Въпрос за Skype

[Night_Raven]

Вече започвам да си мисля, че страдаш от дислексия.

 

Дал съм подробен отговор,прочети внимателно! На снимките те/драйвърите/не се виждат!

 

Ето това е което се опитвам да обясня, това е един начин как може да бъде излъгана, преодоляна или както искаш го наречи на защита разчитаща на HIPS технологията.

Няма да го наричам по никакъв подобен начин, защото не е въобще такова. Когато програмата се инсталира, тя инсталира само SPTD драйвера и никой друг. Той вече после си създава другите драйвери с произволни 3-ти и 4-ти символи (spXX). След като потребителят е одобрил създаването на същинския драйвер не виждам как това е преодоляване на защитата.

 

Думичката "мнимите" не е точна, те съществуват в паметта и това е обяснено в руския форум.

Доколко съществуват паметта може да се поспори, защото не фигурират в dump файл на оперативната памет.

 

Писал съм, че чистите HIPS базирани програми не защитават регистратурата. Малко отклонение:

 

няма стойности, така, че няма какво да изтрием базирано на числова величина. Говорим конкретно за програмата SSM-безплатният и платен вариант, имам и двете и ги ценя високо, за съжаление вече не се разработват. Задавал ли си въпроса, защо освен чистият HIPS,който не подлежи на допълнителни настройки от потребителите, към програмата са предвидени опций, които са обект на настройки?

Глупости са това, че HIPS програмите не защитават регистратурата. Как ти е хрумнало не знам. Защитата на регистратурата се извършва точно посредством захвати към SSDT, така че това си е типична HIPS защита. Това, че някои програми не защитават достатъчно ключове/стойности, е отделен въпрос.

Не разбирам какво разбираш под "чист HIPS" в SSM, но програмата си предлага доста настройки. Говоря основно за платената. В нея например можеш да си настроиш защитата на регистратурата да е изцяло по твой вкус: можеш да премахваш ключове/стойности да не бъдат защитавани, да добавяш свои и т.н. Настройките на приложенията са също доста подробни. Реално всичко, което е в прозореца Rules/Правила (с изключение на мрежовите настройки, което е по принцип юрисдикция на защитните стени), си е типично за една класическа HIPS програма. Това, което не е типично за HIPS програмите, се намира в прозорец Modules/Модули.

 

Ако "деактивирай всичко" /или маркираме със зелена отметка някой от групите/ програмата ще остане да работи само на HIPS'а и каквито промени да

правим в регистратурата независимо дали принудително с тестова цел или от зловреден код, програмата няма да реагира. Ще имаме реакция само тогава, когато активираме "позволи всичко" и сме задали правила за съответвите групи от регистрите или индивидуални правила за отделните ключове. Това е принципа на работа на Behavior Blocker'ите, което е коренно различно от принципа на HIPS. Ами пойграй си малко с програмата за да видиш, че е така и да не пишешнеща наизуст. Може би не си ме разбрал: На този принцип работи, макaр и в ограничен формат и "MBAM"-имам впредвид "Behavior Blocker".

Тъй като защитата на регистратурата е част от HIPS, изключването й ще накара програмата да работи не само с HIPS-а си, а с част от HIPS-а си.

Иначе много ясно, че ако забраниш защитата на регистратурата, ще намалиш ефективността на защитата. Същото се отнася и за антивирусните - ако им спреш някои защитни модули, им спъваш работата. Нали това е идеята: защитата да е активирана и HIPS програмата да предоставя на потребителя възможност да позволи или блокира дадено действие. И действието не е коренно различно от това на behaviour blocker-ите. Напротив, почти същото е. Behaviour blocker-ите също захващат SSDT и осъществяват защитата си посредством същите техники както и HIPS. Разликата е, че behaviour blocker-ите се мъчат да разпознават действията като 1) редовни, 2) опасни и 3) съмнителни и съответно 1) автоматично да ги позволяват (без да занимават потребителя с това), 2) автоматично да ги блокират (отново без да занимават потребителя с това) и 3) да попитат потребителя как да постъпят. Така се постигат по-малко съобщения/въпроси за потребителия, което е и самата идея на този тип програми.

 

Направо го кажи "Malware Defender 2009".Последната е влязла в дефиницийте или в черниат списък, не знам как е по добре. Имам впредвид "Malware Defender2.7.1",да не кажеш после, че не съм предупредил! Няма да влизам в подробностти само ще споделя: "dl.360safe.com" фигурира в хостфайла. Има много неясноти около програмата, който споделям, включително и това:

 

...

Не, няма да го кажа направо, защото е възможно номерчето да е различно, както има и различни "версии" на rogue-a XP Antivirus. Иначе оригиналната Malware Defender не е rogue и никога не е била. Казвам го за пореден път. Не разпространявай лъжи. Това, че текущият й адрес фигурира в нечий HOSTS файл, не доказва нищо. Особено ако става въпрос за hpHosts, в който има толкова много безопасни сайтове, че не е смешно. Съдбата на програмата беше доста неясна по едно време, защото авторът й премина към по-голяма компания и не беше сигурно какво точно ще стане с Malware Defender. След това обаче стана ясно: програмата стана безплатна, беше прехвърлена на сайта на новия работодател на автора й, остана самостоятелна и продължава да се разработва, макар и бавно. Поне това е състоянието й към настоящия момент. Не виждам нищо нередно или смущаващо.

