DefenseWall HIPS: установка, настройка, проблемы в работе

[B]rav[/B], я правильно понял, что при наличии DefenseWall, домохозяйке для защиты компа достаточно иметь только грамотно настроенный заботливым другом firewall, изредка сканировать систему антивирусом и устанавливать очередные "заплатки" MS?
А как ведет себя DefenseWall в случае Windows Update? (IE, как недоверенный процесс порождает порой серьезные изменения в системе, или я чего-то не понимаю... поясните плз.)

[QUOTE=Hunter][B]rav[/B], я правильно понял, что при наличии DefenseWall, домохозяйке для защиты компа достаточно иметь только грамотно настроенный заботливым другом firewall, изредка сканировать систему антивирусом и устанавливать очередные "заплатки" MS?[/QUOTE]

Да.

[QUOTE=Hunter]
А как ведет себя DefenseWall в случае Windows Update? (IE, как недоверенный процесс порождает порой серьезные изменения в системе, или я чего-то не понимаю... поясните плз.)[/QUOTE]

В случае WinUpdate IE запускается как доверенный автоматически. Домохозяйке об этом думать не надо, я уже подумал за неё :).

А меня вот такой вопрос интересует, нельзя ли приделать какое-нибудь горячее отключение блокировок программ-инсталляторов? а то замечал, что некоторые дистрибутивы при активном ДП поглюкивают...

Уважаемый rav, каким образом можно приобрести лицензию. Триал закончился, прога понравилась. Привык уже. Придает чувство уверенности.

[QUOTE=indicator]Уважаемый rav, каким образом можно приобрести лицензию. Триал закончился, прога понравилась. Привык уже. Придает чувство уверенности.[/QUOTE]

На Софткее. Точной ссылки не помню, поиск в Гугле или Яндексе поможет. Стоит 499 руб.

[QUOTE=Xen]А меня вот такой вопрос интересует, нельзя ли приделать какое-нибудь горячее отключение блокировок программ-инсталляторов? а то замечал, что некоторые дистрибутивы при активном ДП поглюкивают...[/QUOTE]

Сейчас вышла 1.21- там можно временно отключать защиту. Но только после перезагрузки.....

Попробовал установить 30-дневную версию 1.30, скачанную здесь: [URL="http://www.softsphere.com/downloads/"]http://www.softsphere.com/downloads/[/URL]
1. После установки и первой прерзагрузки выдал ошибку на тему "память не может быть Read" и отказался запуститься. После повторной перезагрузки запустился....
2. При запуске программы, выскакиват триальное окошко, если не успел нажать на кнопку Try, через 2 секунды содержимое окошка меняется, так что даже не ясно, что дальше делать.
[ATTACH]1542[/ATTACH]
Внизу справа вижу край кнопки, жму на нее, Windows разражается ошибкой: : DefenseWall.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.
3. Даже при отсутствии зверей значок в трее время от времени краснеет, но после просмотра event log в DefenseWall снова становится нормального цвета. Такое впечатление, что программа требует к себе повышенного внимания..., что не есть хорошо. Не совсем понятно, какая именно информативность заложена в цвете значка. И еще не очень понятно когда же пользователю нужно пользоваться кнопкой Close all untrusted processes.
4. При попытке выбрать Enable/Disable (как я понял временное включение/отключение), появляется сообщение, что изменения вступят в силу после перезагрузки... Не понятно почему? Повторный выбор этого пункта (без перезагрузки) выдает ошибку: The "Enable/Disable" status have been already changed. Получается, что ошибочно отключив, я не могу исправить ошибку до перезагрузки. Ладно, перегружаюсь, после входа в систему вылетает сообщение об ошибке: Driver is not initialized properly. После этого появляется триальное окошко, после нажатия "Try" выскакивает сообщение об ошибке Windows: DefenseWall.exe - обнаружена ошибка...бла-бла-бла...
Запускаю DefenseWall ручками, значок в трее показывает, что программа неактивна. Попытка включить вновь требует перезагрузки. :(

