# Форум на русском языке  > Решения по информационной безопасности  > Антивирусы  >  Бета-тестирование DefenseWall Host Intrusion Prevention System.

## rav

Всем доброго времени суток.

Предлагаю протестировать мою новую программу DefenseWall HIPS. Она представляет собой полноценный программный sandbox для защиты системы от всякого разнообразного зверья. Всем активно принявшим участие в тестировании гарантируются ключи на программу на сто лет. Программа предназначена для линейки Windows 2000/XP.

Идеология программы примитивна и проста. Все приложения в ней можно разделить на доверенные и недоверенные. Доверенным можно всё, недоверенным нельзя ничего. "Ничего" в данном случае означает защиту от модификации критических мест файловой системы (My Documents, Windows, Program Files), реестра (автозагрузка, настройки браузера и системных приложений) и самой системы (установка/модификация/удаление драйверов, открытие \\Device\\PhysicalMemory и т.д.). Также DefenseWall HIPS отделяет недоверенные процессы от доверенных (точнее, защищает доверенные от недоверенных). Все процесы, порождённые недоверенными, также являются недоверенными. В случае обнаружения опасного действия со стороны недоверенного приложения программа блокирует это действие и сообщает о нём пользователю покрасневшей иконкой в трее. Программа работает на минимуме ресурсов, никаких всплывающих окон с идиотскими вопросами а-ля "процесс сделал попытку подпрыгнуть, позволить или пристрелить на месте?" (правильный ответ- "а фиг его знает"), всё очень легко и быстро. 

Но самое главное- это кнопочка "Убить все недоверенные приложения". Если вам только показалось, что система начала вести себя не так, как обычно, если в Task Manager появились какие-то левые процессы- одно нажатие вышеозначенной кнопочки - и зверью каюк. Его процесс будет закрыт, а поскольку он не сможет прописать себя в автозагрузку, то и получить управление он уже никогда не сможет. Остаётся только вычистить его модуль антивирусом во время плановой проверки системы.

Сама программа представляет собой полнофункциональную 30-дневную бету. Брать можно здесь: http://www.softsphere.com/cgi-bin/re...me=DEFENSEWALL

Хелпа пока нет. Часть функционала, связанного с системой регистрации, также отсутствует (не по моей вине, должна скоро появиться). Все возникающие вопросы- на форум. 

Заранее всем спасибо. Надеюсь на плодотворное и конструктивное сотрудничество.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Интересненько. Прийду домой погоняю  :Smiley:

----------


## HATTIFNATTOR

iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?
Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?
Настроек автозапуска нет?
Defence wall internall service не запустилась, при попытке запуска вручную-
ошибка 1053, служба не ответила на запрос своевременно.

----------


## rav

> iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?


Да, это профиль по умолчанию при установке.




> Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?


Да, именно так.




> Настроек автозапуска нет?


А они реально нужны?




> Defence wall internall service не запустилась, при попытке запуска вручную-
> ошибка 1053, служба не ответила на запрос своевременно.


Так и должно быть. Сервис отрабатывает своё только при старте системы, а дальше он не нужен (и нефига ему лишние ресурсы жрать). Если бы что-то было не так с сервисом- программа бы выдала мессаджбокс по данному поводу.

----------


## HATTIFNATTOR

> А они реально нужны?


Не знаю... я предпочитаю все вручную запускать.

----------


## Geser

Я вот подумал (пока на работе, саму прогу не смотрел). Концепция конечно проста, но вряд ли будет удобна. Для каждого недоверенного процесса, как минимум, нужна возможность задавать исключения в плане доступа к диску и реестру. В идеале нужна возможность создавать правила для каждого прилажения, как разрешающие так и запрещающие.

----------


## Geser

ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет  :Sad:  Всё загадочно и не понятно.

----------


## Зайцев Олег

Я тоже попробовал - принцип действия можно изучить по логу AVZ, идея по сути достойная - "Firewall уровня приложений", если это так можно назвать - перехват ключевых функций и мониторинг. Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.

----------


## Geser

> Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.


Вот и я о том же. И с возможностью автоматического обучания. Типа, запускаеш приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.

----------


## rav

> ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет  Всё загадочно и не понятно.


Пришли мне сам лог-файл, версию ОС и IE. Тут есть два варианта: или в IE установлены дополнительные тулбары/BHO, или он не разу не запускался (IE, равно как и FireFox, при первом запуске доустанавливают свои компоненты. Нужно просто запуститься в первый раз как доверенный( там кнопочка есть) и больше никаких проблем не будет). И вообще, можно выделить все эти события и нажать "Filter"- больше они в логе отображены не будут.




> И с возможностью автоматического обучания. Типа, запускаешь приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.


Проблема в том, что эти "разрешающие" правила теоретически можно будет использовать для атаки на программу. Плюс, нет гарантий, что оно не полезет при первом запуске в инет (например, за баннерами, как Опера) и не будет оттуда атакована. Проще запустить потенциально опасное приложение в первый раз как доверенное (с блокировкой инета), а потом запрещать всё, а чтобы икона не краснела- отфильтровывать  сообщения. И всё будет работать.




> Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.


Кто будет прописывать? Я разговаривал с простыми пользователями файеров- когда им вылезает окно с вопросом о сетевой активности приложения, они судорожно жмут на "ЗАПРЕТИТЬ"!!!!!!!!  Или запускают файер в режим обучения, а потом долго не могут понять, почему ничего не работает!

