DefenseWall HIPS 2

[rav]

Т.е. по сути АВ ядро будет выступать в роли метлы дворника, подметающего опавшие листья? И будет подметать "внутри"? "Наружу" ходить не будет?

Ну почему же. Можно внутри, можно снаружи. Запас карман не тянет!

[senyak]

Да, конечно посещала. Дело не очень далёкого, я надеюсь, будущего. Только не купить, а лицензировать.

А Вы присматриваетесь уже к антивирусу? И вообще, проблема ли лицензировать антивирус? Роль у антивируса будет не очень большая, если DefenseWall HIPS показывает такие замечательные результаты. Как думаете?

[rav]

А Вы присматриваетесь уже к антивирусу?

Нет, конечно. Пока ещё слишком рано, это лишь намётки на будущее. Сейчас нужно выводить следующую версию, которая уже готова.

[NRA]

ИМО вот основные «нюансы» данной стенки:

0) одновременное позиционирование софта как «суперзащита, до которой остальным ползти и ползти»
и в тоже время -
«это не самостоятельное ПО, а дополнительный, более глубокий уровень защиты, который занимается своим делом, а антивирус и фаервол - своим»

1) запуск либо как доверенное, либо недоверенное приложение (в отличии от чистых HIPS основанных только на белых списках)
Любой запуск потенциально вредного ПО - это всегда возможность навредить, даже под «ограничениями». ИМО нужен какой-то компромисс для 75-летних детей и домохозяек.

2) сама концепция «доверенный – недоверенный» довольно запутанная для новичков (почему это моя любимая фирменная Опера которой я доверяю – «не доверенная»???)

3) защита включается только ПОСЛЕ загрузки системы

Ну что ж, прогресс дело тонкое – Вы решили отойти от чистого HIPS «добавив функционал». Хорошо)

Илья, хотелось бы узнать, как решены такие вопросы
- boot sector/ BIOS
- интеграция нового DLL в System32 через недоверенное ПО (как в примере с BOWall)
- разрешение недоверенному ПО создавать соединения (Trojan-oriented?)

P.S. можно считать как конструктивную критику или просто наезд, главное- ответы по сути)

[rav]

0) одновременное позиционирование софта как «суперзащита, до которой остальным ползти и ползти»
и в тоже время -
«это не самостоятельное ПО, а дополнительный, более глубокий уровень защиты, который занимается своим делом, а антивирус и фаервол - своим»

Ну и в чём проблема, собственно?

Любой запуск потенциально вредного ПО - это всегда возможность навредить, даже под «ограничениями». ИМО нужен какой-то компромисс для 75-летних детей и домохозяек.

Ну вот моя раблта и заключена в том, чтобы свести возможности навредить к минимум и привести удобство использования к максимуму.

2) сама концепция «доверенный – недоверенный» довольно запутанная для новичков (почему это моя любимая фирменная Опера которой я доверяю – «не доверенная»???)

Для новичка любая новая концепция, котораю нужно осмыслить, запутана. Это лечится временем. Не все же сразу научились дверь ключом открывать. Ну а если что- перерисовать пару диалогов, строчек и пунктов меню и всех делов.

3) защита включается только ПОСЛЕ загрузки системы

А что, должна до?

- boot sector/ BIOS

Бут уже давно защищён от перезаписи, ещё с древних 1.хх сборок, а в биос с уровня пользователя не пролезть ну никак.

- интеграция нового DLL в System32 через недоверенное ПО (как в примере с BOWall)

Да пожалуйста, пусть кладут свои dll-ки хоть сто раз. Всё равно ничего путного из этого не выйдет.

- разрешение недоверенному ПО создавать соединения (Trojan-oriented?)

А для этого и выходит Personal Firewall.

[NRA]

Спасибо Илья, довольно лаконично.

> Ну и в чём проблема, собственно?
Хотя бы в том, что это взаимоисключающие утверждения.

> моя раблта и заключена в том, чтобы свести возможности навредить к минимум
Стремиться минимизировать (убирать последствия) не равно не дать запуститься вообще

Относительно boot sector/ BIOS - спасибо, стало спокойнее.

> Да пожалуйста, пусть кладут свои dll-ки хоть сто раз. Всё равно ничего путного из этого не выйдет.
Илья, Вы и в самом деле считаете что это нормально когда недоверенное приложение записывает в защищённую системную зону? И если затем доверенное приложение воспользуется модифицированными файлами? Ну, без слов - DefenseWall толстый, ему видней)

> А для этого и выходит Personal Firewall
А как же ресурсы типа \Afd*,\Tcp*, \Udp*, \RawIp?
ИМО немного странная политика для недоверенных приложений... Надо бы как нибудь глянуть попивая кофе определение термина в буклете для домохозяек.

В любом случае - удачи и антикризисных благ)

P.S. Как Вы уже, наверно, знаете (временно?) лежат пару ссылок на тесты / обзоры с Вашей страницы

[rav]

Хотя бы в том, что это взаимоисключающие утверждения.

Где? В упор не вижу.

Стремиться минимизировать (убирать последствия) не равно не дать запуститься вообще

Для этого есть другие средства защиты, называемые whitelisting HIPS. Мне они не нравятся.

И если затем доверенное приложение воспользуется модифицированными файлами?

А кто сказал модифицированными? Модифицировать в system32 (да и вообще в папке Windows) ничего нельзя. А положить новый файл- пожалуйста, сколько угодно. Почему я должен это запрещать? Как именно это может повредить безопасности приложений?

А как же ресурсы типа \Afd*,\Tcp*, \Udp*, \RawIp?

А что с ними такое?

