Препоръчайте хубава и лека защитна стена

[tanganika]

С това си обяснявам перфектното представяне на Comodo Firewall и Online Armor.Досега не е имало случай да не се справят с възложена задача,правят го с лекота все едно нищо не се е случило,имат пълен контрол над системата за разлика от антивирусните.Щом стените се зареждат на ниво kernel означава ли че ще се справят с рууткити които също се зареждат на ниво kernel и не се обръщат към други процеси,файлове а се стартират във собственото си ядро?

[Night_Raven]

Нормално е да имат пълен контрол спрямо антивирусните, нали затова имат HIPS модул.

Това, че стените се зареждат на ниво kernel значи, че имат доста голяма власт и възможности и имат (по-)голям шанс да се справят с rootkit-и на ниво kernel. Това обаче не е гаранция разбира се. Дори въобще не е гаранция, че понеже се зареждат на такова ниво, са недосегаеми. Има начини зловреден код да неутрализира HIPS механизми на kernel ниво. Не е лесно да се постигне, но не е и невъзможно. Мисля, че го казах вече, че това ще е донякъде бъдещето на зловредния код - ефективен начин за разкачане на т.нар. куки, които се ползват от HIPS програмите, защото ако това стане, HIPS механизмите се оказват абсолютно безпомощни. Да дам пример: все едно да си се оборудвал с най-различна техника (DVD плеър Blu-Ray плеър, Hi-Fi система, LCD телевизор, компютър и всякакви други модерни чудеса) и както си започнал да се радваш, че имаш всичко и изведнъж, БУМ, дръпват ти шалтера и оставаш без електричество.

Затова и казвам, че непробиваема защита няма и дори HIPS програмите могат да бъдат неутрализирани и заобиколени.

 

рууткити които също се зареждат на ниво kernel и не се обръщат към други процеси,файлове а се стартират във собственото си ядро?

Това не го схванах напълно.

[tanganika]

Night_Raven

Това не го схванах напълно.

 

Такива които се стартират преди операционната система.

[Night_Raven]

Няма начин rootkit да се стартира преди операционната система. Ако няма операционна система, няма как да се зареди каквото и да било. Кой ще го зареди тогава? Каспър, добрият дух? Даден rootkit може да се зареди доста раничко по време на операционната система, но не и преди нея.

[crazyfrog]

В кръга на шегата - може да има live версии.

[Pe6o]

http://img3.imageshack.us/img3/1833/saforum8final.jpg

 

VY73!

 

http://img4.imageshack.us/img4/589/88233294.gif

[Night_Raven]

Това не доказва, че дадена програма се зарежда на ниво kernel. Не всеки драйвер е kernel-mode.

[Pe6o]

Night_Raven Публикувано на 28 Mar 2009, 03:55

Това не доказва, че дадена програма се зарежда на ниво kernel. Не всеки драйвер е kernel-mode.

Естествено, че не всеки драйвер е kernel-mode. Зарежда се драйвера, контролиращ програмата, вследствие на което тя изпълнява определени действия, така, че не е много точно да казваме:"програмата се зарежда на ниво kernel".

Пример:

http://img410.imageshack.us/img410/3359/saforum10final.jpg

http://img410.imageshack.us/img410/8421/saforum11final.jpg

http://img410.imageshack.us/img410/1592/saforum12final.jpg

Затваряне на програмата:

http://img410.imageshack.us/img410/5294/saforum13final.jpg

Забряват се неща, който са писани, затова ще припомня:

Night_Raven Публикувано на 19 Mar 2009, 19:36

Извинявам се, пропуснал съм този коментар. Не мисля, че има някакъв надежден начин да се разбере дали даден драйвер се зарежда на ниво kernel. По принцип може да се ползва регистратурата или Device Manager, за да се види кога точно се зарежда драйвера. Това може да даде някакъв ориентир за драйвера, но определено не е особено надежден ориентир.

Според мене има надежден начин и го илюстрирам. HIPS технологията също ги засича, въпросът е в информацията която дават различните програми.

