DefenseWall HIPS 2

[QUOTE=anton_dr;503410]Т.е. по сути АВ ядро будет выступать в роли метлы дворника, подметающего опавшие листья? И будет подметать "внутри"? "Наружу" ходить не будет?[/QUOTE]
Ну почему же. Можно внутри, можно снаружи. Запас карман не тянет!

[QUOTE=rav;503292]Да, конечно посещала. Дело не очень далёкого, я надеюсь, будущего. Только не купить, а лицензировать.[/QUOTE]
А Вы присматриваетесь уже к антивирусу? И вообще, проблема ли лицензировать антивирус? Роль у антивируса будет не очень большая, если [URL="http://virusinfo.info/showthread.php?p=503292#post503292"]DefenseWall HIPS[/URL] показывает такие замечательные результаты. Как думаете?

[QUOTE=senyak;503674]А Вы присматриваетесь уже к антивирусу? [/QUOTE]
Нет, конечно. Пока ещё слишком рано, это лишь намётки на будущее. Сейчас нужно выводить следующую версию, которая уже готова.

ИМО вот основные «нюансы» данной стенки:

[B]0[/B]) одновременное позиционирование софта как «[COLOR="Navy"]суперзащита, до которой остальным ползти и ползти[/COLOR]»
и в тоже время -
«[COLOR="#000080"]это [B]не[/B] самостоятельное ПО, а [U]дополнительный[/U], более глубокий уровень защиты, который занимается своим делом, а антивирус и фаервол - своим[/COLOR]»

[B]1[/B]) [B]запуск[/B] либо как доверенное, либо недоверенное приложение (в отличии от чистых HIPS основанных только на белых списках)
[U]Любой запуск[/U] потенциально вредного ПО - это всегда возможность навредить, даже под «ограничениями». ИМО нужен какой-то компромисс для 75-летних детей и домохозяек.

[B]2[/B]) сама концепция «доверенный – недоверенный» довольно запутанная для новичков (почему это моя любимая фирменная Опера которой я доверяю – «не доверенная»???)

[B]3[/B]) защита включается только ПОСЛЕ загрузки системы

Ну что ж, прогресс дело тонкое – Вы решили отойти от чистого HIPS «добавив функционал». Хорошо)

Илья, хотелось бы узнать, как решены такие вопросы
- boot sector/ BIOS
- интеграция нового DLL в System32 через [U]недоверенное[/U] ПО (как в примере с BOWall)
- разрешение [U]недоверенному[/U] ПО создавать соединения (Trojan-oriented?)

[B][U]P.S.[/U][/B] можно считать как конструктивную критику или просто наезд, главное- ответы по сути)

[QUOTE=NRA;503923]
[B]0[/B]) одновременное позиционирование софта как «[COLOR="Navy"]суперзащита, до которой остальным ползти и ползти[/COLOR]»
и в тоже время -
«[COLOR="#000080"]это [B]не[/B] самостоятельное ПО, а [U]дополнительный[/U], более глубокий уровень защиты, который занимается своим делом, а антивирус и фаервол - своим[/COLOR]»[/QUOTE]
Ну и в чём проблема, собственно?

[QUOTE=NRA;503923]
[U]Любой запуск[/U] потенциально вредного ПО - это всегда возможность навредить, даже под «ограничениями». ИМО нужен какой-то компромисс для 75-летних детей и домохозяек.[/QUOTE]
Ну вот моя раблта и заключена в том, чтобы свести возможности навредить к минимум и привести удобство использования к максимуму.

[QUOTE=NRA;503923]
[B]2[/B]) сама концепция «доверенный – недоверенный» довольно запутанная для новичков (почему это моя любимая фирменная Опера которой я доверяю – «не доверенная»???)[/QUOTE]
Для новичка любая новая концепция, котораю нужно осмыслить, запутана. Это лечится временем. Не все же сразу научились дверь ключом открывать. Ну а если что- перерисовать пару диалогов, строчек и пунктов меню и всех делов.

[QUOTE=NRA;503923]
[B]3[/B]) защита включается только ПОСЛЕ загрузки системы[/QUOTE]
А что, должна до? :D

[QUOTE=NRA;503923]
- boot sector/ BIOS[/QUOTE]
Бут уже давно защищён от перезаписи, ещё с древних 1.хх сборок, а в биос с уровня пользователя не пролезть ну никак.

[QUOTE=NRA;503923]
- интеграция нового DLL в System32 через [U]недоверенное[/U] ПО (как в примере с BOWall)[/QUOTE]
Да пожалуйста, пусть кладут свои dll-ки хоть сто раз. Всё равно ничего путного из этого не выйдет.

