Firewall + HIPS

[tanganika]

http://i38.tinypic.com/10eqa1j.jpg

[draco_volans]

Ето малко клипчета за DefenseWall:

,

,

Просто като преглед на програмата, а не като твърдение, че е чудо невиждано.

 

Ето и за GesWall, която има и безплатна версия, но се съмнявам да е много читава (безплатната):

. Важи по-горното условие.

[Night_Raven]

Това, че DefenseWall има доста hooks към различни функции, не гарантира добра защита. Да, по принцип е хубаво да са повече, защото това обикновено означава и по-добра защита, но това не е правило без изключения. Иначе DefenseWall наистина си е една изключително добра и надеждна защита, а освен това е лесна за работа и много лека. Единственият й проблем е, че е платена. В момента работя по български превод за нея, който е почти готов, и се надявам да го завърша окончателно и изпратя на автора, който да пусне компилираната версия на български на сайта.

 

Безплатната версия на GeSWall е напълно читава и на практика откъм защитни възможности не отстъпва с нищо на платената версия или пък на братовчед си DefenseWall. GeSWall използва вече наличните в Windows механизми за ограничаване на права (Software Restriction Policy), което трябва да я прави маааалко по-лека от DefenseWall като цяло, макар реално и двете да са изключително леки.

Основните разлики между платената и безплатната версии на GeSWall са наличието на повече предварително конфигурирани приложения в платената, възможност за автоматично им обновяване и съветник за добавяне на приложения. В безплатната версия са предварително настроени само браузърите и категория "Viewers", където се намират програми за отваряне и разглеждане на изображения и PDF файлове и архиватори.

 

Като цяло GeSWall предлага повече възможности за настройка, по-гъвкава е, но е и по-сложна.

 

Бих го сумирал така...

Ако сте човек, който е доста наясно с материята (или не е ЧАК толкова, но е готов да чете по-усилено) и искате да разполагате с програма, която да предлага максимална гъвкавост и възможност за фини настройки, като цената и интерфейсът не са проблем, то GeSWall Professional е за Вас.

Ако сте човек, който е доста наясно с материята (или не е ЧАК толкова, но е готов да чете по-усилено) и искате да разполагат с програма, която да предлага максимална гъвкавост и възможност за фини настройки (без някои доста дребни екстри), но не Ви се плаща, то GeSWall Freeware е за Вас.

Ако сте начинаещ потребител, който не е особено навътре в материята (или просто не ви се занимава чак толкова с настройки), не Ви бърка отсъствието на най-фини настройки и цената не е проблем, то DefenseWall е за Вас.

Ако сте начинаещ потребител, който търси нещо лесно и безплатно, то за жалост ще останете с празни ръце, защото такава програма от типа policy based hips/sandbox (като GeSWall и DefenseWall) няма.

[tanganika]

http://i34.tinypic.com/mcxdg3.jpg

 

 

Един единствен пропуск на DefenseWall,тестовете свързани с изнасяне на информация ги блокира Комодо.Останалите 20 теста не зная защо не са се състояли.Да поясня че HIPS-а на Комодо съм го изключил,ползвам му само стената !

http://i37.tinypic.com/9aa2d3.jpg

 

Night_Raven,предложи и други тестове които смяташ че са стойностни на които има смисъл да им се обръща внимание за тестването на един HIPS.

[Night_Raven]

Аз лично не бих тествал с Comodo Leak Test Suite. Прекалено пристрастен е и някои от тестовете не са имплементирани както трябва. За мен това е невалидна програма за тестване и не я ползвам, независимо какво тествам.

Иначе тестове има тук.

[tanganika]

Night_Raven,благодаря за линка отвори ми много работа

 

Този тест разработен от създателите на ProcessGuard

 

http://i35.tinypic.com/2exuiqx.jpg

 

е доказателство че ако нямаш отлична HIPS програма зловредния код може да убие антивирусната програма каквато и самозащита да притежава.Мисля че беше бутона Kill 6 с който съм „убивал” антивирусни програми като NOD 32,Avast,Avira без никакви затруднения преди 2-3 месеца.

Online Armor също беше успешно килната от Kill 6 и спря да защитава ОС,а противно на моите очаквания на този тест Mamutu удържа фронта.

Процесите на Комодо могат да бъдат спрени както и преди съм обяснявал на nikssi,но ОС е защитена благодарение на драйвера му cmdguard.sys той контролира положението и като Шопите не научава нищо ново и не забравя нищо старо без мое разрешение.

nikssi,ако убиеш процесите на Касперски или го затвориш от иконата му в трея HIPS-а и стената му ще продължават ли да защитават ОС ? Защо не го пробваш вместо мене,може и снимки с резултати да покажеш другия вариант е да направя едно клипче на позора му.

