-
Бета-тестирование DefenseWall Host Intrusion Prevention System.
Всем доброго времени суток.
Предлагаю протестировать мою новую программу DefenseWall HIPS. Она представляет собой полноценный программный sandbox для защиты системы от всякого разнообразного зверья. Всем активно принявшим участие в тестировании гарантируются ключи на программу на сто лет. Программа предназначена для линейки Windows 2000/XP.
Идеология программы примитивна и проста. Все приложения в ней можно разделить на доверенные и недоверенные. Доверенным можно всё, недоверенным нельзя ничего. "Ничего" в данном случае означает защиту от модификации критических мест файловой системы (My Documents, Windows, Program Files), реестра (автозагрузка, настройки браузера и системных приложений) и самой системы (установка/модификация/удаление драйверов, открытие \\Device\\PhysicalMemory и т.д.). Также DefenseWall HIPS отделяет недоверенные процессы от доверенных (точнее, защищает доверенные от недоверенных). Все процесы, порождённые недоверенными, также являются недоверенными. В случае обнаружения опасного действия со стороны недоверенного приложения программа блокирует это действие и сообщает о нём пользователю покрасневшей иконкой в трее. Программа работает на минимуме ресурсов, никаких всплывающих окон с идиотскими вопросами а-ля "процесс сделал попытку подпрыгнуть, позволить или пристрелить на месте?" (правильный ответ- "а фиг его знает"), всё очень легко и быстро.
Но самое главное- это кнопочка "Убить все недоверенные приложения". Если вам только показалось, что система начала вести себя не так, как обычно, если в Task Manager появились какие-то левые процессы- одно нажатие вышеозначенной кнопочки - и зверью каюк. Его процесс будет закрыт, а поскольку он не сможет прописать себя в автозагрузку, то и получить управление он уже никогда не сможет. Остаётся только вычистить его модуль антивирусом во время плановой проверки системы.
Сама программа представляет собой полнофункциональную 30-дневную бету. Брать можно здесь: http://www.softsphere.com/cgi-bin/re...me=DEFENSEWALL
Хелпа пока нет. Часть функционала, связанного с системой регистрации, также отсутствует (не по моей вине, должна скоро появиться). Все возникающие вопросы- на форум.
Заранее всем спасибо. Надеюсь на плодотворное и конструктивное сотрудничество.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Интересненько. Прийду домой погоняю
-
-
iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?
Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?
Настроек автозапуска нет?
Defence wall internall service не запустилась, при попытке запуска вручную-
ошибка 1053, служба не ответила на запрос своевременно.
-
-
Сообщение от
HATTIFNATTOR
iexplore msimn wmplayer hh.exe автоматом добавляются в недоверенные?
Да, это профиль по умолчанию при установке.
Сообщение от
HATTIFNATTOR
Т.е вкладка add\remove untrusted - для занесения недоверенных приложений, что туда занесено - недоверенные?
Да, именно так.
Сообщение от
HATTIFNATTOR
Настроек автозапуска нет?
А они реально нужны?
Сообщение от
HATTIFNATTOR
Defence wall internall service не запустилась, при попытке запуска вручную-
ошибка 1053, служба не ответила на запрос своевременно.
Так и должно быть. Сервис отрабатывает своё только при старте системы, а дальше он не нужен (и нефига ему лишние ресурсы жрать). Если бы что-то было не так с сервисом- программа бы выдала мессаджбокс по данному поводу.
-
-
Сообщение от
rav
А они реально нужны?
Не знаю... я предпочитаю все вручную запускать.
-
-
Я вот подумал (пока на работе, саму прогу не смотрел). Концепция конечно проста, но вряд ли будет удобна. Для каждого недоверенного процесса, как минимум, нужна возможность задавать исключения в плане доступа к диску и реестру. В идеале нужна возможность создавать правила для каждого прилажения, как разрешающие так и запрещающие.
-
-
ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет Всё загадочно и не понятно.
-
-
Я тоже попробовал - принцип действия можно изучить по логу AVZ, идея по сути достойная - "Firewall уровня приложений", если это так можно назвать - перехват ключевых функций и мониторинг. Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.
-
-
Сообщение от
Зайцев Олег
Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.
Вот и я о том же. И с возможностью автоматического обучания. Типа, запускаеш приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.
