System Protect - защита для системных файлов

Почитал тему [COLOR=navy]FAT32 и NTFS[/COLOR]:
[FONT=Courier New]Сетевая безопасность для начинающих > Основы сетевой безопасности:[/FONT]
[URL]http://virusinfo.info/showthread.php?t=1558[/URL]
- и вспомнил про одно из решений, которое поможет снять остроту ситуации для [I]любителей файловой системы FAT32[/I].
Кроме того, System Protect может оказаться полезным дополнением к средствам защиты системы для многих пользователей.

Компания [I]Xacti Corporation[/I], автор известного бесплатного защитного комплекса [I]Spyware Terminator[/I], распространяет ещё одно небольшое приложение: [COLOR=navy][I]System Protect[/I][/COLOR] - которое предлагается использовать совместно с Terminator-ом - для укрепления "обороноспособности" системы.

[B]Назначение программы (анонс от производителя)[/B]
[I][COLOR=navy]System Protect[/COLOR] - бесплатная, удобная в работе программа, которая помогает повысить устойчивость вашей операционной системы и защитить важные программы, документы и файлы от удаления или изменения, вызванных:
- вирусами и другими malware,
- antivirus- и antispyware-программами,
- другими пользователями на вашем компьютере (например: вашими детьми),
- или даже вашей собственной ошибкой.[/I]

[I]System Protect[/I] выделена производителем в отдельную программу и может применяться вместе с защитными средствами других производителей. Программа компактна, не нагружает систему и не конфликтует с прочим софтом
[INDENT][FONT=Courier New]статус: FREE
дата: 17 апреля 2008 г. (цифровая подпись)
версия: 1.0.0.83
ос: Windows XP 32-bit/64-bit, Vista 32-bit
размер: 4.95 МБ
автор: Xacti Corporation
сайт: [/FONT][URL="http://system-protect.com/"][FONT=Courier New]http://system-protect.com/[/FONT][/URL]
[FONT=Courier New]закачать: [/FONT][URL="http://dnl.system-protect.com/dnl/config/64/SystemProtect_Setup.exe"][FONT=Courier New]http://dnl.system-protect.com/dnl/config/64/SystemProtect_Setup.exe[/FONT][/URL]
[FONT=Courier New]On-line HELP: [/FONT][URL="http://www.system-protect.com/faq.aspx"][FONT=Courier New]http://www.system-protect.com/faq.aspx[/FONT][/URL][/INDENT]От разработчика:
[I]Какие файлы защищает программа System Protect?[/I]
[I]Кроме защиты любых выбранных Вами файлов/папок, System Protect автоматически защищает так называемые "системные файлы".
Системные файлы в нашей базе данных включают все файлы, включенные в операционные системы Windows XP и Windows Vista, плюс все их обновления и "service packs".
Однако, System Protect защищает не только вашу операционную систему: программа также защищает самые общие программы.
В настоящее время наша база данных по системным файлам включает почти 40 000 пунктов, и наша специализированная команда аналитиков программного обеспечения расширяет эту базу каждый день.[/I]
[I]System Protect предотвращает удаление важных файлов системы и программ, включенных в нашу базу данных, потеря которой могла привести к краху вашей операционной системы. Эти файлы могут подвергнуться нападению вирусов или могут быть случайно удалены антивирусными программами, Вами или вашими детьми.[/I]
[I]System Protect предотвращает не только удаление системных и отобранных Вами файлов, но также и их переименование, перемещение в другую папку или иное изменение.[/I]
[I]Когда кто-то или что-то пытается изменить файлы системы или отобранные Вами файлы, System Protect показывает предупреждение или автоматически блокирует это изменение/модификацию в соответствии с вашими параметрами настройки защиты.[/I]

[B]Возможности[/B]

- [COLOR=navy]4 режима защиты системных (и частных) файлов и каталогов[/COLOR]:
> [U]Deny Mode
[/U] Удаление/модификация файла автоматически пресекается без уведомления.
> [U]Deny & Report Mode
[/U] Удаление/модификация файла автоматически пресекается - и Вы получаете сообщение.
> [U]Ask Mode
[/U] При каждой попытке удаления/модификации файла запрашивается Ваше разрешение.
> [U]Protection disabled
[/U] Защита отключена.

- [COLOR=navy]Режим Install/Modify[/COLOR]
Полезен в тех случаях, когда защиту системных файлов следует отключить: при инсталляции приложений, установке обновлений системы и т.п.
[COLOR=navy]- Защита для всех пользователей системы.
- Защита настроек паролем.
- Автоматические обновления.
- Удобный и легкий в установке.
- Free-поддержка.[/COLOR]

[B]Особенности и замечания[/B]

[U]Установка/Удаление[/U]
- простая инсталляция (но только в папку C:\Program Files\);
- чистая деинсталляция;
- устанавливается драйвер: C:\WINDOWS\system32\drivers\sp_prot.sys;
- автозагрузка:C:\Program Files\System Protect\SysProtect_Tray.exe

