Pe6o

j....jk, "А ако толкова искаш изява, мога да прехвърля темата на теб" Само да ти припомня, че това е общодостъпен форум и всеки регистриран потребител може да участва със свое мнение, независимо какво е,стига да е в рамките на приетите правила.Темата не е твоя, което означава, че не можеш да я прехвърляш на никого, а и не знам в този форум да има такава практика. "Файлове със странни или произволни имена в директория temp в повечето случаи реално може да означават нередност, особено когато при тяхното изтриване на следващият рестарт се самосъздават" Ами нали и аз това казвам, с малка корекция: няма директория "темп",а папки "темп" в различни директорий. Що се отнася за часта от изречението след запетайката си много прав, стига да си го обясниш защо е така. Относно възстановяването на файлове след рестарт,трябва да разбереш механизма на това действие и тогава ще можеш лесно да решиш проблема. Със стъпка 2 точно това се опитвам да кажа.Това е принципно положение, не бива да се абсолютизира за този конкретен случай. Ето един вариант, който може да е валиден за този случай. Има програми, който при стартирането си инсталират в някой от папките "темп" свой файлове/изпълними .exe или библиотека .dll/работят с тях и при закриване на програмата ги изтеглят/изтриват/.Впечетлението, че файловете се възстанатяват може да се създаде от това, че дадената програма се стартира заедно с операционната система.Надявам се, че знаеш как да разбереш дали това е така. В заключение, щом си "geek" първо поръсъждавай върху проблема, пък после предложи някаква стратегия за решаване, иначе с предлагане на различни програмки си във фаза на налучкване. VY 73!

BMW_CS_CONCEPT, Коментирам лога на SAS: Когато в някой от папките "темп" има изпълними файлове с голяма вероятност може да се приеме, че представляват някъкав зловреден код. Може би това е причината въпросната програма емперично да ги определи, като някаква форма на троянски кон, докато при другите лагове няма такава индикация.Така показаният лог на SAS указва,че няма опасност от реален зловреден процес, защото няма индикация въпросните файлове да са свързани с съответни записи в регистрите.Обикновено SAS индикира тези неща, но трябва да се провери. Можеш да направиш следното:/пример/ Стъпка 1. Отиваш в съответния дял, директорий и папка, намираш файла и го изтриваш. C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\EA6C5F80-3F83390-6667E178-D7539100\3F6FAXP.EXE Стъпка 2. Отваряш регистрите, търсиш на "3F6FAXP.EXE" и изтриваш всичке записи асоцирани с този файл. Ако няма нищо всичко е ОК. Това важи и за другите файлове показани от SAS.

Здравейте прятели! Ето как изглежда теста при мене: Резултата от сканиране на единичен порт - в случая: 80 http://img80.imageshack.us/img80/5918/ps4x.jpg Какво става в случая: Браузерът/Avant/подава заявка на скенера/t1shopper/към порт 80 и същевременно указва порта 2376, който отваря за отговор. Само че скенера не изпълнява това указание и пренасочва отговора към порт 80 и естествено стената го игнорира, което е рутинно действие. http://img828.imageshack.us/img828/4189/ps1t.jpg А какво става ако зададем сканиране на редица от портове? http://img204.imageshack.us/img204/2505/ps5q.jpg Резултатът от сканиране на поредица от портове: http://img204.imageshack.us/img204/2060/ps7f.jpg Виждат се индентичните с по горе резултати при сканирането на портове: 21,23, 25,80,след което информацията прекъсва. Това е така, защото след определен брой портове/ в случая 4-индивидуална особеност на всяка стена/същата преминава в режим: "Port Scan" и според настройките блокира атакуващият хост за определено време/в случая 600 сек./ http://img411.imageshack.us/img411/4210/ps8ui.jpg http://img408.imageshack.us/img408/7479/ps9g.jpg http://img818.imageshack.us/img818/7999/ps10j.jpg http://img820.imageshack.us/img820/263/ps11x.jpg Подробно същото се вижда и от Traffic log'a. http://img829.imageshack.us/img829/5789/ps6i.jpg @nikikom, Не виждам смисъл от едни такива действия.Защо си криеш IP'то? @tanganika, Returnil има и безплатна версия. