Default Deny програма

[avatar1989]

Можеш ли да ми дадеш туториал за нея.

[Night_Raven]

Няма такъв.

[avatar1989]

А препоръки,насоки и т.н.

[Night_Raven]

Ами, не знам точно какво се опитваш да постигнеш, а и Malware Defender е толкова гъвкава, че е много трудно да давам общи съвети.

[avatar1989]

Ами целта ми е да блокирам достъпа до системните папки,регистрите както и до интернет страници извън зададен списък.Да не могат да се инсталират нови програми(както и да се махат досегашните).

Общо взето това.

[Night_Raven]

ВАЖНО: забранявайки възможността за запис в някои папки (особено C:\WINDOWS) и ключове в системния регистър може да има негативни последици и да доведе до несъвместимости и различни проблеми, защото всяко приложение трябва да има достъп до въпросните папки, ако е стартирано с администраторски права, и ако не ги получи, не се знае какви биха били последиците.

 

 

Създай си глобално правило: десен клик в подпрозорец Rules -> New Rule -> File Rule.... Там в поле Folder пишеш пътя до папката или я посочваш чрез бутона с многоточието (да речем C:\WINDOWS). Ако оставиш пътя просто така, правилото ще се отнася само за въпросната папка, но не и за под папките. Т.е. ще важи за C:\WINDOWS, но няма да важи за C:\WINDOWS\system32 да речем. Ако искаш да се отнася за C:\WINDOWS и всички подпапки, в края добави наклонена черта и звездичка (\*), за да стане C:\WINDOWS\*.

След това избери дали правилото да се отнася за файлове и папки, само за файлове или само за папки. По подразбиране е само за файлове, но в твоя случай предполагам ще искаш да е и за двете.

За Read permission остави Permit, докато за Write permission избери Deny, което автоматично ще попълни останалите. Накрая си кликни OK.

Това глобално правило ще се отнася за всички процеси, които нямат собствено правило, което изрично да позволява достъп. Т.е. всички външни процеси ще могат само да четат от папка C:\WINDOWS, но няма да могат да пишат в нея, освен ако това не бъде изрично разрешено посредством индивидуално правило.

 

Това правило обаче няма да предотврати някой просто да отвори папката през Windows Explorer и да направи поразии, защото по подразбиране Malware Defender дава на Explorer.exe пълни права над всички файлове и папки. Нормално е. За целта ще трябва да добавиш подобно правило като горното и за Explorer.exe. Просто кликни два пъти върху реда на Explorer.exe (долу, първият в синьо), иди на подпрозорец File, кликни бутон Add и си добави отново правилото.

 

Може да се забрани и достъпът за четене до въпросните папки, но това би било умопомрачителна глупост. Просто го споменавам изрично и за всеки случай.

Разбира се ти си избери до кои папки ще забраниш достъпа, но внимавай.

 

Аналогично се създават и правила за системния регистър, но ще е доста по-сложно да се прецени до кои ключове достъпът да е разрешен и до кои - забранен, защото там има много повече ключове и структурата е многкоратно по-разклонена и сложна, спрямо файловете/папките на твърдия диск.

Можеш да създадеш глобално правило, което да забранява достъпа до HKEY_LOCAL_MACHINE, тъй като това е системното дърво. Достъп до HKEY_CURRENT_USER по принцип трябва да има всяко приложение, така че ти си прецени.

За разлика от файловата система, достъпът за четене до регистъра винаги ще има.

 

Достъпът до Интернет страници можеш да го контролираш през Malware Defender, но ще е много по-лесно, удобно и логично да го направиш през рутера.

 

Няма как да се забрани конкретно и само инсталирането на приложения. Можеш да забраниш стартирането на всякакви процеси, освен специално разрешените. За целта е нужно просто да зададеш парола: десен клик върху иконата в системната област -> Set Password.... След това отново десен клик върху иконата -> Lock User Interface. Тогава Malware Defender минава в т.нар. тих режим и всичко, което не е изрично разрешено, ще бъде блокирано. За да се отключи интерфейсът, ще трябва да се въведе паролата.

