Въпрос за Skype

[Pe6o]

Привет Night_Raven,

 

Хубаво е когато се опитваш да опонираш да си наясно с нещата, който коментираш. С впечетление съм, че не познаваш в детайли въпросната програма, поне това личи от коментарите във форума които си правил по този повод. Ако имаш впредвид някаква друга SSM, моля сподели.

Аз работя с оригинала:

 

http://lh3.ggpht.com/_cYSuz4s_Wwg/TCM79TmighI/AAAAAAAAB6I/y4Vs6MCHrTg/SV%2017jpg.jpg

 

Дал съм снимков материал и коментар, ако има нещо неясно, питай.

Понятието "кейлогер" е доста широко, което предполага и такова проявление. Опитал съм се да покажа с примери един от тези начини на действие.

Нали се сещаш, че никой разработчик на Rogue не афишира предварително това?

 

Привет tanganika,

къде се губиш?

Виж какво казвам:

 

..."Например:notepad е легитимно приложение и като такова не се контролира от защитната стена, ако не му е даден ограничителен стаут."

Нали правиш разлика между защитна стена и HIPS.

 

..."/или както по снимката във временни файлове в hidden формат: xx2-xx5...,затова HIPS'овете не ги хващат/"

Когато файловете и съотвитно процeсите интегрирани с тях са във формат "hidden for API" те не могат да се контролират от HIPS. Затова както и преди съм препоръчвал за здрава защита: HIPS+Behavior Blocker.

На снимката, която показваш MBAM иска да запише резултатите от сканирането в логфайл, което е нормална процедура.

Става въпрос за нещо друго:/детайл/

 

http://img199.imageshack.us/img199/4105/sv18jpg.jpg

Има разлика,нали? Разбира се за един опитен потребител като тебе това ще направи впечетление и реакциятя ще бъде адекватна.

ПП.Може би съм пропуснал отговора: защо използуваш прокси?

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

Говоря точно за същата SSM и определено съм запознат с нея. За пореден път го казвам: SSM не е keylogger. Тя не записва натиснати клавиши. Тя засича подобни действия и предлага възможност за блокирането им, но самата тя не го прави. Keylogger-ите служат за шпионаж и/или кражба на информация. SSM е HIPS програма и следи/предпазва от такива неща.

Не виждам какво му е толкова сложното, че не го схващаш.

 

И отново да кажа, че HIPS и behaviour blocker едновременно е излишно и/или нежелателно. Въпросните програми се застъпват по функционалност и е дори възможно да възникнат конфликти.

[tanganika]

Здравей Pesho

 

Защо мислиш че това съобщение на Комодо е от защитната стена?

 

За да станат файловете и съответно процeсите интегрирани с тях във формат "hidden for API" трябва да се инсталира rootkit който да върши тази работа , тоест да крие дейността/процеситена keylogger-а.Но преди това rootkit-а трябва да инсталира драйвер ( който да контролира ОС ) а повечето HIPS програми би трябвало да реагират при опит за инсталиране надрайвер/и.

[Гост master7]

Абе от самият Windows по голям кейлогър няма ,ама както и да е. :)

Във връзка с кейлогърите да питам и аз нещо свързано със Skypе.

 

Едно приятелче неотдавна ми постави една задача на която не-можах да му отговоря.

Става въпрос за следното:

 

За да предотврати писането на пароли на непознати компютри на работа и из wi-fi кафенета в моловете,си бил направил преди време протабле Skype на флашка ,който автоматично вписвал паролата при зареждане.

Наложило се да форматира флашката и когато сложил /skype 4 - 5 / да е в крак с модата установил ,че вече не може да се вписва автоматично ,а трябва да въвежда всеки път паролата ръчно.

Попита ме какво да допише за да се вписва отново автомат.,ама аз нещо не-можах да му отговоря.

start Skype.exe /datapath:"MyAcauntData" /removable ??????

[Pe6o]

Night_Raven,

Формално погледнато в тесният смисъл на думата "кейлогер" си прав, но обърни внимание на:

 

Понятието "кейлогер" е доста широко, което предполага и такова проявление. Опитал съм се да покажа с примери един от тези начини на действие.

 

Когато излагам някаква теза се стремя да да я обоснова, като коментирам снимковият материал, такъв какъвто съм го видял и заснел. По принцип бих се съгласил с тебе,/както и с всеки друг/ ако можеш да представиш доказателствен материал в подкрепа на твоята теза или най малкото да коментираш това, което показвам.

 

И отново да кажа, че HIPS и behaviour blocker едновременно е излишно и/или нежелателно.

 

Казъл съм:

 

Затова както и преди съм препоръчвал за здрава защита: HIPS+Behavior Blocker.