Ощущение, что программа сырая, хотя задумка очень интересная. Или 1.30 - это betta?
Пока не готов рекомендовать DefenseWall знакомым домохозяйкам :)

[QUOTE=Hunter]
1. После установки и первой прерзагрузки выдал ошибку на тему "память не может быть Read" и отказался запуститься. После повторной перезагрузки запустился....[/QUOTE]

Нужна более подробная информация- дамп, создаваемый Dr.Watson. Я не телепат и не могу дистанционно догадаться о причинах падения :)

[QUOTE=Hunter]
2. При запуске программы, выскакиват триальное окошко, если не успел нажать на кнопку Try, через 2 секунды содержимое окошка меняется, так что даже не ясно, что дальше делать.

Внизу справа вижу край кнопки, жму на нее, Windows разражается ошибкой: : DefenseWall.exe - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства. [/QUOTE]

Очень похоже на глюк ActiveSkin. Это скиновый движок, отвечающий за красивости в интерфейсе. На данный момент разработчик его не поддерживает.

[QUOTE=Hunter]
3. Даже при отсутствии зверей значок в трее время от времени краснеет, но после просмотра event log в DefenseWall снова становится нормального цвета. Такое впечатление, что программа требует к себе повышенного внимания..., что не есть хорошо. Не совсем понятно, какая именно информативность заложена в цвете значка.[QUOTE=Hunter]

Иконка краснеет тогда, когда недоверенный процесс пытается сделать что-то потенциально опасное. Если это такое поведение самой программы, то все полученные события нужно просто отфильтровывать, тогда и иконка перестанет краснеть по пустякам.

Программа вообще-то относится к классу "установить-и-забыть". Постоянного внимания не требует вообще. Просто установить надо правильно. Отфильтровывая ненужные события.

[QUOTE=Hunter]
И еще не очень понятно когда же пользователю нужно пользоваться кнопкой Close all untrusted processes.[/QUOTE]

Когда он видит какую-то подозрительную активность.

[QUOTE=Hunter]
4. При попытке выбрать Enable/Disable (как я понял временное включение/отключение), появляется сообщение, что изменения вступят в силу после перезагрузки... Не понятно почему? Повторный выбор этого пункта (без перезагрузки) выдает ошибку: The "Enable/Disable" status have been already changed. Получается, что ошибочно отключив, я не могу исправить ошибку до перезагрузки. Ладно, перегружаюсь, после входа в систему вылетает сообщение об ошибке: Driver is not initialized properly. После этого появляется триальное окошко, после нажатия "Try" выскакивает сообщение об ошибке Windows: DefenseWall.exe - обнаружена ошибка...бла-бла-бла...
Запускаю DefenseWall ручками, значок в трее показывает, что программа неактивна. Попытка включить вновь требует перезагрузки. :(

Ощущение, что программа сырая, хотя задумка очень интересная. [/QUOTE]

Нет, это пока новые фичи сырые (типа "Enable/Disable", завтра переделаю на что-то более удобоваримое), глюки ActiveSkin и неполное понимание тобой принципов настройки программы.

[QUOTE=Hunter]
Или 1.30 - это betta?[/QUOTE]

Нет.

[QUOTE=Hunter]
Пока не готов рекомендовать DefenseWall знакомым домохозяйкам :)[/QUOTE]

Это только дело времени! :) . Думаю, что если ты пришлёшь мне дамп доктора Ватсона, то в версии 1.31 уже можно будет смело рекомендовать!

[QUOTE]Когда он видит какую-то подозрительную активность.
[/QUOTE]
Проблема только в том что про подозрительную активность он постоянно предупреждает. И фильтравать замучаешся. Явно уж домохозяйка не отличит подозрительную активность которую нужно фильтровать от той которую не нужно.

