Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?
Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?
Запускать- как недоверенную. Никаких дополнительных манипуляций в дальнейшем не потребуется.
И смысл?
Да, вполне.
Настолько, насколько хватит ёмкости реестра.
Фактически- да, для тех у кого оно есть. У меня, например, P2-450, соответственно, Hardware DEP отсутствует.
http://www.softsphere.com - DefenseWall, DefencePlus
Хорошо. И будет она так и числится в списке недоверенных.
А вдруг потом (сильно потом, например 2 месяца спустя ), в процессе работы, я по какой-то причине нажму кнопку "схлопнуть" (или как она у вас там называется)?
Поясните плз - при нажатии на эту кнопку грохается только запущенные процессы или же сразу откатываются все изменения? Если второе, то что же - и сама игра, и все сейвелки и прочее исчезнут?!
И еще насчет откатов?
Допустим запускаю я зловреда. Он прописывается в реестр, кидает свои файлы в системные каталоги, это понятно и легко "откатимо".
А если он начнет править какие-либо системыне файлы, приписываться к ним по вирусному способу, что тогда? Сможет ли Ваша программа откатить ТАКИЕ изменения?
Или может стоит добавить некоторые ф-ции традиционных HIPS? Что бы выдавался таки алерт?
Смысл в том, что я например 80% пользуюсь ФАРом, 18% эксплорером и 2% тотал коммандером. А так же экзешники можно запскать и напрямую из архивов - это и винрар, и винзип, и 7зип и прочее... а так же из прочих программ, которые хоть и не являются файл-манагерами/проводниками, тем не менее позволяют запускать из под себя выполнимые файлы. И что же мне - вручную пол компутера в "недоверенные" заносить? А если забуду??
Вы уж не воспринимайте все это как нападки , идея то хорошая...
Нет. Это только закроет все недоверенные процессы, не более того. Никто ничего удалять не собирается.
Такое поведение для недоверенных запрещено системой правил.
Нет, не сможет. Именно поэтому и запрещено.
Во второй версии продукта будут нераздражающие уведомительные окна, но аллертов совершенно точно не будет никогда!
Запуск напрямую из архива поддерживается для всех перечисленных программ. Также, поддерживается двойной клик на недоверенном архиве. Единственное, что не поддерживается- распаковка из архива в файл-менеджерах по причине невозможности отслеживания данного процесса из драйвера.
Всё нормально.
http://www.softsphere.com - DefenseWall, DefencePlus
http://www.dni.ru/news/russia/2007/2/6/99016.html
Камешек в Ваш огород:
В _ЭТОМ_ случае традиционная проактивка помогла бы.В Интернете появился новый вирус-червь
11:44 / 6.2 версия для печати
Новый опасный вирус Zhelatin.o появился в сети Интернет. Он распространяется в виде вложений в электронные письма и заражает компьютеры пользователей, а затем начинает рассылать себя по найденным там адресам электронной почты.
Текст и заголовок письма с вредоносным вирусом составлены таким образом, чтобы побудить пользователя открыть добавленное к письму вложение. Темы зараженных писем могут быть такими: "I Always Knew", "I Am Lost In You", "I Believe", "I Can't Function", "I Dream of you", "I Give to You", "I Love Thee", "I Love You Mower", "I Love You So", "I Love You Soo Much", "I Love You with All I Am", "I Still Love You", "I Think of You", "I Win with You", "I Woof You".
Имена вложенных файлов могут быть такими: "Postcard.exe", "flash postcard.exe", "greeting card.exe", "greeting postcard.exe".
При открытии зараженного вложения вирус копируется на диск и при следующей загрузке автоматически запускается. Вредоносная программа собирает адреса электронной почты и производит рассылку своих копий. Кроме того, "червь" отключает настройки программ и антивирусных сервисов на зараженном компьютере и скрывает свое присутствие в системе. Как передает РИА "Новости", вирус заражает исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, копируя туда свой код. Чтобы избежать угрозы заражения компьютера, лучше не открывать вложения в электронные письма, полученные от неизвестных адресатов.
Хотя, конечно, все зависит от квадификации пользователя...
Не мог бы уважаемый автор привести список тех функций/действий недоверенного ПО, которых его прога не в силах "откатить"?
Одно мы уже выяснили - правка файлов. Кстати, что произойдет - "врагу" удасться записаться в файл или доступ будет блокирован?!
Если первое, то ничто тогда не помешает трояну/виру запуститься потом вновь (а ведь идеология дефенсвалла, насклько я понял, в том и состоит, что бы не столько предотвратить запуск зловреда, сколько в том, что бы не дать ему "укрепиться" в системе. Верно?
Во втором же случае некоторые программы просто не смогут работать.
Так как?
ЗЫ: Это я к тому, что некоторые подобные вопросы, не могущие быть решенными в автоматическом режиме (без существенных затрат ресурсов компутера) могут быть переданы людям - в стиле традиционных ХИПСов
Например, как опция в каком-нибудь "ДефенсВалл +" в эксперт-режиме!
Ну и дальше что? Это вообще к чему?
Смысл?
Зависит от правил на этот файл.
Помешает система правил. Или сработает "plugin injection protection". Всё продумано.
Не могут. Обычные пользователи такой фигнёй как обточка и разработка правил страдать не будут. А продукт нацелен именно на таких пользователей- в нишу classical HIPS соваться бессмысленно.
Пока рано об этом думать.
http://www.softsphere.com - DefenseWall, DefencePlus
Ув. автор.
Вот вроде аналогичная Вашей программа, насколько я понял из чтения описания, работающая по схожему принципу "недоверяния"
http://www.gentlesecurity.com/overview.html
Только плюс ее имхо в том, что там можно самому настраивать правила.