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Night_Raven, "Какъв продукт на касперски имаш впредвид?" Попитах, защото останах с впечетление, че си наясно с отговора на въпроса. Zooookey го конкретизира, но това се вижда в лога но OTL, предложена от тебе за диагностика на проблема/има малко разминаване в цифрите, но това е без значение/. http://a.imageshack.us/img225/2314/sv8.jpg Активация на програмата се вижда чак в лога на AVZ-#25 /детайл/ http://a.imageshack.us/img695/236/sv9w.jpg Това е HIPS'a KAV-KIS, но няма индикация, че работи-изтекъл пробен пириод или повторна инсталация. Наличието на .sys в компютъра с определен брой захвати на API и непоказването на това/тези/ действия с цел контрол от страна на оператора се отъждествява с действието на руткит. Не казвам, че случая е такъв и затова използувах израза: "неоправдано присъствие в компютъра", в смисъл щом нещо не е нужно защо да го държиме на PC. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Какъв продукт на Kасперски имаш впредвид? http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Hi Night_Raven, благодаря, но не мисли, че не знам какви са тези файлове. Забележи, използувам определението: "неоправдано присъствие в компютъра." Не бих искал да изпадам в подробности, но моето твърдение се основава на сравнително подробно рзчитане и сравняване на логфайловете, който за добро са доста на брой и дават по пълна картина за ситуацията. Употребявам сравнително, защото съм запознат с конкретния маниера на работа в тази ситуация. Разбира се може и да не съм прав, но тогава някой трябва да каже, защо е оправдано присъствието на въпросните файлове в компютъра? За да не бъда разбран погрешно подчертавам, че става въпрос за една конкретна ситуация. Привет Zoookey, "това е програма за клавишни комбинации." ОК! Не става въпрос за програмата, а какво прави към момента фиксиран в т.1. Същата, в случая hotkeyz е заела порт 1046 и "слуша". Със сигурност не музика и със 100% сигурност очаква контакт със отдалечен компютър. Много други правят това, но програма от този тип няма основание да извършва такова действие, което от своя страна го прави подозрително. И ако продължим сценарият, защо не след инструкций от далечния компютър не започне да съобщава някой неща за тебе, какви сайтове посещаваш например и т.н. Е, това е лошия сценарий, може да има и хубав? Във всеки случай формулировката на т.1 "-канал за пренос на данни" е точна. Хареса ми написаното от тебе в #21: "Мисля, че успях да изчистя част от гадовете (поне временно........." за съжаление. Бил си близо до истината, малко нещо не ти е достигнало и си щял да се справиш сам. Преди време бях писал във връзка с решаване проблем от подобно естество, но за съжаление архивите се изгубиха. Пак за съжаление през следващите 15-20 дни съм зает, но при първа възможност ще дам алтернативен начин за възможвостта: "проблема може да се реши и по-лесно без да се използуват специфични програми, скриптове и т.н." #32 http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Привет icotonev, Всичко е ОК въпреки, че проблема може да се реши и по-лесно без да се използуват специфични програми, скриптове и т.н. Това е друга тема, а повода е: Прав си, но конкретно: 1./ 1046 LISTENING -- -- [180] c:\program files\hotkeyz\hotkeyz.exe-канал за пренос на данни. 2./ C:\WINDOWS\system32\DRIVERS\klif.sys Подозрение на RootKit Перехватчик KernelMode-неоправдано присъствие в компютъра. 3./ mzvkbd3.dll-hidden файл-неоправдано присъствие в компютъра. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Night_Raven Не съм съгласен. Персонализираш нещата. Това, което споделям не съм си го измислил, просто съм прочел, асимилирал и подплатено с практически опит интерпретирал в съвсем популярна форма. Така, че тези неща се споделят от голям кръг хора и персоналното ти заключение се мултиплицира, което не е редно да го правиш. Главното оръжие в един дебат са аргументете, различни квалификаций са само израз на ...... Ето пример на аргумент: http://www.youtube.com/watch?v=xbxZtp66o3E Сравнявам "SSMRro" и "Malware Defender", като използувам "SysProt". Ако приемеме, че SSMRro е 100% "класически" "HIPS", то спрямо това MD можем с известно приближение да приемем, че е 20%. От гледна точка на комплексни защитни качества двете програми са с изравнени възможностти с лек превес на "MD". Откъде последната компенсира 80% + за да изравни "резултата". Отговора е, че "Malware Defender" е преди всичко "behavio/u/r blocker" 80% + 20% "класически HIPS"/аз употребявам думата"чист"/.