[QUOTE]1. После установки и первой прерзагрузки выдал ошибку на тему "память не может быть Read" и отказался запуститься. После повторной перезагрузки запустился....
2. При запуске программы, выскакиват триальное окошко, если не успел нажать на кнопку Try, через 2 секунды содержимое окошка меняется, так что даже не ясно, что дальше делать.[/QUOTE]
К сожалению (или к удовольствию :) ), приведенную в п.1 ситуацию повторить не удалось. Uninstall->Restart->Install->Restart не только не привели к появлению ошибки, но и проблема, описанная в п.2 исчезла. Не знаю, что и сказать по этому поводу. Осталось только восстановить систему из образа, сделанного перед установкой DefenseWall, но пока недосуг..., извини.

[QUOTE]Просто установить надо правильно. Отфильтровывая ненужные события.[/QUOTE]
Каюсь, недосмотрел про фильтрацию...
К слову сказать, недосмотр не случайный... Думаю, имело бы смысл сделать фильтрацию более понятной. Если фильтр имеет значение для большей информативности сигнала тревоги, то неплохо бы иметь возможность просмотреть события, на которые установлен фильтр, и, при необходимости, исключить ранее отфильтрованные события из списка, т.е. разрешить вновь бить тревогу при их наступлении.

Еще возник один вопрос: чем отличается Expert mode от обычного режима? (не углядел разницы)

PS. А вообще, отзывчивость и оперативность оставляют приятное впечатление, которое понемногу переносится и на программу :)

[QUOTE=Hunter]К сожалению (или к удовольствию :) ), приведенную в п.1 ситуацию повторить не удалось. Uninstall->Restart->Install->Restart не только не привели к появлению ошибки, но и проблема, описанная в п.2 исчезла. Не знаю, что и сказать по этому поводу. Осталось только восстановить систему из образа, сделанного перед установкой DefenseWall, но пока недосуг..., извини.[/QUOTE]

Бывает. Но я, скорее, склонен винить ActiveSkin. Иногда, судя по отзывам, на него находит странное....

[QUOTE=Hunter]
Каюсь, недосмотрел про фильтрацию...
К слову сказать, недосмотр не случайный... Думаю, имело бы смысл сделать фильтрацию более понятной. Если фильтр имеет значение для большей информативности сигнала тревоги, то неплохо бы иметь возможность просмотреть события, на которые установлен фильтр, и, при необходимости, исключить ранее отфильтрованные события из списка, т.е. разрешить вновь бить тревогу при их наступлении.[/QUOTE]

Будет добавлено, но позже. Пока надо дорабатывать основные фичи и функционал, перламутровые пуговицы сейчас не очень важны сами по себе.

[QUOTE=Hunter]
Еще возник один вопрос: чем отличается Expert mode от обычного режима? (не углядел разницы)[/QUOTE]

Разница в подходе к создаваемым недоверенными процессами исполняемым файлам. В обычном режима они все добавляются автоматом в недоверенные, в экспертном- нет. Экспертный в результате даёт больше контроля, но не очень подходит простому пользователю.

[QUOTE=Hunter]
PS. А вообще, отзывчивость и оперативность оставляют приятное впечатление, которое понемногу переносится и на программу :)[/QUOTE]

Стараемся!

Вышла версия 1.32. То, что домохозяйке нужно! Так что, если у кого ещё оные в запасе есть- милости просим!

[b]rav[/b]

1. При попытке добавить добавить Мозилу, "как процесс" ,DW зависает....(загрузка P4 HT 2800 - 54%) (выруьбил через таскменеджер)
2. скачанные rar/zip показываются как доверенные
(при обновлении расширений сделал Мозилу доверенной , потом занёс в недоверенные "как приложение".До этого архивы скачивались как недоверенные(когда Мозила шла списке по умолчанию при установке)
3. Не запоминаются пароли , каждый раз Мозила спрашивает : запомнить ?
(DWпишет конечно почему , но что как доступ разрешить не пойму кроме как выключить, запомнить пароль,потом включить....)

Эти включть/выключить могут свести однажды на нет защиту DWall ?
(как написано в подписи у Sanja : "один дурной бит и ........."