Все ж таки не хотите включить подобное в вашу хипс-у?
rav, предлагаю внести возможность запуска процесса как трастед, чтобы это также распространялось на его потомков (например, было бы очень удобно для инсталл шилдов).
Ну, про GesWall я знаю уже давно. И я понимаю только одну вешь- обычный нормальный пользователь никогда не сможет написать в жизни ни одного правила! Поэтому у меня они все запрятаны в драйвер- чтобы никто не лез. Может, а и сделаю что-то такое для более продвинутых людей, но пока мне надо делать более важную вешь- обеспечить совместимость с Вистой при условии, что там SoftIce не работает вообще! А без него, родимого- как без рук!
Согласен. Можно будет сделать. Или в 2.0, или в 2.10- посмотрю, как получится...
http://www.softsphere.com - DefenseWall, DefencePlus
Уважаемый автор, уж простите мне мою назойливость, но не могли бы Вы прокоментировать это? http://www.techsupportalert.com/secu...ualization.htm
Там же нет DW? Его тестировали с другими, и в этом тесте у него абсолютный результат...
Мне самым интересным здесь кажется это:
Do you really need one of these products? It depends on your risk level.
If you are a low risk user who only rarely installs programs, doesn't use P2P networks and only browses to well known web sites then you don't need a sandboxing program. You can instead rely on your normal anti-virus, anti-spyware and firewall software to protect you.
Прошу прощения, что то мне видимо днйствительно не то привиделось под конец дня рабочего
2 бага
1. Почему-то не передаются задания на скачивания в Download Manager из контекстного меню Maxthon-а. (Тыкаю "скачать Download Manager-ом" - нуль эффекта)
2. Запускаю тест кейлоггера - ДефенсВалл выдает синее окно Alarm Notification с описанием и двумя кнопками - Ок и Терминейт. Терминачу процесс - он пропадает, а окно все равно висит себе... пока не жамкнешь Ок. ДефВалл 2.0 бета 1
http://www.softsphere.com - DefenseWall, DefencePlus
И еще вопросик - то ли мне кажется, то ли было это на самом деле - в общем ситуация следующая:
Есть некая прога (Р2Р) которая постоянно обновляет свой ини-файл.
После запуска под НЕДОВЕРЕННОЙ я некоторое время поработал с ней, потом с другой, третьей... потом решил нажать кнопку ГРОХНУТЬ ВСЕ, а так же "ВЕРНУТЬ ВСЕ ВЗАД"
То ли мне показалось, то ли дефенс-валл вчистую грохнул тот самый ини-файл.
Логически рассуждая, он вполне мог это сделать, т.к.
1. программа запущена как недоверенная...
2. программа меняет файл (а может грохает старый и содает новый с тем же именем – кто ее разберет)
3. При нажатии кнопки "откатить" надо откатить все изменения, сделанный недоверенной программой. А какие были сделаны ею изменения? Правильно – создан файл! Грохнуть!
4. Файл грохнут – я у разбитого корыта.
Если такой алгоритм действительно имеет место быть, нельзя ли делать резервные копии изменяемых файлов (с возможностью указания либо максимального размера таких файлов (что бы не бэкапить гигабайты), либо с указанием максимального размера специально отведенного для этого каталога) ?
И/или же ввести опцию "не отслеживать действия в домашнем каталоге" ? Под домашним понимать путь к установленному екзешнику. В принципе имхо логично - в своем же каталоге пусть делает что хочет, а вот в другие - низзя!
DefenseWall никогда никакие файлы и ключи реестра автоматически не удаляет. Что насчёт отката изменённых файлов- в MacOS X есть такая фича как Time Machine, и она требует второго винчестера. То есть- можно оно можно, да только где взять место на винте? А если оно есть- то что делать, если оно вдруг закончится?
http://www.softsphere.com - DefenseWall, DefencePlus
А я и не сказал "автоматически". Я сказал при нажатии кнопки "откатить" откатываются не только изменения, привнесенные в систему зловредом, а так же и легитимные, сделанные нормальными программами. Пример я привел.
А что делать - дык написал же - отдать на откуп пользователю. Многие программа резирвируют под свои нужды часть диска (какой-нибудь каталог с размером, указанным пользователем). А при привышении - три опции на выбор пользователя - спросить, стереть самые старые, увеличить размер "бэкап-зоны".
И насчет доверенного по умолчанию каталога, откуда запущен даже "недоверенный" экзешник (если это конечно не \SYSTEM32 ) - сделаете? Или есть какие-то секурити-причины этого не делать? Кстати тоже можно было бы отдать пользователь на выбор, имхо.
А если в этот каталог пропишутся "плохие ребята" и поставят линк на рабочий стол пользователю с темой "Cool sexy russian girls"?
В принципе, можно сделать более продвинутый вариант откатов, с резервированием и тому подобным, но это уже, скорее, на потом.
http://www.softsphere.com - DefenseWall, DefencePlus
хм.. ну думаю если они смогут прописаться туда, значит система уже под контролем зловреда и боржоми пить поздно
Да, кстати, в вашей проге вроде как нет ф-ции защиты приватных данных? Что бы например к данным, расположенным в какой-нибудь папке могла получить доступ только одна, заранее заданная программа при нажатии специальной кнопки? Допустим запускался бы эксплорер и только ему и его процессам-потомкам было бы позволено иметь доступ в "приватный" каталог.
И еще, Илья, вы почему-то все обходите стороной мой вопрос насчет позволения НЕдоверенным процессам делать в своей же папке что хочешь. Можете сделать или это проблематично?