Firewall + HIPS

[The Graverobber]

Да може и да е Linux , но ако е така няма логика да продават нещо което не ползват или му нямат доверие.

Kaspersky има и версия за линукс а и повечето сървъри (поне на мои познати) са на линукс базирани ОС. та аз като цяло не се разбрах с таз програмка - много ми увисваха програмите в компанията на МСЕ.

[tanganika]

Стената на Avast 5.0 Internet Security е с доста ограничени възможности,блокера/HIPS-а е премахнат,но се надявам „сандъка”/sandbox-а му да е с възможностите на DefenseWall или Sandboxie.

[mihnev_sz]

Стената на Avast 5.0 Internet Security е с доста ограничени възможности,блокера/HIPS-а е премахнат,но се надявам „сандъка”/sandbox-а му да е с възможностите на DefenseWall или Sandboxie.

 

Приказки от 1001-а нощ.Защо коментирате програми с които не сте запознати?

 

http://share.pacomlan.com/images/Vgz70988.jpg

[tanganika]

Професионалиста

Не знам дали ти е известно, че има нови stealth руткити, които пишат директно в MBR, а в 99% от случаите те няма как да се заловят от тези HIPS шарении по default.

 

Да има такива руткити които пишат директно в MBR ( Master Boot Record ) но има и такива HIPS приложения които се стартират достатъчно рано за да могат да ги блокират

 

http://i50.tinypic.com/334oeug.jpg

 

Но трябва да се има предвид че има и такива HIPS приложения като System Safety Monitor Free които се стартират много пъти по-рано,след Microsoft ACPI Driver.

 

http://i50.tinypic.com/2w6ia0y.jpg

 

Та тези stealth руткити ще пишат директно в MBR ако им бъде разрешено от HIPS-а

Жалко за огромния труд по създаването на такива stealth руткити.

[draco_volans]

Имам едно такова питане: при система, заразена в MBR със stealth-rootkit, ако предварително съм направил резервно копие на MBR и реша да го възстановя, това ще елиминира ли вредителя, без да се налагат процедури по почистване със специализирани инструменти като MBR (на GMER) + допълнително поправяне на MBR секторите от инсталационния диск? Разбира се, не изключвам и предварителното сканиране с MBAM и SAS, за отстраняване на по-повърхостни съпътстващи вредители. Ако създаването на подобен MBR-Backup, с последващото му възстановяване, е достатъчно добра/надеждна процедора за справяне с подобен проблем, то това би спестило доста ядове на потребителя, както и на съответната спасителна група...

 

Edit: разбира се, не изключвам ролята на посочените инструменти за диагностиката на проблема. В противен случай, няма как да се разбере, че има MBR-rootkit.

[Night_Raven]

Да има такива руткити които пишат директно в MBR ( Master Boot Record ) но има и такива HIPS приложения които се стартират достатъчно рано за да могат да ги блокират

Нека те поправя. Не всяка HIPS програма би реагирала на подобно действие. Това е първо. Второ: ако реагира, но й бъде указано да разреши действието, то от HIPS от този момент нататък няма особена полза. Не и по отношение на MBR рууткита.

Иначе казано: веднъж разреши ли се инсталация на MBR рууткит, няма HIPS програма, която да го блокира след това, независимо колко рано се стартира тя, защото MBR се зарежда преди всяка операционна система, защото именно MBR извършва зареждането на самата ОС (така да се каже).

Така че не е "жалко за огромния труд по създаването на такива stealth руткити". А дори и някои HIPS програми да могат да блокират промяната по MBR (абастрахирам се от факта, че потребителят може да позволи инсталацията на рууткита и приемам, че се блокира гадинката), имаш ли представа колко малко на брой хора ползват подобни HIPS програми, policy based HIPS/sandbox (DefenseWall и GeSWall) и чисти Sandbox приложения? Те се ползват почти и само от хора, които са малко или наясно с компютърната сигурност и така или иначе шансът да се заразят е по-малък по принцип. Ако съберем всички потребители, които ползват този тип програми, пак ще получим един много, много малък процент от всички. Т.е. компютрите, които са уязвими на MBR рууткит, са предостатъчно за авторите на зловредния код.

Тук говоря за Windows XP и не намесвам Vista и 7. При тях ситуацията е по-различна, защото те не само имат различен процес на зареждане и рууткитът не може да си свърши правилно работата, но и разполагат с UAC, която би блокирала въпросната заплаха, ако потребителят не я е забранил, защото му досажда.