 

Пак ще повторя HIPS'овете не работят добре като антикейлогери и съм писал защо. Не искам да хабя място за снимки, само ще кажа, че платената версия на SSM/използувам 2.4.0.622/на антикейлогер тестовете се държи индентично с безплатната.

Честно казано не помня дали наистина си писал защо HIPS програмите не работят добре като antikeylogger-и, но не ме и интересува, защото твърдението е пълна глупост. Всъщност също глупост е и следващото твърдение - че безплатната и платената версии на SSM се справят идентично срещу keylogger-и. Категорично не е така. От 7-те известни методи за записване на клавиши, които са демонстрирани в AKLT, който си ползвал ти, SSM Free засича и предотвратява 3 от тях (DirectX, LowLevel Hook и JournalRecord Hook). SSM Pro засича и предотвратява всичките 7. Или не тестваш както трябва, или просто лъжеш. Готов съм да направя и клип, ако би имало смисъл. Следните програми също неутрализират всичките въпросни методи за запис на клавиши:

- Comodo Internet Security

- Online Armor Free/Premium

- Outpost Firewall Free/Pro

- Malware Defender (която ти наклевети, че е rogue)

- Real-time Defender (бившата ProSecurity Pro)

- PC Tools Firewall Plus (не че е реално кой знае каква HIPS програма, дори е по-скоро плацебо като продукт за сигурност, но в стремежа си да минат тестовете на Matousec все пак имат защита срещу keylogger-и)

- GeSWall (не е точно класически HIPS, но я споменавам информативно)

- DefenseWall (не е точно класически HIPS, но я споменавам информативно)

Privatefirewall я споменавам отделно, защото се проваля на LowLevel Hook и JournalRecord Hook, но се справя с останалите.

Ако си говорим за behaviour blocker-и, ThreatFire се проваля на теста GetRawInputData, а Mamutu се дъни на всичките 7.

Така че не ми говори, че HIPS програмите са неефективни. Ако дадена HIPS програма не се справя срещу keylogger-и, то е защото авторът не е добавил нужната функционалност, а не защото HIPS програмите по принцип имат някаква вродена неспособност да се справят със запис на клавиши или нещо подобно.

[Pe6o]

Привет Crio,

Похвално е, че си написал тази програмка, но сам разбираш, че това е по-скоро упражнение с бъдещи цели ако развиеш идеята и я адаптираш.

Нали уточних, че правилното е да използуваме думата "логери", а те могат да бъдат кей,скрийн,уебкам, клипборд логъри, но всички те използеват двата

основни захвата:мишка и дъска.

 

http://img130.imageshack.us/img130/2535/sv84.jpg

 

Дали ще натиснеш един клавиш или сто за логъра е все едно, той ще го запише. И това не представлява опасност за ОС, проблемът е да предотвратим изнасяне на информация.

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Pe6o]

Здравей Night_Raven,

spXX.sys си е точно sptd.sys. Смяната на последните два символа от името е част от методите на драйвера да преодолява защити. Реално погледнато драйверът си е SPTD, но използва и фалшиво име. Така че нищо не се проспива. Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не съществува в действителност.

 

Няма да го наричам по никакъв подобен начин, защото не е въобще такова. Когато програмата се инсталира, тя инсталира само SPTD драйвера и никой друг. Той вече после си създава другите драйвери с произволни 3-ти и 4-ти символи (spXX). След като потребителят е одобрил създаването на същинския драйвер не виждам как това е преодоляване на защитата.

 

Обединявайки тези две подборки излиза следното:

"spXX.sys си е точно sptd.sys. Смяната на последните два символа от името е част от методите на драйвера да преодолява защити."

Напълно съм съгласен и повторно го потвърждавам. В следващея пост обаче пишеш: "След като потребителят е одобрил създаването на същинския драйвер не виждам как това е преодоляване на защитата."???

И още: "Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не ъществува в действителност."

Е как така: "Дори не ъществува в действителност" а пък "е част от методите на драйвера да преодолява защити." ???

 

По горе съм написал:

 

"Както споменаваш това е за преодоляване на наложени забрани, който въпросната програма осъществява, или в случая го използувах като примерен тест чрез който да се демонстрира една възможност за преодоляване на защита базирана на "HIPS" технологията.

Когато задаваме на ОС да извърши някакво действие, нпр. отваряне на папка " диспечерът" "ntoskrnl.exe" прави захват активира съотвитното "API"

/инструкций по които ОС извършва определеното действие, в случая "open folder"/. В същото време "SSM"?/говориме конкретно/ чрез "safemon.sys"

извършва паралелно същите действия само че ни ги показва и като потребители трябва да решим, какво действие да предприемем."