[Night_Raven]

По принцип при APT е важно HIPS програмата за какво ще попита, докато зарежда APT. Например Outpost Firewall Free алармира потребителя, че APT иска достъп до csrss.exe. Ако достъпът бъде даден, т.е. се позволи всякаква активност, докато програмата се инициализира, тогава Outopost Firewall Free успява да блокира по-малко от опитите на APT (7 по мои тестове), а ако комуникацията с csrss.exe бъде отказана, тогава стената блокира повече от опитите на APT (13 по мои тестове). При мен това са опити за спиране на calc.exe. Аз считам, че е важно дадена HIPS програма да предпазва от затваряне не само своите процеси, но и всички останали. Real-time Defender например успешно и без проблем устоява на всички опити на APT, но пък пази само процеси, които счита за важни - своите, Internet Explorer, системни и др. такива, а приложения като Paint, Calculator и прочее странични програми са й извън юрисдикцията. Това също е важно да се вземе предвид. Всички съвременни програми обаче предпазват всякакви процеси обаче, засега Real-time Defender е единствената (от тези, които съм се занимавал да тествам), която предпазва само избрани такива.

[tanganika]

Драйвера на GeSWall контролира/защитава 17 процеса срещу 68 на DefenseWall.

По друг начин казано DefenseWall налага 68 забрани до ключови места от ОС срещу 17 на GeSWall.

От това си вадя извод че зловредния код много пъти по-лесно ще намери пролука/начин да излезе от изолираната среда която създава GeSWall.

 

Night_Raven

Например Outpost Firewall Free алармира потребителя, че APT иска достъп до csrss.exe. Ако достъпът бъде даден, т.е. се позволи всякаква активност, докато програмата се инициализира, тогава Outopost Firewall Free успява да блокира по-малко от опитите на APT (7 по мои тестове), а ако комуникацията с csrss.exe бъде отказана, тогава стената блокира повече от опитите на APT (13 по мои тестове).

 

Това означава че APT няма никакви шансове ако бъде стартирана като недоверено приложение с DefenseWall,едва ли ще получи достъп до csrss.exe.

http://i38.tinypic.com/dyviq1.jpg

 

Прав си че програми от типа SandBox са по-надеждни и от най-добрите HIPS приложения.

 

Предполагам че Outopost Firewall Free се е провалила независимо какво си забранявал.

[Night_Raven]

Драйвера на GeSWall контролира/защитава 17 процеса срещу 68 на DefenseWall.

По друг начин казано DefenseWall налага 68 забрани до ключови места от ОС срещу 17 на GeSWall.

От това си вадя извод че зловредния код много пъти по-лесно ще намери пролука/начин да излезе от изолираната среда която създава GeSWall.

Общо взето погрешен извод си вадиш.

 

Това означава че APT няма никакви шансове ако бъде стартирана като недоверено приложение с DefenseWall,едва ли ще получи достъп до csrss.exe.

 

Прав си че програми от типа SandBox са по-надеждни и от най-добрите HIPS приложения.

Факт е, че DefenseWall се справя отлично с всички HIPS тестове от дадената от мен по-нагоре страница. И при положение, че го прави, без да занимава потребителя с никакви въпроси, това я прави отлична защита за много хора.

 

Предполагам че Outopost Firewall Free се е провалила независимо какво си забранявал.

Първият я тествах като разреших само и единствено разреших стартирането на APT и след това блокирах всичко до окончателното стартиране на програмата и след това. Вторият път позволих всичко, за което ме пита, докато се стартира напълно и блокирах оттогава насетне.

[tanganika]

Night_Raven

Общо взето погрешен извод си вадиш.

 

Ако GeSWall не контролира/следи за модифицирането например на

 

http://i36.tinypic.com/30x8k5w.jpg

 

а задачата на зловредния код е точно такава какво ще се случи,кой ще спре зловредния код да си свърши работата ?

 

Night_Raven

Първият я тествах като разреших само и единствено разреших стартирането на APT и след това блокирах всичко до окончателното стартиране на програмата и след това. Вторият път позволих всичко, за което ме пита, докато се стартира напълно и блокирах оттогава насетне.

 

Все пак HIPS-а на Outopost Firewall Free справи ли се ?

[Night_Raven]

GeSWall и DefenseWall не работят на принципа на hook-ване. Те прилагат ограничения върху файловете, които се отварят/стартират. Аргументът ти за SSDT "кукичката" е невалиден в случая.