Вот прога от Агнитума вообще анализирует установленное ПО и на основе внутренних профилей сетевого поведения сразу настраивает правила. Но с сетевым поведением проще, чем с активностью на диске/в реестре. Причём намного.

Да и вообще, если запретить доступ программы в инет- будет плохо. А если запретить запись в реестр- ничего не изменится, всё будет работать как и прежде. То есть файервольный путь в данном случае не есть путеводная звезда. Принципы тут другие.

----------


## Geser

rav,
тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.
Если это программа, так сказать, для домохозяек, то ты прав. Но я думаю стоит сделать что-то более универсальное имеющее, к примеру, 2 режима работы. Режим по умолчанию, работающий как сейчас, и режим "эксперт" в котором можно задавать правила. Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.

Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.

----------


## rav

> rav, 
> тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.


Для чайников. Универсально сделать не получится. На это есть как технические соображения, так и маркетинговые. Элементарное техническое- недоверенные процессы не защищищены друг от друга. Один недоверенный имеет права на внедрение в другой недоверенный. Это делает защиту по правилам неактуальной, поскольку нудно будет прописывать в правила не только ключи реестра, но и точные значения этих ключей. Путь изменился- и правило нужно менять. Иначе- каюк защите. 




> Если это программа, так сказать, для домохозяек, то ты прав.


На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу. Я могу обойти их только на своём поле.




> Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.


Скорее проще будет договориться с производителями этих плагинов/тулбаров. Если они люди вменяемые- проблем не будет. Если же нет- рано или поздно их тулбар улетит в топку.




> Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.


Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.

Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу. 

Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.

----------


## rav

> Не знаю... я предпочитаю все вручную запускать.


На самом деле, весь основной защитный функционал там сосредоточен в драйвере. И его архитектура такова, что он должен запускаться при старте системы. А как так запускается GUI- это дело десятое. GUI можно даже выгрузить- всё равно защита будет и без него работать. 

Так что вручную- это неактуально. Ты представляешь себе домохозяйку, впучную запускающую драйвер с помощью  подручных тулзов от Sysinternals или Compuware? Ну вот и я не представляю.....

----------


## Geser

> Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.
> 
> Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу. 
> 
> Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.


Логи я пришлю вечером т.к. ставил на домашнем компе.
А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы. Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.

----------


## Geser

> На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу.


Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.

----------


## Geser

> Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу


Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти

----------


## rav

> Логи я пришлю вечером т.к. ставил на домашнем компе.
> А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы.


К сожалению, это не так. Даже хороший продукт нуждается в рекламе. Может, году этак в 98-м было и так, но сейчас рынок софта переполнен.




> Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.


Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....

А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?




> Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.


Так я так и говорил, ты, видимо, не прочитал мой пост внимательно. Я, собственно, именно так и делаю. Сейчас пойдёт версия 1.х0 для домохозяек. И я хороший солдат....

----------


## rav

> Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти


А я чем занимаюсь по твоему? Именно это и делаю всеми доступными мне способами. Бета-тестирование- одно из них, собственно.

----------


## Geser

> Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....
> 
> А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?


Собственно я им послал её. Просто у них сейчас завал, так что неизвестно когда посмотрят. Но я уверен что они захотят возможность удалённой установки (это можно и ручками сделать, утилиткой от сисинтерналс но лучше бы поддерживалось) и централизованное изменение списка апликаций.

----------


## Xen

Короче, по теме. Насколько я понял, в антрастед ограничивается запись в реестр, но не вся, так что ли? Наблюдаю это на примере ИЕ. Можно поподробнее остановиться на том, что именно лимитируется, а то не знаю, куда копать. Далее, в листинге процессов при добавлении наблюдаются глюки как в самом контроле, так и в списке процессов (не хватает привилегий для получения полного пути к модулю?). При добавлении чего-то системного гуй вылетает...

Это то, что пришло в голову в первые пять минут. Сама концепция программы (защита от эксплоитов, судя по дефалтным антрастед) рулит. Я бы добавил к списку вмплейер. Наверно, понятно, почему =)) ну и не только...

----------


## rav

> Короче, по теме. Насколько я понял, в антрастед ограничивается запись в реестр, но не вся, так что ли? Наблюдаю это на примере ИЕ. Можно поподробнее остановиться на том, что именно лимитируется, а то не знаю, куда копать.


Полный список контролируемых путей в реестре займёт очень много места, так что я остановлюсь на основных. Это области автозагрузки( всевозможные, вплоть до самых экотических), драйверов/сервисов, BHO, Toolbars, настройки браузеров (IE, Mozilla/FireFox), policies, shell extentions, области поиска информации, существующие ассоциации файлов (ассоциации на новые расширения файлов добавлять можно), CLSID (добавлять новые можно),  фильтры протоколов. И это неполный список. Если нужен полный подробный список- сделаем. В принципе, его можно посмотреть глазами в теле драйвера.

Внутри файловой системы закрыты на модификацию WINDOWS, My Documents, Program Files. Закрыта автозагрузка через папку StartUp.

Закрыто внедрение в доверенные процессы, установка глобальных хуков (кейлоггеры курят в сторонке),  доступ к физической памяти, манипуляции с драйверами/сервисами.

Ещё раз подчеркну- это всё только для недоверенных. Доверенным можно всё. А уж кто есть ху- решаешь ты сам.




> Далее, в листинге процессов при добавлении наблюдаются глюки как в самом контроле, так и в списке процессов (не хватает привилегий для получения полного пути к модулю?). При добавлении чего-то системного гуй вылетает...


