Firewall + HIPS

[isaakhim]

2.7.2.0001 e последната версия, но реално погледнато няма и как да изтеглиш 2.7.2 beta, защото линкът е същият като този на 2.7.2.0001. Официалният линк, де.

За изтеглянето на 2.7.2 beta имах предвид от SoftVisia сървър.

 

Доста време докато бях с Windows XP SP3 използвах Comodo Internet Security. Разочаровах се от нея след като се заразих от USB с Conficker (още известен като Kido и Downadup). Версия 3.13.120417.573 на Comodo имаше проблем с въпросния Conficker. По-старите версии на програмата се справяха с него. Оттогава изтече много вода и съм сигурен, че на този етап Comodo доста се е развила, но аз продължавам да чета, че постоянно има разни бъгове за оправяне. Сигурно и Malware Defender има, но се надявам да са по-малко.

 

Не искам да те разубеждавам или нещо подобно, просто да предупредя, че с Malware Defender трябва наистина да знаеш какво правиш.

Не че съм голям специалист, но аз така започнах и с Comodo. Доста усилия, четене и нерви в началото, но след това свикнах и мисля, че накрая се справях доста добре. Откогато минах на Windows 7 не знам какво е зловреден код (да не ме чуе дявола ). Само с Avira Free съм. От време навреме проверявам с Malwarebytes' Anti-Malware и SUPERAntiSpyware FREE, но освен някои проследяващи бисквитки, нищо друго не са открили. Сега имам малко свободно време. Реших да махна Avira и да пробвам пак някоя HIPS програма. Просто така за спорта. Направих си пълен бекъп на диск (C:), така че ще "влизам в боя", пък да видим какво ще стане. В началото мисля да я оставя няколко дена да се самообучава, като внимавам да стартирам само сигурни приложения и чак след това ще мина в нормален режим. Въпросите би трябвало вече да не са толкова много.

 

Още веднъж, благодаря за отговорите Night_Raven и лека работа!

[schranzertanzer]

Добър ден на всички! Нов съм в този форум, не съм запознат с материала, та въпросът ми е следния: Преди няколко дни си инсталирах Comodo Firewall, и незнам как трябва да я настроя, като вляза във фейсбук, в чата ми изкарва, че съм извън линия, като спра програмката всичко е наред. Доста мнения прочетох, долу-горе взех да навлизам в нещата, но ако може по-подробно да ми се обясни.. Благодаря предварително! Поздрави,за хубавия форум ! Версията на стената е Comodo Firewall Pro 3.8.65951.477

[mihnev_sz]

Версията на стената е Comodo Firewall Pro 3.8.65951.477

Много стара версия,инсталирай актуалната за момента и пак пиши! Не се подвеждай от пишман "специалисти" и не слагай стар и вече неподдържан софтуер на машината си! Хората не напразно обновяват периодично продуктите си !

Препоръчвам ти да инсталираш новата версия Comodo Firewall 5 : http://www.comodo.com/home/internet-security/firewall.php

[isaakhim]

Имам въпрос свързан с Malware Defender.

Не мога да се справя с един проблем. Когато рестартирам компютъра и след това кликна с десен бутон на мишката върху десктопа, винаги ми излиза това съобщение:

Това става само след рестарт. Ако дам някакъв отговор (Permit или Deny), след това колкото и да кликам с десен бутон върху десктопа не ме пита нищо. И така до следващия рестарт. Забелязах, че всеки път се променят последните символи, които съм отбелязал и евентуално всеки път го отчита за нов процес. Какво трябва да направя за да не се появява това съобщение?

 

Благодаря предварително!

[Night_Raven]

Rundll32 се използва, за да изпълнява (функции от) библиотеки като изпълними файлове и на практика винаги след rundll32 има допълнителни параметри и така се получават такива командни редове. Заради тази особеност на rundll32 Malware Defender е програмирана да засича целия команден ред и да създава правила по този начин.

Едно решение е да преинсталираш офис пакета, без да инсталираш въпросния компонент, който създава главоболия - въпросния Groove.

По-лесно решение е да редактираш правилото и да добавиш т.нар. звездичка (*). Отвори Malware Defender на подпрозорец Rules. Двоен клик върху c:\windows\explorer.exe -> Application. Намираш някое от правилата, които си създал за GroveUtil.dll, двоен клик върху него и редактираш текста в реда Command line, като заменяш текста след запетайката (GetResourceModulePath...) със звездичка (*). Би трябвало да проработи и повече да не те занимава, без да се налага да създаваш правило за целия rundll32, което не би било препоръчително откъм сигурност.

[isaakhim]

Деинсталирах Groove и всичко се оправи. Без това никога на съм го ползвал, а пък и на всичкото отгоре по подразбиране се зарежда със стартиране на системата. Въпреки, че след инсталация на офис пакета го изключвам да не се стартира, явно пак създава проблеми в случая.

Иначе Malware Defender много ми допадна.

 

Колкото и пъти да ти благодаря Night_Raven, никога няма да е достатъчно. Жив и Здрав!

[isaakhim]

Имам още два въпроса относно Malware Defender.