 

Продължавам оттук:

 

http://www.youtube.com/watch?v=NhBzZK4fa78

 

На клипчето се виждат всички "API", нойто управляват ОС, както и въпросният "диспечер". Ако превъртиме по-надолу ще видим оцветените в червено фаейлове, който са hook's на програма, която ги е инсталирала, в случая "safemon.sys" и управляващи ОС чрез "API" за който са настроени. Като резултат от това съответната програма инсталирала тези hook's ще направи видими тези действия изразяващо се чрез запитване до потребителя за даване на статут. Самата подборка на "API", който програмата ще прихваща е работа на разработчиците и се определя по различни критерий. Ето това е

"чистия" "HIPS" и както писах той не подлежи на настройки от страна на потребителите. Ако се поровиш малко повече можеш да разбереш, кой групи от "API" се отнасят към регистрите, можеш да разбереш и кой други програми използуват елементи на "HIPS", да сравняваш различни HIPS програми и да добиеш реална представа за качествата им, а не някакви емперични съждения, както и да създадеш правила за компенсиране на евентуални пропуски. И тъй като си идваме на думата за правилата за компинсиране на невъзможни защитни действия осъществявани от "чистия HIPS" поради ограниченията поставени от "API" разработчиците са предвидили конкретно за регистратурата възможност за създаване на правила: при безплатната SSM са ограничени в рамките на критични за сигурността ключове /редове/ в регистрите, докато в платеният вариант са стигнали до абсурда да имаме практическата възможност за пълен сонтрол над регистрите. Това последното също по смисъла на действие отговарящо на абраватурата е "HIPS" но популярен под името "Behavior Blocker". Е има и още един "HIPS" и ако си любопитен можеш да прочетеш нещо по въпроса.

За горното съм дал подробен пример със SysProt придружен със снимков материал в .gif формат, но едва ли си спомняш за това. За съжаление не получих отговор защо нямам достъп до архивните материали за който съм давал мнения във форума.

 

За разлика от тебе не се крия зад звездички е съм го казал ясно. Поздравления за бързата реакция относно линка, но това не променя нещата.

 

http://img121.imageshack.us/img121/2746/sv83.jpg

 

Честно казано не помня дали наистина си писал защо HIPS програмите не работят добре като antikeylogger-и, но не ме и интересува, защото твърдението е пълна глупост. Всъщност също глупост е и следващото твърдение - че безплатната и платената версии на SSM се справят идентично срещу keylogger-и. Категорично не е така. От 7-те известни методи за записване на клавиши, които са демонстрирани в AKLT, който си ползвал ти, SSM Free засича и предотвратява 3 от тях (DirectX, LowLevel Hook и JournalRecord Hook). SSM Pro засича и предотвратява всичките 7. Или не тестваш както трябва, или просто лъжеш.

 

Забравяш! Ще се повторя: или говориш наизуст или не не тестваш както трябва, а е възможно и да не схващаш за какво става въпрос. Не ми представлява трудност да обоснова твърдението си, но ми отнема време:

 

http://www.youtube.com/watch?v=JLcRI6b-tgc

 

За изброените програми имам представа, но не ги използувам, защото не отговарят на някой мой кретерий. Не мога да коментирам твърдението ти "следните програми също неутрализират всичките въпросни методи за запис на клавиши:.....", но ми се струва, че се поизхвърляш.

 

"Така че не ми говори, че HIPS програмите са неефективни."

 

Това ти си си го измислил, никъде не съм твърдял подобно нещо. Това, че не са достатъчно ефективни в някакъв сегмент от сигурността, априори не означава, че са въобще неефективни.

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

В следващея пост обаче пишеш: "След като потребителят е одобрил създаването на същинския драйвер не виждам как това е преодоляване на защитата."???

Не разбирам кое не схвана. Вече казах, че инсталацията на SPTD инсталира само sptd.sys драйвера и никой друг. Следователно и HIPS програмата (в случая System Safety Monitor) пита само за него. Потребителят има избор дали да блокира инсталацията на драйвера, което ще значи да не може да използва SPTD и DAEMON Tools/Alcohol, защото те не работят без SPTD, или да го разреши, за да може да се възползва от програмите. След като потребителят има нужда от въпросните програми (иначе не би ги инсталирал) той трябва да разреши инсталацията на SPTD драйвера.

Какво ще прави после въпросният драйвер (SPTD или който и друг да е) си е негова работа. Дали ще крие файлове и/или папки (като рууткитите), дали ще се ползва за защита на системата, дали ще служи за управление на хардуер и т.н., това HIPS програмата вече не я вълнува, защото драйверът е вече инсталиран. Работата на HIPS програмата е приключена, тя се изчерпва с това да попита дали драйверът да бъде инсталиран. След това драйверът е свободен да прави всичко, което си поиска, което в конкретния случай със SPTD драйверът си създава скрит драйвер-фантом с друго име.

Моля ти се, обясни ми как това е заобикаляне на HIPS!