 

Частично се припокриват, но съвместно двете покриват по широк спектър от заплахи, в сравнение с индивидуалното им използуване. За това, илюстрирано със снимков материал съм писал във форума./може да се намери в дискусийте преди (Търсенето е ограничено от 27-June 09) / Възможни са конфликти,

но тука става въпрос за напреднали потребители, или маниаци на тема сигурност.

 

tanganika,

 

На снимката, която показваш MBAM иска да запише резултатите от сканирането в логфайл, което е нормална процедура.

 

Защо мислиш че това съобщение на Комодо е от защитната стена?

 

Не е ли така?

 

За да станат файловете и съответно процeсите интегрирани с тях във формат "hidden for API" трябва да се инсталира rootkit който да върши тази работа , тоест да крие дейността/процеситена keylogger-а.

 

Ето:

 

http://img294.imageshack.us/img294/2348/hidden22.jpg

 

Тъй като говорим конкретно за SSM, няма как да стане-програмата сама да контралира себе си./въпреки, че има и такива случай/

 

Но преди това rootkit-а трябва да инсталира драйвер ( който да контролира ОС ) а повечето HIPS програми би трябвало да реагират при опит за инсталиране надрайвер/и.

 

Не знам дали това е точно така, но можеш да направиш следният тест:

Инсталирай "Daemon tools".Програмата идва със драйвъра "sp**.sys"-скрит и непрекъснато променящ последните две букви-приемаме го за "добрия руткит." Остава да проследиш действието на HIPS'а. Аз явно съм го проспал щом го показвам.

 

http://img534.imageshack.us/img534/5400/hidden4.jpg

http://img687.imageshack.us/img687/7438/hidden1z.jpg

http://img534.imageshack.us/img534/5400/hidden4.jpg

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[tanganika]

Pesho

 

Не е ли така?

 

 

Съобщението е от HIPS-а.

 

Pesho

 

Не знам дали това е точно така, но можеш да направишследният тест:

 

Инсталирай "Daemon tools".Програмата идва съсдрайвъра "sp**.sys"-скрит и непрекъснато променящ последните двебукви-приемаме го за "добрия руткит." Остава да проследиш действиетона HIPS'а. Аз явно съм го проспал щом го показвам.

 

 

Когато инсталираш "Daemon tools" SSM не те ли предупреждава заинсталирането на драйвера ? !

 

 

 

 

[Night_Raven]

Pesho,

 

Не намирам понятието "keylogger" за особено широко. Софтуерен keylogger е процес, който следи и записва натиснатите клавиши на клавиатурата. Това може да става потайно или не, като по-често е първият начин. Не виждам какво му е широкото на това. System Safety Monitor не извършва такава дейност. Тя може да я засича и, следователно, да защитава от нея. Ето пример:

http://ploader.net/files/e0118335282ebfdee44ac97500af1af5.png

 

Все едно ми казваш, че Comodo Internet Security, Online Armor или DefenseWall например са keylogger-и. Грам логика не виждам.

 

Препоръчваш или не, това не прави наличието на две такива програми едновременно желателна практика. Не само е нежелателна заради потенциалните конфликти, които могат да възникнат, но и на практика няма ситуация, в която да има логика да има инсталирани едновременно HIPS програма и behaviour blocker. Един напреднал потребител, който е наясно как работи операционната система, не би използвал behaviour blocker. Защо му е да ползва такъв, след като една мощна HIPS програма ще му даде по-подробен и надежден контрол (т.е. ще му предложи всичко, което би му предложил behaviour blocker, че и отгоре)? От друга страна един средностатистически потребител би пък направил обратното - би се спрял на behaviour blocker, защото няма нужните знания, за да се възползва пълноценно от предимствата на класическа HIPS програма. HIPS и behaviour blocker програмите са на практика в една категория, но са насочени към различни групи потребители.

 

Иначе не знам какво си правил, за да бъде засечен SysSafe.exe процесът като скрит, но при мен няма такива неща. Тествах версията на GMER, която ти си ползвал, и най-новата такава:

http://ploader.net/files/3aec60633ab2fd5ef62ba31c928dc033.png

 

http://ploader.net/files/b95959cf454494db048870a8d653f3f5.png

 

Това е със System Safety Monitor Pro 2.4.0.622, но и с последната безплатна положението е същото.

 

Колкото до DAEMON Tools, ето процеса на инсталация на SPTD драйвера през очите на SSM Pro, подробно и нагледно (доста шотове са, затова ги изреждам по този начин, че иначе ще заемат доста място в темата):

Снимка 1

Снимка 2

Снимка 3

Снимка 4

Снимка 5

Снимка 6

Снимка 7

Снимка 8

Снимка 9

Снимка 10

Снимка 11

Снимка 12

Снимка 13

Снимка 14

Снимка 15

 

Готов съм да направя и клипче на която и да е от тези дейности, ако има нужда.