Dw 1.73 rus триал
xpsp2 pro
Мозила 1.5.0.9

Напиши мне на support [at] softsphere [dot] com, а заброшу тебе последние версии компонентов программы. Вполне может быть, что часть проблем уже решена (во всяком случае, только что проверил работу хранителя паролей под второй FireFox- проблем не было), а если чего и осталось- всё оперативно поправлю.

Все таки домохозяйке ставить Defense Wall HIPS ставить еще рановато, сам программу не тестировал но посмотрел последний декабрьский обзор ...скрипт выявил в работе Defense Wall несколько существенных недоработок:

* Список недоверенных приложений может быть легко очищен. После первой перезагрузки все ранее скачанные и полученные по почте файлы начнут запускаться как доверенные.
* Список действий недоверенных приложений так же может быть удалён, что делает невозможным откат изменений.
* После запуска скрипта и первой перезагрузки существует возможность запуска любого приложения как доверенного. Помимо этого, была обнаружена очень неприятная проблема: при перемещении недоверенного файла из одной папки в другую он удалялся из списка недоверенных и, соответственно, из новой папки запускался как доверенный... [url]http://www.ixbt.com/soft/defense-wall-hips.shtml[/url]

1. Этих "существенных недоработок" уже давно не существует, проблема с частичным перехватом WMI уже давно решена. Дело не в ошибках (а они в софте высшего уровня сложности неизбежны, вспомним обход касперовской проактивки эмуляцией нажатия кнопочки "Разрешить"), а в скорости их исправления. У меня они значительно выше, чем у кого бы то ни было.

2. В любом случае, челу пришлось повозиться с программой, чтобы преодолеть защиту. Тому, кто в будущем захочет преодолеть защиту, придётся повозиться ЗНАЧИТЕЛЬНО БОЛЬШЕ, поскольку уровень защищённости только растёт от билда к билду.

[QUOTE=rav;90710]Дело не в ошибках ... а в скорости их исправления. У меня они значительно выше, чем у кого бы то ни было.
[/QUOTE]
Ух ты! Правда что ли? ;)

[QUOTE=userr;90782]Ух ты! Правда что ли? ;)[/QUOTE]

Да. У меня нет издержек на бюрократи.

Кстати да, rav'у респект за быстрые фиксы

[quote=_HEKTO_;62890]Попробую пояснить предыдущего оратора.
Как уже сказали процесы сами не рождаются. Что такое процесс? Процесс - это запущенная программа. Раз программа запущена, то ее кто-то запустил. Тут вариантов только два - ее запустил пользователь, ее запустила другая запущенная программа (т.е. ее "родил" :) другой процесс).[/quote]
Ну вообще говоря даже если "ее запустил пользователь", то все равно процесс-родитель будет либо explorer.exe, либо far.exe либо wincommander.exe и т.д.


И вопросы к автору -
мне друг Вася принес на флешке игруху.
Как мне ее запускать?
Как "недоверенную"? Но для этого придется все время выполнять ряд манипуляций, что может со временем заколебать.
Может можно сделать, что бы по умолчанию ВСЕ программы запускались как НЕдоверенные?


Предположим что эта игра - в дистрибутиве, весит пару гиг.
При запуске инсталлируется, создает туеву хучу файлов, разворачивается в \games\ и т.д. Корректно ли отработает ваша софтина под такой нагрузкой?
Насколько хватит емкости внутренних переменных для запоминания ключей реестра, файлов и прочее?

Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?

[QUOTE=Flooter;94575]
И вопросы к автору -
мне друг Вася принес на флешке игруху.
Как мне ее запускать?
Как "недоверенную"? Но для этого придется все время выполнять ряд манипуляций, что может со временем заколебать.[/QUOTE]

Запускать- как недоверенную. Никаких дополнительных манипуляций в дальнейшем не потребуется.

[QUOTE=Flooter;94575]
Может можно сделать, что бы по умолчанию ВСЕ программы запускались как НЕдоверенные?[/QUOTE]

И смысл?

[QUOTE=Flooter;94575]
Предположим что эта игра - в дистрибутиве, весит пару гиг.
При запуске инсталлируется, создает туеву хучу файлов, разворачивается в \games\ и т.д. Корректно ли отработает ваша софтина под такой нагрузкой?[/QUOTE]

Да, вполне.