Опиши глюки более подробно (ОС+SP, текущие привилегии). Кроме того, ничего "системного"  (типа svchost, lsass, explorer) лучше не добавлять, поскольку тогда всё будет недоверенным. Не очень это удобно в реальной работе.




> Это то, что пришло в голову в первые пять минут. Сама концепция программы (защита от эксплоитов, судя по дефалтным антрастед) рулит.


Программа не защищает от эксплойтов( во всяком случае, пока я в неё не вкрутил в неё свою защиту от buffer overflow).  Она защищает от последствий атаки.




> Я бы добавил к списку вмплейер. Наверно, понятно, почему =)) ну и не только...


Он там есть. wmplayer стоит в профиле защиты по умолчанию. Или что именно ты имел в виду?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Вот лог. Винда ХР последняя со всеми заплатками

----------


## Xen

Тестил на ВинХР СП1 Хоум Рус. По поводу контрола - очень хреново прорисовываются гриды. Только в этой софтине,  более подробно не смотрел , в чем там дело.

По списку защищаемых ключей реестра - может выложишь? я б добавил чего, если не хватает.

Вмплейер у меня по дефалту не прописался, только ИЕ, аутглюк и hh.exe. Собственно, почему я и решил, что рулезы создавались исходя из набора наиболее популярных экспов, чтобы если и не предотвратить их отработ, то свести последствия к минимуму =)

Вобщем, будет время, погляжу более детально, что к чему. Из того, что сумел протестить, программа выполнила свои функции на ура. Респект!

----------


## rav

> Вот лог. Винда ХР последняя со всеми заплатками


Странно. Попытки установки сервиса/драйвера и попытка удаления файла Google Toolbar. У меня тоже стоит Google Toolbar- никаких сообщений о подобном поведении. И, как ты понимаешь, IE не устанавливает сервисы/драйверы в систему, оно ему нафиг не надо( если только это не ложное срабатывание). Во всяком случае, у меня IE в XP SP2 никаких подобных вещей не делает. Естественно, это всё можно отфильтровать и больше оно лезть не будет, но хотелось бы понять суть происходящего. Если это не трудно, ты не мог бы мне сообщить все установленные у тебя тулбары/BHO? Я постараюсь проэмулировать ситуацию у себя.

----------


## Geser

> Если это не трудно, ты не мог бы мне сообщить все установленные у тебя тулбары/BHO? Я постараюсь проэмулировать ситуацию у себя.


Каким образом?

----------


## rav

> Тестил на ВинХР СП1 Хоум Рус. По поводу контрола - очень хреново прорисовываются гриды. Только в этой софтине,  более подробно не смотрел , в чем там дело.


Странно, я использую только Win32 API. Хотя всё может быть, фейсы, иконки и всё, что с ними связано- это моя слабая сторона. Не умею я их хорошо готовить  :Smiley: 




> По списку защищаемых ключей реестра - может выложишь? я б добавил чего, если не хватает.


В аттаче.




> Вмплейер у меня по дефалту не прописался, только ИЕ, аутглюк и hh.exe. Собственно, почему я и решил, что рулезы создавались исходя из набора наиболее популярных экспов, чтобы если и не предотвратить их отработ, то свести последствия к минимуму =)


Значит, по каким-то причинам программа не нашла файл wmplayer.exe по пути %Program Files%\\Windows Media Player. Где он у тебя находится? Кстати, а Messanger ты удалял из системы или его тоже не нашли?

----------


## rav

> Каким образом?


Поставить их всех у себя.

----------


## Geser

> Поставить их всех у себя.


Вот, отчёт АВЗ

----------


## Xen

Ага, глянул, что есть на тестовой машине, и не обнаружил ни мессенджера, ни вмплейера (забыл, что снес их когда то по опять же понятным причинам). Предлагаю занести в блэклист фтп и тфтп в свете событий последних месяцев =)

----------


## rav

> Вот, отчёт АВЗ


А это чего за чудо такое: {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} ? Оно на что ссылается? Или это просто что-то недоудалённое?

----------


## rav

> Предлагаю занести в блэклист фтп и тфтп в свете событий последних месяцев =)


В принципе, можно....

----------


## RiC

> А это чего за чудо такое: {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} ? Оно на что ссылается? Или это просто что-то недоудалённое?


Kaspersky Lab\AVP6\scieplugin.dll ?

----------


## Geser

> Kaspersky Lab\AVP6\scieplugin.dll ?


Угу, похоже от КАВ скриптчекер. Не подчистил за собой после удаления.

----------


## rav

*2 Geser*

Только что воспроизвёл твою конфигурацию тулбаров и BHO (см. аттач) кроме 7-го Акробат Ридера (19 метров по модему- это тяжко). У меня без срабатываний, правда, у меня не все патчи на систему, диалап, однако. Да и вряд ли это из-за патчей....

----------


## Geser

> *2 Geser*
> 
> Только что воспроизвёл твою конфигурацию тулбаров и BHO (см. аттач) кроме 7-го Акробат Ридера (19 метров по модему- это тяжко). У меня без срабатываний, правда, у меня не все патчи на систему, диалап, однако. Да и вряд ли это из-за патчей....


Может потому что у меня Флешгет не запущен по умолчанию и он пытается запустить его, а так ХЗ...

