Firewall + HIPS

[Night_Raven]

Грам не съм се занимавал нито с маркетинг, нито с продажби.

 

Проблемът е всъщност доста дълбок и факторите са няколко. Антивирусните разработчици не са вчерашни. Дори и някои от тях да са започвали с чисти помисли - в името на чистите от зарази компютри, в последствие са бивали покварявани (малко или много) от комерсиализма. Уви, той не пощадява никого и нищо. Тъжно е дори.

Навремето имаше само вируси. После се появиха червейчета, за да си играят с другарчетата им вирусчетата заедно на катерушките и пързалката. Бяха още млади още и се чистеха по-лесно (два шамара и айде). Не бяха и много. Тогава антивирусните бяха доста на почит, защото вършеха работа. Летата се нижеха и изведнъж, БУМ, се озоваваме в наши дни където вирусите и троянците са се задомили и са си народили челяд - троянчета, шпионски софтуер, rogue софтуер, рууткити и всякакви други кръстоски.

Авторите вече бая трябваше да се напъват, за да догонват. Започнаха да изостават. Понякога понастигаха, но като цяло винаги са били догонващи. Изтърваха различни заплахи понякога, но номера минаваше поради една или друга причина. Постепенно се стигна до положение, в което вече утвърдената като доста важна част от софтуерното обезпечение антивирусна се инсталираше по инерция. Хората бяха свиканли дотолкова, че инсталираха автоматично. Това продължава и до днес. Разработчиците на антивирусни, че независимо колко им ловят продуктите, те ще се инсталират. Видяха и че хората взеха да стават все по-малко взискателни към ефективността, а обръщаха внимание все повече и повече на външния вид на програмата. Поради мързел от една страна и желанието за лесни пари от друга тези разработчици на антивирусни програми се възползваха от ситуацията като загорели тийнеджъри от пияна мажоретка. Затова сега имаме антивирусни, които го докарват повече на вид и обещания, отколкото на резултати. Разбира се всичко това важи в различна степен за различните разработчици, но схемата/принципът е сходен навсякъде и такива наченки се забелязват във всички антивирусни продукти.

Ние си надробихме хлебеца, те ни сипаха млекце. Сега остава попарката да си сърбаме.

 

Мое тълкуване на ситуацията.

[tanganika]

Ами според мене както и да се напъват (като гладни на с*ане) това с дефинициите е загубена кауза каквото и желание да имат винаги ще са догонващи. Както и да се опитват да направят антивирусните си умни и мислещи няма как софтуера да стане по-умен от човека винаги ще му липсва абстрактното мислене.HIPS-а е друга работа там битката е директно между писачите на вируси и потребителите,където HIPS-а изпълнява желанията на потребителя жертва.Оприличавам го на онлайн игра където „Game Over” за потребителя може да означава преинстал със загуба на ценна информация,но шанса е на страната на по-знаещия и битката може да е равностойна.

[damto]

damto как ще коментираш това тотално о*иране на любимата програма KIS нали има проактивна защита.HIPS-а подобни неща ги вижда и блокира без дефиниции.Ползвал съм KIS и знам че ако виждаше този вирус трудно щеше да допусне заразяването но в случая просто любимата проактивна защита е проспала всичко.Ако от касперски не вземат мерки да сложат добър HIPS ще дойде време да блокира само скриптове,банери и вече познати вируси датиращи от Терциера с тяхната проактивна защита.

 

Microsoft Windows XP Professional

Running from: c:\documents and settings\Spunky\Desktop\ComboFix.exe

Command switches used :: c:\documents and settings\Spunky\Desktop\CFScript.txt

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

 

FILE ::

c:\docume~1\ADMINI~1\LOCALS~1\Temp\aujasnkj.sys

c:\documents and settings\Spunky\Local Settings\Temp\aujasnkj.sys

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF13.exe

c:\windows\Installer\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}\IconCDDCBBF15.exe

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_AUJASNKJ

 

Извод няма ли дефиниции антивирусната "дупе да ти е яко",освен ако не му помагаш с линукс,виртуални машини и внимаваш къде влизаш.Бъдещето е в HIPS-а и правилните решения на потребителя.

