Firewall + HIPS

[damto]

Значи вредоносния код има пълен достъп до Windows,но не може да се стартира или изпълни с вързани ръце е(доста унизително „Да стигне Рим и да не види Папата”)

 

damto при тези условия може ли да бъда заразен от какъвто и да било вирус в нета дори и без дефиниции ?

 

Цитат(Night_Raven @ 11 Mar 2009, 00:22) *

 

Зависи какъв е програмният код. Част от него може да се изпълни винаги, докато самият Windows работи. Т.е. нужните файлове, които са нужни за изпълнение, са си налични винаги, защото са нужни и на самата операционна система. Т.е. те се зареждат за общо ползване (така да се каже) и щом Windows има достъп до тях, значи и програмите на практика имат достъп до тях, защото достъпът е на системно ниво, а системата винаги има достъп до system32

 

Мисля,че ти се отговори достатъчно ясно.

[Гост tnn]

Real Time Defender Pro (бившата ProSecurity 1.43) е лека, ефективна и безплатна програма.Миналата година впечатляваше в доста тестове - после някои от разработчиците и преминаха на работа в Comodo. Скоро не съм я пробвал - може да се изтегли от http://yangpizhi.shyd89.2666.com.cn/RTDPro_Setup.rar Китайски HIPS - в доста форуми са налице мнения за осигурено впечатляващо ниво на защитеност. Поздрави

[Night_Raven]

Предлага отлична защита, но е тежичка малко. Не някои от разработчиците й, а единственият разработчик - авторът й. Сорс кодът беше продаден.

[Гост tnn]

Препоръчително и бих допълнил задължително условие е да се инсталира на свеж Win. Струвала ми се е невероятно тежка- когато не съм го спазвал. Сега не зная безплатната китайска версия дали е на същото ниво.Вече не я включват в доста тестове. Поздрави

[Night_Raven]

Пробвал съм я точно на чиста система. Малко тежичка е. Не е нещо непоносимо разбира се, но определено има по-пъргави HIPS програми.

[tanganika]

Мисля,че ти се отговори достатъчно ясно.

 

Дори да попадне изпълним файл на компютър охраняван единствено от Comodo Firewall който не се нуждае аз да го стартирам за да изпълни програмния си код няма да успее,защото стената има опция която следи и блокира изпълнението/създаването на такъв тип файлове още преди да са се заредили в оперативната памет.

http://hosting03.imagecross.com/image-hosting-th-11/2363Screenshot-505.jpg

Aggressive - This setting instructs Defense+ to intercept the file types listed in the 'Files to Check' tab before they are loaded into memory and also Intercepts prefetching/caching attempts for the executable files.

Трябва да се има предвид че стената се стартира първа след уиндоус следвана от антивирусните програми и т.н.Пробвал съм да трия файлове които съм блокирал със стената,но без успех защото изглежда драйверите на Unlocker се стартират след Комодо.Дори хакер да открие начин да промъкне вирус,за да си изпълни програмния код трябва драйверите на вируса да се стартират преди Комодо в противен случай ще си стои там до второ пришествие безполезен.

Tnn

Comodo Internet Security 3.5.55810.432FREE 90% - чехите са определили тези проценти при максимални настройки ! Вероятно си единствен в света - с мнение, че защитеността е още по-висока.

Изглежда не са тествали стената на максимални настройки защото въобще нямаше да успеят да стартират тестовите файлове,аз пробвах да стартирам всички файлове при които Комодо се проваля на теста но получих такъв отговор за всички

http://hosting03.imagecross.com/image-hosting-th-11/6483Screenshot-508.jpg

Трябвало е да изключат тази опция за да могат да стартират успешно изпълнимите файлове иначе няма как да тестват HIPS-а

http://hosting03.imagecross.com/image-hosting-th-11/5738Screenshot-512.jpg

Поради тази причина съм на мнение че защитеността е по висока от резултатите на „matousec” и се чувствам недосегаем за вирусите.Тази опция „Image Execution Control Settings” Online Armor не я притежава и това е една от причините да смятам Комодо за по добра защитна стена.

Night_Raven

Пробвал съм я точно на чиста система. Малко тежичка е. Не е нещо непоносимо разбира се, но определено има по-пъргави HIPS програми.

 

Предложи някой самостоятелен HIPS,който да пробвам.

[Night_Raven]

Дори да попадне изпълним файл на компютър охраняван единствено от Comodo Firewall който не се нуждае аз да го стартирам за да изпълни програмния си код няма да успее,защото стената има опция която следи и блокира изпълнението/създаването на такъв тип файлове още преди да са се заредили в оперативната памет.

Дори най-базовата HIPS защита има execution control. Абсолютно класически пример за това е ProcessGuard Free, която предложи такава защита преди доста време. Т.е. всяка HIPS програма пита потребителя дали даден процес да се стартира или не. Това не е абсолютно същото със зареждане в оперативната памет, но е достатъчно близко. Така че това не напълно уникална функция на Comodo. Виж аз бих се хванал за Direct Disk Access следенето на D+. Това е приятна добавка, която малко други HIPS програми имат.