[Pe6o]

Привет Night_Raven,tanganika,

Ще комбинирам отговора.

@Night_Raven

 

Не намирам понятието "keylogger" за особено широко.

 

С примера, който даваш се опровергаваш. Програмата: "FastStoneCapture" извършва действия:

http://img20.imageshack.us/img20/1423/sv31.jpg

 

Както се вижда от снимката SSM Pro не определя програмата като кейлогер, а като "some keyloggers function" -затовa споменах,че:

"Понятието кейлогер е доста широко".

 

http://img41.imageshack.us/img41/4318/sv32k.jpg

 

Може би по удачно би било да тестваш SSМ Pro с някой антикейлогер тест и да се види кои кейлогер действия прихваща и кои не и по тези показания да се съди за действителната степен на опасност. Иначе програмата ще предупреждава и при всяко стартиране на програми, например такива записващи снимки от екрана. За по голяма ясната ще дам два примера:

 

http://img41.imageshack.us/img41/1408/psmantkeyloogger3afinal.jpg

 

Виждат се работещите програми който са: "some keyloggers function." Захвата: "Called Functions" : "SetWindowsHookExA" не е индикация за тревога.

 

http://img41.imageshack.us/img41/4821/psmantkeyloogger5.jpg

 

Тук обаче захвата: "Send Message" e индикация за наличието на кеулогер в ОС.

 

С това не отричам твърдението ти: "Софтуерен keylogger е процес, който следи и записва натиснатите клавиши на клавиатурата.",просто прецизирам

нещата.

 

@tanganika

 

"Когато инсталираш "Daemon tools" SSM не те ли предупреждава заинсталирането на драйвера ? !"

 

Не знам. Сега ще коментирам по Night_Raven:

Първо никъде не споменавам драйвъра, който се инсталира от програмата "Daemon tools", а казах "sp**.sys". Night_Raven определи, че това е

"...DAEMON Tools, ето процеса на инсталация на SPTD драйвера през очите на SSM Pro".

Само, че ако се прегледат внимателно снимките ще се види, че никъде SSM Pro не е регистрирала инсталиране на драйвъра на програмата: "sptd.sys". Само на снимка нр. 7 се вижда изписано името на този драйвър, като атрибут на ключ в регистрите.

 

http://img41.imageshack.us/img41/2118/sv33.jpg

 

Това означава, че въпросния драйвър е вече инсталиран и се намира на указаното местоположение. Затова казвам, че "проспиваме" нещо. Няма основание

инсталирането на този драйвър да не бъде засечено, може би нещо е пропуснато. Предполагам, че при разопаковането на: DAEMON Tools....exe

е възможно да не се отчете, но при първоначалното стартиране/ DAEMON Tools+sptd.sys/ трябва да бъде засечен.

И второ, въпросът е друг с повишена трудност и затова го поставям. Става дума да се изясни дали HIPS програмите засичат показаните на мойте снимки драйвъри, който са във скрит формат. Според мене не. И малко информация от форуми по този въпрос за по голяма яснота.

 

http://img266.imageshack.us/img266/2238/sv24.jpg

http://img24.imageshack.us/img24/2916/sv30.jpg

http://img641.imageshack.us/img641/4959/sv26.jpg

http://img28.imageshack.us/img28/63/sv28.jpg

 

@Night_Raven

 

Препоръчваш или не, това не прави наличието на две такива програми едновременно желателна практика. Не само е нежелателна заради потенциалните конфликти,........и т.н.

 

Уточнявам! Казал съм:

"тука става въпрос за напреднали потребители, или маниаци на тема сигурност."

Ако не си в тази категория това не се отнася за тебе. За яснота ще си послужа със следния пример. Фен си на Agnitum Outpost Firewall Pro/според мене отличен firewall/, но на теста "CLT leaktest" събира 250 от 340. За да го покрием или трябва да сменим стената или много по лесно да си инсталираме някакъв Behavior Blocker. Във вторея случай ще имаме реално 100% покритие на теста, което кореспондира с цитираното по горе уточнение.

http://forums.comodo.com/news-announcements-feedback-cis/leak-test-results-t30164.0.html

 

Иначе не знам какво си правил, за да бъде засечен SysSafe.exe процесът като скрит, но при мен няма такива неща.

Нали не смяташ, че съм го дописъл и баядисал буквете.

Естествено, че няма да видиш нищо. Първо снимките са от началният/бърз/ скенер, който не индексира процесите въобще.