----------


## Geser

Прикол был как проактивная защита КИС2006 на эту прогу сработала назвав её злостным трояном  :Smiley:

----------


## rav

> Прикол был как проактивная защита КИС2006 на эту прогу сработала назвав её злостным трояном


Похоже, это из-за того, что инсталлер стартует из временной папки. Каспер всегда отличался отсутствием мозгов...

----------


## rav

Бетка обновилась. Много внутренних улучшений.

----------


## Sanja

Gaser, rav в окне алерта вроде написано - Autorun object injection.. << может это ему не понравилось.. правда на просто авторан ПДМ не срабатывает.. может он еще в сисдир скопировался?

----------


## rav

> Gaser, rav в окне алерта вроде написано - Autorun object injection.. << может это ему не понравилось.. правда на просто авторан ПДМ не срабатывает.. может он еще в сисдир скопировался?


Нет. Там идёт копирование всех файлов в программную директорию, регистрация в автозапуске, копирование драйвера в system32 и его регистрация на запуск. Каспера в гудок!

----------


## Sanja

>копирование драйвера в system32 и его регистрация на запуск. Каспера в гудок!

Может это непонравилось?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## davaeron

Доброго Вам времени суток =)

rav, Ваш продукт не sandbox нифига, а кастрированный брат-близнец PG-подобных систем (SDT-hook) и нех разглагольствовать о "новом способе защиты", это Вы загнули...
Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)

----------


## rav

> Доброго Вам времени суток =)
> 
> rav, Ваш продукт не sandbox нифига, а кастрированный брат-близнец PG-подобных систем (SDT-hook) и нех разглагольствовать о "новом способе защиты", это Вы загнули...


Ну-ну, перевирать-то не надо! Я говорил не про "новом способе проактивной защиты", а про "новый мейнстрим проактивной защиты". Чувствуем разницу?



> Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)


Ну, так я и не претендую на то, что закрыл все дыры. И, на самом деле, ни один продукт на это не претендует. Если продукт защищает от 98% всей той гадости, что можно подцепить в инете- он уже очень хорош. И я претендую именно на эти 98%. Как только in-the-wild появится тот зверёк, которого я не блокирую- добавить новую запись займёт ровно пару секунд.
Утверждение является бездоказательным в случае, если доказательст нет (сорри за тавтологию), а есть только слова. В данном конкретном случае ситуация именно такова. 
Кстати, в ответ на "булькание в кармане" из твоего поста на WASM могу только сказать, что деньги на поиске уязвимостей реально делаются так: в течение нескольких лит ты регулярно находишь бреши и публикуешь отчёты в соответствующих листах рассылки (например, на securityfocus). За это время ты становишься известным экспертом в области безопасности и тебя берут на работ у в очень крутую контору (типа ISS, Positive Tech) на очень хорошую зарплату. Так это работает. Есть и другой способ. Ты продаёшь эксплойт господам адварьщикам за не очень большие деньги. Минусы- 1) тебя в любой момент могут слить ментам 2) твой авторитет в среде безопасников остаётся нулевым. Как результат- хорошая (читай-высокооплачиваемая) работа тебе не светит.

----------


## aintrust

> ...
> Обойти Вашу защиту можно используя реестр (да, не все еще залочили) или нестандартно используя стандартные API вызовы (как загнул, а ведь в этом-то вся и соль, точнее направление куда копать) для внедрения в чужой процесс плюс немного медитации (мой способ прокатывает на всех HIPS'ax так что может хоть этот факт Вас порадует, и не надо орать что сие утверждение - бездоказательно, спроси Azrael'я - он видел и тестировал [будет третийским судьей], а выкладывать/не выкладывать - мое дело)
> ...


Дима, ну к чему столько страсти-то?  :Smiley:  Нет, ну я бы еще попытался тебя понять, если бы "твой" код обхода (я имею ввиду, в частности, fwb) был бы действительно чем-то новым или хотя бы оригинальным по своей идее! А что касается внедрения в процесс, в частности... ну ты ведь даже ни на миллиметр не отошел от идеи, выдвинутой еще 3 (!!!) года назад известной группой LSD (The Last Stage of Delirium) в статье 'Win32 Assembly Components' (параграф 2.2, 'Process Forking'). И, насколько я вижу по твоим вопросам на форумах, так и продолжаешь крутиться вокруг нее... Ну что ты так расшумелся везде об этой идее? Ну, обходит твой fwb кое-что кое-где, а многое и не обходит (тебе уже не раз про это говорили) - нет, ты снова и снова возвращаешься к одному и тому же... А смысл?   :Smiley:  

А что касается непосредственного "виновника", т.е. DW, то, не будем лукавить, хорошую программу защиты написать на порядок (или на два) сложнее, чем найти дыру в любой защите. Я в данном случае буду оптимистом (и соглашусь с Джоанной Рутковской, которую ты тоже иногда "цитируешь"  :Smiley: ): количество потенциально уязвимых мест в операционной системе конечно, т.е. можно таки написать продукт, который закроет эти дыры (и дай бог не наделает своих собственных!), так что такие продукты, как DW имеют право на существование, тем более, что по очень многим параметрам DW очень даже неплох! Можно с твоей стороны сколь угодно долго говорить о том, что "DW сырой" и т.д., но, имея за пазухой лишь один камень (т.е. лишь один кем-то когда-то виденный эксплойт), стоит ли делать столь безапелляционные утверждения?  :Smiley:  Честно - хотелось бы аргументов посерьезнее, а не только страстей...

Да и вообще, "не ошибается лишь тот, кто ничего не делает" - старая идея, а работает на 100% всегда!