 

Дори хакер да открие начин да промъкне вирус,за да си изпълни програмния код трябва драйверите на вируса да се стартират преди Комодо в противен случай ще си стои там до второ пришествие безполезен.

Вече става изнервящо. Класическите вируси нямат драйвери. Те заразяват изпълними файлове. Дреме им на тях за драйвери, регистратура и прочее неща. Драйвери се зареждат от рууткити и троянци основно. Те не са вируси.

 

Предложи някой самостоятелен HIPS,който да пробвам.

Безплатна или няма значение?

[tanganika]

Night_Raven

Виж аз бих се хванал за Direct Disk Access следенето на D+.

Би ли обяснил по-подробно какво е това чудо за пръв път чувам за него.

Night_Raven

Вече става изнервящо. Класическите вируси нямат драйвери. Те заразяват изпълними файлове. Дреме им на тях за драйвери, регистратура и прочее неща. Драйвери се зареждат от рууткити и троянци основно. Те не са вируси.

Грешката е в мен не се изразявам точно,няма как да си изпълни програмния код класическия вирус ако стената се стартира преди него,това исках да кажа или стартира ли се стената всякакви опити за заразяване на изпълними файлове са обречени на провал.

Night_Raven

Безплатна или няма значение?

И от двата варианта най-доброто.

[Night_Raven]

Би ли обяснил по-подробно какво е това чудо за пръв път чувам за него.

Direct Disk Access е директен достъп до твърдия диск. По принцип програмите ползват Windows-ския интерфейс, за да комуникират с твърдия диск и да си четат/записват файлчета. Има обаче и вариант за заобикаляне на този интерфейс и комуникация с диска директно. SUPERAntiSpyware и Malwarebytes' Anti-Malware използват такъв тип технологии, за да откриват и премахват по-упорити гадинки.

Приятна екстра е, че D+ може да следи за такава активност, защото още един слой защита. Доколкото знам обаче трябва да се активира ръчно и не е активирано по подразбиране. Разбира се подобна функция не е критично важна за защитата, но е хубаво, че е налична.

 

И от двата варианта най-доброто.

Ами то HIPS програми има много.

System Safety Monitor е отлична, но малко сложничка. Платената й версия предлага отлична защита по всички параграфи. Има и малко орязана безплатна версия, която обаче все пак си е доста добра. Разработката по програмата е официално на "пауза", но май неофициално е спряна.

Real-time Defender (бившата ProSecurity) е също чудесна, но я намирам за по-тежичка. А и си остава сложна. Поне е безплатна.

Malware Defender е нова на хоризонта, спрямо другите. Платена е, но е отлична.

EQSecure е също много добра, но за жалост от версия 4 няма английски превод. Последната английска е 3.41 и впечатленията ми са от нея (защото китайски не знам). Поне е безплатна.

ProcessGuard е от най-старите в бранша и предлага чудесна стабилност и надежност, но пък е изоставена. Има и безплатна версия, която предлага доста базова защита. Затова пък е лека и много лесна за работа.

Ghost Security Suite е от автора на ProcessGuard. Включва AppDefend и RegDefend. Започва као trial, но превключва на ограничена безплатна след изтичане на периода. Стабилна е и лека. Интерфейст е малко объркващ. По-графичен е от този на Real-time Defender и System Safety Monitor например, но въпреки това е малко объркващ. На пръв поглед. На сайта е достъпна версия 1.110, но иначе има и бета на версия 1.4хх. Аз съм точно с 1.420 в момента и съм доволен засега.

D+ я споменавам не защото не я знаеш, а защото е надеждна.

Online Armor в двете си версии също предлага чудесни HIPS механизми. За жалост е тежичка. Тo не че Comodo e лека, де.

Dynamic Security Agent също не е лоша, макар че и не е кой знае какво. Не се отличава с нищо кой знае какво положително, но и няма какво толкова отрицателно да се каже. Средна работа.

DriveSentry е също добра. Предлага добра защита, но е и малко тежичка. Най-графично ориентираната от всички HIPS програми.

 

От самостоятелните HIPS програми (без Comodo и Online Armor) може би най-пълноценните са Real-time Defender, Malware Defender и System Safety Monitor. EQSecure и тя е наблизо обаче.

 

Най-леките според мен са ProcessGuard, Ghost Security Suite, Dynamic Security Agent и System Safety Monitor.

 

Има и други HIPS програми, но тези са според мен по-заслужаващите внимание, в един или друг аспект.

[tanganika]

Night_Raven какво ти е мнението за DefenseWall HIPS ?Създателя и твърди че инсталирана на чиста система и правилни решения от страна на потребителя (това не включва хигиена на сърфиране) осигурява 99.99 % защита от всякакъв вид заплахи.Това е най-леката програма за защита която съм ползвал.