Второ процеса е скрит и като такъв не е перманентно действащ, просто трябва да хванеш момента. Това обаче не може да стане с епизиодични тестове.

 

ПП/Не знам аз ли греша или има някакво ограничение, но не мога да си видя всички мнения във форума.

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

Вече се чудя как точно да го обяснявам и дали въобще има смисъл да се занимавам да го обяснявам...

 

Ще карам подред.

 

Какво като FastStone Capture извършва въпросните действия? Те не се класифицират като "keylogging". Дявол го взел, понятието е напълно ясно дефинирано. Защо настояваш да му причисляваш и други дейности. Все едно да използваш думата "вирус" за вируси, червеи и троянци едновременно. Хайде, средностатистическите потребители я ползват думичката за абсолютно всякакъв вредоносен код (че понякога и не само), но ти не си такъв потребител, нали?

 

SSM Pro няма как да каже, че това е keylogger. SSM Pro няма как да знае дали въпросното приложение е същински keylogger, който има за цел да прави само това, или е просто програма, която има сходно поведение. Това е HIPS програма, а не програма, разчитаща на дефиниции. Затова и извежда съобщение с обща информация: че е засечена такава дейност. Работа на потребителя е да прецни какво да прави.

 

AntiKeylogger-ите следят и за други неща. Просто защото те следят за снимане и запис на екрана, достъп до уебкамери и прочее, не значи че това са същите дейности като "keylogging". Да, действия за шпиониране са, но не са едни и същи. Keylogging си за натиснати клавиши. Снимането на работния плот е отделно действие.

 

Няма значение дали става въпрос за захващане или изпращане на съобщение до прозорец. Има значение дали процесът, който извършва това, е легитимен или не.

 

spXX.sys си е точно sptd.sys. Смяната на последните два символа от името е част от методите на драйвера да преодолява защити. Реално погледнато драйверът си е SPTD, но използва и фалшиво име. Така че нищо не се проспива. Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не съществува в действителност.

Не знам какво имаш предвид под това дали HIPS програмите виждат въпросния файл фантом, но ако имаш предвид да засичат присъствието му въобще (под каквато и да е форма), то поне Malware Defender го прави. И все пак не схващам каква е причината това да те интересува.

 

Никой напреднал потребител не би използвал едновременно HIPS и behaviour blocker. Такъв потребител би имал нужните знания да ползва само HIPS. Както пък вече аз казах, една солидна и мощна HIPS програма ще предложи всичко, което един behaviour blocker би предложил, че и отгоре. При това положение просто няма никаква реална полза от втората, дори и да приемем, че не биха възникнали потенциални конфликти.

Маниаците са малко друга бира. Те така или иначе инсталират много защитни програми: две антивирусни, резидентна anti-malware програма и не знам си какво още. Разликата между маниаците на тема сигурност и напредналите потребители е, че първите всъщност нямат точна представа как да се защитят и затова трупат защитни програми. Те искат сигурност, но не знаят точно как да я постигнат. Един "напреднал потребител" е напълно наясно каква защита би била оптимална за него и не прекалява. Маниакът се олива, без реално да знае какво точно прави.

 

Не бих се нарекъл чак фен на Outpost Firewall. Допада ми продуктът повече от Comodo Internet Security и Online Armor, но чак фен е силно казано. Leak тестът на Comodo е последният, който бих ползвал. Нито е написан особено кадърно, нито е особено безпристрастен. Да не говорим, че това е синтетичен тест и въобще не доказва, че дадена програма ще се справя по-добре в реална ситуация. Така че, моля, не ми го ползвай този тест като довод, защото по мое мнение не значи почти нищо.

[Pe6o]

Здравей Night_Raven,

 

Вече се чудя как точно да го обяснявам и дали въобще има смисъл да се занимавам да го обяснявам...

 

Това съм го чувал вече. Ние сме различни хора и като такива е нормално и да имаме различни мнения. Този факт смятам, че не е причина за внасяне елементи на раздразнение в дискусията. Това, което казвам не твърдя, че е абсолютната истина, просто изразявам мнение.

 

Припомням: "С това не отричам твърдението ти: "Софтуерен keylogger е процес, който следи и записва натиснатите клавиши на клавиатурата.""

и не смятам да го повтарям повече.

 

AntiKeylogger-ите следят и за други неща. Просто защото те следят за снимане и запис на екрана, достъп до уебкамери и прочее, не значи че това са същите дейности като "keylogging". Да, действия за шпиониране са, но не са едни и същи. Keylogging си за натиснати клавиши. Снимането на работния плот е отделно действие.

