Jump to content

Защитни стени - въпроси, мнения, предимства, недостатъци


Препоръчан пост

  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Публикувани изображения

Привет B-boy/StyLe/,

"Май не ме разбра...Нямам по-специално отношение към MBAM, нито към SAS, нито към която и да е подобна програма."

Това, че не участвам активно във форуми не значи, че нямам представа още повече, че по надолу казваш именно това. Всъщност в това няма нищо лошо и не е необходимо да звучи като оправдание.

"Първо, че съм изключително мнителен на тази тема, второ файла не е попадал при мен...

Не е трудно, човек да използва Google за да разбере че се засича и от MBAM (а и без да използвам Google съм го засичал из темите за анализ - анализ с който се занимавам и аз и то задълбочено вече от няколко годинки).

http://www.bleepingc...dpost&p=1295278"

Знам това.Не само ти се занимаващ с анализ. В тази връзка съм учуден защо ми даваш тази препратка като пример.Препоръчвам ти да и отделиш малко повече време за да анализираш ситуацията, това са несериозни неща, както и тези снимки от моята колекция.

http://img253.imageshack.us/img253/3085/mbam10final.jpg

http://img253.imageshack.us/img253/4958/mbam14final.jpg

"Всъщност единствения минус на MBAM е, че е "атакувана директно от зловредния код и след това тя не може да си свърше работата, докато не бъдат поправени пораженията върху нея. Работи се и в тази насока, за подобряване на самозащитата на инструмента."

Хайде сега и ти като tanganika-Комодо клони към нула,... единствен минус? Бих се съгласил с израза "един от минусите", като смятам конкретният за не чак толкова голям. Тук отиваме към RTP, която не познавам, но според мнението ти и това на Night_Raven е недостатъчно ефективна.

"Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката". Ако MBAM не е обновяван с месеци е възможно да е "проспала" тази "зараза".

http://img253.imageshack.us/img253/329/oreans34final.jpg

http://img253.imageshack.us/img253/2755/oreans35final.jpg

Тук отговарям и на Night_Raven. Двамата се хващате за сламката, което не е аргумент. Вие за какъв ме мислите, ще седна да ви манипулирам.Това е несериозно, та вие сте рутинирани играчи. Познaвам MBAM от самото начало, когато не се разпространяваше свободна и файла се изпращаше по пощата за тестване. Нямам отрицателно мнение за програмата, но според мойте критерий е несериозна програма.

"Лично аз съм с Windows 7 x64...и подобна "зараза" няма особен шанс срещу тази платформа".

Това са само твой предположения. Като анализатор по сигурнаста думата "oreans" би трябвало да ти говори нещо или си направи справка.

http://img253.imageshack.us/img253/5756/oreans33final.jpg

http://img253.imageshack.us/img253/4259/oreans36final.jpg

Night_Raven:

Става въпрос за стил, това, че нещо не ти харесва е твой проблем. Ти защо под твойте материали пишеш забранителни клаузи, като знаеш, че никой няма

да се съобрази с тях? Снимките са мой и с подписа си удостоверявам принадлежност и достоверност и без забрана. Като администратор трябва да имаш по широк поглед към форума, за да знаеш, че по този въпрос съм писал на Весо Димов.

Поздрави.

 

http://img147.imageshack.us/img147/9682/1aaj.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

Link to comment
Сподели другаде

При положение, че драйверът на Oreans е легитимен сам по себе си и се използва с напълно валидни приложения, то е нормално в конкретни ситуации да не бъде считан за зловреден код (ако е част от валидна програма). Тогава е възможно и да не бъде засичан. MBAM използва различни методи за засичане на гадинките, което значи, че не би трябвало да подскача веднага като види Oreans. Ако драйверът е част от валидна програма, може точно затова MBAM да не го закача. Не знам как тестваш.

Освен това MBAM е проектирана да засича и почиства активни заплахи. Т.е. ако изтърсиш някъде в някоя папка файлове, които са части от някоя заплаха, но в момента тези файлове са ... просто файлове и са "статични" (не са част от заплаха в момента, а са самостоятелни и пасивни), то MBAM може да не ги засече.

 

Да твърдиш, че MBAM е несериозна програма, също е много, ама много несериозно. Ако се поразровиш из всичките форуми, които се специализират в компютърна защита и почистване на зловреден код, ще видиш, че се използват конкретни инструменти. Дори и да се абстрахираме от това, че там се препоръчват основно Malwarebytes' Anti-Malware и SUPERAntiSpyware, се вижда какви други инструменти се ползват: SmitfraudFix, ComboFix, The Avenger. Авторите им (S!Ri, sUBs, Swandog46 съответно) са част от екипа на MBAM. Това са имена, които трябва да говорят много на всеки, който се занимава активно със зловреден код. Ако това не са най-добрите специалисти в бранша, то със сигурност са сред тях.