Обратното процентно съотношение важи за "SSMRro". За да не бъда грешно разбран "класически HIPS" и "behavio/u/r blocker" са два различни метода на осъществяване на защитно действие от клас програми известни с популярното наименование "HIPS". Збл.:fiiajfgg.sys->драйвър на "Malware Defender"/и в Baidu няма информация за файла?/ Визуалното изражение на последното изречетие може да се види на следният клип:Гледай. Без много обяснение се вижда, че начина на действие на двете програми е различен. И едно филмче за провала на SSMRro на "ClipBoardLoggerTest" в потвърждение на минали неща за които съм писал. Във втората част се вижда, че даже и при силна рестрикция на правилата, теста не се покрива. По подобен начин и "Malware Defender" се проваля/с известни нюанси нямащи отношение към крайния резултат, така е като преписват/ т.е. необходимо е създаването на ново правило в допълнение към стандартните. Виж клипа: От фамилиарното описание на историята на "Malware Defender" оставам с впечетление, че имаш по-спациални отношения с разработчиците на програмата, така, че можеш да доведеш до знание въпросната констатация и при следващия рилейз този тест да се покрива. Това е нормална практика и се използува от всички разработчици, стига конкретната програма да продължава да се разработва. http://a.imageshack.us/img541/3774/apc2010073021150013d.jpg В заключение нещо, което много ми хареса, прекопирано е от един форум: http://a.imageshack.us/img829/8527/sv7.jpg Време е,айди на море, слънце да ни пиче! http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Здравей Night_Raven, Преди всичко се извинявам за закъснелия отговор поради заетос,но: "забавям но не забравям". От пространното изложение, което си написал ще се концентрирам само върху тестовата ситуация, която предлагаш, като твое и признавам оригинално хрумване, което не е лишено от основание. Искам да припомня,че ставаше въпрос за моето твърдение, че HIPS базираните защитни системи не работят добре, като антилогери. За потвърждение на горното се позовах на два теста: ALKT&Keylogtest и потвърждавам, че показаното в моят клип са автентичните тестове. Би трябвало да ти направи впечетление, че блокирането на тестовете 1,2,3,4,7 и 5,6 става/ALKT/ по два различни способа и защо това е така? Не трябва да се забравя, че това са симулирани действия, което предполага определена доза ниво на компетентност за разчитане. Приемам критиката ти относно енигматичността ми на изсказ, но като професионалист трябва да се разбираме с по-малко думи. Ще се спра възможно по обстойно на модифицирания тест който предлагаш. С долния клип показвам подробно тестовата ситуация така, както ти интерпретираш оригиналният тест. http://www.youtube.com/watch?v=C5vNzJ9y30k /Следва продължение/ http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Продължавам Night_Raven, А сега по-подробно. Използувам програмата SSMPro 2.4.0.620. Почваме на чисто: отваряме прогрмата и в "Правила" виждаме че съдържанието на "Normal" е празно /изчистил съм го ръчно за теста с изключение на:svchost.exe,winlogon.exe,services.exe/За пояснение тук се "складират" задължително всички приложения, който не са под контрола на HIPS'a на програмата/използувам термина "чист HIPS и съм обяснил защо/ и затова работещи на принципа: "блокиране по поведение" или с други думи: "behavior blocker". Практически това става като създадем правило за съответното приложение. Освен това тук се складират и приложения на общо основание за който сме създали правила, нпр. ако отваряме често notepad, независимо,че се контролира от HIPS, му зададем статус: "allow" с отметка в box'a. http://img130.imageshack.us/img130/9655/sv1g.jpg Употребявам думата "задължително", защото се вижда и в клипа ти, както и в обяснението в т.2&3. Не е необходимо да правиш непрекъснато рестарти, логичното действие е да създадеш правила, иначе можеш да натискаш до безкрайност. Започваме теста от 5'та позиция. След като активираме бутона и поставиме курсора в полето на notepad изскача прозорец, чрез който SSMPro ни пита, какво действие да предприемем. Ако дадеме разешение, прозорецът се скрива и когато изписваме символи в txt.