----------


## rav

Вышел DefenseWall HIPS RC1. Улучшений много.

----------


## Geser

> Вышел DefenseWall HIPS RC1. Улучшений много.


А можно хотя бы в общхем?

----------


## rav

Легко.

1. Красивый скинированный фейс. 

2. "Secured files" ("Защищённые файлы")- файлы и директории, недоступные для недоверенных.

3. Диалог, который показывает процессы с разбиением на доверенные и недоверенные.

4. Теперь можно временно отключать недоверенные прямо из списка, а потом включать обратно.

5. Защищается больше ключей в реестре.

6. Защита подсистемы печати.

----------


## rav

Вышел релиз. Много изменений и улучшений.

----------


## Geser

> Вышел релиз. Много изменений и улучшений.


С большими фонтами не влазит регистрационная информация. Потом, в окошке регострации ввёл регистрационный ключь. Появилась регистрационная информация, но кроме этого никаких изменений. Хоть бы кнопку "Try now" нужно заменить.
Вылезла куча предупреждений. Лог прилагаю

----------


## Geser

Кстати, почему бы не выводить в лог более подробную информацию. Например написано попытка создания сервиса. Нельзя ли написать конкретнее какой именно сервис была попытка создать, и т.п. для остальных действий.

----------


## Geser

Кстати, на Google Desktop ругается очень во время старта. Глянь чего они там не дружат.

----------


## rav

> С большими фонтами не влазит регистрационная информация.


Надо будет мне просто немного переделать формат рег. записи.



> Потом, в окошке регострации ввёл регистрационный ключь. Появилась регистрационная информация, но кроме этого никаких изменений. Хоть бы кнопку "Try now" нужно заменить.


Лады, сделаю.



> Вылезла куча предупреждений. Лог прилагаю


Фильтруй все. Вроде как ничего страшного не увидел.



> Кстати, почему бы не выводить в лог более подробную информацию. Например написано попытка создания сервиса. Нельзя ли написать конкретнее какой именно сервис была попытка создать, и т.п. для остальных действий.


Попытка создать сервис- это ложняк. В любом случае, я пока не могу выводить имена, поскольку не знаю, как их получать. 
Формат пакета недокументирован абсолютно, а перехват идёт в драйвере.



> Кстати, на Google Desktop ругается очень во время старта. Глянь чего они там не дружат.


Закачал- сейчас буду смотреть.

----------


## rav

Посмотрел Google Desktop- да, появилось несколько дополнительтых событий. В гудок (точнее- в фильтр).

----------


## Geser

> Посмотрел Google Desktop- да, появилось несколько дополнительтых событий. В гудок (точнее- в фильтр).


В фильтр это в смысле будет блокироваться но не появляться в логе? А эта блокировка не будет мешать нормальной работе Google Desktop?

----------


## rav

> В фильтр это в смысле будет блокироваться но не появляться в логе? А эта блокировка не будет мешать нормальной работе Google Desktop?


Нет, не будет. В принципе, можешь запустить разок IE как доверенный под Google Desktop, после этого точно всё будет фурычить 100% как надо.

----------


## Geser

> Нет, не будет. В принципе, можешь запустить разок IE как доверенный под Google Desktop, после этого точно всё будет фурычить 100% как надо.


По моему нужен какой-то механизм задания исключений. Иначе народ постоянно будет пугаться этих предупреждений. Иди пойми как это сказывается на работоспособности разных плагинов.

----------


## rav

> По моему нужен какой-то механизм задания исключений. Иначе народ постоянно будет пугаться этих предупреждений. Иди пойми как это сказывается на работоспособности разных плагинов.


Этот механизм называется фильтрацией. На работоспособности обычно не сказывается никак!

----------


## Geser

А как на счет такого
Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate  s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3  5863320D8E\
это не мешает работе с сертификатами?

----------


## rav

> А как на счет такого
> Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate  s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3  5863320D8E\
> это не мешает работе с сертификатами?


Пришли мне, пожалуйста, лог-файл и этот кусок реестра по почте- я поколдую и добавлю в список исключений, чтобы в будущем точно проблем не было!

----------


## rav

> А как на счет такого
> Attempt to set value Blob within the key HKLM\SOFTWARE\Policies\Microsoft\SystemCertificate  s\Root\Certificates\4CEC8D70A400F0C0DEAAA7E7444FB3  5863320D8E\
> это не мешает работе с сертификатами?


Сам разобрался, что и как нужно добавлять в исключения. В следующей версии всё будет пучком.

----------


## не важно

Затея отличная, афтору респект

мне как юзеру ахота получить программный фаерволл
например :
принес / скачал прогу..
запустил..
Вылезло окно DefenseWall'а с описанием перехваченного действия :
 Процесс такойто хочет сделать тото, разрешить?

Кароче как в зон аларме, тока здесь идет защита от удаления файлов, папок, реестра, внедрения кода в память чужих процессов и тд.
Зделай (уже говорили) правила для каждой проги

запись / чтение реестра (да/нет/запрос)
чтение / запись / файлов (да/нет/запрос)
и так далее, чтоб можно было спокойно вирус запустить и ему все потуги заразить систему/файлы обломить
тада и антивирусы нинужны...
такой проге цены не будет  :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Z0t

> Затея отличная, афтору респект
> мне как юзеру ахота получить программный фаерволл
> например :
> принес / скачал прогу..
> запустил..
> Вылезло окно DefenseWall'а с описанием перехваченного действия :
> Процесс такойто хочет сделать тото, разрешить?
> Кароче как в зон аларме, тока здесь идет защита от удаления файлов, папок, реестра, внедрения кода в память чужих процессов и тд.
> Зделай (уже говорили) правила для каждой проги
> ...