Направих тези настройки за explorer.exe.

http://store.picbg.net/pubpic/BD/7B/9a7b25d687f2bd7b.png

 

Целта е да се блокира опита за достъп на explorer.exe до всички AutoRun.inf, независимо къде се намират. Пробвах с диск на windows 7. След като отказах два пъти с Deny, не ми се предостави възможност да избирам Run setup.exe.

http://store.picbg.net/pubpic/E4/2C/f780adf93998e42c.png

http://store.picbg.net/pubpic/6E/F4/c5f73ab88bc56ef4.png

 

Когато потвърдя с Permit, тогава има тази опция за избор.

http://store.picbg.net/pubpic/3E/32/5d1597495fa73e32.png

 

Преди, както споменах бях с Avira, а тя по подразбиране блокира AutoRun.inf. Пробвах и с флашка. Става по същия начин. Въпроса ми е, ако има препратка на AutoRun.inf към зловреден код, ще се блокира ли по този начин заразяването?

 

Другият въпрос ми е относно svchost.exe. В защитната стена съм задал опция да се блокира всичкия входящ трафик, а да се разрешава изходящия за всички портове и протоколи.

http://store.picbg.net/pubpic/82/78/2f48c6aeb7258278.png

 

Правилно ли е това или грешно? Използвам торен клиент и в момента в който го пуснах, започнаха едни въпроси, че не е за разправяне. Затова зададох тези правила. Зад рутер съм. Също така защитната стена на Windows не съм я изключвал. Не съм параноик, но искам малко да се образовам относно защитата. Не плащам засега сметки по интернет за да се притеснявам от кражба на информация.

[Night_Raven]

Първият въпрос за препратката не го схванах. Моля, обясни по-точно.

 

Ако рутерът ти има защитна стена (както повечето рутери), няма никакъв смисъл да ползваш входяща филтрация в Malware Defender. Рутерът вече се грижи за това. Особено и на фона на вградената в Windows стена.

Реално погледнато ако нямаш нужда да филтрираш изходящия трафик на някое приложение по някакви причини, въобще не ти трябва активна защитна стена, щом си зад рутер.

[isaakhim]

Относно първия въпрос. Както е известно много от зловредния код се разпространяват чрез AutoRun.inf, като използва autorun функцията на Windows за неговото автоматично изпълнение. Аз предполагам, че като задам правило на Malware Defender за запитване на достъпа на explorer.exe към AutoRun.inf и впоследствие го откажа, то AutoRun.inf няма да може да изпълни команда за стартиране на кода и той да успее да зарази системата. Възможно е да греша. Знам за AutoRun Settings, но след нейното прилагане се лишавам и от AutoPlay, а аз не искам това.

 

Относно рутера. Имам защитна стена, но не знам при моите настройки доколко е ефективна.

[Night_Raven]

Този път не спомена нищо за препратка, така че не съм сигурен дали отговорът ми ще е достатъчен. Ако в autorun.inf има инструкции за изпълнение на някакъв зловреден код някъде и на explorer.exe му се откаже достъп до въпросния autorun.inf файл, то зловредният код няма да бъде изпълнен.

 

Ами, за тест можеш да спреш софтуерните стени и да пуснеш някой тест на портове от някой сайт. Ако ти каже, че портът е stealth или затворен, значи всичко е наред и стената на рутера си върши работата.

[isaakhim]

Ако в autorun.inf има инструкции за изпълнение на някакъв зловреден код някъде и на explorer.exe му се откаже достъп до въпросния autorun.inf файл, то зловредният код няма да бъде изпълнен.

Точно това ме интересуваше.

 

Защитната стена на рутера се оказа, че си върши работата дори и при изключване на всички опции, които съм показал на скрийншотовете. За проба включих интернета директно (без рутера) и повторих теста. Оказа се, че Windows Firewall го издържа и всички портове бяха стелт. След това я деактивирах и оставих тази на Malware Defender. За съжаление теста се провали. А аз си мислех, че съм направил някакви задоволителни настройки на стената. Добре, че в случая не разчитам на своите знания. Използвах този сървър за тестовете http://www.pcflank.com/. Иначе, HIPS-а на програмата според мен работи страхотно. Особено опцията за засичане на целия команден ред за някои файлове е страхотно решение. Да си призная в началото не бях обърнал внимание на това и доста се чудих защо ме пита по няколко пъти за един и същ файл, макар че съм създал вече правило за него. Вероятността да се зарази системата клони към 0, ако се дават адекватни отговори.

 

Благодаря за отделеното внимание Night_Raven!

[Night_Raven]

След това я деактивирах и оставих тази на Malware Defender. За съжаление теста се провали.

Какво точно имаш предвид под провали се? Да повторя, че ако портовете са затворени, всичко е наред. Не е нужно да са stealth-нати.

Можеш да пробваш да речем и ShieldsUp!.

[Гост tnn]

За предпочитане е портовете да са stealth-нати - когато не си видим, няма как да си мишена. Това е логичната причина за тези изисквания. Може портовете да са затворени, но те виждат и можеш ли отгатна някой от лошите какъв DDOS може да протренира точно с твоя компютър... Изобщо не бих ползвал Malware Defender - ако не го осигурява. Online Armor Premium няма подобни проблеми - всички портове са стелтнати при настройки по подразбиране. При Comodo трябва да ползваш съветника с настройките за да постигнеш същия резултат. Това е обобщено мнение от няколко други форума, а моите пробвания засега потвърждават тези изводи. Няма причина да стоя със затворени портове - щом мога да ги стелтна. Поздрави

[nikikom]

Недей се включва със своята параноя и некомпетентност.

[Гост tnn]

Който желае нека слуша "компетентни непараноици". Създалите стелтпроверките са нямали занимавка и са си намерили такава - за да си запълват с глупости времето, така ли? Стойте си Вие със затворени портове и не убеждавайте възможните мишени в каквото и да било! Компетентни доказателства няма ли да се представят сега тук? Поздрави