документа те безпрепятствено се ретранслират в прозореца на теста, с други думи защитата се е провалила. Обратно, ако дадеме "block" и повторим същите действия, няма да имаме символи в прозорец на теста, т.е. имаме защитно действие придружено със съобщение от вида: http://img43.imageshack.us/img43/779/sv3i.jpg http://img43.imageshack.us/img43/774/sv2o.jpg И това можем да го повтаряме многократно и в различна последователност. Ако сега отвориме SSMPro, така както е написано по горе ще видиме, че няма никаква промяна защото това защитно действие се осъществява от HIPS'a на програмата и като такова не се нуждае от създаване на правила,освен в случайте, когато по наше желание създадем такива. Преди да приключим обърни внимание на: Pid=288 http://www.youtube.com/watch?v=P2zznAwm3Rw /Следва продължение/ http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif Поправям грешката: "С долния клип показвам подробно тестовата ситуация така, както ти интерпретираш оригиналният тест." http://www.youtube.com/watch?v=C5vNzJ9y30k VY 73! Продължение към темата: Сега да се прехвърлим към позиция 1.Началните стъпки са индентични с тези по позициа 5.Започваме от момента когато трябва да предприемем действие. Независимо от статута, който искаме да зададеме, практически не можем да направиме това, без да създадеме правило за това действие. Изразява се в невъзможността да затвориме прозореца без да сме създали такова правило. При натискане на бутоните прозореца само премигва,/както се вижда в клипа ти/ но не може да се затвори. Практически създаването на правила става, като поставим отметка в box'a и активираме някой от бутоните allow&block За сравнение Pid=288 и при двата случая са еднакви. Също така ще видим в "Правила" вече фигурира програмата "ALKT.exe" Ako направиме десен клик и в менюто "Специални разрешения" в отвореното подменю ще разбереме кой действия предприети от програмата "ALKT.exe" с Pid=288 ще бъдат блокирани от защитната програма. http://img43.imageshack.us/img43/2585/sv5r.jpg В случая е: "низкоуровен достъп до клавиатурата" или ако си обърнал внимание това е точно определението дадено в блокиращиат прозорец на SSMPrо. http://img20.imageshack.us/img20/256/sv4p.jpg От тук можем да направим прецизни настройки, но за нуждите на теста не са нужни.Всичко това важи за позицийте:1,2,3,4,7, който са подобни, защото са с еднакви Pid. Да се има впредвид, че ако по някакъв начин дадеме разрешителен статут на програмата в подменюто "низкоуровен достъп до клавиатурата" /зелена отметка/ се загубва и възможността за защита осигурявана от HIPS'a на същата, зададените правилата са приоритетни. Ако имаме друга програма с индентично действие, но различен Pid програмата ще изиска създаването на ново правило. Резюмирам накратко: програмата използува два метода на защита: HIPS и блокиране по поведение. От гледна точка на защитата: "Не е важно дали котката е черна или бяла, важното е да лови мишки" http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Здравей Night_Raven, Обединявайки тези две подборки излиза следното: "spXX.sys си е точно sptd.sys. Смяната на последните два символа от името е част от методите на драйвера да преодолява защити." Напълно съм съгласен и повторно го потвърждавам. В следващея пост обаче пишеш: "След като потребителят е одобрил създаването на същинския драйвер не виждам как това е преодоляване на защитата."