 

И аз това казвам.Понятието е широко, защото за да се задействат и "други неща" трябва да се натискат клавиши. Как ще направиш екранна снимка без да

натиснеш някаква клавишна комбинация? Нещата са взаимнообвързани и може би най-удачно е да се използува понятието "логери".

 

spXX.sys си е точно sptd.sys. Смяната на последните два символа от името е част от методите на драйвера да преодолява защити. Реално погледнато драйверът си е SPTD, но използва и фалшиво име. Така че нищо не се проспива. Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не съществува в действителност.

 

Всъщност въпроса е зададен от tanganika "Когато инсталираш "Daemon tools" SSM не те ли предупреждава заинсталирането на драйвера ? !"

На снимките, който показваш не се вижда това да се е случило и го коментирах.

Както споменаваш това е за преодоляване на наложени забрани, който въпросната програма осъществява, или в случая го използувах като примерен тест чрез който да се демонстрира една възможност за преодоляване на защита базирана на "HIPS" технологията.

Когато задаваме на ОС да извърши някакво действие, нпр. отваряне на папка " диспечерът" "ntoskrnl.exe" прави захват активира съотвитното "API"

/инструкций по които ОС извършва определеното действие, в случая "open folder"/. В същото време "SSM"?/говориме конкретно/ чрез "safemon.sys"

извършва паралелно същите действия само че ни ги показва и като потребители трябва да решим, какво действие да предприемем.

 

http://img824.imageshack.us/img824/9702/sv65.jpg

 

На снимките показващи някой дискусий от форуми се вижда, че според "GMER" "spvr.sys"/или както там се появява/ си съществува "the system

cannot find the file specified!", което означава, че въпросният драйвър е "невидим" но само за "API", а не въобще. Ако приемем, че " Дори не

съществува в действителност." значи GMER има голямо въображение. И обърни внимание независимо от тази форма, той е напълно работоспособен,

което се вижда от захватите, който е направил. Това означава, че може да накара ОС да извършва всички тези действия без "ntoskrnl.exe", с друг думи без участието на потребителя. Тези действия няма да се засечат от никой "HIPS", защото те работят както по-горе споменах паралелно. С това искам да покажа, че "HIPS" защитите не са панацея за сигурност, те имат област на приложение, която е рамкирана в границите, който споменах.

И сега защо препоръчвам използуването на "HIPS+Behavior Blocker". Ето един пример: отваряме регистрите-HIPS'а засича това действие, защото се включва съотвитният захват нпр. "open registry". Продължаваме напред и променяме някаква числена стойност по ключовете, което може да доведе нпр. до спирани на АВ програма. Само, че това действие е рутинно и не се контролипа от "API" и съответно не се санкционира от "HIPS". На помощ тука идва

Behavior Blocker'a, който работи на базата на зададени правила и веднага ще открие несъответствието. В този случай взаимно си помагат, при други могат и да си пречат, затова казвам, че не е за всеки. На този принцип работи, макaр и в ограничен формат и MBAM.

 

Не знам какво имаш предвид под това дали HIPS програмите виждат въпросния файл фантом, но ако имаш предвид да засичат присъствието му въобще (под каквато и да е форма), то поне Malware Defender го прави. И все пак не схващам каква е причината това да те интересува.

 

"Malware Defender" е "rogue" и като такава би трябвало да влезе в дефиницийте на "MBAM", ако нe съобщи!

 

Eдин пример за съвместната работа "HIPS+Behavior Blocker" в снимки.

 

 

Първи вариант: "SSM" работи самостоятелно.

 

1. http://img101.imageshack.us/img101/5330/sv38.jpg

 

peshotest.exe-копие на "keylogtest/exe" с променено име.

 

2. http://img9.imageshack.us/img9/6945/sv39.jpg

 

старт на теста. "SSM" засича това действие, както и всяко друго.Разрешаваме.

 

http://img9.imageshack.us/img9/1143/sv44.jpg

 

кейлогера се стартира и "SSM" не блокира записа на клавишите.

 

Втори вариант:"SSM+Threat Fire"

 

1/индентично с по горе.

2/индентично с по горе.

 

http://img824.imageshack.us/img824/1874/sv40.jpg

 

"Threat Fire" засича стартиране на:"logging keystrokes".

 

http://img824.imageshack.us/img824/5696/sv41.jpg

 

"SSM" засича действието ноето "Threat Fire" е готов да предприеме. Практически какъвто и статут да дадеме/разрешение или блокиране/ на "SSM" това няма да оказе влияние на действието което ще предприемем чрез "Threat Fire".

 

http://img685.imageshack.us/img685/1756/sv43.jpg

 

Проверка за разпознаване по име. Няма грешка!

