Firewall + HIPS

[Гост cybertek]

Който желае - нека си ги купува и да си ги ползва със здраве! Честита баба Марта!

 

При толкова добри безплатни алтернативи,няма смисъл да се дават пари за платени,а може и без защитен софтуер,то това май е най-добрият вариант,а парите най-добре в кръчмата.Честита и на теб.

[liver]

Ще изпратя моят lsass.exe до някои лаборатории - нека преценяват специалисти

Най-добре им прати хард диска си за анализ. Може да си пропуснал нещо. Или най-добре ''DELETE SYSTEM32. MAKE YOUR PC FASTER''

 

 

Честита баба Марта

[Гост tnn]

"Event: Security Risk Found!

Security risk detected: Trojan.Vundo" http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/ Защо да го трия? Още неща ще му разреша - нали трябва да си имам занимавка. По ли е добре да се ровя из азиатски сайтове - сега си имам любопитен гост, който не знае на кого е налетял. И аз съм любопитен - искам да му копирам творчеството за да го препратя към Симантек и Комодо.

[Гост tnn]

Win32/RegistryBooster ESET това защо ли го класифицират - модулите на Comodo мълчат http://www.virustotal.com/file-scan/report.html?id=324824645118e4ef2530cf016127bb5ebe723e5f8b3b5c8043366501f2df3777-1298995191 Това май е някаква подвеждащо-подлъгваща програмка.

[isaakhim]

Здравейте!

От доста време ползвам Malware Defender. По подразбиране в правилата за svchost.exe, "Write physical disk" е на "Ask". Забелязах, че при мен въпросната настройка е на "Permit". Направих я на "Ask", но винаги след рестарт на операционната система svchost.exe иска достъп до физическия диск.

 

http://picbg.net/u/33291/42907/530037.png

 

Независимо какъв отговор давам ("Permit" или "Deny"), не намирам някаква разлика в работата на системата.

 

1. Да оставя ли настройката на "Permit", както е била досега или да я направя на "Deny"?

2. С какво е свързана въпросната настройка? Предполагам е някаква услуга, която се стартира със зареждане на операционната система (Windows 7 Ultimate x86), но не мога да разбера коя е тя.

 

Благодаря предварително!

[Night_Raven]

По подразбиране наистина настройката е Ask. При мен обаче svchost.exe е имал нужда от запис по твърдия диск на ниско ниво.

 

1. След като по всяка вероятност става въпрос за легитимна заявка за достъп на ниско ниво според мен Permit е правилият избор.

2. Да, става въпрос за услуга. svchost.exe (service host) е процес, който приютява различни услуги. Някои копия на процеса съдържат няколко услуги, друго - само една. Различно е. Трудно е да се каже коя услуга е поискала достъп до твърдия диск по този начин.

[tanganika]

Night_Raven , на какво се дължи следното явление :

Когато стартирам този вирус Sality ( www63.zippyshare.com/v/72513451/file.html паролата на архива е 123 ) , при включен родителски контрол с цел да не задава въпроси при стартиране на непознати файлове , HIPS-а се справя и не допуска пачване на файлове , но ако прекратя процеса на Sality от Task Manager-а се получава пробив.

Ето и клипа :

http://www60.zippysh...22645/file.html

 

Ако обаче не затворя процеса на Sality от Task Manager-а и рестартирам ОС няма пробив всичко си е наред.

 

Когато не е включен родителския контрол , стартирам вируса и при въпрос от HIPS-а избера да го третира като изолирано приложение то тогава дори и да прекратя процеса на вируса от Task Manager-а няма пробив.

И едно пояснение , Комодо се проваляше при този вирус докато не добавих тези ключове

http://piczasso.com/i/81ypr.jpg

да бъдат защитавани , които видях и добавих там от твоите настройки на Malware Defender

Благодарение на добавянето на тези ключове Комодо вече се справя и с този Rootkit TDL3 Alureon ( www58.zippyshare.com/v/92762269/file.html паролата на архива е 123 )

[Night_Raven]

Ами, не знам. Прилича ми на бъг. Няма да е първият бъг в Comodo. В нея бъгове има бол, както е и при Online Armor.

[tanganika]

Ами, не знам. Прилича ми на бъг. Няма да е първият бъг в Comodo. В нея бъгове има бол, както е и при Online Armor.

 

Да не би да е свързано с това че за Комодо Task Manager е доверен процес , както е случая с Rootkit TDL3 Alureon възползващ се от Spoolsv.exe , който е доверен за Комодо ?

 

 

[Night_Raven]

Не би трябвало да има общо. В случая Task Manager се използва само за прекратяване на процеса. Това не би трябвало да оказва влияние.

[tanganika]

Ами, не знам. Прилича ми на бъг. Няма да е първият бъг в Comodo. В нея бъгове има бол, както е и при Online Armor.

Прав се оказа става въпрос за бъг , при по-старите версии това не се случва.