/За илюстрация включвам и Avast и във връзка с едно питане във форума за тази функция на програмата/

Добавям към темата:

Защитните стени филтрират входящият/ICF/ или вход&изходящият/Comodo, Online Armor..../, но не и неговото съдържание. Например, ако в пропуснатите от стената пакети се съдържа зловреден код той безпрепятствено ще попадне в компютъра, при опит да се активира HIPS ще засече това действие и може само да го блокира, но не и да го премахне.Това е работа на анти: virus&spyware&rootkit.....програми, затова не бива да ги пренебрегваме.

Споменатите Comodo&Online Armor са много добри firewalls, но дължат свойте качества на HIPS модула. Същите резултати в някой случай и по добри се

получава от комбинацията ICF+HIPS/HIPS&By програми.

http://img410.imageshack.us/img410/7832/1aa.gif

http://img26.imageshack.us/img26/7909/45039178.gif

[tanganika]

От това по-добре накъде,блокираш действието на дадения файл,пращаш го за анализ в антивирусна лаборатория и ако се окаже вирус го изтриваш сам.А специално Online Armor показва и точното местоположение на файловете.

http://hosting02.imagecross.com/image-hosting-th-06/9900Screenshot-549.jpg

Но ако антивирусната не го лови и вируса пусне корени в повечето случаи трябва да се ползват безплатните приложения за почистване/изтриване на инфекциите,а не антивирусната която ползваш.Антивирусните са подходящи за домашно ползване на компютри където няма ценна информация или не се извършват плащания.Доколкото знам фирмите най-малко разчитат на антивирусните програми да ги опазят от заразяване,проникване,кражба на информация.Лично за мене да разчитам на програма нуждаеща се от база данни за да ме пази е като да играя на Руска рулетка.

[sergo75]

От това по-добре накъде,блокираш действието на дадения файл,пращаш го за анализ в антивирусна лаборатория и ако се окаже вирус го изтриваш сам.А специално Online Armor показва и точното местоположение на файловете.

http://hosting02.imagecross.com/image-hosting-th-06/9900Screenshot-549.jpg

Но ако антивирусната не го лови и вируса пусне корени в повечето случаи трябва да се ползват безплатните приложения за почистване/изтриване на инфекциите,а не антивирусната която ползваш.Антивирусните са подходящи за домашно ползване на компютри където няма ценна информация или не се извършват плащания.Доколкото знам фирмите най-малко разчитат на антивирусните програми да ги опазят от заразяване,проникване,кражба на информация.Лично за мене да разчитам на програма нуждаеща се от база данни за да ме пази е като да играя на Руска рулетка.

 

Просто погледни нещата от друг ъгъл...

Много голяма част от потребителите, които имат компютри, са с малка или никаква техническа грамотност.

Което само по себе си води до предпоставката да използват антивирусна програма, която автоматизирано ( колкото и слаби страни да има това ) ще ги предпазва от "нежелани" и вредоносни програми.

За такива хора защитната стена с HIPS-а ще е цяло мъчение с постоянните въпроси, обяснения, какво се опитва да направи даден файл, с кой сървър се опитва да се свърже, кой ключ от регистъра иска да промени... и... т.н.

Не мисля, че е задължително всеки който е решил да си порови малко в нета, автоматично да става експерт в мрежовата сигурност.

Като от друга страна не отричам, че поне малка "санитарна хигиена и навици" трябва да я има всеки.

Относно антивирусните не съм съгласен, че едва ли не щом разчитат на дефиниции, не могат да те предпазят.

Че къде ровите вие, та все първи да попадате на даден вирус ???

Вярно е че си имат пропуски, нормално е, но пък потребител с HIPS, който нищо не разбира от това...

[Night_Raven]

@Pesho: не ми казваш нищо ново. Да, HIPS механизмите засичат инсталации на драйвери, но това не значи, че тези драйвери се зареждат на ниво kernel. Не мога да разбера какво от това не е ясно. Най-добрият начин да се провери дали даден драйвер се зарежда на ниво kernel е да се погледне в регистратурата в ключ Services какъв режим на стартиране има.