??? И още: "Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не ъществува в действителност." Е как така: "Дори не ъществува в действителност" а пък "е част от методите на драйвера да преодолява защити." ??? По горе съм написал: Продължавам оттук: http://www.youtube.com/watch?v=NhBzZK4fa78 На клипчето се виждат всички "API", нойто управляват ОС, както и въпросният "диспечер". Ако превъртиме по-надолу ще видим оцветените в червено фаейлове, който са hook's на програма, която ги е инсталирала, в случая "safemon.sys" и управляващи ОС чрез "API" за който са настроени. Като резултат от това съответната програма инсталирала тези hook's ще направи видими тези действия изразяващо се чрез запитване до потребителя за даване на статут. Самата подборка на "API", който програмата ще прихваща е работа на разработчиците и се определя по различни критерий. Ето това е "чистия" "HIPS" и както писах той не подлежи на настройки от страна на потребителите. Ако се поровиш малко повече можеш да разбереш, кой групи от "API" се отнасят към регистрите, можеш да разбереш и кой други програми използуват елементи на "HIPS", да сравняваш различни HIPS програми и да добиеш реална представа за качествата им, а не някакви емперични съждения, както и да създадеш правила за компенсиране на евентуални пропуски. И тъй като си идваме на думата за правилата за компинсиране на невъзможни защитни действия осъществявани от "чистия HIPS" поради ограниченията поставени от "API" разработчиците са предвидили конкретно за регистратурата възможност за създаване на правила: при безплатната SSM са ограничени в рамките на критични за сигурността ключове /редове/ в регистрите, докато в платеният вариант са стигнали до абсурда да имаме практическата възможност за пълен сонтрол над регистрите. Това последното също по смисъла на действие отговарящо на абраватурата е "HIPS" но популярен под името "Behavior Blocker". Е има и още един "HIPS" и ако си любопитен можеш да прочетеш нещо по въпроса. За горното съм дал подробен пример със SysProt придружен със снимков материал в .gif формат, но едва ли си спомняш за това. За съжаление не получих отговор защо нямам достъп до архивните материали за който съм давал мнения във форума. За разлика от тебе не се крия зад звездички е съм го казал ясно. Поздравления за бързата реакция относно линка, но това не променя нещата. http://img121.imageshack.us/img121/2746/sv83.jpg Забравяш! Ще се повторя: или говориш наизуст или не не тестваш както трябва, а е възможно и да не схващаш за какво става въпрос. Не ми представлява трудност да обоснова твърдението си, но ми отнема време: http://www.youtube.com/watch?v=JLcRI6b-tgc За изброените програми имам представа, но не ги използувам, защото не отговарят на някой мой кретерий. Не мога да коментирам твърдението ти "следните програми също неутрализират всичките въпросни методи за запис на клавиши:.....", но ми се струва, че се поизхвърляш. Това ти си си го измислил, никъде не съм твърдял подобно нещо. Това, че не са достатъчно ефективни в някакъв сегмент от сигурността, априори не означава, че са въобще неефективни. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Привет Crio, Похвално е, че си написал тази програмка, но сам разбираш, че това е по-скоро упражнение с бъдещи цели ако развиеш идеята и я адаптираш. Нали уточних, че правилното е да използуваме думата "логери", а те могат да бъдат кей,скрийн,уебкам, клипборд логъри, но всички те използеват двата основни захвата:мишка и дъска. http://img130.imageshack.us/img130/2535/sv84.jpg Дали ще натиснеш един клавиш или сто за логъра е все едно, той ще го запише. И това не представлява опасност за ОС, проблемът е да предотвратим изнасяне на информация. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Привет Night_Raven, Дал съм подробен отговор,прочети внимателно! На снимките те/драйвърите/не се виждат! Ето това е което се опитвам да обясня, това е един начин как може да бъде излъгана, преодоляна или както искаш го наречи на защита разчитаща на HIPS технологията. Само тук ще вмъкна, че антируткит програмите не откриват директно кода а работят по коствени признаци. Затова: "Действието е сходно с това на рууткити, затова и кара GMER да реагира по този начин и т.