 

Споменах, че си фен на "Outpost Firewall" защото си го казвал. Ако не беше платена и аз щях да я използувам, защото я считам за по добра от двете споменати от тебе. Може би отношението ти към теста е малко крайно, но и аз не случайно подчертах думата "реално". Независимо от всичко има полза от такива тестове и неслучайно разработчиците се съобразяват с тях. Когато CLT се появи Comodo го покриваше на 50%.

Пример:

http://forums.comodo.com/leak_testingattacksvulnerability_research/keylogger_test_failed-t16489.0.html

 

Няколко снимки от AKLT Test:

 

Привикване към API без захват: Bad

 

http://img340.imageshack.us/img340/5744/sv47.jpg

http://img693.imageshack.us/img693/1479/sv48.jpg

 

 

Привикване към API със захват: Good

 

 

http://img687.imageshack.us/img687/281/sv58.jpg

http://img707.imageshack.us/img707/5930/sv57.jpg

 

Реакция на Threat Fire:

 

http://img413.imageshack.us/img413/3540/sv49.jpg

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

И аз това казвам.Понятието е широко, защото за да се задействат и "други неща" трябва да се натискат клавиши. Как ще направиш екранна снимка без да

натиснеш някаква клавишна комбинация?

Разбира се, че може да се създаде снимка, без да се натиска клавиш. Не е задължително да се ползва винаги самата клавиатура (като хардуерно устройство), за да се създаде снимка. Клавишите, които се ползват за снимане (като PrtScr) например са просто като препратки за вградените в Windows функции за снимане на работния плот. Така че снимането/записа на работния плот си остават отделни и самостоятелни неща от следенето на натиснати клавиши (keylogging).

 

Всъщност въпроса е зададен от tanganika "Когато инсталираш "Daemon tools" SSM не те ли предупреждава заинсталирането на драйвера ? !"

На снимките, който показваш не се вижда това да се е случило и го коментирах.

Както споменаваш това е за преодоляване на наложени забрани, който въпросната програма осъществява, или в случая го използувах като примерен тест чрез който да се демонстрира една възможност за преодоляване на защита базирана на "HIPS" технологията.

Как да не се вижда? SSM си алармира за инсталацията на SPTD драйвера и потребителят има шанс да го блокира. Ако го разреши, драйверът се инсталира. Щом е инсталиран SPTD драйверът, той вече след това си създава мнимите spXX.sys файлове, които са част от начина му на работа. Т.е. тези spXX.sys файлове са част от SPTD и потребителят ги е разрешил с инсталацията на същинския SPTD драйвер. Действието е сходно с това на рууткити, затова и кара GMER да реагира по този начин и т.н.

 

И сега защо препоръчвам използуването на "HIPS+Behavior Blocker". Ето един пример: отваряме регистрите-HIPS'а засича това действие, защото се включва съотвитният захват нпр. "open registry". Продължаваме напред и променяме някаква числена стойност по ключовете, което може да доведе нпр. до спирани на АВ програма. Само, че това действие е рутинно и не се контролипа от "API" и съответно не се санкционира от "HIPS". На помощ тука идва

Behavior Blocker'a, който работи на базата на зададени правила и веднага ще открие несъответствието. В този случай взаимно си помагат, при други могат и да си пречат, затова казвам, че не е за всеки. На този принцип работи, макaр и в ограничен формат и MBAM.

Под отваряне на регистратурата приемам, че имаш предвид работа чрез Regedit. Дали HIPS програмата ще реагира на въпросната промяна зависи от настройките й. Ако тя следи въпросния ключ, където се прави промяната, и на Regedit не е даден пълен достъп до регистратурата, то HIPS софтуерът ще алармира потребителя. Да речем, че става въпрос за ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Run (където са стандартните програми за автоматично зареждане с Windows), който се следи от почти всички съвременни HIPS продукти, и в него се опитаме да създадем/промени/изтрием някаква стойност. Ако на Regedit.exe не са дадени права да променя цялата регистратура или поне конкретния ключ, то HIPS трябва да ни уведоми за промяната. Така че при добри настройки и качествена HIPS програма като цяло, имаме шанс да предотвратим всичко, което един behaviour blocker би предовратил. Да, HIPS не е за всеки, но ако даден потребител разполага с нужните знания и качествен HIPS продукт, то един behaviour blocker няма с какво повече да допринесе за сигурността.

Behaviour Blocker-ите са на практика автоматизирани HIPS програми. Използват техники на HIPS, но вземат решенията автоматично на базата на дефиниции. MBAM си е продукт, който залага на blacklist, не на HIPS механизми.

 

"Malware Defender" е "rogue" и като такава би трябвало да влезе в дефиницийте на "MBAM", ако нe съобщи!