 

---

 

И все пак, през цялото време, докато пишех, си мислех колко по-лесно и кадърно решение ще е да се използва стандартен (ограничен) акаунт. То общо взето точно за такива ситуации е създаден въпросният вид акаунт.

[avatar1989]

Много благодаря.

[avatar1989]

По колко начина може дадена програма да се стартира заедно със системата.Доколкото знам е възможно чрез ключ в регистъра, с папката Startup, или чрез Scheduled Tasks.Има ли друг начин?

[Night_Raven]

Не знам дали имаш предвид някакъв ред в регистъра или конкретно в HKLM\..\Run или HKCU\..\Run. По принцип класическия начин за стартиране е точно посредством въпросните \Run ключове, но има и други начини. Например дадена гадина да се настани като дебъгър по подразбиране или да се нагнезди в обвивката и Windows Explorer да я стартира автоматично при влизане (login) на потребител, а може и да промени пътя до Task Manager и да се стартира при всеки опит от страна на потребителя да го стартира. Има и други разбира се. Като цяло това са доста по-специфични начини и се използват много по-рядко спрямо класическите начини.

[avatar1989]

Именно начина с дебъгера ме интересува.Можеш ли да ми дадеш подробности?

[Night_Raven]

В ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options се създава нов ключ с името на изпълнимия файл (да речем mspaint.exe), след което в този ключ се създава нова стойност от тип REG_SZ с име Debugger и величина файла, който ще се стартира (да речем debugger.exe). Така при всяко стартиране на mspaint.exe всъщност ще се стартира debugger. exe.

[avatar1989]

Ами метода чрез Explorer.exe.Как точно се имплементира в шела на Windows-са?

[Night_Raven]

Всъщност аз се изразих доста общо, защото не ми се обясняваше много. Има доста и различни начини даден зловреден код да се изпълни при влизане на потребителя. В конкретния случай в ума ми се въртеше варианта гадина да се добави в стойността Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, за да бъде стартирана заедно с оригиналния изпълним файл (userinit.exe).

[avatar1989]

Интересно.Доколкото знам има вариант на рууткит наречен бууткит който се стартира от MBR сектора.По какъв начин се записва и се стартира от там.Освен това съм чувал за проект наречен IceLord - рууткит който на практика атакува BIOS-са.Има ли реално работещ подобен вирус.

[TechMaster]

Интересно.Доколкото знам има вариант на рууткит наречен бууткит който се стартира от MBR сектора.По какъв начин се записва и се стартира от там.Освен това съм чувал за проект наречен IceLord - рууткит който на практика атакува BIOS-са.Има ли реално работещ подобен вирус.

BootKit-ите реално се записват в MBR сектора но тази им особеност прави лесно различаването на легитимен MBR, стандарно записаният от Windows и всеки друг MBR. Може да се наложи прибягване до offline дейности и recovery console на Windows обаче, което повечето потребители не могат...

И за съжаление, вече имаме първият BIOS Rootkit, който атакува Award BIOS и е "наследник" на експеримента IceLord...Името му е Mebromi... Toва е прецедент, последният известен ми вирус, който е успял да атакува BIOS е CIH/Chernobyl oт далечната 1998година, като експлоатира уязвимост в Windows98.

Успокоението е, че подобни гадини както виждаш са крайно редки и се броят на пръстите на едната ръка, повече от 2-3 такива не знам да съществуват, като статуса на една е исторически(CIH/Chernobyl) и нищо не може да направи на компютър, който работи под WindowsNT фамилията на Windows и е била ограничена във възможностите си за атакуване, поради разликите в процедурите за разрешаване на запис в различните FlashROM чипове.

Другото е, че Mebromi не работи на 64bit Windows и ако системата се ползва с лимитирани привилегии - като нормален потребител или ограничен акаунт, с включен UAC в WindowsVista/7 гадинката е с вързани ръце и не може да направи нищо.