Jump to content

Firewall + HIPS

Callisto
 Share

Препоръчан пост

  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

tanganika Новобранец

tanganika

Публикувано
Публикувано

Конкретната услуга, която е от значение в случая, е Print Spooler (spoolsv.exe). TDSS използва нея за заразяване. Колкото до въпросните три програми, не мога да се съглася, че всичките "проспиват" опита за заразяване по този начин. Outpost Firewall Free наистина мълчи, ако Print Spooler е вече включена, но Comodo Firewall и Online Armor обаче се справят успешно.

При тази инсталация на ХР не съм променял нищо , настройкитена Комодо също са по подразбиране и не се справя.

http://www.box.net/shared/vo9u8jdupp

 

При тази инсталация на ХР съм изключил Print Spooler , настройките на Комодо са по подразбиране и се справя.

http://www.box.net/shared/utjpceuor8

 

Защо когато е изключена услугата Print Spooler Комодо "вижда" че рууткита иска достъп до твърдия диск , а ако е включена мълчи ? Какво точно се случва ?  

Link to comment
Сподели другаде
Night_Raven Сътрудник

Night_Raven

Публикувано
Публикувано

При тази инсталация на ХР не съм променял нищо , настройкитена Комодо също са по подразбиране и не се справя.

http://www.box.net/shared/vo9u8jdupp

 

При тази инсталация на ХР съм изключил Print Spooler , настройките на Комодо са по подразбиране и се справя.

http://www.box.net/shared/utjpceuor8

 

Защо когато е изключена услугата Print Spooler Комодо "вижда" че рууткита иска достъп до твърдия диск , а ако е включена мълчи ? Какво точно се случва ?  

Моя "грешка". По инерция инсталирах Comodo Firewall с максимална проактивна защита, а не оптимална. Явно допълнителните настройки в режима с максимална защита помагат.

Защо Comodo мълчи в Safe Mode и на оптимална проактивна защита, когато Print Spooler е пусната, не знам. При ако е в Paranoid Mode или на максимална проактивна защита, или Print Spooler не е пусната, тогава се справя. Може би е просто бъг и/или недостатъчно добра имплементация на реакция, когато някой от обектите са в whitelist.

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
Публикувано

Моя "грешка". По инерция инсталирах Comodo Firewall с максимална проактивна защита, а не оптимална. Явно допълнителните настройки в режима с максимална защита помагат.

Защо Comodo мълчи в Safe Mode и на оптимална проактивна защита, когато Print Spooler е пусната, не знам. При ако е в Paranoid Mode или на максимална проактивна защита, или Print Spooler не е пусната, тогава се справя. Може би е просто бъг и/или недостатъчно добра имплементация на реакция, когато някой от обектите са в whitelist.

 

Пробвах три различни версии включително и любимата ми версия 3.0.25.378 от преди 2 години , няма бял списък , досадна е като Malware Defender , но и тя се проваля.

 

Е разбира се открих при кои настройки Комодо 5 се справя дори когато Print Spooler е на Automatic, при които файла ще бъде стартиран успешно ,но няма да направи промени по MBR-а.

 

 http://imagenic.net/images/b9oxm7jjkhg75xx5qnh4.jpg

 

http://imagenic.net/images/5nmi5yk8vtse0xuxx.jpg

 

http://imagenic.net/images/qn9f1d5ydrfvq2slqive.jpg

 

http://imagenic.net/images/efggh5koj5m2nzaezw7r.jpg

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано

Сега се па разбърбори, но пък не по темата. Май с теб няма да се разберем. Ползвай си колкото си искаш стени на веднъж, твоя работа.

Да - прекалих неусетно за себе си с отклоненията. Няма ли да уточниш защо си готов само на стената на рутера да разчиташ? Служебните ни компютри са не само зад хардуерна стена и да не си мислиш, че не преминават разни вредоносни творения? Symantec EP 11 отвреме навреме все се изявява ту с едно класифицирано като уловено ту с друго, а там не сме банка. Изглежда твърде много са любопитните хора и търсещите нещо за открадване...

Link to comment
Сподели другаде
isaakhim Новобранец

isaakhim

Публикувано
Публикувано

Дано не досаждам, но не мога да взема решение и реших да попитам. Пак е свързано с Malware Defender. От 5 дена съм с въпросната програма и съм очарован, но на моменти наистина е много трудно човек да вземе глобално решение за някое правило, което е свързано със системен файл. Когато оставя компютъра за известно време да почива, тоест без да докосвам мишката, се появяват въпроси на Malware Defender за тези файлове.

post-8967-050741500 1289817378_thumb.png

Явно системата в покой си прави някакви диагностики, но понеже е свързано със създаването на винаги различни dll файлове и въпросите не престават.

post-8967-086293200 1289817554_thumb.png

post-8967-029693900 1289817572_thumb.png

Мога ли спокойно да направя правило за тези процеси, което в случая ще изглежда така?

post-8967-009686800 1289817970_thumb.png

По този начин програмата повече няма да ме занимава с въпроси за тях, относно връзката им с temp папките. Не знам обаче това дали е добре относно сигурността. От друга страна прочетох и ето това за sdiagnhost.exe. Така, че не знам. :crosseyes1: Проверил съм тези файлове на Virus Total и всички са чисти според сайта.

 

Благодаря за отговорите предварително!

Link to comment
Сподели другаде
Night_Raven Сътрудник

Night_Raven

Публикувано
Публикувано

Файлът е редовен и системен. Можеш да му създадеш правило да може да създава само DLL файлове. Т.е. създаваш правило както ти сам си предложил, но в поле File or subfolder добавяш *.dll.

 

Иначе да, програмата е изключително гъвкава и мощна, но е и доста объркваща понякога.

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано

Това съм го направил.

Къде, кога, как? Пропуснал ли съм го? Рутерът ми е добър - но в практиката лесни ли са задоволителната или достатъчната защитености?

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
Публикувано

Рутерът ми е добър - но в практиката лесни ли са  задоволителната или достатъчната защитености?

Да , а ти защо питаш ?

 

Кажи ми как все ти успяваш да привлечеш вниманието на хакерите , как все ти попадаш на зловредния код който ти пробива защитната програма която ползваш ?

Защо не си направиш линукс сървър след като рутер и софтуерна защитна стена не са ти достатъчни ?

 

 

 

 

Link to comment
Сподели другаде
Гост tnn

Гост tnn

Публикувано
Публикувано
Хардуерна защитна стена плюс Symantec EP 11 ми изглеждат като достатъчни в общ план. Ако стартираш инфектирани файлове на реална машина - все едно сам си си поканил гости. Това състояние всеки сам може да си го създаде - нарочно или просто без да иска, при незнание. Сега не установявам конфликтности между Online Armor Premium и Twister Anti-TrojanVirus - а и двете програми са с HIPS-подсигуряване. Tanganika, скоро пробвал ли си най-пъргавия антивирус в света? Малко по-често спрямо другите е с фалшиви тревоги, но аз съм му свикнал. Firewall + HIPS е тази тема, а дали е основателно да си отворим и тема Antivirus + HIPS ?
Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...