Согласен, мне всегда было интересно почему то были межсетевые экраны и не было "софтварэ фаеров". Антивири соревнуются между собой в скорости сканирования, эфективности нахождения вирусов.. нет бы просто не давали заразить файло перехватывая ZwWriteFile  :Smiley: 
так же и анти spy софт ищет в реестре на диске объекты по своим базам..
ну зачем этот гемор.. всесто того чтобы не дать в своё время прописаться в системе шпиону,
если автор доведет до ума DefenseWall то ее будут покупать большие конторы.. а ани не скупятся на хорошую защиту..



> принес / скачал прогу..
> запустил..
> Вылезло окно DefenseWall'а с описанием перехваченного действия :
> Процесс такойто хочет сделать тото, разрешить?
> Кароче как в зон аларме


Это точно, так и нада делать.. а не создавать базу с уязвимостями системы, так как их находят и будут нахадить.. а вот если создать для каждой проги правила то ничо уже не нада будет искать..
да DefenseWall будет в таком случае не для "домохозяек",как раз домохозяйки то и не будут ставить ничо кроме ворда  :Smiley: ), нада делать профессиональный продукт, ламье пусь сидит за касперами.. и думает что все хорошо..
Если чо то могу предложить свою посильную помощь в разработке DefenseWall
Удачи.

----------


## rav

2 Не Важно.

То, что ты описываешь, называется "application firewall". Лидерами на этом рынке являются Process Guard и PrevX. Основные проблемы программ этого класса являются те самые всплывающие окна с вопросами "приложение такое-то пытается прыгнуть на месте. Разрешить? [Да/Нет]". Меня, например, эти окна страшно раздражают, а обычного пользователя вообще вводят в ступор, поскольку они не знают, чего им, собственно, отвечать надо и легитимное ли это действие. Личности параноидальные обычно всегда жмут "нет" (но таковых меньшинство), остальные (подавляющее большинство!), ничтоже сумнявшись, жмут всегда "да"! 

Создать внутри программы правила для КАЖДОГО существующего в мире приложения? Я не Всевышний, я кончусь на первом же десятке! Особенно если учесть, что правила и обмануть можно, поскольку многие из них будут местозависимыми! Да и ориентироваться придётся по хешам приложений, а не местоположению и имени..... В своё время был такой проект от HP, но он сдох, так и не успев толком родиться.

Моя программа относится к только начинающему первые свои шаги (а, значит, лидера пока нет и у меня есть все шансы им стать!) классу защит "sandbox HIPS", которое заключается в понижении привилегий недоверенным процессам и запрещению им определённых опасных действий (например, установка драйвера). Этот тип защит, по сравнению с "application firewall", имет на порядок меньше ложных срабатываний, не достаёт своими выпрыгивающими окнами, а главное, требует на порядок меньше технических знаний от пользователя и подходит даже не очень технически подкованным личностям (а значит, мой рынок более капиталоёмок). 

2 Z0t.

1. ZwWriteFile? Ты забыл про ZwWriteFileGather, маппирование файлов на запись и прямую запись в сектора файла. И всё это уже блокируется.

2. Про правила для каждого приложения я уже писал, а главное- нафиг оно не надо, программа уже всё делает безо всяких правил.

3. Домохозяек больше на порядки. А на рынок тулзов для суперпрофи мне уже не пробиться, там свои лидеры и жёсткая толкотня локтями за очень маленький кусок (суперпрофи проще самому написать такую систему, чем пользовать готовую, да и денег они обычно не платят).

4. Насчёт доводки программы до ума- вышла версия 1.10 с пофикшенными багами. 

5. Насчёт продаж бизнес-структурам- это, конечно, красиво, но не так легко реализуемо. Чтобы достучаться до этого рынка, нужны первоначальные финансово-маркетинговые вложения, которых у меня на данный момент физически отсутствуют, поэтому денег на эти вложения я могу получить только с рынка end-user. Это данность.

6. Насчёт посильной помощи- это хорошо. Стукнись мне в приват, расскажи, что можешь и умеешь. И чего самому надо.

----------


## Z0t

"а вот если создать для каждой проги правила то ничо уже не нада будет искать.."

имелось ввиду не все проги которые существуют на планете земля..
Тут ты меня не так понял
Уже говорилось про само обучение 
Я сам юзаю Zone Alarm и там всё уже продумали
запускаеш прогу а ана в нет лезет.. тут же выскакивает окно
где ты можеш разрешить или блокировать попытку.. и есть еще галочка
мол всегда применять это решение к данной проге..
и потом када ана апять попытается вылезти то ничо не выскочит её ZA молча обломит.. или пропустит (зависит от того ответа) и так для всех прог которые рыпнулись..
ани попадают в список фаервола и там уже можно им правила ставить..
так же можно и тут сделать..

----------


## rav

> "а вот если создать для каждой проги правила то ничо уже не нада будет искать.."
> имелось ввиду не все проги которые существуют на планете земля..
> Тут ты меня не так понял
> Уже говорилось про само обучение
> Я сам юзаю Zone Alarm и там всё уже продумали
> запускаеш прогу а ана в нет лезет.. тут же выскакивает окно
> где ты можеш разрешить или блокировать попытку.. и есть еще галочка
> мол всегда применять это решение к данной проге..
> и потом када ана апять попытается вылезти то ничо не выскочит её ZA молча обломит.. или пропустит (зависит от того ответа) и так для всех прог которые рыпнулись..
> ...