 

Тези правила които ти си добавил в Malware Defender за да затвориш някои пролуки , създателя на Malware Defender не знае ли за тях , защо той не е добавил тези правила , програмата така или иначе си задава въпроси ? Да не говоря за Комодо , като му добавих същите тези правила се затвориха няколко пролуки , а в същото време въпросите на Defense + не са се увеличили заради белия му списък. Толкова ли им е трудно да тестват продуктите си и да затегнат правилата ? Едва ли ще им отнеме повече от ден два да си тестват продуктите срещу най-коварния известен зловреден код. На теб колко време ти отне да откриеш слабите места на Malware Defender и да ги затвориш ? И това при условие че става въпрос за липса на правила , а не липса на възможности на програмата. Както се казва изяждат вола и оставят опашката.

 

 

 

 

[Night_Raven]

Не мисля, че авторите не тестват продуктите си. Възможно е авторът да не знае за някои от тези ключове в регистратурата, но е възможно и просто да не иска да ги добави. Предполагам, че за някои от допълнителните групи авторът не знае, а други нарочно не ги е добавил.

Реално погледнато Malware Defender (и не само) се справя повече от добре и с групите по подразбиране. Т.е. и без да съм добавил моите групи пак получавам чудесна защита. Това, че аз съм решил да затегна още повече защитата, е моя преценка и не е абсолютно необходимо за всеки. Лично съм тествал Malware Defender срещу зловреден код и реалните пропуски са много, много малко. Например добавените от мен HKEY_LOCAL_MACHINE\SOFTWARE и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall реално не са особено нужни срещу зловреден код. По-сериозният зловреден код не би трябвало да се занимава с тези ключове. Ти казваш по-нагоре, че тези ключове помагат, но не би трябвало. Обикновено тези ключове се използват от инсталиран софтуер, а зловредният софтуер няма причина да си поставя опция за деинсталация. Изключение би бил някой rogue софтуер.

 

Не съм засичал колко време ми е отнело да допълня групите. Като цяло аз проверих какво следи MJ Registry Watcher и добавих някои ключове от там. Други са добавени след тестове срещу зловреден код.

 

Говорейки за Malware Defender, обърнах внимание на автора на програмата за забивите при включена мрежова защита и провала на Driver Verifier под Windows 7.

Попитах го и при колко правила се забелязва забавяне на програмата и защо има застъпващи се групи (All executable files и System executable files). Той каза, че няма някакви конкретни анализи за това как бройката на правила се отразява на производителността, но каза, че не би трябвало да има проблеми дори и с доста правила. Добави и два съвета за да не се стигне до забавяне:

- да не се следи четене на файлове;

- в логовете да се записват само нужните събития.

За застъпващите групи каза, че е така, защото е възможно потребителите да поискат да изключат All executable files групата, за да намалят броя на въпросите.

Отправих и някои предложения:

- възможност за внасяне/изнасяне на настройките на програмата и запазването им при деинсталация;

- възможност за сравняване на правилата, за да може след преминаване в Learning mode да се провери бързо и лесно какво ново е научено;

- възможност за откриване на повтарящи се групи сред файловете и регистратурата (например да не се окаже, че даден ключ е добавен за защита повече от веднъж);

- показване и на private bytes в подпрозорец Processes, а не само working set (което е колонка Memory).

 

Споменавам това и по молба на isaakhim, макар това да беше в друга тема. Просто не ми се пишеше в две теми. Надявам се, че няма да пропусне този коментар.

[tanganika]

Например добавените от мен HKEY_LOCAL_MACHINE\SOFTWARE и HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall реално не са особено нужни срещу зловреден код. По-сериозният зловреден код не би трябвало да се занимава с тези ключове. Ти казваш по-нагоре, че тези ключове помагат, но не би трябвало. Обикновено тези ключове се използват от инсталиран софтуер, а зловредният софтуер няма причина да си поставя опция за деинсталация. Изключение би бил някой rogue софтуер.

 

Точно когато добавя Комодо да защитава тази група ключове Change or Removal of Installed Software :

 

HKEY_CURRENT_USER\Software

HKEY_LOCAL_MACHINE\SOFTWARE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

 

се справя с Rootkit TDL3 Alureon. Предполагам Rootkit-а дава командите на spoolsv.exe да променя въпросните ключове за да може да пише по диска.

[Night_Raven]

За Comodo не знам защо не се справя без тези ключове. Malware Defender се справя без тях. Не би трябвало да са важни в случая.

[Гост tnn]

Tanganika, защо си убеден, че Comodo е с еднакво поведение при всички? При мен стената е в тих режим и ми харесва да мълчи. Евристиките на антивируса са на високо ниво - когато е включен като реално-времева охрана. Ето ти още един линк за и с TDL 4 http://contagiodump.blogspot.com/2011/02/tdss-tdl-4-alureon-32-bit-and-64-bit.html#more