[QUOTE=Flooter;94575]
Насколько хватит емкости внутренних переменных для запоминания ключей реестра, файлов и прочее?[/QUOTE]

Настолько, насколько хватит ёмкости реестра.

[QUOTE=Flooter;94576]Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?[/QUOTE]

Фактически- да, для тех у кого оно есть. У меня, например, P2-450, соответственно, Hardware DEP отсутствует.

[quote=rav;94622]Запускать- как недоверенную. Никаких дополнительных манипуляций в дальнейшем не потребуется.[/quote]
Хорошо. И будет она так и числится в списке недоверенных.
А вдруг потом (сильно потом, например 2 месяца спустя :)), в процессе работы, я по какой-то причине нажму кнопку "схлопнуть" (или как она у вас там называется)?
Поясните плз - при нажатии на эту кнопку грохается только запущенные процессы или же сразу откатываются все изменения? Если второе, то что же - и сама игра, и все сейвелки и прочее исчезнут?!

И еще насчет откатов?
Допустим запускаю я зловреда. Он прописывается в реестр, кидает свои файлы в системные каталоги, это понятно и легко "откатимо".
А если он начнет править какие-либо системыне файлы, приписываться к ним по вирусному способу, что тогда? Сможет ли Ваша программа откатить ТАКИЕ изменения?
Или может стоит добавить некоторые ф-ции традиционных HIPS? Что бы выдавался таки алерт?

[quote=rav;94622]И смысл?[/quote]
Смысл в том, что я например 80% пользуюсь ФАРом, 18% эксплорером и 2% тотал коммандером. А так же экзешники можно запскать и напрямую из архивов - это и винрар, и винзип, и 7зип и прочее... а так же из прочих программ, которые хоть и не являются файл-манагерами/проводниками, тем не менее позволяют запускать из под себя выполнимые файлы. И что же мне - вручную пол компутера в "недоверенные" заносить? :) А если забуду??

Вы уж не воспринимайте все это как нападки :), идея то хорошая...

[QUOTE=Flooter;94814]Хорошо. И будет она так и числится в списке недоверенных.
А вдруг потом (сильно потом, например 2 месяца спустя :)), в процессе работы, я по какой-то причине нажму кнопку "схлопнуть" (или как она у вас там называется)?
Поясните плз - при нажатии на эту кнопку грохается только запущенные процессы или же сразу откатываются все изменения? Если второе, то что же - и сама игра, и все сейвелки и прочее исчезнут?![/QUOTE]

Нет. Это только закроет все недоверенные процессы, не более того. Никто ничего удалять не собирается.

[QUOTE=Flooter;94814]
И еще насчет откатов?
Допустим запускаю я зловреда. Он прописывается в реестр, кидает свои файлы в системные каталоги, это понятно и легко "откатимо".
А если он начнет править какие-либо системыне файлы, приписываться к ним по вирусному способу, что тогда?[/QUOTE]

Такое поведение для недоверенных запрещено системой правил.

[QUOTE=Flooter;94814]
Сможет ли Ваша программа откатить ТАКИЕ изменения?[/QUOTE]

Нет, не сможет. Именно поэтому и запрещено.

[QUOTE=Flooter;94814]
Или может стоит добавить некоторые ф-ции традиционных HIPS? Что бы выдавался таки алерт? [/QUOTE]

Во второй версии продукта будут нераздражающие уведомительные окна, но аллертов совершенно точно не будет никогда!

[QUOTE=Flooter;94814]
Смысл в том, что я например 80% пользуюсь ФАРом, 18% эксплорером и 2% тотал коммандером. А так же экзешники можно запскать и напрямую из архивов - это и винрар, и винзип, и 7зип и прочее... а так же из прочих программ, которые хоть и не являются файл-манагерами/проводниками, тем не менее позволяют запускать из под себя выполнимые файлы. И что же мне - вручную пол компутера в "недоверенные" заносить? :) А если забуду??[/QUOTE]

Запуск напрямую из архива поддерживается для всех перечисленных программ. Также, поддерживается двойной клик на недоверенном архиве. Единственное, что не поддерживается- распаковка из архива в файл-менеджерах по причине невозможности отслеживания данного процесса из драйвера.

