Защитни стени - въпроси, мнения, предимства, недостатъци

[B-boy/StyLe/]

В крайна сметка всичко минава тихо и спокойно и ако ти бях казал да сканираш с MBAM ти и досега нямаше да разбереш, че в компютъра си имаш руткит/макар и спорно твърдение/

 

Много спорно, защото MBAM открива въпросния файл...

 

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Combofix и останалитре средства за анализ също:

 

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_OREANS32

-------\Service_oreans32

 

И не на последно място...че няма да се инсталира на все по-масовите x64 О.С.

 

Поздрави !

[tanganika]

Привет Tanganika,

Ако се абстрахираме, че това е тестова ситуация, какво е станало?

Харесал си една програма, видял си на сайта, че е чиста, изтеглил си я, разархивирал и стартирал. През това време защтната ти формация многократно е

искала различни позволения и ти си ги давал, защото не си имал индикация за опосност. По същият начин, когато си правил тестове си давал блокиращи правила, защото си знаел за наличието на опасност и това Night_Raven се опитваше да ти обясни. В крайна сметка всичко минава тихо и спокойно и ако ти бях казал да сканираш с MBAM ти и досега нямаше да разбереш, че в компютъра си имаш руткит/макар и спорно твърдение/

 

което значи, че Комодо не е предотвратил тази критична ситуация. Аз също съм попадал в подобни ситуаций, но никъде не съм твърдял, че притежавам

перфектна защита.

Искаш да кажеш че ако от антивирусната лаборатория на която съм изпратил за анализ даден файл ми отговорят че е чист може да са се заблудили/да са пропуснали зловредния код в него.

Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.Поздрави

[mihnev_sz]

Искаш да кажеш че ако от антивирусната лаборатория на която съм изпратил за анализ даден файл ми отговорят че е чист може да са се заблудили/да са пропуснали зловредния код в него.

Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.Поздрави

Естествено,за какво ти е Comodo в случая.По тази логика и без него клониш към 0.

Пак до антивирусните допря. Разминаване в коментарите ти, колкото искаш ,май не помниш какво пишеш и какво твърдиш,ако искаш да ти го изкарам черно на бяло.

[Night_Raven]

вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула.

Да напомня, че това не се отнася само за Comodo.

[tanganika]

Естествено,за какво ти е Comodo в случая.По тази логика и без него клониш към 0.

Пак до антивирусните допря. Разминаване в коментарите ти, колкото искаш ,май не помниш какво пишеш и какво твърдиш,ако искаш да ти го изкарам черно на бяло.

Как за какво ми е Комодо ползвам стената и HIPS-а му.Ти защо не се възползваш от твоята логика и не ползваш само уиндоуската стена като защита ?

Не ползвам антивирусна,единствено при нужда ползвам напълно безплатно познанията на работещите в антивирусните лаборатории,защото нямам доверие на антивирусния софтуер.

[Pe6o]

Здравей B-boy/StyLe/,

Приемам реакцията ти като нормална впредвид специалното ти отношение към MBAM.

Това е тест който многократно е проиграван и аз не мога да си позволя да предложа нещо, което да застраши сигурността на ОС.

Трябва внимателно да се чете написаното, за да не се налага да се повтарям.

".....защото си разрешил нещо което ти е непознато и реално погледнато безвредно-системният файл oreans32."

http://img527.imageshack.us/img527/1684/oreans32final.jpg

"Но по начина на разпространението му по ОС се приема, че е възможно да изпълнява нерегламентирани действия и някой защитни програми от по-висок класго определят като действие заплашващо сигурността на системата"

и го показвам нагледно.

Казваш:

Много спорно, защото MBAM открива въпросния файл...

За спорното съм съгласен. Между реда, който показваш и снимката с резултата от сканирането,както и лога на tanganika има голяма разлика и тя е във връзка с

" начина на разпространението му по ОС......"

Защото, ако приемем, че това е зловреден код и MBAM го обработи по този начин ще сме в ситуация "file not found" т.е. неработещ но не премахнат процес. При следващо стартиране или някаква друга ситуация файла отново ще се възстанови от някой записи в регистъра, който според твойта снимка не са обект на интервенция от страна на защитната програма. Подобни ситуаций съм срещал във форума.

Само, че при мене /32&xp/MBAM не открива нищо.

http://img94.imageshack.us/img94/2278/oreans32p.jpg

http://img527.imageshack.us/img527/8748/oreans32bfinal.jpg

Интересно как файла е попаднал при тебе?

Здравей Тanganika,

не разбра ли сложноста на този тест: чист файл да ти зарази системата? Пълен абсурд, но на практика излиза така.

"Не съм твърдял че Комодо е перфектната/непреодолима защита но вероятността да попадна на зловредния код който да я преодоле е толкова малка че клони към нула".

Точно това твърдиш, щом клони към нула според мене означава, че е перфектна, но не знам каква оценка ще получи, когато стигне нулата?