 

Всички знаят кое си ползвал и дали си бил в състояние да направиш елементарните настройки сам.

Нищо ново

[Callisto]

"...Ами то HIPS програми има много.

System Safety Monitor е отлична, но малко сложничка. Платената й версия предлага отлична защита по всички параграфи. Има и малко орязана безплатна версия, която обаче все пак си е доста добра. Разработката по програмата е официално на "пауза", но май неофициално е спряна.

Real-time Defender (бившата ProSecurity) е също чудесна, но я намирам за по-тежичка. А и си остава сложна. Поне е безплатна.

Malware Defender е нова на хоризонта, спрямо другите. Платена е, но е отлична.

EQSecure е също много добра, но за жалост от версия 4 няма английски превод. Последната английска е 3.41 и впечатленията ми са от нея (защото китайски не знам). Поне е безплатна.

ProcessGuard е от най-старите в бранша и предлага чудесна стабилност и надежност, но пък е изоставена. Има и безплатна версия, която предлага доста базова защита. Затова пък е лека и много лесна за работа.

Ghost Security Suite е от автора на ProcessGuard. Включва AppDefend и RegDefend. Започва као trial, но превключва на ограничена безплатна след изтичане на периода. Стабилна е и лека. Интерфейст е малко объркващ. По-графичен е от този на Real-time Defender и System Safety Monitor например, но въпреки това е малко объркващ. На пръв поглед. На сайта е достъпна версия 1.110, но иначе има и бета на версия 1.4хх. Аз съм точно с 1.420 в момента и съм доволен засега.

D+ я споменавам не защото не я знаеш, а защото е надеждна.

Online Armor в двете си версии също предлага чудесни HIPS механизми. За жалост е тежичка. Тo не че Comodo e лека, де.

Dynamic Security Agent също не е лоша, макар че и не е кой знае какво. Не се отличава с нищо кой знае какво положително, но и няма какво толкова отрицателно да се каже. Средна работа.

DriveSentry е също добра. Предлага добра защита, но е и малко тежичка. Най-графично ориентираната от всички HIPS програми."

 

Хубав разговор сте подкарали с моя приятел Tanganika,виждам имало е полза да пусна такава тема!

искам само да уточня,че от изброените по-горе HIPS-ове май само Мalware Defender Става за Виста!!!

Тук в този Site Винаги се пропyска това да се подчертае(има доста хора с виста а и вече с Windows 7)

Ето защо избора между Hips-ове не е много голям за ползващите Виста и 7!!!

Има само Комодо(49 мб EXE),Online Армор(10.7мб версия Бета EXE),

После има 2 платени за Виста: Оutpost и МalwareDefender!

Избора не е особенно голям и аз се ориентирах към Online Армор като по-лека от Комодо IS

[Night_Raven]

Тук в този Site Винаги се пропyска това да се подчертае(има доста хора с виста а и вече с Windows 7)

Ето защо избора между Hips-ове не е много голям за ползващите Виста и 7!!!

Има само Комодо(49 мб EXE),Online Армор(10.7мб версия Бета EXE),

После има 2 платени за Виста: Оutpost и МalwareDefender!

Повечето потребители ползват XP, аз в това число. За Vista нуждата от HIPS не е толкова голяма. Особено за 64-битовите версии. Тя Vista си има нещо HIPS-оподобно в лицето на User Access Control. Не е толкова подробно и гъвкаво, но е на практика базов HIPS. Win7 не го коментирам, защото не е официален. Той е на ниво тестове още, така че не бива да се очаква кой знае каква поддръжка за него на това ниво.

 

Избора не е особенно голям и аз се ориентирах към Online Армор като по-лека от Комодо IS

Тук определено е обратното, макар и двете да имат нужда от оптимизация като цяло.

[Callisto]

Повечето потребители ползват XP, аз в това число. За Vista нуждата от HIPS не е толкова голяма. Особено за 64-битовите версии. Тя Vista си има нещо HIPS-оподобно в лицето на User Access Control. Не е толкова подробно и гъвкаво, но е на практика базов HIPS. Win7 не го коментирам, защото не е официален. Той е на ниво тестове още, така че не бива да се очаква кой знае каква поддръжка за него на това ниво.

