Страница 4 из 6 Первая 123456 Последняя
Показано с 61 по 80 из 112.

DefenseWall HIPS: установка, настройка, проблемы в работе

  1. #61
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #62
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    И вопросы к автору -
    мне друг Вася принес на флешке игруху.
    Как мне ее запускать?
    Как "недоверенную"? Но для этого придется все время выполнять ряд манипуляций, что может со временем заколебать.
    Запускать- как недоверенную. Никаких дополнительных манипуляций в дальнейшем не потребуется.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Может можно сделать, что бы по умолчанию ВСЕ программы запускались как НЕдоверенные?
    И смысл?

    Цитата Сообщение от Flooter Посмотреть сообщение
    Предположим что эта игра - в дистрибутиве, весит пару гиг.
    При запуске инсталлируется, создает туеву хучу файлов, разворачивается в \games\ и т.д. Корректно ли отработает ваша софтина под такой нагрузкой?
    Да, вполне.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Насколько хватит емкости внутренних переменных для запоминания ключей реестра, файлов и прочее?
    Настолько, насколько хватит ёмкости реестра.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Да, и еще вопрос по ДефенсПлюс-у - разве он не делает то же самое (пусть не способ, так результат) что и установка в БИОСе и ХР флага Disable Execution Bit?
    Фактически- да, для тех у кого оно есть. У меня, например, P2-450, соответственно, Hardware DEP отсутствует.
    http://www.softsphere.com - DefenseWall, DefencePlus

  4. #63
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от rav Посмотреть сообщение
    Запускать- как недоверенную. Никаких дополнительных манипуляций в дальнейшем не потребуется.
    Хорошо. И будет она так и числится в списке недоверенных.
    А вдруг потом (сильно потом, например 2 месяца спустя ), в процессе работы, я по какой-то причине нажму кнопку "схлопнуть" (или как она у вас там называется)?
    Поясните плз - при нажатии на эту кнопку грохается только запущенные процессы или же сразу откатываются все изменения? Если второе, то что же - и сама игра, и все сейвелки и прочее исчезнут?!

    И еще насчет откатов?
    Допустим запускаю я зловреда. Он прописывается в реестр, кидает свои файлы в системные каталоги, это понятно и легко "откатимо".
    А если он начнет править какие-либо системыне файлы, приписываться к ним по вирусному способу, что тогда? Сможет ли Ваша программа откатить ТАКИЕ изменения?
    Или может стоит добавить некоторые ф-ции традиционных HIPS? Что бы выдавался таки алерт?

    Цитата Сообщение от rav Посмотреть сообщение
    И смысл?
    Смысл в том, что я например 80% пользуюсь ФАРом, 18% эксплорером и 2% тотал коммандером. А так же экзешники можно запскать и напрямую из архивов - это и винрар, и винзип, и 7зип и прочее... а так же из прочих программ, которые хоть и не являются файл-манагерами/проводниками, тем не менее позволяют запускать из под себя выполнимые файлы. И что же мне - вручную пол компутера в "недоверенные" заносить? А если забуду??

    Вы уж не воспринимайте все это как нападки , идея то хорошая...

  5. #64
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    Хорошо. И будет она так и числится в списке недоверенных.
    А вдруг потом (сильно потом, например 2 месяца спустя ), в процессе работы, я по какой-то причине нажму кнопку "схлопнуть" (или как она у вас там называется)?
    Поясните плз - при нажатии на эту кнопку грохается только запущенные процессы или же сразу откатываются все изменения? Если второе, то что же - и сама игра, и все сейвелки и прочее исчезнут?!
    Нет. Это только закроет все недоверенные процессы, не более того. Никто ничего удалять не собирается.

    Цитата Сообщение от Flooter Посмотреть сообщение
    И еще насчет откатов?
    Допустим запускаю я зловреда. Он прописывается в реестр, кидает свои файлы в системные каталоги, это понятно и легко "откатимо".
    А если он начнет править какие-либо системыне файлы, приписываться к ним по вирусному способу, что тогда?
    Такое поведение для недоверенных запрещено системой правил.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Сможет ли Ваша программа откатить ТАКИЕ изменения?
    Нет, не сможет. Именно поэтому и запрещено.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Или может стоит добавить некоторые ф-ции традиционных HIPS? Что бы выдавался таки алерт?
    Во второй версии продукта будут нераздражающие уведомительные окна, но аллертов совершенно точно не будет никогда!