 

И още: "Въпросният spXX драйвер само изглежда като някакъв друг, но всъщност не е. Дори не ъществува в действителност."

Е как така: "Дори не ъществува в действителност" а пък "е част от методите на драйвера да преодолява защити." ???

Не работя за Duplex Secure и не знам как им работи SPTD драйвера в детайли, но знам, че въпросните файлове spXX.sys не се създават като реални файлове на твърдия диск и че същите тези драйвери липсват в crash dump на оперативната памет. Тествал съм го лично. След забив на системата обикновено следва създаване на dump файл. Той може да е малък (mini), на ядрото или на цялата оперативна памет (най-пълният възможен). След анализ на такъв dump файл не открих зареден драйвер с такова име (spXX.sys). Стандартният/оригиналният драйвер sptd.sys си беше там, но не и другия с произволни символи в името. Целта на този драйвер е да даде достъп на ниско ниво на DAEMON Tools/Alcohol (най-известните програми, ползващи въпросния драйвер) до твърди дискове и оптични устройства и същевременно да остане скрит и трудно елиминиран, за да продължи да снабдява въпросните програми за емулация с достъп до съответните устройства, за да се постигне и крайната цел: защитата на дадена игра да не разбере, че става въпрос за виртуално устройство, а да си мисли, че дискът е в реално оптично устройство и че е оригинален.

Както казах, не съм част от авторите на SPTD и не съм намирал подробно обяснение на работата на драйвера, а и ме съмнява да се пусне такова. Все пак това са фирмени тайни.

 

По горе съм написал:

 

 

Продължавам оттук:

 

...

 

На клипчето се виждат всички "API", нойто управляват ОС, както и въпросният "диспечер". Ако превъртиме по-надолу ще видим оцветените в червено фаейлове, който са hook's на програма, която ги е инсталирала, в случая "safemon.sys" и управляващи ОС чрез "API" за който са настроени. Като резултат от това съответната програма инсталирала тези hook's ще направи видими тези действия изразяващо се чрез запитване до потребителя за даване на статут. Самата подборка на "API", който програмата ще прихваща е работа на разработчиците и се определя по различни критерий. Ето това е

"чистия" "HIPS" и както писах той не подлежи на настройки от страна на потребителите. Ако се поровиш малко повече можеш да разбереш, кой групи от "API" се отнасят към регистрите, можеш да разбереш и кой други програми използуват елементи на "HIPS", да сравняваш различни HIPS програми и да добиеш реална представа за качествата им, а не някакви емперични съждения, както и да създадеш правила за компенсиране на евентуални пропуски. И тъй като си идваме на думата за правилата за компинсиране на невъзможни защитни действия осъществявани от "чистия HIPS" поради ограниченията поставени от "API" разработчиците са предвидили конкретно за регистратурата възможност за създаване на правила: при безплатната SSM са ограничени в рамките на критични за сигурността ключове /редове/ в регистрите, докато в платеният вариант са стигнали до абсурда да имаме практическата възможност за пълен сонтрол над регистрите. Това последното също по смисъла на действие отговарящо на абраватурата е "HIPS" но популярен под името "Behavior Blocker". Е има и още един "HIPS" и ако си любопитен можеш да прочетеш нещо по въпроса.

За горното съм дал подробен пример със SysProt придружен със снимков материал в .gif формат, но едва ли си спомняш за това. За съжаление не получих отговор защо нямам достъп до архивните материали за който съм давал мнения във форума.

Знам как работят захватите. Не е нужно да ми ги обясняваш. Това, което не знам обаче, е защо наричаш въпросните захвати HIPS. Захватите не са HIPS. Захватите са си... захвати. Какви програми ги ползват е отделен въпрос. Различни програми за сигурност използват захвати към SSDT, за да прихващат заявки към различни функции. Не са само HIPS програмите, които ги ползват. Антивирусни, софтуер за виртуализация, behaviour blocker-и и др. също си ползват захвати. Да, обикновено HIPS програмите ползват повече захвати от другите продукти, но все пак далеч не са единствените, които го правят. HIPS не е когато програмата ползва захвати въобще, а когато целта й е да следи работата на системата и да предлага възможност на потребителя да контролира поведението й както той пожелае. Типът на дадена програма се определя от това каква е целта й и начинът й на работа, а не от това как го постига това на техническо ниво. Пример: ако дадена програма ползва дефиниции, за да открива вируси, червеи, троянци и друг зловреден код, то тя е тип antivirus или antimalware, пък ако ще и да има захвати към почти всички функции на SSDT. Дадена програма може да има много малко захвати спрямо друга, но ако за всяко действие, което тя следи, пита потребителя как да постъпи то тя спада към HIPS програмите.

Да, различните HIPS програми ползват различно количество захвати, т.е. следят различен брой функции. Това общо взето означава и колко пълноценни и силни са, макар да не е категорично правило.

И не, HIPS не означава, че имаш пълен контрол над регистратурата. Не е нужно програма да следи регистратурата, за да спада към категорията на HIPS.