Добавено: Swandog46 е и носител на наградата Microsoft Most Valuable Professional, така че няма нищо несериозно в MBAM. Дори точно обратното.

 

Това за Весо Димов не го схванах.

 

Хайде обаче да прекратим offtopic-а.

Link to comment
Сподели другаде

Pesho, Изобщо не се оправдавам, а представям истината каквато е.

MBAM в случая не се справя по-зле от SAS, даже напротив.

Само виж екипа и ресърчърите на MBAM и останалото няма нужда от коментар.

Не само ти се занимаваш с MBAM от първите и бети, но както и да е.

Твоята колекция изобщо не ме интересува. Повечето от файловете ги имам и аз, но при мен не се засичат. Защо ли ? От официалните страници ли си ги теглил ? :P А това, че дава фалшиви тревоги...ами дава. Коя програма не дава ? И ги дава заради агресивните си евристики. Например, ако свалиш дадено rogue приложение на десктопа, на основната в C:\ или в Program Files, Program Files\Common Files, Windows ще се засече изпълнимия файл...ако се постави на десктопа или в свободната на C:\ в нова папка няма да се засече. Така е и с безобидните файлове...незнам дали си си правил експеримента да поставиш легитимни инсталационни файлове с име от рода на setup.exe, install.exe и да видиш, че повечето веднага ще се засекат. Това не прави програмата лоша, просто такива файлове нямат работа на подобни места...

Тази твоя снимка, която показва невиността на oreans32.sys не говори добре и за SAS тогава...защото и тя го засича нали така ? А не неведнъж сме ставали свидетели на това, че доста зарази използват имената на легитимни програми/драйвери или просто ги инжектират със зловреден код.

И както споменах засега не съм срещал руткит за x64 о.С. (естествено, че е засега). Няма нищо вечно и всичко създадено от човек, може да бъде заобиколен от същия, но има доста да се потрудят срещу политиката на MS...цифров подпис, PatchGuard и т.н.

Link to comment
Сподели другаде

Здравейте Night_Raven и B-boy/StyLe/,

Ще припомня само, че ставаше дума само за тест, който за съжаление не можахте да разберете. Цитирам:"защото си разрешил нещо което ти е непознато и реално погледнато безвредно-системният файл oreans32.Но по начина на разпространението му по ОС се приема, че е възможно да изпълнява

нерегламентирани действия и някой защитни програми от по-висок клас го определят като действие заплашващо сигурността на системата."

С това демонстрирам, как по един безобиден начин зловрдният код може да проникне в системата, независимо от предохранителните мерки, който вземаме.

Извода е, че не бива да разчитаме на еднослойна защита. HIPS'а е нещо добро но самостоятелното му използуване е гаранция само за относителна сигурност.

 

Направи ми впечетление, че има елементи на координация и тъй като формата стана две към едно ще обобщя отговора.

Опитвате се да ме убедите в качествата на MBAM със словестни аргументи, който общо взето звучат лековато, което ме учудва.

Защо я смятам за несериазна програма?

Не е нормално при чиста система да ми покаже над 1000 вредители. Ако целта е Гинес рекорд-добре, но последиците какви ще бъдат? Вярно е, че при повторните сканирания програмата се поправи, но събитието се е случило и го документирах.

Демонстрирам един тест:

Вземам две снимки:MBAM1 и MBAM2

 

http://img142.imageshack.us/img142/8351/mbam8finalc.jpg

 

със следните параметри:

 

http://img142.imageshack.us/img142/4557/mbam3finali.jpg

 

Преименувам двете снимки съответно на: rpcc.exe и lanmanwrk.exe със следните параметри:/за да няма съмнение за манипулация/

 

http://img142.imageshack.us/img142/8823/mbam4final.jpg

 

Поставям файловете в "system32" в "статично" положение.

 

http://img142.imageshack.us/img142/6163/mbam5afinal.jpg

 

Сканирам с MBAM с последните към момента дефиниций.

 

http://img142.imageshack.us/img142/5973/mbam6.jpg

 

Резултат:

 

http://img142.imageshack.us/img142/8397/mbam7final.jpg

 

Лаконично-програмата разпозна безвредните файлове като опасни не по съдържание, а по име. Какво ще стане ако зловреден код си промени името, записано в дефиницийте? И това не се е променено от раждането на програмата. Независима от тези гафове програната има потенциал, само трябва да се пипнат някой неща.