    Цитата Сообщение от Flooter Посмотреть сообщение
    Смысл в том, что я например 80% пользуюсь ФАРом, 18% эксплорером и 2% тотал коммандером. А так же экзешники можно запскать и напрямую из архивов - это и винрар, и винзип, и 7зип и прочее... а так же из прочих программ, которые хоть и не являются файл-манагерами/проводниками, тем не менее позволяют запускать из под себя выполнимые файлы. И что же мне - вручную пол компутера в "недоверенные" заносить? А если забуду??
    Запуск напрямую из архива поддерживается для всех перечисленных программ. Также, поддерживается двойной клик на недоверенном архиве. Единственное, что не поддерживается- распаковка из архива в файл-менеджерах по причине невозможности отслеживания данного процесса из драйвера.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Вы уж не воспринимайте все это как нападки , идея то хорошая...
    Всё нормально.
    http://www.softsphere.com - DefenseWall, DefencePlus

  6. #65
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Цитата Сообщение от rav Посмотреть сообщение
    Во второй версии продукта будут нераздражающие уведомительные окна, но аллертов совершенно точно не будет никогда!
    http://www.dni.ru/news/russia/2007/2/6/99016.html

    Камешек в Ваш огород:

    В Интернете появился новый вирус-червь
    11:44 / 6.2 версия для печати



    Новый опасный вирус Zhelatin.o появился в сети Интернет. Он распространяется в виде вложений в электронные письма и заражает компьютеры пользователей, а затем начинает рассылать себя по найденным там адресам электронной почты.
    Текст и заголовок письма с вредоносным вирусом составлены таким образом, чтобы побудить пользователя открыть добавленное к письму вложение. Темы зараженных писем могут быть такими: "I Always Knew", "I Am Lost In You", "I Believe", "I Can't Function", "I Dream of you", "I Give to You", "I Love Thee", "I Love You Mower", "I Love You So", "I Love You Soo Much", "I Love You with All I Am", "I Still Love You", "I Think of You", "I Win with You", "I Woof You".
    Имена вложенных файлов могут быть такими: "Postcard.exe", "flash postcard.exe", "greeting card.exe", "greeting postcard.exe".
    При открытии зараженного вложения вирус копируется на диск и при следующей загрузке автоматически запускается. Вредоносная программа собирает адреса электронной почты и производит рассылку своих копий. Кроме того, "червь" отключает настройки программ и антивирусных сервисов на зараженном компьютере и скрывает свое присутствие в системе. Как передает РИА "Новости", вирус заражает исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, копируя туда свой код. Чтобы избежать угрозы заражения компьютера, лучше не открывать вложения в электронные письма, полученные от неизвестных адресатов.
    В _ЭТОМ_ случае традиционная проактивка помогла бы.
    Хотя, конечно, все зависит от квадификации пользователя...

  7. #66
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Не мог бы уважаемый автор привести список тех функций/действий недоверенного ПО, которых его прога не в силах "откатить"?

    Одно мы уже выяснили - правка файлов. Кстати, что произойдет - "врагу" удасться записаться в файл или доступ будет блокирован?!

    Если первое, то ничто тогда не помешает трояну/виру запуститься потом вновь (а ведь идеология дефенсвалла, насклько я понял, в том и состоит, что бы не столько предотвратить запуск зловреда, сколько в том, что бы не дать ему "укрепиться" в системе. Верно?

    Во втором же случае некоторые программы просто не смогут работать.

    Так как?

    ЗЫ: Это я к тому, что некоторые подобные вопросы, не могущие быть решенными в автоматическом режиме (без существенных затрат ресурсов компутера) могут быть переданы людям - в стиле традиционных ХИПСов
    Например, как опция в каком-нибудь "ДефенсВалл +" в эксперт-режиме!

  8. #67
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    Камешек в Ваш огород:
    Ну и дальше что? Это вообще к чему?

    Цитата Сообщение от Flooter Посмотреть сообщение
    Не мог бы уважаемый автор привести список тех функций/действий недоверенного ПО, которых его прога не в силах "откатить"?
    Смысл?

    Цитата Сообщение от Flooter Посмотреть сообщение
    Одно мы уже выяснили - правка файлов. Кстати, что произойдет - "врагу" удасться записаться в файл или доступ будет блокирован?!
    Зависит от правил на этот файл.

    Цитата Сообщение от Flooter Посмотреть сообщение
    то ничто тогда не помешает трояну/виру запуститься потом вновь
    Помешает система правил. Или сработает "plugin injection protection". Всё продумано.

    Цитата Сообщение от Flooter Посмотреть сообщение
    ЗЫ: Это я к тому, что некоторые подобные вопросы, не могущие быть решенными в автоматическом режиме (без существенных затрат ресурсов компутера) могут быть переданы людям - в стиле традиционных ХИПСов
    Не могут. Обычные пользователи такой фигнёй как обточка и разработка правил страдать не будут. А продукт нацелен именно на таких пользователей- в нишу classical HIPS соваться бессмысленно.