[QUOTE=NRA;503923]
- разрешение [U]недоверенному[/U] ПО создавать соединения (Trojan-oriented?)[/QUOTE]
А для этого и выходит Personal Firewall.

Спасибо Илья, довольно лаконично.

[COLOR="Navy"]> Ну и в чём проблема, собственно?[/COLOR]
Хотя бы в том, что это взаимоисключающие утверждения.

[COLOR="Navy"]> моя раблта и заключена в том, чтобы свести возможности навредить к минимум[/COLOR]
Стремиться минимизировать (убирать последствия) [B]не равно[/B] не дать запуститься вообще

Относительно boot sector/ BIOS - спасибо, стало спокойнее.

[COLOR="Navy"]> Да пожалуйста, пусть кладут свои dll-ки хоть сто раз. Всё равно ничего путного из этого не выйдет.[/COLOR]
Илья, Вы и в самом деле считаете что это нормально когда [U]недоверенное[/U] приложение записывает в [U]защищённую[/U] системную зону? И если затем доверенное приложение воспользуется модифицированными файлами? Ну, без слов - DefenseWall толстый, ему видней)

[COLOR="Navy"]> А для этого и выходит Personal Firewall[/COLOR]
А как же ресурсы типа \Afd*,\Tcp*, \Udp*, \RawIp?
ИМО немного странная политика для [U]недоверенных[/U] приложений... Надо бы как нибудь глянуть попивая кофе определение термина в буклете для домохозяек.

В любом случае - удачи и антикризисных благ)

[B][U]P.S.[/U][/B] Как Вы уже, наверно, знаете (временно?) лежат пару ссылок на тесты / обзоры с Вашей страницы

[QUOTE=NRA;504375]Хотя бы в том, что это взаимоисключающие утверждения.[/QUOTE]
Где? В упор не вижу.

[QUOTE=NRA;504375]
Стремиться минимизировать (убирать последствия) [B]не равно[/B] не дать запуститься вообще[/QUOTE]
Для этого есть другие средства защиты, называемые whitelisting HIPS. Мне они не нравятся.

[QUOTE=NRA;504375]
И если затем доверенное приложение воспользуется модифицированными файлами?[/QUOTE]
А кто сказал [b]модифицированными[/b]? Модифицировать в system32 (да и вообще в папке Windows) ничего нельзя. А положить новый файл- пожалуйста, сколько угодно. Почему я должен это запрещать? Как именно это может повредить безопасности приложений?

[QUOTE=NRA;504375]
А как же ресурсы типа \Afd*,\Tcp*, \Udp*, \RawIp?[/QUOTE]
А что с ними такое?

[QUOTE=NRA;504375]
[B][U]P.S.[/U][/B] Как Вы уже, наверно, знаете (временно?) лежат пару ссылок на тесты / обзоры с Вашей страницы[/QUOTE]
Нет, на знаю. Спасибо, видимо, их просто удалили с сервера. Ну тогда и я удалю ссылочки.

Наверное лучше было бы ЛС, но раз уж начали...
Более-менее всё ясно, остались такие моменты-

[B]Eсли[/B] это реально "суперзащита", [B]то[/B] ей не нужны никчёмные вспомогательные средства [B]иначе[/B] это [U]не[/U] "суперзащита", а вспомогательное средство.

[COLOR="Navy"]> Для этого есть другие средства защиты, называемые whitelisting HIPS. Мне они не нравятся.[/COLOR]
Вы о Anti-Executе (от Faronics)? А можно узнать чем именно они хуже?

В общем, ждём новую версию- будет чего стоящего обсудить)

[QUOTE=NRA;504599][B]Eсли[/B] это реально "суперзащита", [B]то[/B] ей не нужны никчёмные вспомогательные средства [B]иначе[/B] это [U]не[/U] "суперзащита", а вспомогательное средство.[/QUOTE]
Это в корне неверное утверждение.

1. У каждого средства защиты есть граничные условия применения, сильные и слабые стороны. У любой песочницы- это уровень владения пользователем средства защиты и степень восприимчивости с средствам социальной инженерии.
2. Я всегда стоял и стою на принципах многоуровневости защиты для простого пользователя.

[QUOTE=NRA;504599]
Вы о Anti-Executе (от Faronics)? А можно узнать чем именно они хуже?[/QUOTE]
Да, типа Anti-Executable. Я не говорил "хуже", я говорил "не нравятся". Не нравятся- и всё тут!