 

 

Тук определено е обратното, макар и двете да имат нужда от оптимизация като цяло.

 

Online Armor:

# 20 MB hard disk space

# Internet access

# Download Size: 10 mb

 

Comodo :

 

· 64 MB available RAM

· 32 MB of available free hard disk space

.Download Size: 33.7 mb

[Night_Raven]

Май ме вземаш за мезе. Информацията, която ми даваш, по АБСОЛЮТНО НИКАКЪВ начин не доказва КАКВОТО И ДА БИЛО.

Под лекота се разбира начинът на работа на програмата, а не колко пространство заема на твърдия диск или колко е голям инсталационният файл.

Можеш ли да ми дадеш някакво логично и разумно обяснение как тези неща биха оказали влияние върху лекотата на една програма?

 

Ще се самоцитирам от друга тема (зачеркнал съм излишната за текущата тема информация):

Лека стена е тази, която има драйвер, който се инициализира бързо при зареждането му по време на стартирането на операционната система, а не се влачи като народна песен.

Лека стена е тази, която заема малко системни ресурси - памет и процесорна мощ. Това не става особено ясно от твоя шот. Task Manager не показва кой знае какво в този си вид. Виж Process Explorer с показани табове ще даде далеч по-точна представа за тежестта на дадена програма.

Лека стена е тази, която понася много връзки/заявки, без да започне да откача и да товари процесора излишно.

Лека стена е тази, която не се бави в обработката на пакетите и така да бави излишно връзката.

[tanganika]

никсси,в никакъв случай касперски не е по-лесен за ползване от стена + HIPS.

http://hosting02.imagecross.com/image-hosting-th-09/7575Screenshot-4.jpg

Мислиш ли че начинаещ потребител ще се справи с въпросите и отговорите които следват ?

[ivo464]

никсси,в никакъв случай касперски не е по-лесен за ползване от стена + HIPS.

Мислиш ли че начинаещ потребител ще се справи с въпросите и отговорите които следват ?

 

Не съм Nikssi,ама не е и необходимо.Ако си се зачел внимателно програмата ти е написала отговора.....

[tanganika]

Не съм Nikssi,ама не е и необходимо.Ако си се зачел внимателно програмата ти е написала отговора.....

Тя дава отговор,но не категоричен и начинаещ потребител ще се обърка във вземането на решение.Опитали са се Руснаците да направят нещо но не са го докарали докрай,напълно нормално.

[damto]

Тя дава отговор,но не категоричен и начинаещ потребител ще се обърка във вземането на решение.Опитали са се Руснаците да направят нещо но не са го докарали докрай,напълно нормално.

 

Да бе не прочете ли какво ти пише там на екрана.Има още опции но едва ли ще ги видиш.

[tanganika]

При ProcessGuard и Comodo Firewall не съществува опция да бъдат изключвани единственото спасение е да бъдат деинсталирани,като за ProcessGuard това става в режим SAFE-MODE.След деинсталацията докато сме все още в режим SAFE-MODE трябва да се провери наличието на файловете procguard.dll и pguard.dat в директория Windows\system32 и ако са там да бъдат изтрити.Накрая след рестарта ще бъде отстранен ProcessGuard.Ето и нагледен пример че дори след като се даде изход от иконата в трея продължава да работи 100 % на пълни обороти.

http://hosting02.imagecross.com/image-hosting-th-10/9547Screenshot-231.jpg

http://hosting02.imagecross.com/image-hosting-th-10/2111Screenshot-232.jpg

http://hosting02.imagecross.com/image-hosting-th-10/5772Screenshot-233.jpg

 

никсси,това да не е касперски който с едно две кликвания на мишката и защитата на ОС е

= 0 .Сещам се за един „специалист” в тази област който твърдеше че Комодо няма да работи и защитава ОС ако бъде изключен от иконата в трея,но се оказа друго

 

ProcessGuard не разрешава деинсталиране на програми без негово знание/разрешение.

