Антивирусните програми - дискусии, мнения и съвети

[damto]

Имаше но аз ги изтрих и вдигнах „Анти-Хакер” на макс.Това ще бъдат програмите с достъп до интернет.Нали за да имат достъп до нета трябва да присъстват в тази графа ?

 

Да там са създадените правила за Анти-хакера,но защо да ги триеш,като можеш да ги промениш?

[tanganika]

Да там са създадените правила за Анти-хакера,но защо да ги триеш,като можеш да ги промениш?

Това означава ли че съм понижил нивото на защитата ?

[mihnev_sz]

Това означава ли че съм понижил нивото на защитата ?

Промяната на предварително зададените правилата от програмата,е изцяло на твоя отговорност.

Ако пък искаш съвет за някое приложение,питай.

Един съвет,на торент клиента разрешавай всякаква връзка,понеже има значение при сийдване и от интернет доставчика ти.

По- добре дръпни плъзгача надолу и го остави на автомат и си свиркай.

[nikikom]

Това означава ли че съм понижил нивото на защитата ?

Нямам си и на идея за какво питаш, но отговора е НЕ. Дори и да си имал правило което да понижавало нивото на защита, вече го няма. Абе ти нали ги разбираше тея работи, какво става?

Ще взема да откажа алкохола, ама от догодина

[tanganika]

Промяната на предварително зададените правилата от програмата,е изцяло на твоя отговорност.

Ако пък искаш съвет за някое приложение,питай.

Един съвет,на торент клиента разрешавай всякаква връзка,понеже има значение при сийдване и от интернет доставчика ти.

По- добре дръпни плъзгача надолу и го остави на автомат и си свиркай.

Да но достъп до интернет имаха важни системни файлове,а сега след като нямат достъп до нета не е ли по-добре/по-сигурно ?

 

nikikom,по-тази логика расъждавам но искам да съм сигурен,аз съм аматьор и опита ми се основава само на практиката т.е. опити и грешки теорията ми куца.Поздрави

[mihnev_sz]

Да но достъп до интернет имаха важни системни файлове,а сега след като нямат достъп до нета не е ли по-добре/по-сигурно ?

Не.Каква заплаха има в системните файлове?

Единствено може да си блокираш системата.

Дръпни плъзгача по-подразбиране и рестартирай,но изтрий преди това всички твои промени.След което го вдигни отново в режим на обучение,ако искаш разбира се! Просто съвет!

[tanganika]

Не.Каква заплаха има в системните файлове?

Единствено може да си блокираш системата.

Дръпни плъзгача по-подразбиране и рестартирай,но изтрий преди това всички твои промени.След което го вдигни отново в режим на обучение,ако искаш разбира се! Просто съвет!

Системата не е блокирала държи се перфектно.

Ако зловреден код успее да се възползва от тези файлове няма ли да получи свободен достъп до нета ?

[mihnev_sz]

Ако зловреден код успее да се възползва от тези файлове няма ли да получи свободен достъп до нета ?

Ако успее, това означава че е минал през защитата и едва ли ще има вече значение ,все пак системните файлове се охраняват стриктно+проактивна защита анализ на поведението.

[Night_Raven]

Един съвет,на торент клиента разрешавай всякаква връзка,понеже има значение при сийдване и от интернет доставчика ти.

Това не е толкова добър съвет. По принцип не трябва да има програма, на която да се дава пълен достъп до интернет. Вярно е, че торент клиентите имат нужда от по-широк достъп от повечето други програми (т.е. ползват повече портове и т.н.), но все пак въобще не им трябва пълен достъп.

Ето какви правила са нужни на един торент клиент:

- изходен достъп по TCP до отделечени портове 80, 443, 1024-65535;

(Портове 80 и 443 са за евентуални връзки с тракери и проверки за обновления, а 1024-65535 са за връзки с пиъри.)

- входен достъп по TCP от отделечени портове 1024-65535 до локален порт

(ПортХ е онзи порт, който торент клиентът си е избрал при инсталация или който потребителят е указал ръчно в настройките на програмата. Той се използва за слушане за връзки и е нужен основно за сийд.)

- достъп по UDP до локален порт и отдалечени портове 1024-65535;

(Не споменавам посока, защото по принцип UDP няма посока и тук зависи как стената приема и изисква да бъдат указани правилата.)

- достъп по UDP до отдалечен порт 53;

(Това правило би било нужно само ако DNS Client услугата е спряна и заявките към DNS се правят индивидуално от всяка програма, вместо общо от svchost.)

- двупосочен достъп по TCP до адрес 127.0.0.1;

(Т.нар. loopback. По принцип е нужен само входен достъп за loopback, но понякога е нужен и изходен, така че за по-сигурно нека е двупосочен.)

- блокиране на всякакъв трафик по TCP и UDP.

(Имаме разрешаващите правила до нужните портове и адреси, затова добавяме завършващи блокиращи правила, които да оберат всякаквия останал ненужен трафик. Тези правила не са необходими, ако стената работи в режим, в който позоволява само изрично разрешени приложения, а непознати такива ги блокира, вместо да пита за тях.)

[mihnev_sz]

Цифровия подпис на програмата не е ли достатъчен?

[Night_Raven]

Цифровият подпис е приятна екстра, но не гарантира нищо. Както съм обяснявал в друга тема, е възможно зловреден код да използва друго приложение за прикритие и да извърши връзките си чрез него. Затова е желателно за даденото приложение да има строги правила, а не просто "пълен достъп или никакъв достъп". Последното може да се постигне и с някои HIPS програми, които разполагат с мрежов контрол.

Освен това цифровият подпис не е абсолютно сигурен метод за идентификация. VeriSign не са света вода ненапита и са предлагали и още предлагат подписи и сертификати на зловредни програми.

Лично аз предпочитам сам да определям кое приложение колко опасно е и колко достъп до интернет да му дам.

[tanganika]

Оставил съм само тези програми с достъп до интернет (възможно най-малко) с цел дори при инфектиране на системата да намаля шанса на зловредния код да изпраща информация на създателите си.Притеснява ме това че Kaspersky Anti-Virus Windows Workstations protection няма HIPS и не зная дали следи когато някое приложение се опитва да се възползва от друго приложение,например тези които имат достъп до интернет.Опцията която има Kaspersky Anti-Virus Windows Workstations protection да се добавят програми да следи за тяхното модифициране ще свърши ли тази работа ?

[mihnev_sz]

Цифровият подпис е приятна екстра, но не гарантира нищо.

Точно това,че при настройки по-подразбиране ,точно това се анализира първо, при стартиране на приложенията.

И този пълен достъп който споменах,е според предварително зададените правила на програмата(Firewall) при филтрация на пакетите.Така ,че достъпа не е пълен в буквалния смисъл.

[Night_Raven]

Опцията която има Kaspersky Anti-Virus Windows Workstations protection да се добавят програми да следи за тяхното модифициране ще свърши ли тази работа ?

Честно казано не знам точно какво следи Kaspersky при включена тази опция. Може и да помогне.

 

Точно това,че при настройки по-подразбиране ,точно това се анализира първо, при стартиране на приложенията.

И този пълен достъп който споменах,е според предварително зададените правила на програмата(Firewall) при филтрация на пакетите.Така ,че достъпа не е пълен в буквалния смисъл.

Не съм сигурен, че те разбрах правилно. На мен това все пак ми се струва като пълен достъп за конкретното приложение.

[mihnev_sz]

Не съм сигурен, че те разбрах правилно. На мен това все пак ми се струва като пълен достъп за конкретното приложение.

Имах на в предвид,че пълния достъп е съобразен според глобалните правила на защитната стена.