[QUOTE=Flooter;94814]
Вы уж не воспринимайте все это как нападки :), идея то хорошая...[/QUOTE]

Всё нормально.

[quote=rav;94948]Во второй версии продукта будут нераздражающие уведомительные окна, но аллертов совершенно точно не будет никогда![/quote]
[URL]http://www.dni.ru/news/russia/2007/2/6/99016.html[/URL]

Камешек в Ваш огород:

[quote]В Интернете появился новый вирус-червь
11:44 / 6.2 [URL="http://www.dni.ru/print.html?id=99016"][COLOR=#0000ff]версия для печати[/COLOR][/URL]



Новый опасный вирус Zhelatin.o появился в сети Интернет. Он распространяется в виде вложений в электронные письма и заражает компьютеры пользователей, а затем начинает рассылать себя по найденным там адресам электронной почты.
Текст и заголовок письма с вредоносным вирусом составлены таким образом, чтобы побудить пользователя открыть добавленное к письму вложение. Темы зараженных писем могут быть такими: "I Always Knew", "I Am Lost In You", "I Believe", "I Can't Function", "I Dream of you", "I Give to You", "I Love Thee", "I Love You Mower", "I Love You So", "I Love You Soo Much", "I Love You with All I Am", "I Still Love You", "I Think of You", "I Win with You", "I Woof You".
Имена вложенных файлов могут быть такими: "Postcard.exe", "flash postcard.exe", "greeting card.exe", "greeting postcard.exe".
При открытии зараженного вложения вирус копируется на диск и при следующей загрузке автоматически запускается. Вредоносная программа собирает адреса электронной почты и производит рассылку своих копий. Кроме того, "червь" отключает настройки программ и антивирусных сервисов на зараженном компьютере и скрывает свое присутствие в системе. Как передает РИА [URL="http://www.rian.ru/"][COLOR=#0000ff]"Новости"[/COLOR][/URL], [B]вирус заражает исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, копируя туда свой код.[/B] Чтобы избежать угрозы заражения компьютера, лучше не открывать вложения в электронные письма, полученные от неизвестных адресатов. [/quote]

В _ЭТОМ_ случае традиционная проактивка помогла бы.
Хотя, конечно, все зависит от квадификации пользователя...

Не мог бы уважаемый автор привести список тех функций/действий недоверенного ПО, которых его прога не в силах "откатить"?

Одно мы уже выяснили - правка файлов. Кстати, что произойдет - "врагу" удасться записаться в файл или доступ будет блокирован?!

Если первое, то ничто тогда не помешает трояну/виру запуститься потом вновь (а ведь идеология дефенсвалла, насклько я понял, в том и состоит, что бы не столько предотвратить запуск зловреда, сколько в том, что бы не дать ему "укрепиться" в системе. Верно?

Во втором же случае некоторые программы просто не смогут работать.

Так как?

ЗЫ: Это я к тому, что некоторые подобные вопросы, не могущие быть решенными в автоматическом режиме (без существенных затрат ресурсов компутера) могут быть переданы людям - в стиле традиционных ХИПСов ;)
Например, как опция в каком-нибудь "ДефенсВалл +" в эксперт-режиме! :P

[QUOTE=Flooter;95157]Камешек в Ваш огород:[/QUOTE]

Ну и дальше что? Это вообще к чему?

[QUOTE=Flooter;95160]Не мог бы уважаемый автор привести список тех функций/действий недоверенного ПО, которых его прога не в силах "откатить"?[/QUOTE]

Смысл?

[QUOTE=Flooter;95160]Одно мы уже выяснили - правка файлов. Кстати, что произойдет - "врагу" удасться записаться в файл или доступ будет блокирован?![/QUOTE]

Зависит от правил на этот файл.