Бедата идва от лошо написаната евристика/както B-boy/StyLe споменваш/,като според мене по добре да я няма.

Споменавате различни имена и програми. Без да персонализирам: по имената, техните продукти и общия им продукт с достатъчна

точност може да се определят +&- на дадена програма. Пример и приключвам: The Avenger е прекрасна програма, но не работи с Hidden файлове,

MBAM също.

 

Това за Весо Димов не го схванах

 

http://img40.imageshack.us/img40/6325/mbam14.jpg

 

Tks.

 

http://img523.imageshack.us/img523/3782/3dtextcommandera.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

Link to comment
Сподели другаде

Подред...

 

1. Какви са тези 1000 зарази? Може ли лог, щом си документирал?

2. MBAM атакува заразите по различни методи. Един от многото такива е по име. Причината да виждаш фалшива тревога при поставяне на безвреден файл, преименуван на rpcc.exe, в system32 е, че на този етап няма програма, която да поставя във въпросната папка файл с такова име. Т.е. единствено зловреден код се подвизава там под това име. Затова и програмата не прави допълнителни проверки и счита името и местоположението за достатъчно. От една страна това е досадно, защото си е фалшива тревога, и аз съм на мнение, че е по-добре програмата да не избързва с предположенията си. Това е личното ми мнение. От друга страна обаче това е "бял кахър", защото тази фалшива тревога не е опасна, защото, както казах, няма валидна програма, която да ползва такъв файл, така че няма шансове за потенциални повреди на софтуер. Тази фалшива тревога не е като стандартните, защото ако преместиш залъгващия файл в някоя друга папка, MBAM повече няма да го засича, докато стандартната фалшива тревога засяга даден файл, независимо от местоположението му на твърдия диск. Това е съвсем друга бира вече. MBAM има и такива фалшиви тревоги, но това е нормално. Всяка една програма ги има. Важното е, че се работи по отстраняването им.

3. Зловреден код не може да си промени името в дефинициите на MBAM, защото те са криптирани, както и на всяка уважаваща себе си програма за борба със зловреден код.

4. Не зная какво имаш предвид под това, че The Avenger не работи със скрити файлове. Не разбирам какво очакваш да прави с тях. Нейната задача е да изтрива упорити и трудни за премахване файлове от системата на ниско ниво при рестартиране, като инструкциите й се подават чрез специални скриптове. Тя не е проектирана да засича скрити файлове. На нея й се казва какво да изтрие и тя го прави при рестарт. Това е. Тя за това е създадена.

5. Ако не се лъжа, картинките на Весо са "щамповани" от самия него, а не от нас. Той си е преценил да им сложи такъв воден знак. Ние не сме толкова долни, ако той каже, че иска да си ги промени с друг воден знак например, няма да му откажем съдействие. Все пак материалът е негов. Всъщност, ако става въпрос, дори е добре картинките да се сменят с други с по-блед воден знак. На текущите щампата е малко по-натрапчива, отколкото мисля, че е добре да е.

Link to comment
Сподели другаде

Здравейте,

понеже никога не съм се занимавал с защитни стени,може ли да попитам(евентуално линк) как се инсталира и настрийва.трябва ли да спирам тази на WinXP и такива основни неща.свалил съм OutpostFree и сега незнам какво да го правя :blink:

Link to comment
Сподели другаде

Трябва да изключиш защитната стена на Windows, преди да инсталираш тази, защото ако не го направиш, Windows-кият Firewall ще изквичи на умряло... По време на инсталацията, Outpost трябва да засече настоящата ти антивирусна и да те пита ти ли си я инсталирал, при което потвърждаваш. След инсталацията ресваш компа. По подразбиране, Outpost e в режим Rule Wizard и Auto Create Rulez - обучаващ режим и не би трябвало да те тормози много. Този режим е за една седмица. После почваш да четеш User manual към стената, където е обяснено накратко (на английски, естествено) кое какво прави в стената. След това, докато трае тренировачния режим, сядаш пред компа с топли дрехи и суха храна за няколко дни и почваш да четеш настоящата и тази тема от първа страница. Има и полезни неща... После, можеш да се информираш от wikipedia за видовете интернет протоколи и кой какво прави, та да се опиташ да си настроиш смислено стената, така че да си върши прилично работата... Това е като за на първо време... Ако имаш вече по-конкретни питания, задай ги тук и предполагам, ще получиш бърз отговор... Аз процедирах долу-горе така и постигнах едно не чак толкова лошо познаване на продукта и работата с него... Все още се уча, обаче...