[U]Расход ресурсов[/U]
Программа работает двумя процессами + служба + значок в лотке:
[FONT=Courier New]- System Protect Deletion Prevention Service - служба
- SysProtect_srv.exe = 3.9 МБ - процесс
- SysProtect_Tray.exe = 5.7 МБ - процесс
- общий расход памяти = 9.6 МБ

[U]Тестирование System Protect[/U]
ОС: Windows XP SP2 [32-bit/Full Update].
Файловая система: Fat-32.
Учетная запись: Администратор.
Системных файлов под защитой - в моем случае = 27.912.
Режим настройки защиты: [I]Ask Mode[/I]
Проверка проведена по каталогам:
C:\WINDOWS\
C:\WINDOWS\system\
C:\WINDOWS\system32\
C:\WINDOWS\system32\Com\
C:\WINDOWS\system32\dllcache\
C:\WINDOWS\system32\drivers\

System Protect реагировала сообщением уже при попытке доступа к "Свойствам" файла - предлагая варианты запрещения/разрешения.

[B]Выводы[/B]

1 - [U]Программа ЗАЩИЩАЕТ[/U]: "системные файлы" типа приложение/библиотека/драйвер и пр. - то есть файлы EXE, DLL, DRV, SYS (не только эти и не все из этих).

2 - [U]Программа НЕ ЗАЩИЩАЕТ[/U]: файлы, обеспечивающие настройку и рабочую конфигурацию ОС.
К таким файлам относятся:
- реестр
- файл hosts
- файлы INI, INF, DAT и пр.
- все файлы корневой директории системного диска

[U]Замечание 1
[/U]Работающая защита не позволяет даже сделать [I]копию[/I] системного файла.

[U]Замечание 2[/U]
При первой попытке доступа к любому защищаемому файлу предлагается заблокировать ВСЕ защищаемые файлы на 5...60 минут. Если выбрать блокировку только данного файла, этот выбор останется "по умолчанию" для всех остальных системных файлов.

[U]Замечание 3[/U]
Проверка самозащиты: легко убивается любой из процессов программы и останавливается служба.

[U]Замечание 4[/U]
Конечно, сразу же приходит в голову идея: поставить "на охрану" целиком каталоги приложений защиты (например). Однако, торопиться с реализацией такого решения не стОит: практически всем приложениям необходим как "простой" доступ к своим файлам (для чтения), так и возможность обновить-перезаписать свои настройки, отчеты и т.д.
Результатом такой защиты окажется (с большой вероятностью) невозможность загрузки приложения (и системы в целом, если защищённым приложением оказался файервол или антивирус).

3 - [U]То обстоятельство, что "самые главные" системные файлы[/U] (файлы реестра, к примеру) не входят в круг интересов [I]System Protect[/I], совсем не означает её бесполезность: скорее, как раз наоборот.
[COLOR=navy]Практически все традиционные средства защиты обеспечивают присмотр за "критичными" точками (файлами) системы - приглядывая за реестром, hosts, Internet Explorer и т.д. - и оставляя "тыщи" прочих "системных файлов" без внимания (хлопотно это...).[/COLOR]
Технологии HIPS могут улучшить положение, но и они вряд ли сработают в этом направлении со 100%-ной гарантией.
Небольшая программа System Protect как раз и позволяет закрыть эту "брешь" в защите системы.

Надо чтобы программа лишь сообщила об изменении файла. Желательно чтобы она сохраняла файлы в резервном хранилище и могла восстановить поврежденные. Если ставить хук на файлы, как это там делается (я предполагаю), - уменьшится производительность. И конечно, согласен с автором темы, что самым важным кроме защиты системных файлов является сохранение установок в реестре, хотя бы по минимуму. Это установки Обозревателя и установки безопасности и состояние служб. Мне лень этим заниматься, но если достанет меня безудержная закачка хлама из интернета - займусь, или постараюсь найти такую программу. Не может быть чтобы до этого не додумались другие. Надо искать. Потому что если уж я подумал - то еще 1000 людей подумали также, но на год раньше меня. Правда?

P.S. Но размер программы поражает мое воображение! Это ж надо, аж 5 мегабайт. Да там 500 кбайт много будет. Идиотизмус...

Я тоже попробовал. Без функции самозащиты- этой программе не жить ;)
Под админом:
Защита паролем не спасает- процесс и сервис убивается, после чего можно удалять, менять.После перезапуска программы и перезагрузки - даже не предупреждает что файла уже нет на месте. Целях защиты пользоваться только под ограниченным юзером- тогда у кого нет прав - не сможет завершить процесс.
Eсть один существенный баг, который нашёл- если система запущена под ограниченным пользователем - можно убить данную программу запустив "удаляющую программу "с правами администратора.Также можно удалить "охраняемый файл" например через отложенное удаление avz даже без перезагрузки.
Спрашивается, ну и зачем такая защита?
Интерфейс симпатичный, но не хватает экспертного режима, не нашёл логов о попытках удаления/модификации охраняемых файлов ( кроме количества попыток), нет списка охраняемых файлов и их статуса- а вдруг файлы уже заменены на зловредные?