[QUOTE=Flooter;95160]
то ничто тогда не помешает трояну/виру запуститься потом вновь[/QUOTE]

Помешает система правил. Или сработает "plugin injection protection". Всё продумано.

[QUOTE=Flooter;95160]
ЗЫ: Это я к тому, что некоторые подобные вопросы, не могущие быть решенными в автоматическом режиме (без существенных затрат ресурсов компутера) могут быть переданы людям - в стиле традиционных ХИПСов [/QUOTE]

Не могут. Обычные пользователи такой фигнёй как обточка и разработка правил страдать не будут. А продукт нацелен именно на таких пользователей- в нишу classical HIPS соваться бессмысленно.

[QUOTE=Flooter;95160]
Например, как опция в каком-нибудь "ДефенсВалл +" в эксперт-режиме![/QUOTE]

Пока рано об этом думать.

Ув. автор.
Вот вроде аналогичная Вашей программа, насколько я понял из чтения описания, работающая по схожему принципу "недоверяния" :)
[URL="http://www.gentlesecurity.com/overview.html"]http://www.gentlesecurity.com/overview.html[/URL]

Только плюс ее имхо в том, что там можно самому настраивать правила.

Все ж таки не хотите включить подобное в вашу хипс-у? ;)

rav, предлагаю внести возможность запуска процесса как трастед, чтобы это также распространялось на его потомков (например, было бы очень удобно для инсталл шилдов).

[QUOTE=Flooter;97757]Ув. автор.
Вот вроде аналогичная Вашей программа, насколько я понял из чтения описания, работающая по схожему принципу "недоверяния" :)

Только плюс ее имхо в том, что там можно самому настраивать правила.

Все ж таки не хотите включить подобное в вашу хипс-у? ;)[/QUOTE]

Ну, про GesWall я знаю уже давно. И я понимаю только одну вешь- обычный нормальный пользователь никогда не сможет написать в жизни ни одного правила! Поэтому у меня они все запрятаны в драйвер- чтобы никто не лез. Может, а и сделаю что-то такое для более продвинутых людей, но пока мне надо делать более важную вешь- обеспечить совместимость с Вистой при условии, что там SoftIce не работает вообще! А без него, родимого- как без рук!

[QUOTE=Xen;97841]rav, предлагаю внести возможность запуска процесса как трастед, чтобы это также распространялось на его потомков (например, было бы очень удобно для инсталл шилдов).[/QUOTE]

Согласен. Можно будет сделать. Или в 2.0, или в 2.10- посмотрю, как получится...

Уважаемый автор, уж простите мне мою назойливость, но не могли бы Вы прокоментировать это? [URL]http://www.techsupportalert.com/security_virtualization.htm[/URL]

Там же нет DW? Его [url=http://www.techsupportalert.com/security_HIPS.htm]тестировали[/url] с другими, и в этом тесте у него абсолютный результат...
Мне самым интересным здесь кажется это:
[QUOTE]Do you really need one of these products? It depends on your risk level.

If you are a low risk user who only rarely installs programs, doesn't use P2P networks and only browses to well known web sites then you don't need a sandboxing program. You can instead rely on your normal anti-virus, anti-spyware and firewall software to protect you.[/QUOTE]

Прошу прощения, что то мне видимо днйствительно не то привиделось под конец дня рабочего :Z

2 бага
1. Почему-то не передаются задания на скачивания в Download Manager из контекстного меню Maxthon-а. (Тыкаю "скачать Download Manager-ом" - нуль эффекта)
2. Запускаю тест кейлоггера - ДефенсВалл выдает синее окно Alarm Notification с описанием и двумя кнопками - Ок и Терминейт. Терминачу процесс - он пропадает, а окно все равно висит себе... пока не жамкнешь Ок. ДефВалл 2.0 бета 1

[QUOTE=Flooter;101114]2 бага
1. Почему-то не передаются задания на скачивания в Download Manager из контекстного меню Maxthon-а. (Тыкаю "скачать Download Manager-ом" - нуль эффекта)[/QUOTE]

Скорее всего, там посылается оконное сообщение, которое блокируется. Лог бы сказал точно, что да как. Сможете прислать?

