Короче, по теме. Насколько я понял, в антрастед ограничивается запись в реестр, но не вся, так что ли? Наблюдаю это на примере ИЕ. Можно поподробнее остановиться на том, что именно лимитируется, а то не знаю, куда копать.
Полный список контролируемых путей в реестре займёт очень много места, так что я остановлюсь на основных. Это области автозагрузки( всевозможные, вплоть до самых экотических), драйверов/сервисов, BHO, Toolbars, настройки браузеров (IE, Mozilla/FireFox), policies, shell extentions, области поиска информации, существующие ассоциации файлов (ассоциации на новые расширения файлов добавлять можно), CLSID (добавлять новые можно), фильтры протоколов. И это неполный список. Если нужен полный подробный список- сделаем. В принципе, его можно посмотреть глазами в теле драйвера.
Внутри файловой системы закрыты на модификацию WINDOWS, My Documents, Program Files. Закрыта автозагрузка через папку StartUp.
Закрыто внедрение в доверенные процессы, установка глобальных хуков (кейлоггеры курят в сторонке), доступ к физической памяти, манипуляции с драйверами/сервисами.
Ещё раз подчеркну- это всё только для недоверенных. Доверенным можно всё. А уж кто есть ху- решаешь ты сам.
Сообщение от Xen
Далее, в листинге процессов при добавлении наблюдаются глюки как в самом контроле, так и в списке процессов (не хватает привилегий для получения полного пути к модулю?). При добавлении чего-то системного гуй вылетает...
Опиши глюки более подробно (ОС+SP, текущие привилегии). Кроме того, ничего "системного" (типа svchost, lsass, explorer) лучше не добавлять, поскольку тогда всё будет недоверенным. Не очень это удобно в реальной работе.
Сообщение от Xen
Это то, что пришло в голову в первые пять минут. Сама концепция программы (защита от эксплоитов, судя по дефалтным антрастед) рулит.
Программа не защищает от эксплойтов( во всяком случае, пока я в неё не вкрутил в неё свою защиту от buffer overflow). Она защищает от последствий атаки.
Сообщение от Xen
Я бы добавил к списку вмплейер. Наверно, понятно, почему =)) ну и не только...
Он там есть. wmplayer стоит в профиле защиты по умолчанию. Или что именно ты имел в виду?
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Тестил на ВинХР СП1 Хоум Рус. По поводу контрола - очень хреново прорисовываются гриды. Только в этой софтине, более подробно не смотрел , в чем там дело.
По списку защищаемых ключей реестра - может выложишь? я б добавил чего, если не хватает.
Вмплейер у меня по дефалту не прописался, только ИЕ, аутглюк и hh.exe. Собственно, почему я и решил, что рулезы создавались исходя из набора наиболее популярных экспов, чтобы если и не предотвратить их отработ, то свести последствия к минимуму =)
Вобщем, будет время, погляжу более детально, что к чему. Из того, что сумел протестить, программа выполнила свои функции на ура. Респект!
Странно. Попытки установки сервиса/драйвера и попытка удаления файла Google Toolbar. У меня тоже стоит Google Toolbar- никаких сообщений о подобном поведении. И, как ты понимаешь, IE не устанавливает сервисы/драйверы в систему, оно ему нафиг не надо( если только это не ложное срабатывание). Во всяком случае, у меня IE в XP SP2 никаких подобных вещей не делает. Естественно, это всё можно отфильтровать и больше оно лезть не будет, но хотелось бы понять суть происходящего. Если это не трудно, ты не мог бы мне сообщить все установленные у тебя тулбары/BHO? Я постараюсь проэмулировать ситуацию у себя.
Тестил на ВинХР СП1 Хоум Рус. По поводу контрола - очень хреново прорисовываются гриды. Только в этой софтине, более подробно не смотрел , в чем там дело.
Странно, я использую только Win32 API. Хотя всё может быть, фейсы, иконки и всё, что с ними связано- это моя слабая сторона. Не умею я их хорошо готовить
Сообщение от Xen
По списку защищаемых ключей реестра - может выложишь? я б добавил чего, если не хватает.
В аттаче.
Сообщение от Xen
Вмплейер у меня по дефалту не прописался, только ИЕ, аутглюк и hh.exe. Собственно, почему я и решил, что рулезы создавались исходя из набора наиболее популярных экспов, чтобы если и не предотвратить их отработ, то свести последствия к минимуму =)
Значит, по каким-то причинам программа не нашла файл wmplayer.exe по пути %Program Files%\\Windows Media Player. Где он у тебя находится? Кстати, а Messanger ты удалял из системы или его тоже не нашли?
Ага, глянул, что есть на тестовой машине, и не обнаружил ни мессенджера, ни вмплейера (забыл, что снес их когда то по опять же понятным причинам). Предлагаю занести в блэклист фтп и тфтп в свете событий последних месяцев =)
Только что воспроизвёл твою конфигурацию тулбаров и BHO (см. аттач) кроме 7-го Акробат Ридера (19 метров по модему- это тяжко). У меня без срабатываний, правда, у меня не все патчи на систему, диалап, однако. Да и вряд ли это из-за патчей....
Только что воспроизвёл твою конфигурацию тулбаров и BHO (см. аттач) кроме 7-го Акробат Ридера (19 метров по модему- это тяжко). У меня без срабатываний, правда, у меня не все патчи на систему, диалап, однако. Да и вряд ли это из-за патчей....
Может потому что у меня Флешгет не запущен по умолчанию и он пытается запустить его, а так ХЗ...
Gaser, rav в окне алерта вроде написано - Autorun object injection.. << может это ему не понравилось.. правда на просто авторан ПДМ не срабатывает.. может он еще в сисдир скопировался?
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Gaser, rav в окне алерта вроде написано - Autorun object injection.. << может это ему не понравилось.. правда на просто авторан ПДМ не срабатывает.. может он еще в сисдир скопировался?
Нет. Там идёт копирование всех файлов в программную директорию, регистрация в автозапуске, копирование драйвера в system32 и его регистрация на запуск. Каспера в гудок!
Сообщение от Xen
Ответить с цитированием