н". Думичката "мнимите" не е точна, те съществуват в паметта и това е обяснено в руския форум. Писал съм, че чистите HIPS базирани програми не защитават регистратурата. Малко отклонение: няма стойности, така, че няма какво да изтрием базирано на числова величина. Говорим конкретно за програмата SSM-безплатният и платен вариант, имам и двете и ги ценя високо, за съжаление вече не се разработват. Задавал ли си въпроса, защо освен чистият HIPS,който не подлежи на допълнителни настройки от потребителите, към програмата са предвидени опций, които са обект на настройки? Ако "деактивирай всичко" /или маркираме със зелена отметка някой от групите/ програмата ще остане да работи само на HIPS'а и каквито промени да правим в регистратурата независимо дали принудително с тестова цел или от зловреден код, програмата няма да реагира. Ще имаме реакция само тогава, когато активираме "позволи всичко" и сме задали правила за съответвите групи от регистрите или индивидуални правила за отделните ключове. Това е принципа на работа на Behavior Blocker'ите, което е коренно различно от принципа на HIPS. Ами пойграй си малко с програмата за да видиш, че е така и да не пишешнеща наизуст. Може би не си ме разбрал: На този принцип работи, макaр и в ограничен формат и "MBAM"-имам впредвид "Behavior Blocker". http://img155.imageshack.us/img155/4110/sf7e.jpg Направо го кажи "Malware Defender 2009".Последната е влязла в дефиницийте или в черниат списък, не знам как е по добре. Имам впредвид "Malware Defender2.7.1",да не кажеш после, че не съм предупредил! Няма да влизам в подробностти само ще споделя: "dl.360safe.com" фигурира в хостфайла. Има много неясноти около програмата, който споделям, включително и това: http://img683.imageshack.us/img683/8185/sv71.jpg За версийте, който ползувам вече стана въпрос. Пак ще повторя HIPS'овете не работят добре като антикейлогери и съм писал защо. Не искам да хабя място за снимки, само ще кажа, че платената версия на SSM/използувам 2.4.0.622/на антикейлогер тестовете се държи индентично с безплатната. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Привет Crio, Уточнението ти е правилно. Сигурно има потребители за който това ще е полезно. Тъй като правя много на брой екранни снимки "използувам приложения предназначени за снимането на екрана",защото ми "е по-лесно, чрез натискането на някаква клавишна комбинация". Искам да подчертая, че в примера ти "Снимането"/копирането на видима част от работното пространство НЕ изисква никакви действия от потребителя. Приложения като VNC, TeamViewer, че дори и Skype например "снимат" в реално време работното пространство или част от него и го показват на отдалечен компютър, без натискането на клавиши", както си отбелязал става въпрос за "копирането на видима част от работното пространство", а аз имам впредвид снимка на част от екрана оразмерена в реално време и съхранена на HDD с последващи възможни манипулаций. Ако знаеш някаква програма да прави всичко това без използуването на клавиатурата и да бъде по производително, моля сподели. Малко съм назад с материалa, така че ще ти бъда благодарен да пробвам. Удеблените места са твой цитати.. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Здравей Night_Raven, Това съм го чувал вече. Ние сме различни хора и като такива е нормално и да имаме различни мнения. Този факт смятам, че не е причина за внасяне елементи на раздразнение в дискусията. Това, което казвам не твърдя, че е абсолютната истина, просто изразявам мнение. Припомням: "С това не отричам твърдението ти: "Софтуерен keylogger е процес, който следи и записва натиснатите клавиши на клавиатурата."" и не смятам да го повтарям повече. И аз това казвам.