-
-
Сообщение от
Geser
ПОставил я это дело. Запустил IE. Иконка сразу покраснела. Получил всяких сообщений кучу. Возможности записать лог нет
Всё загадочно и не понятно.
Пришли мне сам лог-файл, версию ОС и IE. Тут есть два варианта: или в IE установлены дополнительные тулбары/BHO, или он не разу не запускался (IE, равно как и FireFox, при первом запуске доустанавливают свои компоненты. Нужно просто запуститься в первый раз как доверенный( там кнопочка есть) и больше никаких проблем не будет). И вообще, можно выделить все эти события и нажать "Filter"- больше они в логе отображены не будут.
Сообщение от
Geser
И с возможностью автоматического обучания. Типа, запускаешь приложение в первый раз, и для него создаются автоматом все нужные разрешающие правила.
Проблема в том, что эти "разрешающие" правила теоретически можно будет использовать для атаки на программу. Плюс, нет гарантий, что оно не полезет при первом запуске в инет (например, за баннерами, как Опера) и не будет оттуда атакована. Проще запустить потенциально опасное приложение в первый раз как доверенное (с блокировкой инета), а потом запрещать всё, а чтобы икона не краснела- отфильтровывать сообщения. И всё будет работать.
Сообщение от
Зайцев Олег
Но тогда нужно, имхо, идти по Firewall пути - давать возможность задания правил (как в Firewall - можно все, нельзя ничего, и конкретные правила). Тогда можно будет прописывать, что можно конкретной программе, а что нельзя.
Кто будет прописывать? Я разговаривал с простыми пользователями файеров- когда им вылезает окно с вопросом о сетевой активности приложения, они судорожно жмут на "ЗАПРЕТИТЬ"!!!!!!!! Или запускают файер в режим обучения, а потом долго не могут понять, почему ничего не работает!
Вот прога от Агнитума вообще анализирует установленное ПО и на основе внутренних профилей сетевого поведения сразу настраивает правила. Но с сетевым поведением проще, чем с активностью на диске/в реестре. Причём намного.
Да и вообще, если запретить доступ программы в инет- будет плохо. А если запретить запись в реестр- ничего не изменится, всё будет работать как и прежде. То есть файервольный путь в данном случае не есть путеводная звезда. Принципы тут другие.
-
-
rav,
тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.
Если это программа, так сказать, для домохозяек, то ты прав. Но я думаю стоит сделать что-то более универсальное имеющее, к примеру, 2 режима работы. Режим по умолчанию, работающий как сейчас, и режим "эксперт" в котором можно задавать правила. Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.
Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.
-
-
Сообщение от
Geser
rav,
тут нужно понять, делается программа исключительно для чайников или что-то более универсальное.
Для чайников. Универсально сделать не получится. На это есть как технические соображения, так и маркетинговые. Элементарное техническое- недоверенные процессы не защищищены друг от друга. Один недоверенный имеет права на внедрение в другой недоверенный. Это делает защиту по правилам неактуальной, поскольку нудно будет прописывать в правила не только ключи реестра, но и точные значения этих ключей. Путь изменился- и правило нужно менять. Иначе- каюк защите.
Сообщение от
Geser
Если это программа, так сказать, для домохозяек, то ты прав.
На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу. Я могу обойти их только на своём поле.
Сообщение от
Geser
Опять же, в IE и других программах могут быть всевозможные плагины и тулбары которые не захотят работать с такими обрезанными правами, и нужна будет возможность задавать исключения.
Скорее проще будет договориться с производителями этих плагинов/тулбаров. Если они люди вменяемые- проблем не будет. Если же нет- рано или поздно их тулбар улетит в топку.
Сообщение от
Geser
Кроме того, не плохо сделать корпоративнуюверсию этой програмки с центром управления позволяющим изменять правила на клиентах в сети и защитой клиентов паролем, дабы не выгружали.
Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.
Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу.
Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.
-
-
Сообщение от
HATTIFNATTOR
Не знаю... я предпочитаю все вручную запускать.
На самом деле, весь основной защитный функционал там сосредоточен в драйвере. И его архитектура такова, что он должен запускаться при старте системы. А как так запускается GUI- это дело десятое. GUI можно даже выгрузить- всё равно защита будет и без него работать.