[Night_Raven]

DefenseWall HIPS е наистина лека, лесна за работа, стабилна и надеждна. В действителност предлага чудесна защита. Не бих казал 99.99%, де, но наистина е добра и то доста. Програмата има 2 недостатъка (по мое мнение):

1) разработчикът й - Иля е малко с вирнат нос по мои впечатления и като (почти) всеки руснак си мисли, че изпражнението му мирише по-приятно от на останалите. Не харесвам такива хора и избягвам да ползвам техен софтуер, ако имам възможност. Странно може би, но е мой принцип.

2) лицензът й - струва парички, не е безплатна.

Който може да се примири с тези 2 недостатъка определено не би сгрешил ако ползва програмата.

 

Не я споменах, защото не е чист HIPS. Аз изреждах чисти/класически HIPS програми, а това е кръстоска между Sandboxie и HIPS.

[S235]

DefenseWall HIPS е наистина лека, лесна за работа, стабилна и надеждна. В действителност предлага чудесна защита. Не бих казал 99.99%, де, но наистина е добра и то доста. Програмата има 2 недостатъка (по мое мнение):

1) разработчикът й - Иля е малко с вирнат нос по мои впечатления и като (почти) всеки руснак си мисли, че изпражнението му мирише по-приятно от на останалите. Не харесвам такива хора и избягвам да ползвам техен софтуер, ако имам възможност. Странно може би, но е мой принцип.

2) лицензът й - струва парички, не е безплатна.

Който може да се примири с тези 2 недостатъка определено не би сгрешил ако ползва програмата.

 

Не я споменах, защото не е чист HIPS. Аз изреждах чисти/класически HIPS програми, а това е кръстоска между Sandboxie и HIPS.

 

Night_Raven не знам с каква професия имаш, но винаги ми е приятно да те чета. Пишеш много коректно, ясно, точно и обясняваш нещата на достъпен език. Признавам си, че винаги от теб научавам нещо ново и полезно от практическа гледна!

[tanganika]

damto как ще коментираш това тотално о*иране на любимата програма KIS нали има проактивна защита.HIPS-а подобни неща ги вижда и блокира без дефиниции.Ползвал съм KIS и знам че ако виждаше този вирус трудно щеше да допусне заразяването но в случая просто любимата проактивна защита е проспала всичко.Ако от касперски не вземат мерки да сложат добър HIPS ще дойде време да блокира само скриптове,банери и вече познати вируси датиращи от Терциера с тяхната проактивна защита.

 

Microsoft Windows XP Professional

Running from: c:\documents and settings\Spunky\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Spunky\Desktop\CFScript.txt

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

c:\docume~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys

c:\documents and settings\Spunky\Local Settings\Temp\aujasnkj.sys

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_AUJASNKJ

 

Извод няма ли дефиниции антивирусната "дупе да ти е яко",освен ако не му помагаш с линукс,виртуални машини и внимаваш къде влизаш.Бъдещето е в HIPS-а и правилните решения на потребителя.

[Night_Raven]

Бъдещето е в HIPS-а и правилните решения на потребителя.

Това е доста депресираща гледна точка, защото е вярна. Проблемът не е в програмите, а в потребителите. При наличието на една добра HIPS програма (особено ако е подкрепена с още някое друго продуктче) на практика защитата е почти непробиваема. За жалост обаче потребителите въобще не са наясно с този метод на защита.

 

Антивирусните пък имат HIPS/behaviour blocker защити колкото да не е без хич, за да имат някакво основание да напишат по сайтовете си, че имат такава технология в продукта, за да качат бройката на функциите/екстрите и да впечатляват потребителите. На практика са толкова слаби, че може и без тях.

[tanganika]

Това е доста депресираща гледна точка, защото е вярна. Проблемът не е в програмите, а в потребителите. При наличието на една добра HIPS програма (особено ако е подкрепена с още някое друго продуктче) на практика защитата е почти непробиваема. За жалост обаче потребителите въобще не са наясно с този метод на защита.

 

Антивирусните пък имат HIPS/behaviour blocker защити колкото да не е без хич, за да имат някакво основание да напишат по сайтовете си, че имат такава технология в продукта, за да качат бройката на функциите/екстрите и да впечатляват потребителите. На практика са толкова слаби, че може и без тях.

 

Оставам с впечатление че си учил маркетинг или продажби защото си 100% прав(аз съм учил точно това),от два месеца се опитвам да го докажа.И аз бях депресиран в продължение на 5 месеца при всяка поредна издънка на ползваната от мене антивирусна програма докато разбера че може и без тях щом всичко така или иначе минава през HIPS-а и остава аз да вземам правилните решения.Лично аз спазвам 5 основни правила,които всеки може да спазва ако е решил да разчита на HIPS.

Какво да се прави потребителите искат светлинно шоу и го получават на доста висока цена,даже ми се струва смешно да си плащаш за да бъдеш заразяван и ако не може да се почисти системата пак си плащаш.