[QUOTE=drongo;227559]
Спрашивается, ну и зачем такая защита? [/QUOTE]Спрашивается - на фига козе гармонь, если она и так веселая? [url]http://support.microsoft.com/?scid=kb%3Bru%3B307881&x=14&y=13[/url] :)

Rene-gad, лично мне не хватает защиты паролем, то есть при попытке удаления/изменения защищённого файла- должен быть запрос на подтверждения паролем.Майкрософт что-то не активны в этом плане.

[QUOTE=drongo;227565]Rene-gad, лично мне не хватает защиты паролем[/QUOTE]Зачем тебе (да и другим) вообще FAT32? (см. ссылку)

[quote=Rene-gad;227570]Зачем тебе (да и другим) вообще FAT32? (см. ссылку)[/quote]я не про это, я про дополнительный дружественный механизм парольной защиты .
на ntfs тоже этого нет :P

[quote=drongo;227565]Rene-gad, лично мне не хватает защиты паролем, то есть при попытке удаления/изменения защищённого файла- должен быть запрос на подтверждения паролем.Майкрософт что-то не активны в этом плане.[/quote]
Как раз наоборот - описанная программа является попыткой подменить штатные средства защиты непонятно чем, хотя в системе все и так есть от рождения. Если я работаю как юзер, а не как админ, то я имею вполне четко очерченные права на файлы, папки, реестр и т.п. И если хочу защитить файл - просто отбираю на него права у пределенных юзеров и дело с концом. Чтобы его удалить, прижется зайти кем-то с более высокими привилегиями (и предъявить пароль, если таковой задан). И все ... просто, быстро и эффективно

[QUOTE=Зайцев Олег;227597]в системе все и так есть от рождения. ... просто, быстро и эффективно[/QUOTE]Вот именно. :>

[QUOTE=drongo;227592]я не про это[/QUOTE]так топик-то про ЭТО :
[QUOTE]одно из решений, которое поможет снять остроту ситуации для любителей [B]файловой системы FAT32[/B].[/QUOTE]А ты опять о футболе :D

Каждому своё ;)
всё таки, в виндоус не хватает удобного встроенного менеджера- где можно добавить пароль уже у ограниченного пользователя на файл /папку- и чтобы при нажатии на данную папку/файл- появилось всплывающее окно с запросом пароля.
Насчёт системных файлов- я бы хотел видеть в системе статус файлов в виде цветовой гаммы,что файлы сверены с базой данных майкрософт- и полностью совпадают, если нет- возможность заменить без лишних телодвижений после подтверждения пароля на возвращение ;)

[QUOTE=drongo;227612]
всё таки, в виндоус не хватает удобного встроенного менеджера- где можно добавить пароль уже у ограниченного пользователя на файл /папку- и чтобы при нажатии на данную папку/файл- появилось всплывающее окно с запросом пароля.[/QUOTE]
Зато в Линуксе есть 8): user и root - очень удобно :)
[QUOTE]Насчёт системных файлов- я бы хотел видеть в системе статус файлов в ......возвращение [/QUOTE]
А ты Биллу позвони, он все может. Телефончик дать?;)

[B]drongo[/B]:
[COLOR=navy][I]Каждому своё...[/I][/COLOR]

М-да, всё именно так: "каждый о своём, наболевшем"
Но давайте всё-таки постараемся, чтобы "мухи отдельно, а пиво отдельно" :).

[B]AlexKlm[/B]
[COLOR=navy][I]Надо чтобы программа лишь...
Но размер программы поражает мое воображение! Это ж надо, аж 5 мегабайт. Да там 500 кбайт много будет. Идиотизмус...[/I][/COLOR]

Подскажите, пожалуйста, реальный [U]аналог данной программы[/U] с указанными Вами размерами и в стиле НЕ-Идиотизмус. Или напишите такую сами...

[B]drongo[/B]
[COLOR=navy][I]Без функции самозащиты - этой программе не жить...
...пользоваться только под [U]ограниченным юзером[/U] - тогда у кого нет прав - не сможет завершить процесс.[/I][/COLOR]

Именно для таких "ограниченных юзеров" я и планирую использовать данную программу. Не обязательно же "обычным" юзерам работать в системе под Администратором.

[COLOR=navy][I]- не хватает экспертного режима,
- не нашёл логов о попытках удаления/модификации охраняемых файлов,
- нет списка охраняемых файлов и их статуса
- и т.д.[/I][/COLOR]

В этом приложении много чего не хватает (тем более для "эксперта"), но, к сожалению, я не могу назвать более удачную реализацию этой идеи - просто не знаю. Может быть, Вы знаете?

[B]Rene-gad[/B]
[COLOR=navy][I]Зачем тебе (да и другим) вообще FAT32?[/I][/COLOR]

Не об этом разговор. Есть, кстати, тема "FAT32 и NTFS" - см. выше. И есть реальные пользователи, работающие в этой самой FAT32.
____________________________________
Честно говоря, я надеялся на появление в обсуждении пары ссылок на сходные по назначению приложения. Ну да "ещё не вечер"! :)