а что если запретить создание всех файлов с неизвестными расширениями?..
т.е если АВЗ это расширение "не знает" - тоже запретить создание. (перед этим "познакомить" АВЗ со всеми расширениями, что есть в эталонной системе).
PS: запрещение создания файлов *.com опасно для системы?
PS2: спрашиваю и предлагаю не потому что хочу "постебаться", а потому, что мне нравится программа АВЗ.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Если запретить создание всех файлов с неизвестным расширением, то системе будет кирдыкСообщение от priv8v
Например, запущенный на ПК TheBat решит сохранить свои почтовые базы, не сможет, пойдут ошибки ... и базы его накроются - и так во всех запущенных приложениях.
PS: запрет создания *.COM файлов не опасен, я добавлю такую маску
PS2: любое предложение по доработке полезно
добавить можно его расширения в доверенные.Например, запущенный на ПК TheBat решит сохранить свои почтовые базы, не сможет, пойдут ошибки
причем юзеру же говорится - при выполнении скрипта выйти из всех программ.
Да все можнодобавить можно его расширения в доверенные.
причем юзеру же говорится - при выполнении скрипта выйти из всех программ.
Для информации можно посмотреть портал: www.filext.com
В очередной раз повторяю своё предложения - юзерская база чистых. Ну ОЧЕНЬ надо. А если ёё ещё можно будет формировать по другом компе иип пересылать через инет - вообще сказка. То есть юзер периодически шлёт отчёт, я проверяю то, что не зелёное через VirusInfo и отисылаю ему лоркальную базу чистых. В итоге каждый незелный файл - повод для сильных подозрения.
Мне просто кажется, что это легче, чем тебе наладить оператьивный централизованный учёт чистых.
Собственно и сечас мы живём с такой базой, просто она в голове сидит.
Ни и совсем идеально - аналог ImproveNet - http://www.agnitum.ru/support/improvenet/stats.php
http://www.agnitum.ru/support/improv...escription.php
То есть сбор юзерских баз чистых и на их основе - обновления централизованной базы.
не надо настолько огромной базы. согласен, что многие приложения свои файлы называют своими придуманными расширениями, что бы было ясно чем открывать файлы.Проблема только в том, что база доверенных расширений будет огромной.
т.к все приложения должны быть закрыты во время выполнения скрипта, то...
можно еще проверку сделать - мониторить, что за файл пытается создать приложение - если это не PE-файл (или файл типа тех, чьи расширения уже добавлены...), то разрешаем запись - если нет - запрещаем.
PS: еще можно расширение *.pl и *.php добавить в запрещение на создание)
Думаю, стоит в AVZGuard встроить запрет перезагрузки системы недоверенными приложениями.
А то бывали случаи, что при выполнении скрипта для удаления зловредов скрипт не успевал выполниться, т.к. зловред ребутил компьютер, хотя включали AVZGuard.
Месть - мечта слабых, прощение - удел сильных.
Поддержать проект можно здесь
против элементарных малваре - запрет на получение привелегий может быть... (SeShutdownPrivilege).
а против кернел моде руткитов - надо что-то посерьезнее)
а вообще в ребут уйти можно разными способами) тут можно фантазировать))
это еще одна лишняя головная боль Олегу
1) Хочу запуск файлов из менеджера автозапуска. Ну или ХОТЯ БЫ копирование в клипбоард полной строки (с путями и ключами).
Есть много приблуд, которые пишут себя в автозапуск. С однйо стороны, нет смсыла постьоянно их дерпать запущенными. С дургой стороны - не всегда у них есть возмоджность адекватно зщапуститься из другого места
2) Очень хочется слить ИПУ с МПУП. Чтобы проблемы, найденные ИПУ, можно было исправлять в диалоге, а не только из HTML-протокола,
возможно, это у меня тут глюк, но когда я из Сервис-Менеджер автозапуска логирую протокол...
имена файлов являются гипер-ссылками и при щелчке по ним открывают папку Рабочий стол, т.е
странно...C:\Documents and Settings\Admin\Рабочий стол
браузер - осел 7.
это все дело в нем?..
и еще у меня на этом компе АВЗ глючит напропалую - один раз выполняю стандартный скрипт номер 2 - все нормально, еще раз его делаю - в нем бред потипу 30 неопознанных процессов вместо имен которых знаки вопроса - т.е выделена секция таблицы красным и там вопросик)
вот слогировал из диспетчера задач немного - вот тут около 30 таких нехороших полей. ) по-моему глюк. малваре не наблюдается вроде на компе.
но на всякий случай приложу оба лога.
(драйвер авзпм установлен)
на этот раз и лог получился интересный - куча красного.
это раз от раза - то лог обычный получается, то вот такой вот чудной...
у меня есть предположения от чего это происходит, но выскажу их потом - вдруг они неверны.
test
(пошлым постом прикреплять что-то не хотело - писал форум, что нет прав)
Здравствуйте! А можно в стандартные скрипты АВЗ, после выполнения вставить путь к сохранению лога?
begin
//Вызов стандартного скрипта
ExecuteStdScr(2);
//Сохранение протокола
SaveLog('c:\12345.txt ');
end.