 

В противен случай, има сериозна опасност да ти побелее главата с тази, или която и да било стена...

Иначе, Outpost Free има доста приятен и сравнително лесен за работа интерфейс - нещата са добре подредени.

Предполагам и някой друг ще ти даде напътствия за hot-start - пътят е тежък, но славен... Поздрави!

 

Edit: Предполагам, мненият ще варират между:

1) Нема се плашиш копауе, аз съм с тая оградка и нема к'во да са настройва - сичко само върви...

2) Защитните стени с HIPS са подходящи за напреднали, знаещи и можещи потребители. Работа с тях, без правилна настройка и задълбочени познания за работата на OS и зловредния код, който я атакува, е непрепоръчителана. Може да доведе до вредни последици.

 

Според мен, второто е по-правилно, но без проба, няма как човек да се научи.

Link to comment
Сподели другаде

Здравейте,

понеже никога не съм се занимавал с защитни стени,може ли да попитам(евентуално линк) как се инсталира и настрийва.трябва ли да спирам тази на WinXP и такива основни неща.свалил съм OutpostFree и сега незнам какво да го правя :blink:

 

Дори да не я спреш Outpost ще я спре автоматично. В края на самата инсталация имаш възможност да отложиш рестарта и да отвориш настройките.Там добавяш твоята анти-вирусна като доверена програма,за да не и спира кранчето :thumbsup:

Ето тук прочети за стиковането на стената и ползваният антивирусен продукт

http://www.agnitum.com/support/kb/article.php?id=1000030&lang=en

 

Сваляне само от офсайта - http://free.agnitum.com/

Link to comment
Сподели другаде

Вземам две снимки:MBAM1 и MBAM2

....................

Преименувам двете снимки съответно на: rpcc.exe и lanmanwrk.exe със следните параметри:/за да няма съмнение за манипулация/

 

.......................

 

Поставям файловете в "system32" в "статично" положение.

 

...................................................

 

Сканирам с MBAM с последните към момента дефиниций.

........................................

Пешо ти ме разби! Браво! Поздравления за "изследванията" и анализите, които правиш, и изкарването на яве на "кирливите ризи" на програмите, в случая на МВАМ. Убеден съм, че за всяка, абсолютно за всяка програма могат да се открият такива недостатъци! Ако имаш и други такива изследвания- давай ги, ще е интересно за всички!

Браво! :thumbsup:

Link to comment
Сподели другаде

Дори да не я спреш Outpost ще я спре автоматично. В края на самата инсталация имаш възможност да отложиш рестарта и да отвориш настройките.Там добавяш твоята анти-вирусна като доверена програма,за да не и спира кранчето :thumbsup:

Ето тук прочети за стиковането на стената и ползваният антивирусен продукт

http://www.agnitum.com/support/kb/article.php?id=1000030&lang=en

 

Сваляне само от офсайта - http://free.agnitum.com/

а дали ако направя само това ще е достатъчно стената да работи нормално и да няма после аномалии и да се чудя какво се случва? защото останах с впечатление че е по -сложничко да се настрои стена.

Link to comment
Сподели другаде

а дали ако направя само това ще е достатъчно стената да работи нормално и да няма после аномалии и да се чудя какво се случва? защото останах с впечатление че е по -сложничко да се настрои стена.

Повечето стени първоначално са с оптимални настройки,остави стената да си върши работата,както е по-подразбиране,това е напълно достатъчно според мен за да те защитава,за Outpust Free става въпрос,но и за PC Tools Firewall Plus положението е същото.

Link to comment
Сподели другаде

Повечето стени първоначално са с оптимални настройки,остави стената да си върши работата,както е по-подразбиране,това е напълно достатъчно според мен за да те защитава,за Outpust Free става въпрос,но и за PC Tools Firewall Plus положението е същото.

супер,мерси

Link to comment
Сподели другаде

Пешо ти ме разби! Браво! Поздравления за "изследванията" и анализите, които правиш, и изкарването на яве на "кирливите ризи" на програмите, в случая на МВАМ. Убеден съм, че за всяка, абсолютно за всяка програма могат да се открият такива недостатъци! Ако имаш и други такива изследвания- давай ги, ще е интересно за всички!

Браво! :thumbsup:

 

Незнам какво те е разбил след като бе оборен от Night_Raven (най-вече).

Pesho, ако искаш да си полозен на MBAM просто давай по някой developer log (Start => Run => mbam /developer).

Отделно в новата бета има доста подобрения...

Извода е, че не бива да разчитаме на еднослойна защита.

ПС: Извода е ясен, но кое те кара да мислиш, че аз използвам еднослойна защита ?

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...