[QUOTE=Flooter;101114]
2. Запускаю тест кейлоггера - ДефенсВалл выдает синее окно Alarm Notification с описанием и двумя кнопками - Ок и Терминейт. Терминачу процесс - он пропадает, а окно все равно висит себе... пока не жамкнешь Ок. ДефВалл 2.0 бета 1[/QUOTE]

Да, логично. Сделаем...

И еще вопросик - то ли мне кажется, то ли было это на самом деле - в общем ситуация следующая:
Есть некая прога (Р2Р) которая постоянно обновляет свой ини-файл.
После запуска под НЕДОВЕРЕННОЙ я некоторое время поработал с ней, потом с другой, третьей... потом решил нажать кнопку ГРОХНУТЬ ВСЕ, а так же "ВЕРНУТЬ ВСЕ ВЗАД" :)
То ли мне показалось, то ли дефенс-валл вчистую грохнул тот самый ини-файл.
Логически рассуждая, он вполне мог это сделать, т.к.
1. программа запущена как недоверенная...
2. программа меняет файл (а может грохает старый и содает новый с тем же именем – кто ее разберет)
3. При нажатии кнопки "откатить" надо откатить все изменения, сделанный недоверенной программой. А какие были сделаны ею изменения? Правильно – создан файл! Грохнуть!
4. Файл грохнут – я у разбитого корыта.

Если такой алгоритм действительно имеет место быть, нельзя ли делать резервные копии изменяемых файлов (с возможностью указания либо максимального размера таких файлов (что бы не бэкапить гигабайты), либо с указанием максимального размера специально отведенного для этого каталога) ?

И/или же ввести опцию "не отслеживать действия в домашнем каталоге" ? Под домашним понимать путь к установленному екзешнику. В принципе имхо логично - в своем же каталоге пусть делает что хочет, а вот в другие - низзя!

DefenseWall никогда никакие файлы и ключи реестра автоматически не удаляет. Что насчёт отката изменённых файлов- в MacOS X есть такая фича как Time Machine, и она требует второго винчестера. То есть- можно оно можно, да только где взять место на винте? А если оно есть- то что делать, если оно вдруг закончится?

А я и не сказал "автоматически". Я сказал при нажатии кнопки "откатить" откатываются не только изменения, привнесенные в систему зловредом, а так же и легитимные, сделанные нормальными программами. Пример я привел.
А что делать - дык написал же - отдать на откуп пользователю. Многие программа резирвируют под свои нужды часть диска (какой-нибудь каталог с размером, указанным пользователем). А при привышении - три опции на выбор пользователя - спросить, стереть самые старые, увеличить размер "бэкап-зоны".
И насчет доверенного по умолчанию каталога, откуда запущен даже "недоверенный" экзешник (если это конечно не \SYSTEM32 :)) - сделаете? Или есть какие-то секурити-причины этого не делать? Кстати тоже можно было бы отдать пользователь на выбор, имхо.

А если в этот каталог пропишутся "плохие ребята" и поставят линк на рабочий стол пользователю с темой "Cool sexy russian girls"?

В принципе, можно сделать более продвинутый вариант откатов, с резервированием и тому подобным, но это уже, скорее, на потом.

хм.. ну думаю если они смогут прописаться туда, значит система уже под контролем зловреда и боржоми пить поздно :)

Да, кстати, в вашей проге вроде как нет ф-ции защиты приватных данных? Что бы например к данным, расположенным в какой-нибудь папке могла получить доступ только одна, заранее заданная программа при нажатии специальной кнопки? Допустим запускался бы эксплорер и только ему и его процессам-потомкам было бы позволено иметь доступ в "приватный" каталог.

И еще, Илья, вы почему-то все обходите стороной мой вопрос насчет позволения НЕдоверенным процессам делать в своей же папке что хочешь. Можете сделать или это проблематично?