Това е съобщение след като ме попита какво да правя и посочих Deny

http://hosting02.imagecross.com/image-hosting-th-10/7408Screenshot-235.jpg

 

ProcessGuard не разрешава и затваряне/спиране на активни приложения чрез други приложения.Това се случва без допълнително създаване на правило.

http://hosting02.imagecross.com/image-hosting-th-10/1482Screenshot-236.jpg

http://hosting02.imagecross.com/image-hosting-th-10/9904Screenshot-239.jpg

Ползвам и пиша за възможностите на платената версия (за безплатната не съм сигурен какви възможности има)

[B-boy/StyLe/]

Един тест предоставен от tnn:

 

http://www.anti-malware.ru/hips_test_ring0#part4

 

Отговор на Nikssi в защита на Kaspersky:

 

Относно реакцията на HIPS при Kaspersky Internet Security 2009 се вижда един недостатък според мене,който е обсъждан многократно във форума на Касперски Лаб - това преместване в зона за слаби ограничения mad.gif Затова при мене е там има пълна забрана за всякакво стартиране и единствено това което аз желая се инсталира wink.gif Със сигурност при Интерактивен режим резултата ще е доста по добър - например при Комодо с неговите непрестанни въпроси нещо не виждам автоматичен режим.

В новата версия на Касперски 2010 в момента в процес на БЕТА тестване HIPS-а има повече опции за настройки.Например може автоматично да им присвоява даден статут - силни или слаби ограничения,да ги мести в тази зона,да се ползва анализ на поведението в изолирана среда или да бъде както при Комодо - с безкрайни въпроси в очакване на реакция на потребителя.

 

Лично становище:

 

Добър тест, но са пропуснали да сложат и някой друг rootkit като phide_ex в него.

 

Description: phide_ex is a proof-of-concept demonstration rootkit, and also one of the most difficult to detect, making it an ideal candidate to demonstrate hidden process detection. Being a demonstration rootkit it does not attempt to hide everything about itself (it doesn't attempt to hide its file, for example). It does however do a very good job of hiding its driver (phide_ex.sys, which it executes, unloads and deletes), and its process (phide_ex.exe), which are the main concepts of the phide_ex demonstration.

 

Въпреки, че GMER си остава най-добрата, това също е интересно приложение:

 

http://www.diamondcs.com.au/dse/detections.php

 

На въпроса ми дали ще има 64 битова версия на RootRepeal, член на екипа на MBAM ми отговори така:

 

Vista 64 has operating process called PatchGuard which blocks kernel mode rooters from installing so then the only kind of RK going to install on Vista 64 is userland type and that is easily picked of by tools using WinAPI to read the disk.In short no need for ARK's on 64bit at the moment

 

Затова и засега инструменти като The_Avenger, Combofix, Hypesight Rootkit Detector, RootRepeal не бачкат под x64 ОС. (освен заради политиката на MS за цифров подпис на 64 битовия кернел).

 

There are no plans to build a 64-bit version of The Avenger because of Microsoft's decision to require digital signatures for 64-bit Vista kernel code.

 

Единствения проблем за 64 битовите ОС може да се окаже виртуализацията:

 

VT-x Virtualization

 

Windows Vista x64 is still vulnerable to technology that uses hardware virtualization to install undetectable malware on a computer running the OS. (Yeah Blue Pill, SubVirt and the others => Virtual Machine Rootkits were blocked in Vista RC2)...but this is only the beginning...

 

Другия уязвими места са:

 

*Intel-ските процесори:

 

http://pcworld.bg/?call=USE~home;&page...p;forward=intel

 

*BIOS-а:

 

http://www.calendarofupdates.com/updates/i...showtopic=17853

 

PS: После ще гледам да преведа цитатите...

[tanganika]

Никсси,Комодо е програма за защита от друга класа не е правилно да я сравняваш с касперски който е за домашно ползване.Ако направят така че Комодо автоматично да взема решения му бия шута веднага за вечни времена и си сменям подписа.

Илья Рабинович е създал изключителна програма за която с удоволствие бих дал пари,но не може в никакъв случай да се мери по възможности с Комодо и ОА,защото не защитава цялата ОС.Руснаците са гениална нация,но не могат ли да си признаят че ОА и Комодо (безплатни продукти) са класи над техните,ами акцентират върху това че задавали много въпроси и потребителя щял да се шашне и обърка (трябва да ходят на уроци по маркетинг и продажби,изявленията им са тотално аматьорски) Според мен по този начин обиждат ползвателите,не са само те умни че да знаят как да ползват HIPS не е толкова сложно трябва да се спазват 5-6 правила това е.