Дори и Vista и 7 да ги отпишем като имунизирани, то хората, ползващи XP, са достатъчно на брой и изключително малко от тях ползват въпросните HIPS/sandbox програми. А ако решим да излезем от теорията и да погледнем реалността в очите, ще установим, че доста/много от ползващите класически HIPS програми също са уязвими, защото те не знаят как да боравят с тях. Не е достатъчно малкият Иванчо да си инсталира страстно хвалената от някой си в някой форум Comodo Internet Security/Online Armor/Outpost Firewall/PC Tools Firewall Plus/Privatefirewall, но е важно и да работи с нея както трябва. Каква полза от HIPS механизмите на въпросните програми, ако ще се клика Allow на поразия. Факт е, че една солидна част от тези, които все пак ползват HIPS, всъщност не ги ползват рационално и на практика не са защитени. За Бога, много са още със SP2 на операционните си системи и не ги обновяват с кръпките на Microsoft. Как очакваш хора, които не са наясно с най-основните и важни принципи на защита, да работят пълноценно с HIPS. 'Ми, ни ста'а.

Така че... съвсем не е "жалко за огромния труд по създаването на такива stealth руткити".

 

Имам едно такова питане: при система, заразена в MBR със stealth-rootkit, ако предварително съм направил резервно копие на MBR и реша да го възстановя, това ще елиминира ли вредителя, без да се налагат процедури по почистване със специализирани инструменти като MBR (на GMER) + допълнително поправяне на MBR секторите от инсталационния диск? Разбира се, не изключвам и предварителното сканиране с MBAM и SAS, за отстраняване на по-повърхостни съпътстващи вредители. Ако създаването на подобен MBR-Backup, с последващото му възстановяване, е достатъчно добра/надеждна процедора за справяне с подобен проблем, то това би спестило доста ядове на потребителя, както и на съответната спасителна група...

По принцип копие на MBR и възстановяване след това би трябвало да премахне гадинката, но реално погледното поправка чрез Recovery Console върши същата работа. Вярно, бекъп на MBR ще направи копие на целия MBR, докато fixmbr командата закача само boot кода и не пипа таблицата с дяловете, но то и рууткитът също се нагнездва в boot кода и не го вълнува таблицата с дяловете. Така че е все тая в общи линии.

[tanganika]

Извинявам се,забравих да спомена че инсталирането на HIPS програма не решава проблемите със сигурността,а са нужни и доста познания кое да се разрешава и кое не.

 

Аз не говоря за вероятности и процента на ползващите HIPS,а за това дали HIPS-а може да блокира този вид руткити вместо да се твърди найзуст че

 

„ в 99% от случаите те (stealth руткити-те ) няма как да се заловят от тези HIPS шарении по default „

 

Това че някой не може и не знае как се ползват HIPS приложения не означава че са шарении които не могат да блокират въпросните рууткити.

[Callisto]

Здравей Night_Raven,

искам да те попитам,защо при опит да инсталирам Българската версия на DefenseWall вместо Български език ми излизат въпросителни(маймуница)?

При Malwarebytes Българския език ми излиза нормално!

[Night_Raven]

Нямам представа. Каква е ОС? При мен всичко е наред под XP. Да си имала/имаш FlexType?

[Callisto]

Нямам представа. Каква е ОС? При мен всичко е наред под XP. Да си имала/имаш FlexType?

Vista 32

 

 

Нямам FlexType .

Компютъра ми е на Френски език.Програмата на Френски и Английски си излиза само на Български не иска!

 

http://i48.tinypic.com/nqnz7k.png

 

 

 

[Night_Raven]

Допускам, че може да е заради настройките за не-Unicode програми, но пък тогава и MBAM би трябвало да излиза кофти. Поне на XP е така.

[Callisto]

Допускам, че може да е заради настройките за не-Unicode програми, но пък тогава и MBAM би трябвало да излиза кофти. Поне на XP е така.

 

Извинявай в грешка съм и на Malwarebytes не ми излиза българския език,но на CCleaner ми излиза.

[The Graverobber]

влез в Control Panel -> clock,language,region -> regional and language options -> administrative -> language for non-unicode programs и провери дали е български, ако не - го смени

[Callisto]

влез в Control Panel -> clock,language,region -> regional and language options -> administrative -> language for non-unicode programs и провери дали е български, ако не - го смени

 

 

Да благодаря ти за отговора ,но ако сменя регионалните настройки после останалите програми ми излизат на Българо\\френско\\английски.

Все пак живея в чужбина и Български език ползвам само в 2 Site-a....чyдех се дали няма друг начин и попитах Nigh_Raven тъй като той правил преводите.

 

 

[Night_Raven]

Това, че съм правил преводите, не значи, че имам контрол върху използваните от програмите кодови таблици.