Антивирусы на основе "белого списка"

Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?

Знаю, что подобный список есть у Зайцева в AVZ. Но нужно бы нечто подобное с полноценным монитором. И в добавок с лечением действительно заражённых файлов (особенно .doc). Таких вирусов, думаю, не так много.

То, что не входит в список - в карантин для начала.
Ну и должно быть автоматическое пополнение "белого списка" доверенными апдейтерами - при апдейтах винды, браузеров и т.п.

В корпоративной среде, имхо, было бы разумно иметь такое.

Или такое уже есть, просто я не курсе?

[quote=sirocco;315735]Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?
...
Или такое уже есть, просто я не курсе?[/quote]
Такое как раз сделано в KIS2009. Т.е. при запуске программы он смотрит, если ли она в белом списке, или подписана ли она ЭЦП того, кому по мнению ЛК можно доверять. Если да, то процесс попадает в доверенные и ему можно все (или почти все). Это позволяет меньше фолсить и долбать пользователя дурацкими вопросами типа "а можно до" или "резрешить это". Но это удобно как вспомогательная фича, не более того. Причины банальны:
1. невозможно описать все мыслимое ПО "базой белых"
2. Если приблизиться к решению проблемы 1, то получим базу, на порядки превышающую сигнатурную

В корп. среде такое решение давно и успешно применяется, причем без антивирусных мониторов. Просто админ ставит то, что считает нужным и доверенным (и для контроля может вести базу MD5, а может и не вести - не принципиально), делает это из-под админской учетной записи естетсвенно. А юзер работает соответственно с правами юзера, и ничего нового поставить не может, равно как не может подменить или пропатчить что-то уже установленное. Поэтому автомтом решаются проблемы контроля, блокировки и т.п. :)

[QUOTE=sirocco;315735]Имеет ли смысл антивирусный монитор на основе "белого списка" файлов? Или такое уже есть, просто я не курсе?[/QUOTE]
Такое уже есть, например, Anti-Executable, BIt9 Parity, но как отдельное решение работает не очень хорошо. Особенно для end-user'ов.

[quote=Зайцев Олег;315749]1. невозможно описать все мыслимое ПО "базой белых"[/quote]
1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.

[quote=sirocco;315769]1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.[/quote]
1. У меня такая штука в корп. среде работает в режиме мониторинга, самодельная. Можно страшно удивиться тому, сколько всего легитимного ставится и постоянно обновляется... начиная от драйверов и софта идущего с железом и заканчивая десятками вариаций .Net, уследить за этим крейне сложно. А ведь для поддержания такой системы нужно засейчь неопознанные EXE/DLL/SYS, произвести их экспертизу и занести в базу, причем оперативно занести - юзер недели ждать не будет. Прибавим тучу банк-клиентов, кучу самопальногопостоянно меняющегося ведомственного ПО и т.п., и окажется, что для управления такой фигней админ (точнее админы) должен непрерывно заниматься этой базой. Ближайший пример - наше ведомственное ПО местной разработки насчитывает в дистрибутиве 3296 файлов, из которых 320 - EXE файлы. И они постоянно меняются :)
2. В локальные каталоги пользователя разместится далего не каждый зловред. Не говоря уже про невозможность правок системных настроек, установки драйверов, патча компонент системы и т.п. Юзер может что-то принести, но это что-то очень просто отследить и прибить (имеется в виду убить ПО, самого пользователя, или их обоих :) ). Более того, есть политики безоопасности, позволяющие запретить запуск исполняемых файлов из папок юзера ... Плюс например QIP - он же обменивается с внешним миром, трафик характерный, если админ его не видит - он или не хочет это замечать, или такой он админ :)

Белый список имеет свое специфическое применение. Допустим, у меня есть ноутбук для личного пользования, на котором запускается и работает определенный круг программ. Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений. Теперь, чтобы новое приложение могло запуститься, его нужно вручную внести в базу и записать в группу; в противном случае запуск будет запрещен.

[quote=NickGolovko;316104]Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений. [/quote]
Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик. Там по умолчанию стоит политика "Неограниченный" (т.е. запускается все, при условии, что нет запретительного правила), а можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным. Если это аккуратно сделать + правильно прописать привилегии (дабы исключить возможность что-то поменять в системе), то ПК станет на 100% неуязвим против любого существующего зверя.