И отново да кажа: behaviour blocker-ите са си на практика автоматизирани HIPS програми. Те ползват същите механизми, захващат функции в SSDT, сходни на тези, които се захващат от класическите HIPS програми. Просто се стремят да преценяват сами дали да разрешават или да блокират десйтвията и да тормозят потребителя колкото се може по-малко. Донякъде дори може да се каже, че behaviour blocker-ите като идея са кръстоска между класическа HIPS програма и антивирусна. Behaviour blocker-ите, както вече казах, ползват методиките на HIPS програмите - захвати към SSDT с цел следене на процеси, регистратура, файлове и др., но пък ползва дефиниции, за да преценява коя комбинация от действия е зловредна, за да я блокира. Иначе казано, докато антивирусните следят за зловредни файлове, behavior blocker-ите следят за зловредно поведение. Антивирусната не се вълнува какво прави даден зловреден файл и как се държи. За нея е достатъчен фактът, че файлът е зловреден и трябва да се неутрализира. Тя го сканира, вижда, че е еднакъв с вече описан файл в нейната база от данни и следователно е заплаха. Това е. ThreatFire пък няма да разпознае даден файл като заплаха, докато не бъде стартиран, защото чак тогава този файл ще започне да си върши това, за което е програмиран. Точно това и сканира ThreatFire - поведение. След като тя види че даден процес/файл се върши опасни неща, която схема на поведение отговаря на зловредни програми, тя го блокира. То разбира се оттам идва и името на този тип програми: behaviour blocker - блокиране на поведение. Ако ThreatFire се настрои на максимална чувствителност, т.е. да пита за всяко дори леко съмнително действие, тя ще се превърне до голяма степен в класическа HIPS програма.

 

Обяснявам малко общо по две причини:

1) не схващам напълно коментарите ти, защото са малко такива едни криптирани и не винаги разбирам какво точно искаш да кажеш;

2) информацията е потенциално полезна за потребители, които не са наясно, но би им било интересно.

 

За разлика от тебе не се крия зад звездички е съм го казал ясно. Поздравления за бързата реакция относно линка, но това не променя нещата.

Зад какви звездички се крия? Въобще не го схванах това.

 

Това, че Yahoo! предупреждава за потенциално опасни файлове, не значи, че има реално такива. Ти явно винаги вярваш безрезервно на всичко, което ти се каже, и не подлагаш на съмнение и въпроси чуждите теории. Ако го правеше, щеше да тестваш лично. Аз пък на свой ред ще дам линк към Web of Trust, който по принцип се счита от доста хора за надежден източник. Там 360.cn има добра репутация. Ето и в SiteAdvisor. Отново статутът е "OK" като цяло. Ами сега? Аз например не си позволявам да вярвам на всички тези сайтове и данни. Не ги пренебрегвам, вземам ги предвид, но не ги приемам за чиста монета и категорично да си изграждам мнение дали един сайт е зловреден само на базата на това какво ми казва друг сайт. Имам мозък и мога да преценя някои неща и сам.

 

Забравяш! Ще се повторя: или говориш наизуст или не не тестваш както трябва, а е възможно и да не схващаш за какво става въпрос. Не ми представлява трудност да обоснова твърдението си, но ми отнема време:

 

...

 

За изброените програми имам представа, но не ги използувам, защото не отговарят на някой мой кретерий. Не мога да коментирам твърдението ти "следните програми също неутрализират всичките въпросни методи за запис на клавиши:.....", но ми се струва, че се поизхвърляш.

О, не, драги ми господине, не говоря въобще наизуст. Всичко е лично тествано.

 

Първо нека анализирам набързо твоя клип. Знаех си, че тестваш не както трябва. Ти активираш даден метод за запис на клавиши и директно ги натискаш по клавиатурата. Това е погрешно! Докато прозорецът на AKLT е на преден план реално няма запис на клавиши (keylogging). За да влезе в сила активирания чрез съответния бутон метод за запис на клавиши трябва прозореца на AKLT да е на заден план, т.е. кликаш си дадеон бутонче и превключваш на друга програма (Notepad, браузър... каквото и да е). Едва тогава започва същинското записване на клавиши. Първо: това е просто логично, близко до ума. Keylogger-ите действат потайно. Тяхната задача е да запишат клавишите, докато потребителят пише в друг прозорец (паролата в някой сайт или месинджър например), а не в прозореца на keylogger-a, който всъщност също няма да съществува, защото това е шпионска дейност и гадинката цели да остане колкото се може по-незабелязана. Никой keylogger няма свой видим прозорец. Ти като пишеш в самия прозорец на AKLT инструмента си пишеш директно в него. Все едно си набираш текст по напълно обичаен и нормален начин. Няма шпиониране.

И още нещо... Не си ли се замислял защо програмата постоянно твърди, че нищо не е записано (надписът "NOTHING INTERCEPTED UNTIL NOW" на хубавия зеленичък фон), въпреки че се появяват символи в прозореца й?