Понятието е широко, защото за да се задействат и "други неща" трябва да се натискат клавиши. Как ще направиш екранна снимка без да натиснеш някаква клавишна комбинация? Нещата са взаимнообвързани и може би най-удачно е да се използува понятието "логери". Всъщност въпроса е зададен от tanganika "Когато инсталираш "Daemon tools" SSM не те ли предупреждава заинсталирането на драйвера ? !" На снимките, който показваш не се вижда това да се е случило и го коментирах. Както споменаваш това е за преодоляване на наложени забрани, който въпросната програма осъществява, или в случая го използувах като примерен тест чрез който да се демонстрира една възможност за преодоляване на защита базирана на "HIPS" технологията. Когато задаваме на ОС да извърши някакво действие, нпр. отваряне на папка " диспечерът" "ntoskrnl.exe" прави захват активира съотвитното "API" /инструкций по които ОС извършва определеното действие, в случая "open folder"/. В същото време "SSM"?/говориме конкретно/ чрез "safemon.sys" извършва паралелно същите действия само че ни ги показва и като потребители трябва да решим, какво действие да предприемем. http://img824.imageshack.us/img824/9702/sv65.jpg На снимките показващи някой дискусий от форуми се вижда, че според "GMER" "spvr.sys"/или както там се появява/ си съществува "the system cannot find the file specified!", което означава, че въпросният драйвър е "невидим" но само за "API", а не въобще. Ако приемем, че " Дори не съществува в действителност." значи GMER има голямо въображение. И обърни внимание независимо от тази форма, той е напълно работоспособен, което се вижда от захватите, който е направил. Това означава, че може да накара ОС да извършва всички тези действия без "ntoskrnl.exe", с друг думи без участието на потребителя. Тези действия няма да се засечат от никой "HIPS", защото те работят както по-горе споменах паралелно. С това искам да покажа, че "HIPS" защитите не са панацея за сигурност, те имат област на приложение, която е рамкирана в границите, който споменах. И сега защо препоръчвам използуването на "HIPS+Behavior Blocker". Ето един пример: отваряме регистрите-HIPS'а засича това действие, защото се включва съотвитният захват нпр. "open registry". Продължаваме напред и променяме някаква числена стойност по ключовете, което може да доведе нпр. до спирани на АВ програма. Само, че това действие е рутинно и не се контролипа от "API" и съответно не се санкционира от "HIPS". На помощ тука идва Behavior Blocker'a, който работи на базата на зададени правила и веднага ще открие несъответствието. В този случай взаимно си помагат, при други могат и да си пречат, затова казвам, че не е за всеки. На този принцип работи, макaр и в ограничен формат и MBAM. "Malware Defender" е "rogue" и като такава би трябвало да влезе в дефиницийте на "MBAM", ако нe съобщи! Eдин пример за съвместната работа "HIPS+Behavior Blocker" в снимки. Първи вариант: "SSM" работи самостоятелно. 1. http://img101.imageshack.us/img101/5330/sv38.jpg peshotest.exe-копие на "keylogtest/exe" с променено име. 2. http://img9.imageshack.us/img9/6945/sv39.jpg старт на теста. "SSM" засича това действие, както и всяко друго.Разрешаваме. http://img9.imageshack.us/img9/1143/sv44.jpg кейлогера се стартира и "SSM" не блокира записа на клавишите. Втори вариант:"SSM+Threat Fire" 1/индентично с по горе. 2/индентично с по горе. http://img824.imageshack.us/img824/1874/sv40.jpg "Threat Fire" засича стартиране на:"logging keystrokes". http://img824.imageshack.us/img824/5696/sv41.jpg "SSM" засича действието ноето "Threat Fire" е готов да предприеме. Практически какъвто и статут да дадеме/разрешение или блокиране/ на "SSM" това няма да оказе влияние на действието което ще предприемем чрез "Threat Fire". http://img685.imageshack.us/img685/1756/sv43.jpg Проверка за разпознаване по име. Няма грешка! Споменах, че си фен на "Outpost Firewall" защото си го казвал. Ако не беше платена и аз щях да я използувам, защото я считам за по добра от двете споменати от тебе. Може би отношението ти към теста е малко крайно, но и аз не случайно подчертах думата "реално". Независимо от всичко има полза от такива тестове и неслучайно разработчиците се съобразяват с тях. Когато CLT се появи Comodo го покриваше на 50%. Пример: http://forums.comodo.com/leak_testingattacksvulnerability_research/keylogger_test_failed-t16489.0.html Няколко снимки от AKLT Test: Привикване към API без захват: Bad http://img340.imageshack.us/img340/5744/sv47.jpg http://img693.imageshack.us/img693/1479/sv48.jpg Привикване към API със захват: Good http://img687.imageshack.us/img687/281/sv58.jpg http://img707.imageshack.us/img707/5930/sv57.jpg Реакция на Threat Fire: http://img413.imageshack.us/img413/3540/sv49.jpg http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