Маленький недостаток при работе в многопользовательском режиме. Работаю в Windows XP под ограниченной учёткой, установил DefenseWall HIPS 2.56 запуском от имени администратора. Перезагрузил компьютер, залогинился в ограниченную учётку и обнаружил, что пути в "Места сохранения файлов" соответствуют админской учётке, а не текущего пользователя. Понятно, что за админскими папками нужно присматривать, но желательно и папки текущего пользователя добавлять автоматом в список при входе в систему.

Понятно. Папки в данную ветку добавляются при установке. Хорошо, посмотрим, что можно тут сделать.

Что-то странно едут лыжи :) Или ограниченная учётка влияет...
Лежит себе экзешник. Щёлкаю в проводнике по нему правой кнопкой мыши, в контекстном меню смотрю атрибуты: доверенный, небезопасный, не разрешена модификация недоверенными. Через контекстное меню командую "Сменить статус на недоверенный". Снова смотрю атрибуты - файл остался доверенным. В главном окне DefenseWall открываю список недоверенных - он там есть. Запускаю экзешник, а в окне DefenseWall смотрю раздел "Стоп атака!", кнопка "Обнаружено недоверенных процессов" - экзешник указан как доверенный.
Аналогичная ситуация с безопасный/небезопасный. Занёс экзешник в список защищённых - контекстное меню всё равно пишет, что он небезопасный.
Предлагаю использовать только одно слово: либо безопасный, либо защищённый. Два слова для одного признака создают путаницу, особенно если ещё рядом стоит "доверенный" :)

Это очень странная ситуация. Возможено два варианта:
1. Драйвер защиты не загружен.
2. Проводник попал в недоверенную зону (статически либо динамически).

Также возможен вариант, когда значение в реестре обновились, а список в программе нет.

Было бы очень неплохо посмотреть видео с записью манипуляций или серию полных скриншотов десктопа.

Насчёт защищённых файлов- это немного не то. Защищённые- значит "недоступные для недоверенных процессов".

[QUOTE=rav;506782]Это очень странная ситуация. Возможено два варианта:
1. Драйвер защиты не загружен.
2. Проводник попал в недоверенную зону (статически либо динамически).[/QUOTE]
Оказался вариант номер три :) Экзешник лежал в папке на NTFS-томе, не имеющем буквы и примонтированном как папка - у меня профиль ограниченной учётки лежит на отдельном разделе. Проверил разрешения NTFS - права на запись есть. Скопировал файл в папку с более традиционным размещением - там признак доверенный/недоверенный ставится нормально.

А, такое тоже может быть. Там идёт двойное преобразование из дос-имени в нативное и обратно, могло что-то сбоить. Надо будет проверить. Кстати, есть ли где хорошие туторы для вопроизведения этой штуки?

сказали написать сюда, что бы решить мою [URL="http://www.anti-malware.ru/forum/index.php?showtopic=6291&view=findpost&p=87868"]проблемку[/URL]-[QUOTE]Уважаемые, а не подскажите в чем может быть проблема , если при использовании defensewall компьютер просто не выключается, виснет на этапе "сохранение параметров"?
Спасибо :)[/QUOTE]

Целесообразно ли сейчас тестировать продукт на matousec.com ? :)

[QUOTE=Shoog;513489]сказали написать сюда, что бы решить мою [URL="http://www.anti-malware.ru/forum/index.php?showtopic=6291&view=findpost&p=87868"]проблемку[/URL]-[/QUOTE]
Да не на форум, а письмом на support [at] softsphere [dot] com. Как я иначе буду отправлять тестовые драйвера?

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

[QUOTE=Surfer;513881]Целесообразно ли сейчас тестировать продукт на matousec.com ? :)[/QUOTE]
До выхода третьей версии- нет. 100% набираться не будет.

Ещё одна просьба.
На каждом окне отображается надпись а-ля "Статус DefenseWall.."
Нельзя ли сократить её до минимума либо убрать вовсе? В настройках подобной возможности не нашел. Ибо не каждое приложени (втч. кип, например) отображает текст целиком, да и постоянное обновление зависимых окон немного раздражает.

[QUOTE=mirror37;516173]Ещё одна просьба.
На каждом окне отображается надпись а-ля "Статус DefenseWall.."
Нельзя ли сократить её до минимума либо убрать вовсе? В настройках подобной возможности не нашел. Ибо не каждое приложени (втч. кип, например) отображает текст целиком, да и постоянное обновление зависимых окон немного раздражает.[/QUOTE]
Можно- просто поправьте XN Resource Editor'ом соответствующую строчку в dwall_res.dll