Так что вручную- это неактуально. Ты представляешь себе домохозяйку, впучную запускающую драйвер с помощью подручных тулзов от Sysinternals или Compuware? Ну вот и я не представляю.....
-
-
Сообщение от
rav
Корпоративную версию можно будет делать только после закрепления в end-user- сегменте. На данный момент корпоративщик скорее поставит Cisco Security Agent. И будет прав, поскольку на данный момент я не смогу ни оказать ему tech support по телефону, ни обеспечить полноценными маркетинговыми материалами типа брошюр, чашек, календариков, презервативов и ручек с логотипами и т.д.. Вот например, даже если ты начнёшь рекламировать мою прогу своим работодателям, то с вероятностью 95% тебя пошлют.
Кстати, пароль там нафиг не нужен- при выгрузке GUI- модуля защита всё равно продолжает работу.
Да, и ты так и не прислал мне лог-файл. Он лежит в директории, где установлена программа. Расширение .log, не ошибёшься. Если не хочешь светить на форуме- бросай мне его на мыло. Я его посмотрю и скажу, чего там и как. Может, включу в список исключений в драйвере, если ключи неопасные.
Логи я пришлю вечером т.к. ставил на домашнем компе.
А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы. Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.
-
-
На данный момент это именно программа для домохозяек. И менять что-то пока я ничего не буду, поскольку ключевое слово для продвижения программы- простота использования. Шаг вправо-шаг влево- и я вылетаю с рынка, поскольку конкурировать с Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу.
Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.
-
-
Cisco Security Agent/Safe'n'Sec/PrevX/ProcessGuard на их поле я не могу
Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти
-
-
Сообщение от
Geser
Логи я пришлю вечером т.к. ставил на домашнем компе.
А на счет рекламы ты не прав. Хороший продукт разойдётся и без рекламы.
К сожалению, это не так. Даже хороший продукт нуждается в рекламе. Может, году этак в 98-м было и так, но сейчас рынок софта переполнен.
Сообщение от
Geser
Например я показал нашим админам DropMyRights, и он уже стоит у нас на всех компах, потому как полезная штука. И твоя програмка имеет неплохие шансы если будет централизованное управление.
Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....
А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?
Сообщение от
Geser
Плох тот солдат который не мечтает стать генералом. Начать можно и с утилиты для домохозяек, но стремиться нужно на корпоративный рынок, по моему мнению. Иначе рано или поздно задавят.
Так я так и говорил, ты, видимо, не прочитал мой пост внимательно. Я, собственно, именно так и делаю. Сейчас пойдёт версия 1.х0 для домохозяек. И я хороший солдат....
-
-
Сообщение от
Geser
Cisco Security Agent - там цены заоблочные, ProcessGuard не совсем то, да и не очень удобный. Короче можно свою нишу найти
А я чем занимаюсь по твоему? Именно это и делаю всеми доступными мне способами. Бета-тестирование- одно из них, собственно.
-
-
Сообщение от
rav
Ну, в принципе, тогда было бы неплохо, если бы ты показал и мою прожку своим админам. Может, они ещё чего скажут. Это ведь бета-тестирование.....
А что именно ты хотел бы видеть в централизованном управлении? Какой функционал? В какой обёртке?
Собственно я им послал её. Просто у них сейчас завал, так что неизвестно когда посмотрят. Но я уверен что они захотят возможность удалённой установки (это можно и ручками сделать, утилиткой от сисинтерналс но лучше бы поддерживалось) и централизованное изменение списка апликаций.
-
-
Короче, по теме. Насколько я понял, в антрастед ограничивается запись в реестр, но не вся, так что ли? Наблюдаю это на примере ИЕ. Можно поподробнее остановиться на том, что именно лимитируется, а то не знаю, куда копать. Далее, в листинге процессов при добавлении наблюдаются глюки как в самом контроле, так и в списке процессов (не хватает привилегий для получения полного пути к модулю?). При добавлении чего-то системного гуй вылетает...
Это то, что пришло в голову в первые пять минут. Сама концепция программы (защита от эксплоитов, судя по дефалтным антрастед) рулит. Я бы добавил к списку вмплейер. Наверно, понятно, почему =)) ну и не только...