Привет Night_Raven,tanganika, Ще комбинирам отговора. @Night_Raven С примера, който даваш се опровергаваш. Програмата: "FastStoneCapture" извършва действия: http://img20.imageshack.us/img20/1423/sv31.jpg Както се вижда от снимката SSM Pro не определя програмата като кейлогер, а като "some keyloggers function" -затовa споменах,че: "Понятието кейлогер е доста широко". http://img41.imageshack.us/img41/4318/sv32k.jpg Може би по удачно би било да тестваш SSМ Pro с някой антикейлогер тест и да се види кои кейлогер действия прихваща и кои не и по тези показания да се съди за действителната степен на опасност. Иначе програмата ще предупреждава и при всяко стартиране на програми, например такива записващи снимки от екрана. За по голяма ясната ще дам два примера: http://img41.imageshack.us/img41/1408/psmantkeyloogger3afinal.jpg Виждат се работещите програми който са: "some keyloggers function." Захвата: "Called Functions" : "SetWindowsHookExA" не е индикация за тревога. http://img41.imageshack.us/img41/4821/psmantkeyloogger5.jpg Тук обаче захвата: "Send Message" e индикация за наличието на кеулогер в ОС. С това не отричам твърдението ти: "Софтуерен keylogger е процес, който следи и записва натиснатите клавиши на клавиатурата.",просто прецизирам нещата. @tanganika Не знам. Сега ще коментирам по Night_Raven: Първо никъде не споменавам драйвъра, който се инсталира от програмата "Daemon tools", а казах "sp**.sys". Night_Raven определи, че това е Само, че ако се прегледат внимателно снимките ще се види, че никъде SSM Pro не е регистрирала инсталиране на драйвъра на програмата: "sptd.sys". Само на снимка нр. 7 се вижда изписано името на този драйвър, като атрибут на ключ в регистрите. http://img41.imageshack.us/img41/2118/sv33.jpg Това означава, че въпросния драйвър е вече инсталиран и се намира на указаното местоположение. Затова казвам, че "проспиваме" нещо. Няма основание инсталирането на този драйвър да не бъде засечено, може би нещо е пропуснато. Предполагам, че при разопаковането на: DAEMON Tools....exe е възможно да не се отчете, но при първоначалното стартиране/ DAEMON Tools+sptd.sys/ трябва да бъде засечен. И второ, въпросът е друг с повишена трудност и затова го поставям. Става дума да се изясни дали HIPS програмите засичат показаните на мойте снимки драйвъри, който са във скрит формат. Според мене не. И малко информация от форуми по този въпрос за по голяма яснота. http://img266.imageshack.us/img266/2238/sv24.jpg http://img24.imageshack.us/img24/2916/sv30.jpg http://img641.imageshack.us/img641/4959/sv26.jpg http://img28.imageshack.us/img28/63/sv28.jpg @Night_Raven Уточнявам! Казал съм: Ако не си в тази категория това не се отнася за тебе. За яснота ще си послужа със следния пример. Фен си на Agnitum Outpost Firewall Pro/според мене отличен firewall/, но на теста "CLT leaktest" събира 250 от 340. За да го покрием или трябва да сменим стената или много по лесно да си инсталираме някакъв Behavior Blocker. Във вторея случай ще имаме реално 100% покритие на теста, което кореспондира с цитираното по горе уточнение.http://forums.comodo.com/news-announcements-feedback-cis/leak-test-results-t30164.0.html Нали не смяташ, че съм го дописъл и баядисал буквете. Естествено, че няма да видиш нищо. Първо снимките са от началният/бърз/ скенер, който не индексира процесите въобще. Второ процеса е скрит и като такъв не е перманентно действащ, просто трябва да хванеш момента. Това обаче не може да стане с епизиодични тестове. ПП/Не знам аз ли греша или има някакво ограничение, но не мога да си видя всички мнения във форума. http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif