя по дефалтным антрастед) рулит. Я бы добавил к списку вмплейер. Наверно, понятно, почему =)) ну и не только...

Страница 1 из 5 12345 Последняя

Похожие темы

  1. Stonesoft выпустила Evasion Prevention System для защиты от AET
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 30.07.2012, 13:20
  2. Обзор StoneGate Intrusion Prevention System
    От CyberWriter в разделе Наши статьи
    Ответов: 0
    Последнее сообщение: 11.10.2011, 17:30
  3. IBM Proventia Network Intrusion Prevention System (IPS)
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 26.01.2010, 09:49
  4. Отказ в обслуживании в Cisco Intrusion Prevention System
    От ALEX(XX) в разделе Уязвимости
    Ответов: 0
    Последнее сообщение: 19.06.2008, 21:23
  5. Открытое тестирование DefenseWall HIPS v2.0
    От rav в разделе Антивирусы
    Ответов: 18
    Последнее сообщение: 02.12.2007, 15:51

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00529 seconds with 21 queries