"Не ползвам антивирусна,единствено при нужда ползвам напълно безплатно познанията на работещите в антивирусните лаборатории,защото нямам доверие на антивирусния софтуер"

Нали това са хората, който правят антивирусният софтуер.

Tks.

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

[B-boy/StyLe/]

Здравей Pesho,

Май не ме разбра...Нямам по-специално отношение към MBAM, нито към SAS, нито към която и да е подобна програма.

Просто това не е нова "инфекция" за тях и MBAM се справя не по-зле от SAS.

Аз да съм позволил...нещо непознато...пак не позна. Първо, че съм изключително мнителен на тази тема, второ файла не е попадал при мен...

Не е трудно, човек да използва Google за да разбере че се засича и от MBAM (а и без да използвам Google съм го засичал из темите за анализ - анализ с който се занимавам и аз и то задълбочено вече от няколко годинки).

http://www.bleepingcomputer.com/forums/index.php?s=&showtopic=232855&view=findpost&p=1295278

Както виждаш MBAM добре си почиства и регистрите. Всъщност единствения минус на MBAM е, че е атакувана директно от зловредния код и след това тя не може да си свърше работата, докато не бъдат поправени пораженията върху нея. Работи се и в тази насока, за подобряване на самозащитата на инструмента.

Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката.

Ако MBAM не е обновяван с месеци е възможно да е "проспала" тази "зараза". Но в такива случаи на помощ идват - RSIT, DDS, Combofix, OTlistIt/OTMoveIt и т.н.

И не файла не е попаднал при мен. Лично аз съм с Windows 7 x64...и подобна "зараза" няма особен шанс срещу тази платформа.

Поздрави.

[Night_Raven]

Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката.

То затова по принцип е редно да се копира самия текст от лога, което е винаги по-лесно и по-удобно от създаването на screenshot. Тогава обаче не може да се постави воден знак за самореклама, което явно е най-важно от всичко.

[-TEN4O-]

Здравейте.

Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.

Нека препоръките ви се определят не само от ресурсоемкоста.

Благодаря.

(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея)

[Гост tnn]

Здравейте.

Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.

Нека препоръките ви се определят не само от ресурсоемкоста.

Благодаря.

(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея)

Не я ползвам заради същото. За мен за момента най-доброто е http://www.privacyware.com/personal_firewall.html Поздрави

[-TEN4O-]

Privatefirewall честно казано бях я свалил преди да пиша тук но се чудя още. А под подозрения имам предвид че много гадно ми замръзва системата.И по-преди ми е предлагал да се изгаври с explorer.exe сега на нова инсталация ми замръзва.При стартиране на ново за него приложение кликнах върху линка който е на самия прозорец с неговият алерт и ПС-то замръзна..та така не съм решил още...

[mihnev_sz]

А под подозрения имам предвид че много гадно ми замръзва системата.И по-преди ми е предлагал да се изгаври с explorer.exe сега на нова инсталация ми замръзва.При стартиране на ново за него приложение кликнах върху линка който е на самия прозорец с неговият алерт и ПС-то замръзна..та така не съм решил още...

Проблема не е в Comodo според мен.Предполагам сте с последната версия на продукта.

"Замръзването" най-често се дължи при евентуален конфликт м/у защитен софт, проблем с драйвър на видеокарта или рязко покачване на натоварването на процесора и той в случая не може да обработи навреме заявките и командите.

Но, така или иначе и двете предложени до тук защитни стени, са едни от най-леките и са сравнително добре бих казал перфектно уравновесени,относно заемани ресурси,добра съвместимост с повечето от известните програми в защита,бъговете са сведени почти до 0 и предлаганата защита е на сравнително добро ниво.

[tanganika]

Здравейте.

Водейки се все пак от заглавието на темата моля да ми препоръчате защитна стена с ХИПС.

Нека препоръките ви се определят не само от ресурсоемкоста.

Благодаря.

(сега съм с Комодо но искам да пробвам друга поради мои подозрения към нея)

Online Armor Free изключително лесна за ползване като лично според мен е нужно поставянето на 3 отметки в настройките.

[The Graverobber]

да но в последните версии е доста бъгава. например на 5.0.0.32 не успях да си стартирам уиндоуса поради ерор при логина и се наложи през сейф мод да я махна. често ми се появяват и сини екрани поради незнайна причина. предишните версии обаче бяха определено по-стабилни. за мен пс туулс е най-добра, не защото има 99% на матошек, ами поради простия си интефейс и своята автоматизираност.

[Night_Raven]

Най-смислените и същевременно безплатни защитни стени с HIPS са Comodo Internet Security, Online Armor Free, PC Tools Firewall Plus, Outpost Firewall Free и Privatefirewall. Всяка си има предимства и недостатъци и всяка една от тях е достатъчно надеждна, за да се ползва.