 

Ето правилни тестове на SSM Free и SSM Pro:

System Safety Monitor Free vs. Keyloggers

System Safety Monitor Pro vs. Keyloggers

 

Колкото до останалите програми, не се изхвърлям ни най-малко. И за да не съм голословен, ето ти тестове и на тях:

Comodo Internet Security vs. Keyloggers

Online Armor Free vs. Keyloggers

PC Tools Firewal Plus vs. Keyloggers

Outpost Firewall Free vs. Keyloggers

Privatefirewall vs. Keyloggers

Real-time Defender Professional vs. Keyloggers

Malware Defender vs. Keyloggers

GesWall vs. Keyloggers

DefenseWall vs. Keyloggers

 

Ако не ти се гледат от YouTube по някакви причини, можеш да свалиш архив с всичките оригинални клипове от тук (17.44MB) (Megaupload).

 

Някои (важни) забележки:

1) качвам клипчетата и в архивиран вид (RAR) на Megaupload, защото YouTube хич не ми харесва как ги компресира.

2) при някои HIPS програми дори еднократното блокиране на един метод за запис на клавишите блокира автоматично и друг метод, та затова при някои тестове стартирам AKLT поотделно за всеки тест (т.е. я спирам след всеки и я стартирам отново за следващия), защото искам да е напълно ясно, че дадената HIPS програма улавя съответния метод за запис на клавиши. Всъщност май рестартирах AKLT винаги или почти винаги, не само при някои.

3) за стартирането на програмата правя за всеки случай правила, за да не ме пита всеки път, но блокиранията на записите на клавиши ги извършвам със самостоятелни кликания (без създаване на правила). По разбираеми причини.

4) не съм правил тест на Online Armor Premium и Outpost Firewall Pro, защото съм го направил за безплатните им версии, които по отношение на keylogger-и предлагат напълно равностойни възможности спрямо платените си събратя.

5) в теста на Online Armor Free не съм тествал keylogtest, защото по някакви причини просто отказа да тръгне;

6) в тестовете на GeSWall и DefenseWall в края им стартирах AKLT като доверено приложение и пуснах един метод, за да видиш, че когато програмите не ограничават AKLT, записът на клавиши функционира. Ей така ми хрумна, за да не си помислиш, че лъжа нещо.

7) тестът на Malware Defender е извършен на реалния ми компютър, защото в момента съм с нея; всички останали тестове са извършвани на виртуална машина.

8) тествал съм програмите и срещу keylogtest, въпреки че той е идентичен с GetRawInputData на AKLT; нарочно го включих, защото и ти си го ползваш, да не кажеш нещо после тън-мън.

 

Това ти си си го измислил, никъде не съм твърдял подобно нещо. Това, че не са достатъчно ефективни в някакъв сегмент от сигурността, априори не означава, че са въобще неефективни.

Имах предвид да не ми говориш, че са неефективни срещу keylogger-и, което всъщност го каза и е напълно невярно.

[Pe6o]

Здравей Night_Raven,

Преди всичко се извинявам за закъснелия отговор поради заетос,но: "забавям но не забравям".

От пространното изложение, което си написал ще се концентрирам само върху тестовата ситуация, която предлагаш, като твое и признавам оригинално хрумване, което не е лишено от основание. Искам да припомня,че ставаше въпрос за моето твърдение, че HIPS базираните защитни системи не работят добре, като антилогери. За потвърждение на горното се позовах на два теста: ALKT&Keylogtest и потвърждавам, че показаното в моят клип са автентичните тестове.

Би трябвало да ти направи впечетление, че блокирането на тестовете 1,2,3,4,7 и 5,6 става/ALKT/ по два различни способа и защо това е така? Не трябва

да се забравя, че това са симулирани действия, което предполага определена доза ниво на компетентност за разчитане. Приемам критиката ти относно енигматичността ми на изсказ, но като професионалист трябва да се разбираме с по-малко думи. Ще се спра възможно по обстойно на модифицирания тест който предлагаш.

С долния клип показвам подробно тестовата ситуация така, както ти интерпретираш оригиналният тест.

 

http://www.youtube.com/watch?v=C5vNzJ9y30k

 

/Следва продължение/

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

 

Продължавам Night_Raven,

А сега по-подробно.

Използувам програмата SSMPro 2.4.0.620. Почваме на чисто: отваряме прогрмата и в "Правила" виждаме че съдържанието на "Normal" е празно

/изчистил съм го ръчно за теста с изключение на:svchost.exe,winlogon.exe,services.exe/За пояснение тук се "складират" задължително всички приложения, който не са под контрола на HIPS'a на програмата/използувам термина "чист HIPS и съм обяснил защо/ и затова работещи на принципа:

"блокиране по поведение" или с други думи: "behavior blocker".

Практически това става като създадем правило за съответното приложение. Освен това тук се складират и приложения на общо основание за който

сме създали правила, нпр. ако отваряме често notepad, независимо,че се контролира от HIPS, му зададем статус: "allow" с отметка в box'a.