Полека! Malware Defender 20xx (с номерче накрая) наистина е rogue. Само "Malware Defender" обаче си е напълно легитимна HIPS програма. Дори я имаме в каталога - тук.

 

Eдин пример за съвместната работа "HIPS+Behavior Blocker" в снимки.

 

 

Първи вариант: "SSM" работи самостоятелно.

 

...

Ти ползваш безплатната версия на SSM, която е орязана и не се справя добре срещу keylogger-и. Напълно нормално да не реагира. Ето архивиран вариант на сайта на програмата със сравнение: клик.

Платената версия със сигурност ще реагира.

 

Втори вариант:"SSM+Threat Fire"

 

1/индентично с по горе.

2/индентично с по горе.

 

...

 

"Threat Fire" засича стартиране на:"logging keystrokes".

 

...

 

"SSM" засича действието ноето "Threat Fire" е готов да предприеме. Практически какъвто и статут да дадеме/разрешение или блокиране/ на "SSM" това няма да оказе влияние на действието което ще предприемем чрез "Threat Fire".

 

...

Всъщност какво ще се избере за действие в прозореца на SSM би трябвало да окаже влияние върху работата на ThreatFire. Реално погледнато ThreatFire засича запис на клавиши и иска да спре (suspend) въпросния процес. SSM засича, че ThreatFire иска да спре въпросния процес и пита дали да го разреши. Ако на SSM бъде указано да блокира действието, би трябвало ThreatFire да не успее да спре процеса. Т.е. по този начин SSM пречи на ThreatFire.

 

Споменах, че си фен на "Outpost Firewall" защото си го казвал.

Бях фен на програмата преди време. В момента съм по-скоро неутрален. Не е лоша, но не бих се нарекъл чак фен.

[crio]

И аз това казвам.Понятието е широко, защото за да се задействат и "други неща" трябва да се натискат клавиши. Как ще направиш екранна снимка без да

натиснеш някаква клавишна комбинация?

 

"Снимането"/копирането на видима част от работното пространство НЕ изисква никакви действия от потребителя. Приложения като VNC, TeamViewer, че дори и Skype например "снимат" в реално време работното пространство или част от него и го показват на отдалечен компютър, без натискането на клавиши. Принципно за самия процес се използва bit-block transfer на определен четириъгълник (RECT) от екрана от даден Device Context в друг, бил той на изображение в паметта/част от екрана/или данните за принтера. Това, че във вградената функция на Windows при натискане на Print Screen/Alt+Print Screen клавиша, се копира изображение на работната площ/активния прозорец в Clipboard-a, съвсем не означава, че създаването на снимка на работния плот може да бъде осъществено единствено чрез натискане на определен клавиш. Просто работата с приложения предназначени за снимането на екрана е по-лесна, чрез натискането на някаква клавишна комбинация. Това оставя в незапознатите по темата, впечатлението че снимането може да се осъществи единствено чрез натискане на определен клавиш.

[Pe6o]

Привет Crio,

 

Това оставя в незапознатите по темата, впечатлението че снимането може да се осъществи единствено чрез натискане на определен клавиш.

 

Уточнението ти е правилно. Сигурно има потребители за който това ще е полезно. Тъй като правя много на брой екранни снимки "използувам приложения

предназначени за снимането на екрана",защото ми "е по-лесно, чрез натискането на някаква клавишна комбинация". Искам да подчертая, че в примера ти

"Снимането"/копирането на видима част от работното пространство НЕ изисква никакви действия от потребителя. Приложения като VNC, TeamViewer, че

дори и Skype например "снимат" в реално време работното пространство или част от него и го показват на отдалечен компютър, без натискането на клавиши",

както си отбелязал става въпрос за "копирането на видима част от работното пространство", а аз имам впредвид снимка на част от екрана оразмерена в реално време и съхранена на HDD с последващи възможни манипулаций. Ако знаеш някаква програма да прави всичко това без използуването на клавиатурата и да бъде по производително, моля сподели. Малко съм назад с материалa, така че ще ти бъда благодарен да пробвам.

Удеблените места са твой цитати..

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Pe6o]

Привет Night_Raven,

 

Как да не се вижда? SSM си алармира за инсталацията на SPTD драйвера и потребителят има шанс да го блокира.

 

Дал съм подробен отговор,прочети внимателно! На снимките те/драйвърите/не се виждат!

 

Щом е инсталиран SPTD драйверът, той вече след това си създава мнимите spXX.sys файлове, които са част от начина му на работа. Т.е. тези spXX.sys файлове са част от SPTD и потребителят ги е разрешил с инсталацията на същинския SPTD драйвер. Действието е сходно с това на рууткити, затова и кара GMER да реагира по този начин и т.н.