[Pe6o]

Night_Raven,

Нямам нужда да се ровя в регистратурата, програмата/Zemana Antylogger/ ми показва драйвърите зареждащи се на ниво kernel/само тях, защото се приема за ПО действие/. Ще бъде полезно това, което предлагаш да се подкрепи с шот/или покажи локацията/ за по-голяма яснота.

http://lh3.ggpht.com/_cYSuz4s_Wwg/SZSAHPa6uFI/AAAAAAAAAns/IhsM-coF_9Q/123a.gif

http://lh6.ggpht.com/_cYSuz4s_Wwg/SZSAHBFZReI/AAAAAAAAAn0/WGUrzzyp20Y/1b.gif

[Night_Raven]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services, където X може да е 1, 2 или 3. Всички драйвери са в този ключ. При кликане на някой от тях вдясно има стойност Start. Ако тази стойност има зададена величина 0, то значи драйверът по всяка вероятност се зарежда на ниво kernel.

Колкото до Zemana, програмата би трябвало да уведомява за всякакви заредени драйвери, не само тези на ниво kernel, ако се счита за надеждна защитна програма.

[S235]

Просто погледни нещата от друг ъгъл...

Много голяма част от потребителите, които имат компютри, са с малка или никаква техническа грамотност.

Което само по себе си води до предпоставката да използват антивирусна програма, която автоматизирано ( колкото и слаби страни да има това ) ще ги предпазва от "нежелани" и вредоносни програми.

За такива хора защитната стена с HIPS-а ще е цяло мъчение с постоянните въпроси, обяснения, какво се опитва да направи даден файл, с кой сървър се опитва да се свърже, кой ключ от регистъра иска да промени... и... т.н.

Не мисля, че е задължително всеки който е решил да си порови малко в нета, автоматично да става експерт в мрежовата сигурност.

Като от друга страна не отричам, че поне малка "санитарна хигиена и навици" трябва да я има всеки.

Относно антивирусните не съм съгласен, че едва ли не щом разчитат на дефиниции, не могат да те предпазят.

Че къде ровите вие, та все първи да попадате на даден вирус ???

Вярно е че си имат пропуски, нормално е, но пък потребител с HIPS, който нищо не разбира от това...

Много добре казано, и най-вече- вярно!

[tanganika]

Просто погледни нещата от друг ъгъл...

Много голяма част от потребителите, които имат компютри, са с малка или никаква техническа грамотност.

Което само по себе си води до предпоставката да използват антивирусна програма, която автоматизирано ( колкото и слаби страни да има това ) ще ги предпазва от "нежелани" и вредоносни програми.

За такива хора защитната стена с HIPS-а ще е цяло мъчение с постоянните въпроси, обяснения, какво се опитва да направи даден файл, с кой сървър се опитва да се свърже, кой ключ от регистъра иска да промени... и... т.н.

Не мисля, че е задължително всеки който е решил да си порови малко в нета, автоматично да става експерт в мрежовата сигурност.

Като от друга страна не отричам, че поне малка "санитарна хигиена и навици" трябва да я има всеки.

Относно антивирусните не съм съгласен, че едва ли не щом разчитат на дефиниции, не могат да те предпазят.

Че къде ровите вие, та все първи да попадате на даден вирус ???

Вярно е че си имат пропуски, нормално е, но пък потребител с HIPS, който нищо не разбира от това...

От няколко месеца ползвам стена с HIPS и още не съм бил измъчван от въпроси.Стена се инсталира на чиста ОС и по-принцип след това е най-добре непознати инсталационни файлове да се проверяват в антивирусна лаборатория преди да се пристъпи към инсталиране(дори когато използваш антивирусна).По време на инсталацията се създават правила за дадената програма и повече няма да бъдеш обезпокояван.Аз също мога да кажа че за мене ще е цяло мъчение да подкарам игра на компютъра защото никога не съм пробвал и не съм играл,но това е от моя гледна точка.Не съм казал че всеки трябва да ползва стена с HIPS всеки си има приоритети,моите са да не се ограничавам къде влизам и какво отварям и в същото време да съм защитен.

Например ОА е много лека,безплатна и много лесна за употреба защитна стена с най-добрия HIPS + много опции за допълнителна защита на програмите от зловреден код ето пример

http://hosting02.imagecross.com/image-hosting-th-07/3467Screenshot-558.jpg

С тези забрани браузъра е напълно свободен,функционален,а забавянето е колкото с уиндоуската стена,но зловредния код може само да си мечтае да се възползва от него и всичко това без дефиниции.

Повечето антивирусни програми също изискват доста познания за да бъдат настроени правилно за да си вършат работата както трябва.Лично според мен трудни за настройване колкото и ползването на програми с HIPS.