Олег Зайцев търси под вола теле,тръгнал е в грешна посока с неговия касперски,няма да го направи по-умен от хакерите/писачите на вируси.Прави някаква смешна реклама тип „Космодиск за баби и дядовци” вместо да види на къде вървят нещата с касперски и да вземе мерки,тестовете на „matousec” не са случайни.

 

B-boy/StyLe/

Лично становище:

 

Добър тест, но са пропуснали да сложат и някой друг rootkit като phide_ex в него.

Наистина жалко,много ми се иска и на мене някой да тества Комодо с подобен rootkit.Лично според мен ако съществува програма която да се справи с такъв клас rootkit това ще бъде Комодо.

Последната версия на Комодо дори в режим Traning Mode не позволява на SysProt да си инсталира този драйвер и затваряше програмата.

 

http://hosting02.imagecross.com/image-hosting-th-10/3845Screenshot-11.jpg

 

Исках да видя драйверите на Комодо но не успях.

[Night_Raven]

Илья Рабинович е създал изключителна програма за която с удоволствие бих дал пари,но не може в никакъв случай да се мери по възможности с Комодо и ОА,защото не защитава цялата ОС.Руснаците са гениална нация,но не могат ли да си признаят че ОА и Комодо (безплатни продукти) са класи над техните,ами акцентират върху това че задавали много въпроси и потребителя щял да се шашне и обърка (трябва да ходят на уроци по маркетинг и продажби,изявленията им са тотално аматьорски) Според мен по този начин обиждат ползвателите,не са само те умни че да знаят как да ползват HIPS не е толкова сложно трябва да се спазват 5-6 правила това е.

1. Това, че DefenseWall не защитава цялата система, не значи, че не може да е на практика също толкова ефективна откъм защита. Принципът й на работа е различен, но не значи, че е лош. Дори напротив. Доста добър е.

2. Руснаците въобще не са гениална нация. Имат си своите проблясъци, но дотам. Писна ми да са възвеличавани като едва ли не най-великите в сферата на ИТ индустрията и софтуера. Мъча се да се сетя за някакъв руски софтуер, който да е наистина уникален и да е значително по-добър от конкурентите си. Дявол да го вземе, но не се сещам. Има сносни софтуерни продукти, които руснаците са дали на света, но на практика не са по-специални от немци, англичани, италианци, французи, испанци, канадци, американци и т.н. Стига сме ги мислели за гении, защото това не са.

3. Задаването на много въпроси Е объркващо за потребителя. В тази насока критиките спрямо HIPS са правилни. За да се ползва HIPS пълноценно потребителят трябва да е наясно с устройството на операционната система. Не дълбоко, та чак до ядрото разбира се, но да има една поне базова представа за устройството на Windows.

Над 90% от потребителите не правят разлика между вируси, троянци, червеи, adware, spyware, rootkits и tracking cookies. Много хора не могат да си намерят драйвери. Много хора не могат дори в контролния панел на Windows да се ориентират. Хората са като цяло много, ама много на Вие с компютрите. Достатъчно е да се погледнат някои теми из форума (че и не само форума на SoftVisia). Щом не могат някои базови/елементарни неща да направят, как очакваш да направят преценка при вида на съобщение, че процес Х се опитва да инжектира DLL в процес Y, или че процес X иска да ползва global hooks? Има хора, които не могат текст да копират, ти искаш да могат HIPS да ползват. Повярвами ми, много, много по-объркващо е, отколкото си мислиш. А, може и да го знаеш, но да се правиш на сноб. Не мога да преценя, но ти споменавам фактите.

Разбира се DefenseWall също би била сложна за една голяма част от потребителите, но все пак е далеч по-лесна за работа и наистина задава по-малко въпроси. Така че дори и да се абстрахираме от това коя е по-лесна, HIPS си остават по-досадните програми. Щом е имало моменти, когато и на мен са ми досадявали с въпросите си, какво остава за средностатистическите потребители, една голяма част от които изпадат паника при съобщение от MSconfig например.