    Цитата Сообщение от Flooter Посмотреть сообщение
    Например, как опция в каком-нибудь "ДефенсВалл +" в эксперт-режиме!
    Пока рано об этом думать.
    http://www.softsphere.com - DefenseWall, DefencePlus

  9. #68
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Ув. автор.
    Вот вроде аналогичная Вашей программа, насколько я понял из чтения описания, работающая по схожему принципу "недоверяния"
    http://www.gentlesecurity.com/overview.html

    Только плюс ее имхо в том, что там можно самому настраивать правила.

    Все ж таки не хотите включить подобное в вашу хипс-у?

  10. #69
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    rav, предлагаю внести возможность запуска процесса как трастед, чтобы это также распространялось на его потомков (например, было бы очень удобно для инсталл шилдов).

  11. #70
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    Ув. автор.
    Вот вроде аналогичная Вашей программа, насколько я понял из чтения описания, работающая по схожему принципу "недоверяния"

    Только плюс ее имхо в том, что там можно самому настраивать правила.

    Все ж таки не хотите включить подобное в вашу хипс-у?
    Ну, про GesWall я знаю уже давно. И я понимаю только одну вешь- обычный нормальный пользователь никогда не сможет написать в жизни ни одного правила! Поэтому у меня они все запрятаны в драйвер- чтобы никто не лез. Может, а и сделаю что-то такое для более продвинутых людей, но пока мне надо делать более важную вешь- обеспечить совместимость с Вистой при условии, что там SoftIce не работает вообще! А без него, родимого- как без рук!

    Цитата Сообщение от Xen Посмотреть сообщение
    rav, предлагаю внести возможность запуска процесса как трастед, чтобы это также распространялось на его потомков (например, было бы очень удобно для инсталл шилдов).
    Согласен. Можно будет сделать. Или в 2.0, или в 2.10- посмотрю, как получится...
    http://www.softsphere.com - DefenseWall, DefencePlus

  12. #71
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Уважаемый автор, уж простите мне мою назойливость, но не могли бы Вы прокоментировать это? http://www.techsupportalert.com/secu...ualization.htm

  13. #72
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.02.2007
    Адрес
    Тбилиси
    Сообщений
    168
    Вес репутации
    202
    Там же нет DW? Его тестировали с другими, и в этом тесте у него абсолютный результат...
    Мне самым интересным здесь кажется это:
    Do you really need one of these products? It depends on your risk level.

    If you are a low risk user who only rarely installs programs, doesn't use P2P networks and only browses to well known web sites then you don't need a sandboxing program. You can instead rely on your normal anti-virus, anti-spyware and firewall software to protect you.

  14. #73
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    Прошу прощения, что то мне видимо днйствительно не то привиделось под конец дня рабочего

  15. #74
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    2 бага
    1. Почему-то не передаются задания на скачивания в Download Manager из контекстного меню Maxthon-а. (Тыкаю "скачать Download Manager-ом" - нуль эффекта)
    2. Запускаю тест кейлоггера - ДефенсВалл выдает синее окно Alarm Notification с описанием и двумя кнопками - Ок и Терминейт. Терминачу процесс - он пропадает, а окно все равно висит себе... пока не жамкнешь Ок. ДефВалл 2.0 бета 1

  16. #75
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    Цитата Сообщение от Flooter Посмотреть сообщение
    2 бага
    1. Почему-то не передаются задания на скачивания в Download Manager из контекстного меню Maxthon-а. (Тыкаю "скачать Download Manager-ом" - нуль эффекта)
    Скорее всего, там посылается оконное сообщение, которое блокируется. Лог бы сказал точно, что да как. Сможете прислать?

    Цитата Сообщение от Flooter Посмотреть сообщение
    2. Запускаю тест кейлоггера - ДефенсВалл выдает синее окно Alarm Notification с описанием и двумя кнопками - Ок и Терминейт. Терминачу процесс - он пропадает, а окно все равно висит себе... пока не жамкнешь Ок. ДефВалл 2.0 бета 1
    Да, логично. Сделаем...
    http://www.softsphere.com - DefenseWall, DefencePlus