P.S. Как Вы уже, наверно, знаете (временно?) лежат пару ссылок на тесты / обзоры с Вашей страницы

Нет, на знаю. Спасибо, видимо, их просто удалили с сервера. Ну тогда и я удалю ссылочки.

[NRA]

Наверное лучше было бы ЛС, но раз уж начали...
Более-менее всё ясно, остались такие моменты-

Eсли это реально "суперзащита", то ей не нужны никчёмные вспомогательные средства иначе это не "суперзащита", а вспомогательное средство.

> Для этого есть другие средства защиты, называемые whitelisting HIPS. Мне они не нравятся.
Вы о Anti-Executе (от Faronics)? А можно узнать чем именно они хуже?

В общем, ждём новую версию- будет чего стоящего обсудить)

[rav]

Eсли это реально "суперзащита", то ей не нужны никчёмные вспомогательные средства иначе это не "суперзащита", а вспомогательное средство.

Это в корне неверное утверждение.

1. У каждого средства защиты есть граничные условия применения, сильные и слабые стороны. У любой песочницы- это уровень владения пользователем средства защиты и степень восприимчивости с средствам социальной инженерии.
2. Я всегда стоял и стою на принципах многоуровневости защиты для простого пользователя.

Вы о Anti-Executе (от Faronics)? А можно узнать чем именно они хуже?

Да, типа Anti-Executable. Я не говорил "хуже", я говорил "не нравятся". Не нравятся- и всё тут!

[Oyster]

Маленький недостаток при работе в многопользовательском режиме. Работаю в Windows XP под ограниченной учёткой, установил DefenseWall HIPS 2.56 запуском от имени администратора. Перезагрузил компьютер, залогинился в ограниченную учётку и обнаружил, что пути в "Места сохранения файлов" соответствуют админской учётке, а не текущего пользователя. Понятно, что за админскими папками нужно присматривать, но желательно и папки текущего пользователя добавлять автоматом в список при входе в систему.

[rav]

Понятно. Папки в данную ветку добавляются при установке. Хорошо, посмотрим, что можно тут сделать.

[Oyster]

Что-то странно едут лыжи Или ограниченная учётка влияет...
Лежит себе экзешник. Щёлкаю в проводнике по нему правой кнопкой мыши, в контекстном меню смотрю атрибуты: доверенный, небезопасный, не разрешена модификация недоверенными. Через контекстное меню командую "Сменить статус на недоверенный". Снова смотрю атрибуты - файл остался доверенным. В главном окне DefenseWall открываю список недоверенных - он там есть. Запускаю экзешник, а в окне DefenseWall смотрю раздел "Стоп атака!", кнопка "Обнаружено недоверенных процессов" - экзешник указан как доверенный.
Аналогичная ситуация с безопасный/небезопасный. Занёс экзешник в список защищённых - контекстное меню всё равно пишет, что он небезопасный.
Предлагаю использовать только одно слово: либо безопасный, либо защищённый. Два слова для одного признака создают путаницу, особенно если ещё рядом стоит "доверенный"

[rav]

Это очень странная ситуация. Возможено два варианта:
1. Драйвер защиты не загружен.
2. Проводник попал в недоверенную зону (статически либо динамически).

Также возможен вариант, когда значение в реестре обновились, а список в программе нет.

Было бы очень неплохо посмотреть видео с записью манипуляций или серию полных скриншотов десктопа.

Насчёт защищённых файлов- это немного не то. Защищённые- значит "недоступные для недоверенных процессов".

[Oyster]

Это очень странная ситуация. Возможено два варианта:
1. Драйвер защиты не загружен.
2. Проводник попал в недоверенную зону (статически либо динамически).

Оказался вариант номер три Экзешник лежал в папке на NTFS-томе, не имеющем буквы и примонтированном как папка - у меня профиль ограниченной учётки лежит на отдельном разделе. Проверил разрешения NTFS - права на запись есть. Скопировал файл в папку с более традиционным размещением - там признак доверенный/недоверенный ставится нормально.

[rav]

А, такое тоже может быть. Там идёт двойное преобразование из дос-имени в нативное и обратно, могло что-то сбоить. Надо будет проверить. Кстати, есть ли где хорошие туторы для вопроизведения этой штуки?

[Shoog]

сказали написать сюда, что бы решить мою проблемку-

Уважаемые, а не подскажите в чем может быть проблема , если при использовании defensewall компьютер просто не выключается, виснет на этапе "сохранение параметров"?
Спасибо

[Surfer]

Целесообразно ли сейчас тестировать продукт на matousec.com ?

[rav]

сказали написать сюда, что бы решить мою проблемку-

Да не на форум, а письмом на support [at] softsphere [dot] com. Как я иначе буду отправлять тестовые драйвера?

Добавлено через 34 секунды

Целесообразно ли сейчас тестировать продукт на matousec.com ?

До выхода третьей версии- нет. 100% набираться не будет.

[mirror37]

Ещё одна просьба.
На каждом окне отображается надпись а-ля "Статус DefenseWall.."
Нельзя ли сократить её до минимума либо убрать вовсе? В настройках подобной возможности не нашел. Ибо не каждое приложени (втч. кип, например) отображает текст целиком, да и постоянное обновление зависимых окон немного раздражает.

[rav]

Ещё одна просьба.
На каждом окне отображается надпись а-ля "Статус DefenseWall.."
Нельзя ли сократить её до минимума либо убрать вовсе? В настройках подобной возможности не нашел. Ибо не каждое приложени (втч. кип, например) отображает текст целиком, да и постоянное обновление зависимых окон немного раздражает.

Можно- просто поправьте XN Resource Editor'ом соответствующую строчку в dwall_res.dll