 

http://img130.imageshack.us/img130/9655/sv1g.jpg

 

 

 

Употребявам думата "задължително", защото се вижда и в клипа ти, както и в обяснението в т.2&3. Не е необходимо да правиш непрекъснато рестарти, логичното действие е да създадеш правила, иначе можеш да натискаш до безкрайност.

 

Започваме теста от 5'та позиция. След като активираме бутона и поставиме курсора в полето на notepad изскача прозорец, чрез който SSMPro ни пита,

какво действие да предприемем. Ако дадеме разешение, прозорецът се скрива и когато изписваме символи в txt.документа те безпрепятствено се ретранслират в прозореца на теста, с други думи защитата се е провалила. Обратно, ако дадеме "block" и повторим същите действия, няма да имаме символи в прозорец на теста, т.е. имаме защитно действие придружено със съобщение от вида:

 

http://img43.imageshack.us/img43/779/sv3i.jpg http://img43.imageshack.us/img43/774/sv2o.jpg

 

И това можем да го повтаряме многократно и в различна последователност. Ако сега отвориме SSMPro, така както е написано по горе ще видиме, че няма никаква промяна защото това защитно действие се осъществява от HIPS'a на програмата и като такова не се нуждае от създаване на правила,освен в

случайте, когато по наше желание създадем такива. Преди да приключим обърни внимание на: Pid=288

 

http://www.youtube.com/watch?v=P2zznAwm3Rw

 

/Следва продължение/

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

 

Поправям грешката:

"С долния клип показвам подробно тестовата ситуация така, както ти интерпретираш оригиналният тест."

 

http://www.youtube.com/watch?v=C5vNzJ9y30k

 

VY 73!

 

Продължение към темата:

Сега да се прехвърлим към позиция 1.Началните стъпки са индентични с тези по позициа 5.Започваме от момента когато трябва да предприемем действие. Независимо от статута, който искаме да зададеме, практически не можем да направиме това, без да създадеме правило за това действие. Изразява се в невъзможността да затвориме прозореца без да сме създали такова правило. При натискане на бутоните прозореца само премигва,/както се вижда в клипа ти/ но не може да се затвори. Практически създаването на правила става, като поставим отметка в box'a и активираме някой от бутоните allow&block

За сравнение Pid=288 и при двата случая са еднакви. Също така ще видим в "Правила" вече фигурира програмата "ALKT.exe"

Ako направиме десен клик и в менюто "Специални разрешения" в отвореното подменю ще разбереме кой действия предприети от програмата "ALKT.exe"

с Pid=288 ще бъдат блокирани от защитната програма.

 

http://img43.imageshack.us/img43/2585/sv5r.jpg

 

В случая е: "низкоуровен достъп до клавиатурата" или ако си обърнал внимание това е точно определението дадено в блокиращиат прозорец на SSMPrо.

 

http://img20.imageshack.us/img20/256/sv4p.jpg

 

От тук можем да направим прецизни настройки, но за нуждите на теста не са нужни.Всичко това важи за позицийте:1,2,3,4,7, който са подобни, защото са с еднакви Pid.

 

Да се има впредвид, че ако по някакъв начин дадеме разрешителен статут на програмата в подменюто "низкоуровен достъп до клавиатурата"

/зелена отметка/ се загубва и възможността за защита осигурявана от HIPS'a на същата, зададените правилата са приоритетни.

Ако имаме друга програма с индентично действие, но различен Pid програмата ще изиска създаването на ново правило.

Резюмирам накратко: програмата използува два метода на защита: HIPS и блокиране по поведение.

От гледна точка на защитата:

"Не е важно дали котката е черна или бяла, важното е да лови мишки"

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[Night_Raven]

Ще кажа само едно: имаш тотално погрешна представа за понятията "HIPS" и "behaviour blocker". С това прекратявам спора от моята страна, защото не виждам смисъл да се мъча да обясня нещата на човек, който няма грам идея за какво говори и плямпа наизуст. Дал съм достатъчно обяснения в коментарите си. Щом досега не си успял да разбереш как стоят нещата, то просто няма никакъв смисъл да продължавам да се опитвам да давам разяснения, след като все едно говоря на паве.

[Pe6o]

Ще кажа само едно: имаш тотално погрешна представа за понятията "HIPS" и "behaviour blocker". С това прекратявам спора от моята страна, защото не виждам смисъл да се мъча да обясня нещата на човек, който няма грам идея за какво говори и плямпа наизуст. Дал съм достатъчно обяснения в коментарите си. Щом досега не си успял да разбереш как стоят нещата, то просто няма никакъв смисъл да продължавам да се опитвам да давам разяснения, след като все едно говоря на паве.

Night_Raven

Не съм съгласен. Персонализираш нещата. Това, което споделям не съм си го измислил, просто съм прочел, асимилирал и подплатено с практически опит

интерпретирал в съвсем популярна форма. Така, че тези неща се споделят от голям кръг хора и персоналното ти заключение се мултиплицира, което не е редно да го правиш. Главното оръжие в един дебат са аргументете, различни квалификаций са само израз на ......