  17. #76
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    И еще вопросик - то ли мне кажется, то ли было это на самом деле - в общем ситуация следующая:
    Есть некая прога (Р2Р) которая постоянно обновляет свой ини-файл.
    После запуска под НЕДОВЕРЕННОЙ я некоторое время поработал с ней, потом с другой, третьей... потом решил нажать кнопку ГРОХНУТЬ ВСЕ, а так же "ВЕРНУТЬ ВСЕ ВЗАД"
    То ли мне показалось, то ли дефенс-валл вчистую грохнул тот самый ини-файл.
    Логически рассуждая, он вполне мог это сделать, т.к.
    1. программа запущена как недоверенная...
    2. программа меняет файл (а может грохает старый и содает новый с тем же именем – кто ее разберет)
    3. При нажатии кнопки "откатить" надо откатить все изменения, сделанный недоверенной программой. А какие были сделаны ею изменения? Правильно – создан файл! Грохнуть!
    4. Файл грохнут – я у разбитого корыта.

    Если такой алгоритм действительно имеет место быть, нельзя ли делать резервные копии изменяемых файлов (с возможностью указания либо максимального размера таких файлов (что бы не бэкапить гигабайты), либо с указанием максимального размера специально отведенного для этого каталога) ?

    И/или же ввести опцию "не отслеживать действия в домашнем каталоге" ? Под домашним понимать путь к установленному екзешнику. В принципе имхо логично - в своем же каталоге пусть делает что хочет, а вот в другие - низзя!

  18. #77
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    DefenseWall никогда никакие файлы и ключи реестра автоматически не удаляет. Что насчёт отката изменённых файлов- в MacOS X есть такая фича как Time Machine, и она требует второго винчестера. То есть- можно оно можно, да только где взять место на винте? А если оно есть- то что делать, если оно вдруг закончится?
    http://www.softsphere.com - DefenseWall, DefencePlus

  19. #78
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    А я и не сказал "автоматически". Я сказал при нажатии кнопки "откатить" откатываются не только изменения, привнесенные в систему зловредом, а так же и легитимные, сделанные нормальными программами. Пример я привел.
    А что делать - дык написал же - отдать на откуп пользователю. Многие программа резирвируют под свои нужды часть диска (какой-нибудь каталог с размером, указанным пользователем). А при привышении - три опции на выбор пользователя - спросить, стереть самые старые, увеличить размер "бэкап-зоны".
    И насчет доверенного по умолчанию каталога, откуда запущен даже "недоверенный" экзешник (если это конечно не \SYSTEM32 ) - сделаете? Или есть какие-то секурити-причины этого не делать? Кстати тоже можно было бы отдать пользователь на выбор, имхо.

  20. #79
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.12.2004
    Сообщений
    927
    Вес репутации
    442
    А если в этот каталог пропишутся "плохие ребята" и поставят линк на рабочий стол пользователю с темой "Cool sexy russian girls"?

    В принципе, можно сделать более продвинутый вариант откатов, с резервированием и тому подобным, но это уже, скорее, на потом.
    http://www.softsphere.com - DefenseWall, DefencePlus

  21. #80
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.02.2007
    Сообщений
    45
    Вес репутации
    70
    хм.. ну думаю если они смогут прописаться туда, значит система уже под контролем зловреда и боржоми пить поздно

    Да, кстати, в вашей проге вроде как нет ф-ции защиты приватных данных? Что бы например к данным, расположенным в какой-нибудь папке могла получить доступ только одна, заранее заданная программа при нажатии специальной кнопки? Допустим запускался бы эксплорер и только ему и его процессам-потомкам было бы позволено иметь доступ в "приватный" каталог.

    И еще, Илья, вы почему-то все обходите стороной мой вопрос насчет позволения НЕдоверенным процессам делать в своей же папке что хочешь. Можете сделать или это проблематично?

Страница 4 из 6 Первая 123456 Последняя

Похожие темы

  1. Avira: установка, настройка, проблемы в работе
    От ALEX(XX) в разделе Антивирусы
    Ответов: 721
    Последнее сообщение: 25.02.2021, 21:35
  2. avast!: установка, настройка, проблемы в работе
    От Никита Соловьев в разделе Антивирусы
    Ответов: 72
    Последнее сообщение: 23.10.2019, 11:48
  3. DrWeb: установка, настройка, проблемы в работе
    От ALEX(XX) в разделе Антивирусы
    Ответов: 206
    Последнее сообщение: 10.04.2015, 12:35
  4. TrendMicro: установка, настройка, проблемы в работе
    От Никита Соловьев в разделе Антивирусы
    Ответов: 4
    Последнее сообщение: 21.05.2014, 11:31
  5. DrWeb: установка, настройка и проблемы в работе.
    От sergey_gum в разделе Антивирусы
    Ответов: 26
    Последнее сообщение: 26.06.2009, 18:57

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01536 seconds with 17 queries