Колкото до Oupost Firewall Free, вече описах как се представи на тестовете.

[Гост tnn]

Ползвам Privatefirewall 6.1 с настройки HIGN при Internet Security,Network Security и Process Monitor. Най-после и A-squared 4.5 Free намери нещо - ето лога:""" a-squared Free - Версия 4.5

Последно обновяване: 9/27/2009 10:02:27 AM

Настройки на проверката:

Scan type: deep

Обекти: Памет, Следи, Бисквитки, C:\, D:\

Проверка на архиви: Включено

Евристика: Изключено

ADS Проверка: Включено

Начало на проверката: 9/27/2009 10:02:52 AM

Key: HKEY_LOCAL_MACHINE\software\Classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} Открити: Trace.Registry.MyWebSearch!A2

Проверени

Файлове: 79301

Следи: 634040

Бисквитки: 0

Процеси: 25

Открити

Файлове: 0

Следи: 1

Бисквитки: 0

Процеси: 0

Записи в регистъра: 0

Край на проверката: 9/27/2009 11:33:41 AM

Време за проверката: 1:30:49

Key: HKEY_LOCAL_MACHINE\software\Classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} Изтрити Trace.Registry.MyWebSearch!A2

Изтрити

Файлове: 0

Следи: 1

Бисквитки: 0""" MBAM и SAS нямат досега и подобна следа със среден риск като констатация. Night_Raven, как би коментирал това? Очаквам обективно мнение- защото в друг форум ме упрекват в спам -аз отстоявам високо мнение за тази програма и някои хора изглежда се дразнят. Щях да им повярвам - ако много пъти не съм инсталирал за дълго време и всички конкурентни други програми. Поздрави

[Night_Raven]

Много е относително. Зависи какви сайтове посещаваш. Ако ходиш из по-скоро чисти сайтове, няма и как да натрупаш особено много биксвкитки и да хванеш нещо кой знае какво.

[Гост tnn]

Извинявам се, че пропуснах да уточня - посещавам както чисти, така и непрепоръчителни портали от всички спектри.Заради хоби ровя къде ли не - за да събирам непознат вредоносен код. Понякога нещата са вероятно фалшиви тревоги - мисля си, че конкретно тази материя е за специалисти в лаборатории, а не за хора с хобита. Аз доброволно съм в роля на пробващ и експериментиращ - докато ми е интересно.При тези условия как би тълкувал гореспоменатите факти? Поздрави

[avalon72]

Ползвам Privatefirewall 6.1 с настройки HIGN при Internet Security,Network Security и Process Monitor. Най-после и A-squared 4.5 Free намери нещо - ето лога:""" a-squared Free - Версия 4.5

Последно обновяване: 9/27/2009 10:02:27 AM

Настройки на проверката:

Scan type: deep

Обекти: Памет, Следи, Бисквитки, C:\, D:\

Проверка на архиви: Включено

Евристика: Изключено

ADS Проверка: Включено

Начало на проверката: 9/27/2009 10:02:52 AM

Key: HKEY_LOCAL_MACHINE\software\Classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} Открити: Trace.Registry.MyWebSearch!A2

Проверени

Файлове: 79301

Следи: 634040

Бисквитки: 0

Процеси: 25

Открити

Файлове: 0

Следи: 1

Бисквитки: 0

Процеси: 0

Записи в регистъра: 0

Край на проверката: 9/27/2009 11:33:41 AM

Време за проверката: 1:30:49

Key: HKEY_LOCAL_MACHINE\software\Classes\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179} Изтрити Trace.Registry.MyWebSearch!A2

Изтрити

Файлове: 0

Следи: 1

Бисквитки: 0""" MBAM и SAS нямат досега и подобна следа със среден риск като констатация. Night_Raven, как би коментирал това? Очаквам обективно мнение- защото в друг форум ме упрекват в спам -аз отстоявам високо мнение за тази програма и някои хора изглежда се дразнят. Щях да им повярвам - ако много пъти не съм инсталирал за дълго време и всички конкурентни други програми. Поздрави

MyWebSearch е спайуер/адуер под формата на туулбар в браузърите. Гледа да се инсталира незабелязано покрай други програми - например свалих последната версия на Nero 7 - 7.11.10 - това "чудо" се съдържа и в нея, макар че е от официалният сайт. По време на инсталацията на нерото, защитната ми стена Outpost Firewall Pro го хваща и блокира (файлът се казва Toolbar.exe) и си остава във временна папка. Изтрих го ръчно. При теб е останал ключ в регистъра и a-squared Free го е намерил. Ако успее да се инсталира, после МВАМ го засича също.