 

Ето това е което се опитвам да обясня, това е един начин как може да бъде излъгана, преодоляна или както искаш го наречи на защита разчитаща на HIPS

технологията. Само тук ще вмъкна, че антируткит програмите не откриват директно кода а работят по коствени признаци. Затова:

"Действието е сходно с това на рууткити, затова и кара GMER да реагира по този начин и т.н". Думичката "мнимите" не е точна, те съществуват в паметта и това е обяснено в руския форум.

Писал съм, че чистите HIPS базирани програми не защитават регистратурата. Малко отклонение:

 

"Да речем, че става въпрос за ключа HKLM\Software\Microsoft\Windows\CurrentVersion\Run (където са стандартните програми за автоматично зареждане с Windows), който се следи от почти всички съвременни HIPS продукти, и в него се опитаме да създадем/промени/изтрием някаква стойност."

 

няма стойности, така, че няма какво да изтрием базирано на числова величина. Говорим конкретно за програмата SSM-безплатният и платен вариант, имам и двете и ги ценя високо, за съжаление вече не се разработват. Задавал ли си въпроса, защо освен чистият HIPS,който не подлежи на допълнителни настройки от потребителите, към програмата са предвидени опций, които са обект на настройки?

Ако "деактивирай всичко" /или маркираме със зелена отметка някой от групите/ програмата ще остане да работи само на HIPS'а и каквито промени да

правим в регистратурата независимо дали принудително с тестова цел или от зловреден код, програмата няма да реагира. Ще имаме реакция само тогава, когато активираме "позволи всичко" и сме задали правила за съответвите групи от регистрите или индивидуални правила за отделните ключове. Това е принципа на работа на Behavior Blocker'ите, което е коренно различно от принципа на HIPS. Ами пойграй си малко с програмата за да видиш, че е така и да не пишешнеща наизуст. Може би не си ме разбрал: На този принцип работи, макaр и в ограничен формат и "MBAM"-имам впредвид "Behavior Blocker".

 

http://img155.imageshack.us/img155/4110/sf7e.jpg

 

"Полека! Malware Defender 20xx (с номерче накрая) наистина е rogue."

 

Направо го кажи "Malware Defender 2009".Последната е влязла в дефиницийте или в черниат списък, не знам как е по добре. Имам впредвид "Malware Defender2.7.1",да не кажеш после, че не съм предупредил! Няма да влизам в подробностти само ще споделя: "dl.360safe.com" фигурира в хостфайла. Има много неясноти около програмата, който споделям, включително и това:

 

http://img683.imageshack.us/img683/8185/sv71.jpg

 

"Ти ползваш безплатната версия на SSM, която е орязана и не се справя добре срещу keylogger-и".

 

За версийте, който ползувам вече стана въпрос. Пак ще повторя HIPS'овете не работят добре като антикейлогери и съм писал защо. Не искам да хабя място за снимки, само ще кажа, че платената версия на SSM/използувам 2.4.0.622/на антикейлогер тестовете се държи индентично с безплатната.

 

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[crio]

Здравей,

 

Ще ти дам пример с нещо, което аз бих направил (ако снимах толкова често десктопа си). Написах една малка програмка, колкото за примера. Програмката снима екрана и го запазва като PNG файл на десктопа. Успешно пуснах програмката чрез жест с мишката през StrokeIT и гласова команда от Voice Recognition функцията на Windows Vista, тоест снимането на работния плот може да бъде осъществено с всякакъв хардуер. И все ако пак имаше по-лесен начин от снимането с натискане на бутон от клавиатурата, вероятно пазара нямаше да е пълен с такива програми. Просто всички са си свикнали така, защото при снимане на екрана обикновенно искаме позицията на всеки елемент върху него да остане абсолютно същата, но ако трябва да натиснем някой програмен бутон, това е малко вероятно да стане или е трудно за осъществяване. Реално това може да се осъществи по много начини (хардуерни и софтуерни), но все пак е по-сигурно че потребителя ще има клавиатура, а не включен Voice Recognition или инсталиран StrokeIT.

 

И все пак да не се отдалечаваме от темата, всички програми (които съм виждал) които използват клавишни комбинации за снимане на екрана използват регистриран Hotkey, чрез който задействат съответната си функция. Докато keylogger-ите използват съвсем други похвати. Затова Венци е напълно прав, че в този случай снимането на екрана е отделно действие. Точно затова и писах по-горе, защото самото снимане на екрана си е обработка на малко данни, и не би трябвало да бъде хвърляно при keylogger-ите. Реално погледнато, да следиш един бутон не е keylogging. Никоя програма, която снима екрана не би използвала някакъв Hook за да следи за натискането на едно копче от клавиатурата, само и само за да снима работния ти плот.