Ето пример на аргумент:

http://www.youtube.com/watch?v=xbxZtp66o3E

 

Сравнявам "SSMRro" и "Malware Defender", като използувам "SysProt". Ако приемеме, че SSMRro е 100% "класически" "HIPS", то спрямо това MD можем с известно приближение да приемем, че е 20%. От гледна точка на комплексни защитни качества двете програми са с изравнени възможностти с лек превес на "MD". Откъде последната компенсира 80% + за да изравни "резултата". Отговора е, че "Malware Defender" е преди всичко "behavio/u/r blocker" 80% + 20% "класически HIPS"/аз употребявам думата"чист"/.Обратното процентно съотношение важи за "SSMRro". За да не бъда грешно разбран "класически HIPS" и "behavio/u/r blocker" са два различни метода на осъществяване на защитно действие от клас програми известни с популярното наименование "HIPS".

Збл.:fiiajfgg.sys->драйвър на "Malware Defender"/и в Baidu няма информация за файла?/

Визуалното изражение на последното изречетие може да се види на следният клип:Гледай.

Без много обяснение се вижда, че начина на действие на двете програми е различен.

И едно филмче за провала на SSMRro на "ClipBoardLoggerTest" в потвърждение на минали неща за които съм писал. Във втората част се вижда, че даже и при силна рестрикция на правилата, теста не се покрива. По подобен начин и "Malware Defender" се проваля/с известни нюанси нямащи отношение към крайния резултат, така е като преписват/ т.е. необходимо е създаването на ново правило в допълнение към стандартните.

Виж клипа:

От фамилиарното описание на историята на "Malware Defender" оставам с впечетление, че имаш по-спациални отношения с разработчиците на програмата, така, че можеш да доведеш до знание въпросната констатация и при следващия рилейз този тест да се покрива. Това е нормална практика и се използува от всички разработчици, стига конкретната програма да продължава да се разработва.

http://a.imageshack.us/img541/3774/apc2010073021150013d.jpg

В заключение нещо, което много ми хареса, прекопирано е от един форум:

http://a.imageshack.us/img829/8527/sv7.jpg

Време е,айди на море, слънце да ни пиче!

 

http://public.bay.livefilestore.com/y1pdlPZ7HOi1vxzPUCYEbB5QhRGvjhg7GBs3awGNcfM7kGn70y06pDLej0q6X-oy23EuXwBHmDrTEKCJY7iKp4q9w/coollogo_com_6535829.gif

[pranjev]

Здравейте, и мен ме сполетя това нещастие - за по-малко от 12 часа ми смениха паролите на 2 Skype акаунта, изобщо не успях да разбера как стана дори. В първия както си говорех по-Skype и изведнъж разговора прекъсна и ме отписаха от акаунта ми и ми излезна съобщение, че паролата ми е сменена токущо и трябва да се логна с новата си парола. Опитах да си възстановя паролата като натиснах на бутона ”забравена парола” и ми изпратиха временен код за влизане, но тъй като има още два скайпа регистрирани на моят майл, ми изписва само тях, а няма как да въведа моето скайп име тъй като бутона не е активен. Направих си нов Skype акаунт на същия майл (на майла му смених паролата преинсталирах и Windows). Искам да помоля всеки който знае как мога да си разбера паролата за стария Skype и да си я сменя и да си влизам в него отново - моля нека да сподели, или как е възможно абонатите които са ми били в стария Skype да ги добавя в нов? Имам файла config от папката на този Skype дето ми смениха паролата му и вътре в този файл са всичките ми абонати - как могат да бъдат добавени в друг новосъздаден Skype отново? Чувал съм, че е възможно по-някакъв начин да бъдат добавени (не ръчно един по-един) но незнам как? Може ли някой да помогне?

Благодаря Ви

[TechMaster]

...

StartMenu->Run

%Appdata%/skype/името на профила ти

В Config.xml са записани настройките ти и потребителските имена на всички твои абонати.

Отваряш с NotePad/NotePad++ и гледаш в документа някъде след ред 30.

Всичко е там.

Добавяш си ги както по стандартному добавяш нов абонат в Skype.

Относно смяната на пароли и прочие-Или си ползвал/а лесно отгатващи се пароли или на твоят компютър е бил инсталиран шпионски софтуер/keylogger, който е донасял всичко на някого.

Oтносно да ти помогнем да си върнеш акаунта-Няма как, а и е нередно...

Много хора под подобен предтекст искат да се сдобият с акаунт на познат, с когото не се харесват много, бившата и прочие, за да им правят мръсно.

Ако не искаш да ги добавяш ръчно можеш да опиташ да ги копираш от старият config.xml в новият, но не гарантирам че няма да има проблеми.

[liliana78]

Здравейте!Имам проблем и моля някой да ми помогне.Преди време установих, че ми четат скайпа.Докато съм там и си пиша с приятели, цялата дискусия се чете от човек, който не е включен в нея.Има ли начин да прекъсна това?Предварително благодаря!

[Night_Raven]

Как точно установи това? Опиши по-подробно ситуацията.