Это сохранение протокола работы, но не конечного лога.
я знаю. в вопросе не написано какой лог: текстовый протокол AVZ или
протокол сбора информации стандартного скрипта.
второй судя по доке создается в рабочем каталоге AVZ и (пока?) нет скриптовой команды для создания его в другом месте
а можно ли программно обнаруживать клавиатурные жучки? которые подключаются между клавиатурой и системным блоком.
Через AVZ или в теории
Вряд ли.
Можно, но не программно. Такое имеет смысл только на особо-ответственных рабочих местах (например, на ПК банка, имеющего доступ к счетам клиентов или скажем на супер-пупер секретном объекте). Методика:
1. Забыть навсегда про термин "беспроводная клавиатура". То, что передается без проводов, без проводов и принимается ... и криптозащита нередко там смешная, перехватить данные не составляет труда при желании. В проводном решении все сложнее
2. Покупается самая простая клавиатура, в первой попавшейся лавке. Это уже 99.999...% того что в ней ничего нет
2.1 для надежности она вскрывается опытным электронщиком и изучается. После этого - опечатывается всеми возможными методами, так как разобрать клавиатуру и встроить туда "жучек" не составляет никакого труда
3. Следствие п.п. 2 - клавиатура маркируется (чтобы не подменили), и место ее подключения в системник опечатывается (чтобы исключить/поймать факт отключения/подключения)
4. В помещении ставится генератор шума и (или) экранирование для исключения считывания данных через ПЭМИН
5. Клавиатура периодически осматривается на предмет того, не не подменили ли ее, не вскрывали ли ее, на включено ли что-то между клавиатурой и системником
6. Операция 2.1 повторяется для системного блока - дабы исключить наличие в нем аппаратных закладок
7. Исключем визуальное наблюдение за оператором и прослушивание звука нажимаемых кнопок акустически. Про это часто забывают - все защищено, заземлено и опечатано, а клавиатура и руки оператора на виду - подсмотреть вводимые данные можно без всякого жучка
8. Контроль за эфиром - на случай, если жучек передает данные по радиоканалу. Такие "тупые" методы применяются крайне редко, так как очень заметны - но тем не менее
Сам аппаратный шпион может быть выполнен в виде отдельного устройства (обычно типа переходника - он включается в ПК, а в него - клавиатура, заметить такой девайс несложно), или в виде встраиваемого устройства (небольшой приборчик, монтируется внутри ПК или внутри клавиатуры). С учетом текущей цены и объема доступной Flash памяти несложно посчитать, сколько лет он может накапливать данные
надо в правила тогда еще включить проверять каждый день (или 2 раза в день) наличие пломб и соблюдение статуса кво))
такую штуку видел - прикольная - размер примерно с патрон от ПМ - тыкаешь в него клаву, а сам его тыкаешь туда где была клава в системник подключена - и все)Сам аппаратный шпион может быть выполнен в виде отдельного устройства (обычно типа переходника - он включается в ПК, а в него - клавиатура, заметить такой девайс несложно),
на пару часов воткнул - нужные данные узнал. вынул и все поставил на место.
PS: таких защищенных мест с опломбированными клавами и прочими жуткими мерами по безопасности, описанными Олегом, не встречал.
Максимум, что встречал - это когда админ заставлял придумывать сложные пароли и запоминать их и вводить каждый раз с рук.
да, за этим почти нигде не следят. или не думают про это или не понимают, что пароль т.о можно "проследить" и выяснить...Про это часто забывают - все защищено, заземлено и опечатано, а клавиатура и руки оператора на виду
PS2: Олег, ваш пост бы обработать еще - может еще чего дописать - и запихнуть отдельной темой в раздел "ЧаВо" или "Статьи"
Еще в подобную тему типа с названием "Боремся с аппаратными и с программными кейлоггерами" впихнуть как обманывать установленные программные кейлоггеры - ввод в неактивные окна попеременно, вставка из буфера обмена, набор в разных окнах, набор вхолостую - помню у буржуев где-то даже встречал подобную статью. перевода на рус.яз правда не видел.
Олег, подумайте над этим - всем было-бы полезно
Так у меня была цикл статей в КомпьютерПресс про кейлоггеры:PS2: Олег, ваш пост бы обработать еще - может еще чего дописать - и запихнуть отдельной темой в раздел "ЧаВо" или "Статьи"
Еще в подобную тему типа с названием "Боремся с аппаратными и с программными кейлоггерами" впихнуть как обманывать установленные программные кейлоггеры - ввод в неактивные окна попеременно, вставка из буфера обмена, набор в разных окнах, набор вхолостую - помню у буржуев где-то даже встречал подобную статью. перевода на рус.яз правда не видел.
Олег, подумайте над этим - всем было-бы полезно
http://www.compress.ru/Article.aspx?id=11114
http://www.compress.ru/Article.aspx?id=15847
Добавлено через 49 минут
----
Последний раз редактировалось Зайцев Олег; 15.08.2008 в 10:34. Причина: Добавлено
Ваши права в разделе