Нет такого понятия, как самообучение.  Программы ещё не настолько умны (слава богу!). То, что есть- это легитимизация доступа к ресурсам/модификация ресурсов. Просто в случае application firewall легитимизатором является человек (что налагает на него определённые требования по знанию архитектуры ОС),  а в случае sandbox просто ограничиваются права процесса. Второе намного проще и легче для пользователя, а главное- всё работает! И не надо переносить принципы, которые работают в случае файеров, на другую предметную область- в ней эти принципы не работают, а если и работают, то неэффективно. Каждому своё..... А если нужен именно application firewall- смотри Process Guard или AntiHook (этот бесплатен для домашнего пользователя).

----------


## Xen

Сорри, если здесь это уже упоминалось - читать весь тред ниасилил. Вопщем, суть проблемы: удаляешь приложение из антрастед, оно пропадает из списка, но по реакции ДВ ХИПС становится таковым только после перезагрузки системы...

----------


## Geser

Тут новая проблема. Я думаю без возможности создавать исключения никак. Для каждой апликации замучаешся прогу переделывать. Или нужно ограничения помягче сделать. Только запрет на определённые ветки реестра и системную директорию.

----------


## rav

> Тут новая проблема. Я думаю без возможности создавать исключения никак. Для каждой апликации замучаешся прогу переделывать. Или нужно ограничения помягче сделать. Только запрет на определённые ветки реестра и системную директорию.


Да нет, не первый раз замужем  :Smiley: . Я уже поправил драйвер, сейчас брошу тебе на проверку. С Огнептицей всё будет пучком!

----------


## Geser

Опять что-то странное. А кроме того, при открытии ИЕ он открывается не активным окном  :Sad:

----------


## rav

> Опять что-то странное. А кроме того, при открытии ИЕ он открывается не активным окном


Очень странное поведение. Попытка открыть процесс Outpost, попытка переписать значения в реестре (похожее, скорее, на автозагрузку).... А ты уверен, что ты не был атакован? Посканируй-ка свою машину....

----------


## Geser

Фиг знает... Запустил полное сканирование антивирусом. Хотя по логам АВЗ ничего лишнего не видно.

----------


## orvman

> Очень странное поведение. Попытка открыть процесс Outpost, попытка переписать значения в реестре (похожее, скорее, на автозагрузку)....


OP - аа, ща угадаю..., не, не буду... (пока)...

P.S. Еще прикол - defensewall_log.zip (1.9 Кбайт, x просмотров) - а если разжать, то 539 Кбайт будет.

----------


## aintrust

> P.S. Еще прикол - defensewall_log.zip (1.9 Кбайт, x просмотров) - а если разжать, то 539 Кбайт будет.


А в чем прикол-то?  :Smiley:

----------


## pig

А хорошая бомбочка...

----------


## Geser

Прикол такой. Позавчера компьютер переглючило не по детски. Похоже какие-то проблемы с доступом в реестр. Началось с того что деинсталятор VMWare повис на стадии отката изменений реестра, и дальше переглючило всё что можно. Конечно я не уверен что это связано с DefenseWall, но есть некоторое подозрение.

----------


## rav

> Прикол такой. Позавчера компьютер переглючило не по детски. Похоже какие-то проблемы с доступом в реестр. Началось с того что деинсталятор VMWare повис на стадии отката изменений реестра, и дальше переглючило всё что можно. Конечно я не уверен что это связано с DefenseWall, но есть некоторое подозрение.


А в логе DefenseWall что-нибудь от VMWare есть?

----------


## Geser

> А в логе DefenseWall что-нибудь от VMWare есть?


В логах ничего не было. 
Однако кое что могу точно сказать. После того как я поднял бекап, решил обновить версию Аутпоста. Так DefenseWall с настройками по умолчанию при деинсталяции старой версии что-то там заблокировал (к сожалению не сохранил логи) после чего Аутпост стал и не туда и не сюда. Т.е. ни удалить ни новый не поставить. Инсталятор выдавал ошибку, просил перегрузиться и так до бесконечности. Правда DefenseWall был февральская версия какая-то...
Короче не было версии возиться, поднял бекап еше раз, убрал DefenseWall после чего обновил Аутпост нормально. Вот такие пироги.

----------


## rav

Ну так прислал бы мне лог- вместе бы и разобрались. А сейчас и получается- то ли он украл, то ли у него украли....

----------


## Z0t

> Ну так прислал бы мне лог- вместе бы и разобрались. А сейчас и получается- то ли он украл, то ли у него украли....


rav ты пошел по неверному пути.

сегодня у тебя DefenseWall конфликтует с одним приложением завтра с другим.. и так до бесконечности, или ты собираешся делать багфиксы вечно?

----------


## rav

> rav ты пошел по неверному пути.
> 
> сегодня у тебя DefenseWall конфликтует с одним приложением завтра с другим.. и так до бесконечности, или ты собираешся делать багфиксы вечно?


Данное высказывание принадлежит настолько некомпетентному человеку, что я его обсуждать не буду!

----------


## Z0t

rav не хотел обидеть
всегда и везде ценятся гибко-настраиваемые приложения, забив на это ты забиваешь на пользователей, что черевато.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## rav

> rav не хотел обидеть


А кто говорит об обиде? Просто, если посмотреть на сам процесс производства защитного драйверного софта, то он и состоит из одного только постоянного обновления. В том числе и связанного с совместимостью. Соответственно, твой пост говорит о некомпетентности в данной области.