[FONT=Times New Roman][FONT=Verdana][COLOR=black][FONT=Verdana][quote=Зайцев Олег;316111]можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным.[/quote] [/FONT][/COLOR][COLOR=black][FONT=Verdana]Если в [/FONT][/COLOR][COLOR=black][FONT=Verdana]“[/FONT][/COLOR][COLOR=black][FONT=Verdana]Политике безопасности[/FONT][/COLOR][COLOR=black][FONT=Verdana]”[/FONT][/COLOR][COLOR=black][FONT=Verdana], по умолчанию установить [/FONT][/COLOR][COLOR=black][FONT=Verdana]"Не [/FONT][/COLOR][COLOR=black][FONT=Verdana]разрешено[/FONT][/COLOR][COLOR=black][FONT=Verdana]",[/FONT][/COLOR][COLOR=black][FONT=Verdana] то без дополнительных настроек, пользователю будет разрешен запуск всех программ которые установлены в папках [/FONT][/COLOR][COLOR=black][FONT=Verdana]%SystemRoot% [/FONT][/COLOR][COLOR=black][FONT=Verdana]и %[/FONT][/COLOR][COLOR=black][FONT=Verdana]ProgramFiles%, [/FONT][/COLOR][COLOR=black][FONT=Verdana]все остальное запрещено. Но тут есть небольшая проблема, так как [/FONT][/COLOR][COLOR=black][FONT=Verdana]“[/FONT][/COLOR][COLOR=black][FONT=Verdana]Политика безопасности[/FONT][/COLOR][COLOR=black][FONT=Verdana]”[/FONT][/COLOR][COLOR=black][FONT=Verdana], к исполняемым файлам относит и файлы [/FONT][/COLOR][COLOR=black][FONT=Verdana]LNK, [/FONT][/COLOR][COLOR=black][FONT=Verdana]то после установки [/FONT][/COLOR][COLOR=black][FONT=Verdana]"Не [/FONT][/COLOR][COLOR=black][FONT=Verdana]разрешено[/FONT][/COLOR][COLOR=black][FONT=Verdana]",[/FONT][/COLOR][COLOR=black][FONT=Verdana] пользователь не сможет запускать программы посредствам ярлыков на [/FONT][/COLOR][COLOR=black][FONT=Verdana]Desktop [/FONT][/COLOR][COLOR=black][FONT=Verdana]и [/FONT][/COLOR][COLOR=black][FONT=Verdana]Start Menu. Для [/FONT][/COLOR][COLOR=black][FONT=Verdana]устранении данной проблемы надо или удалить [/FONT][/COLOR][COLOR=black][FONT=Verdana]LNK [/FONT][/COLOR][COLOR=black][FONT=Verdana]файлы из списка исполняемых, или как-то настроить сами папки [/FONT][/COLOR][COLOR=black][FONT=Verdana]Desktop [/FONT][/COLOR][COLOR=black][FONT=Verdana]и [/FONT][/COLOR][COLOR=black][FONT=Verdana]Start Menu.[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Данной защитой я пользуюсь примерно 2 года, и она действительно защищает на все 100%[/FONT][/COLOR][COLOR=black][FONT=Verdana],[/FONT][/COLOR][COLOR=black][FONT=Verdana] без дополнительных программ (антивируса, продвинутого [/FONT][/COLOR][COLOR=black][FONT=Verdana]firewall).[/FONT][/COLOR][COLOR=black][FONT=Verdana] Например, часто критикуемый, встроенный [/FONT][/COLOR][COLOR=black][FONT=Verdana]Windows Firewall [/FONT][/COLOR][COLOR=black][FONT=Verdana]не пропускает ни один [/FONT][/COLOR][COLOR=black][FONT=Verdana]leak test, [/FONT][/COLOR][COLOR=black][FONT=Verdana]потому что я просто немого запускать ни одну из тестовых программ (тестовые программ, которые небыли бы [/FONT][/COLOR][COLOR=black][FONT=Verdana]EXE [/FONT][/COLOR][COLOR=black][FONT=Verdana]файлом я не встречал). Тоже самое относится и вирусам – большая проблема найти живого не[/FONT][/COLOR][COLOR=black][FONT=Verdana]EXE [/FONT][/COLOR][COLOR=black][FONT=Verdana]вируса, разве что документы [/FONT][/COLOR][COLOR=black][FONT=Verdana]MS Office c [/FONT][/COLOR][COLOR=black][FONT=Verdana]macros [/FONT][/COLOR][COLOR=black][FONT=Verdana]и сильно урезанной функциональностю.[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR]
[COLOR=black][FONT=Verdana]Между прочем, в [/FONT][/COLOR][COLOR=black][FONT=Verdana]“[/FONT][/COLOR][COLOR=black][FONT=Verdana]Политике безопасности[/FONT][/COLOR][COLOR=black][FONT=Verdana]”[/FONT][/COLOR][COLOR=black][FONT=Verdana], есть еще один[/FONT][/COLOR][COLOR=black][FONT=Verdana],[/FONT][/COLOR][COLOR=black][FONT=Verdana] спрятанный пункт - [/FONT][/COLOR][COLOR=black][FONT=Verdana]“Basic User”. [/FONT][/COLOR][COLOR=black][FONT=Verdana]Его можно включить изменение одно ключа в [/FONT][/COLOR][COLOR=black][FONT=Verdana]Registry.[/FONT][/COLOR][COLOR=black][FONT=Verdana] Программы, у которых прописана правила [/FONT][/COLOR][COLOR=black][FONT=Verdana]“Basic User”, [/FONT][/COLOR][COLOR=black][FONT=Verdana]всегда будет запускаться с правами [/FONT][/COLOR][COLOR=black][FONT=Verdana]“[/FONT][/COLOR][COLOR=black][FONT=Verdana]Limited User”, [/FONT][/COLOR][COLOR=black][FONT=Verdana]независима от того, какими правами обладает пользователь.[/FONT][/COLOR][/FONT][/FONT]

[QUOTE=Зайцев Олег;316111]Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик. [/QUOTE]

Забыл добавить: на ноутбуке работает XP Home. :)

[COLOR=black][FONT=Verdana][quote=NickGolovko;316385]Забыл добавить: на ноутбуке работает XP Home.[/quote]Правила “Политике безопасности” обрабатывается и на [/FONT][/COLOR][COLOR=black][FONT=Verdana]Windows XP Home. Да, н[/FONT][/COLOR][COLOR=black][FONT=Verdana]ет там нормальных средства для редактирование этих правил, но если нет необходимости в очень специфических правилах, то можно просто скопировать уже настроенные правила (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\) с другого компьютера с [/FONT][/COLOR][COLOR=black][FONT=Verdana]Windows XP [/FONT][/COLOR][COLOR=black][FONT=Verdana]Professional[/FONT][/COLOR][COLOR=black][FONT=Verdana].[/FONT][/COLOR]