> всегда и везде ценятся гибко-настраиваемые приложения, забив на это ты забиваешь на пользователей, что черевато.


Бред! Нормальному пользователю нужна только одна кнопка. А лучше- вообще без кнопок, всё на автомате. Вот я так и пытаюсь сделать- минимум видимых настроек, максимум на автомате. 

Если тебе нужна гибкость в обмен на удобство использования и нетребовательность к техническим знаниям- смотри в сторону classical HIPS типа ProcessGuard. Эти решения как раз и предназначены для технических специалистов (но не на массовый рынок!).

----------


## Z0t

rav может ты и компетентнее меня в производстве защитного драйверного софта, но ты явно не догоняешь смысла моих слов.

"Нормальному пользователю нужна только одна кнопка. А лучше- вообще без кнопок, всё на автомате"

Вот это точно бред. Кто для тебя нормальный пользователь? безрукое безмозглое тело? Управление играет очень важную роль особенно в защитном софте, если ты хочеш работать на широкий рынок то нужно предусмотреть несколько режимов работы твоей программы ( так делают многие девелоперы ), чтобы пользователь любого уровня был доволен продуктом.

----------


## _HEKTO_

К сожалению rav прав. Чем меньше настроек, тем больше шансов у продукта стать популярным на массовом рынке.

Средний уровень компьютерной грамотности пользователя удручает  :Sad:

----------


## Shu_b

> Средний уровень компьютерной грамотности пользователя удручает


Он всё больше растворяется в объёмах продаваемых PC...

----------


## ALEX(XX)

> Он всё больше растворяется в объёмах продаваемых PC...


Не в объёмах дело, а массовой деградации населения.

----------


## anton_dr

Причем тут деградация? Кнопка лдолжна быть одна - включить компьютер. А все остальное касаться человека не должно. Мы ж не лезем внутрь телевизора, или игровой приставки - вставил диск и играй.

----------


## Z0t

"Кнопка лдолжна быть одна - включить компьютер. А все остальное касаться человека не должно. Мы ж не лезем внутрь телевизора, или игровой приставки - вставил диск и играй"

Этим то комп и отличается от бытовых устройств.

А как же ХР, он оч популярный и там далеко не одна кнопка
в начале он настроен по дефолту и для некоторых это приемлемо, они
довольны, другие переделывают под себя всё и вся и тоже потом довольны
и это в микрософте учли, и получили бешенную популярность своих продуктов. Совковый подход не катит имхо.

----------


## rav

> Кто для тебя нормальный пользователь? безрукое безмозглое тело?


У тебя есть друзья, которые плохо разбираются в функционировании компьютера, ОС и программ, но им нужно набирать тексты и лазить в Инет? А у меня есть! Они не безмозглые, они просто другие, им тяжело понять, как там всё функционирует и зачем им нужно, например, установить хороший пароль на пользователя (так и работают с пустым паролем!). И таких большинство! Компьютеры ведь сейчас продают в магазинах бытовой техники, как пылесосы и микроволновки!




> Управление играет очень важную роль особенно в защитном софте, если ты хочеш работать на широкий рынок то нужно предусмотреть несколько режимов работы твоей программы ( так делают многие девелоперы ), чтобы пользователь любого уровня был доволен продуктом.


Начнём с начала. Какой процент программ, которые идеологически ориентированы на несколько режимов работы, коммерчески успешны по сравнению с теми прогами, которые ориентированы на простого конечного пользователя? А какова доля Линукс по сравнению с Windows?

Я, получив некоторый фидбек с пользователей, вообще думаю сделать дополнительные настройки, причём с настройками по умолчанию ещё упростить поведение программы. А то люди путаются, а хелп не читают!

Да и вообще- угодить всем нельзя! Именно поэтому все продукты нишево-ориентированы. Ниша DefenseWall- защита простых пользователей, здесь чем проще- тем лучше. Если бы это была ниша защиты для гиков- здесь, соглашусь, чем больше фич и настроек- тем лучше.

----------


## Xen

Немного оффтопика, но не надо гнать про Линукс. Для гиков есть Слакварь и (тьфу...) Генту, для юзеров - Федора и Сусе.

----------


## rav

> Для гиков есть Слакварь и (тьфу...) Генту, для юзеров - Федора и Сусе.


Федора кончилась...

----------


## pig

Кончилась Fedora Foundation, то есть, какой-то странный фонд, которому, по-моему, меньше года. А проект вроде как остался. По крайней мере, я так понял.

----------


## Xen

Снова деза =))

----------


## pig

...где-то здесь и сама новость со ссылкой на источник висит, только искать лень...

----------


## anton_dr

> только искать лень...


http://virusinfo.info/showthread.php?t=5232

----------


## santy

> К сожалению rav прав. Чем меньше настроек, тем больше шансов у продукта стать популярным на массовом рынке.
> Средний уровень компьютерной грамотности пользователя удручает


все-таки дело не в количестве настроек у продукта, а в ясности и прозрачности устанавливаемых параметров и режимов работы.

----------


## sergey888

Данная программа постоянно обновляется. И хотелось бы услышать отзывы о ней на данный момент. Ну а если по теме то да пользователю в том числе и мне нужна программа без кнопок, запустил и забыл. И это идеальный вариант.

----------

