-TEN4O- Публикувано Октомври 31, 2009 Report Share Публикувано Октомври 31, 2009 Благодаря на всички за съветите.Мисля че все пак mihnev е прав.Смятам да пробвам Outpost макар че трудно свиквам с новото. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Октомври 31, 2009 Report Share Публикувано Октомври 31, 2009 Привет B-boy/StyLe/,"Май не ме разбра...Нямам по-специално отношение към MBAM, нито към SAS, нито към която и да е подобна програма."Това, че не участвам активно във форуми не значи, че нямам представа още повече, че по надолу казваш именно това. Всъщност в това няма нищо лошо и не е необходимо да звучи като оправдание."Първо, че съм изключително мнителен на тази тема, второ файла не е попадал при мен...Не е трудно, човек да използва Google за да разбере че се засича и от MBAM (а и без да използвам Google съм го засичал из темите за анализ - анализ с който се занимавам и аз и то задълбочено вече от няколко годинки).http://www.bleepingc...dpost&p=1295278"Знам това.Не само ти се занимаващ с анализ. В тази връзка съм учуден защо ми даваш тази препратка като пример.Препоръчвам ти да и отделиш малко повече време за да анализираш ситуацията, това са несериозни неща, както и тези снимки от моята колекция.http://img253.imageshack.us/img253/3085/mbam10final.jpghttp://img253.imageshack.us/img253/4958/mbam14final.jpg"Всъщност единствения минус на MBAM е, че е "атакувана директно от зловредния код и след това тя не може да си свърше работата, докато не бъдат поправени пораженията върху нея. Работи се и в тази насока, за подобряване на самозащитата на инструмента." Хайде сега и ти като tanganika-Комодо клони към нула,... единствен минус? Бих се съгласил с израза "един от минусите", като смятам конкретният за не чак толкова голям. Тук отиваме към RTP, която не познавам, но според мнението ти и това на Night_Raven е недостатъчно ефективна."Добре си дал снимка и лог...но нали знаеш, че подобни резултати могат да бъдат лесно манипулирани и не на последно място не се вижда версията на дефинициите с които е извършена проверката". Ако MBAM не е обновяван с месеци е възможно да е "проспала" тази "зараза". http://img253.imageshack.us/img253/329/oreans34final.jpghttp://img253.imageshack.us/img253/2755/oreans35final.jpgТук отговарям и на Night_Raven. Двамата се хващате за сламката, което не е аргумент. Вие за какъв ме мислите, ще седна да ви манипулирам.Това е несериозно, та вие сте рутинирани играчи. Познaвам MBAM от самото начало, когато не се разпространяваше свободна и файла се изпращаше по пощата за тестване. Нямам отрицателно мнение за програмата, но според мойте критерий е несериозна програма."Лично аз съм с Windows 7 x64...и подобна "зараза" няма особен шанс срещу тази платформа".Това са само твой предположения. Като анализатор по сигурнаста думата "oreans" би трябвало да ти говори нещо или си направи справка.http://img253.imageshack.us/img253/5756/oreans33final.jpghttp://img253.imageshack.us/img253/4259/oreans36final.jpgNight_Raven:Става въпрос за стил, това, че нещо не ти харесва е твой проблем. Ти защо под твойте материали пишеш забранителни клаузи, като знаеш, че никой няма да се съобрази с тях? Снимките са мой и с подписа си удостоверявам принадлежност и достоверност и без забрана. Като администратор трябва да имаш по широк поглед към форума, за да знаеш, че по този въпрос съм писал на Весо Димов.Поздрави. http://img147.imageshack.us/img147/9682/1aaj.gifhttp://img147.imageshack.us/img147/5963/nm1aa.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Октомври 31, 2009 Report Share Публикувано Октомври 31, 2009 При положение, че драйверът на Oreans е легитимен сам по себе си и се използва с напълно валидни приложения, то е нормално в конкретни ситуации да не бъде считан за зловреден код (ако е част от валидна програма). Тогава е възможно и да не бъде засичан. MBAM използва различни методи за засичане на гадинките, което значи, че не би трябвало да подскача веднага като види Oreans. Ако драйверът е част от валидна програма, може точно затова MBAM да не го закача. Не знам как тестваш.Освен това MBAM е проектирана да засича и почиства активни заплахи. Т.е. ако изтърсиш някъде в някоя папка файлове, които са части от някоя заплаха, но в момента тези файлове са ... просто файлове и са "статични" (не са част от заплаха в момента, а са самостоятелни и пасивни), то MBAM може да не ги засече. Да твърдиш, че MBAM е несериозна програма, също е много, ама много несериозно. Ако се поразровиш из всичките форуми, които се специализират в компютърна защита и почистване на зловреден код, ще видиш, че се използват конкретни инструменти. Дори и да се абстрахираме от това, че там се препоръчват основно Malwarebytes' Anti-Malware и SUPERAntiSpyware, се вижда какви други инструменти се ползват: SmitfraudFix, ComboFix, The Avenger. Авторите им (S!Ri, sUBs, Swandog46 съответно) са част от екипа на MBAM. Това са имена, които трябва да говорят много на всеки, който се занимава активно със зловреден код. Ако това не са най-добрите специалисти в бранша, то със сигурност са сред тях.Добавено: Swandog46 е и носител на наградата Microsoft Most Valuable Professional, така че няма нищо несериозно в MBAM. Дори точно обратното. Това за Весо Димов не го схванах. Хайде обаче да прекратим offtopic-а. Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Октомври 31, 2009 Report Share Публикувано Октомври 31, 2009 Pesho, Изобщо не се оправдавам, а представям истината каквато е.MBAM в случая не се справя по-зле от SAS, даже напротив.Само виж екипа и ресърчърите на MBAM и останалото няма нужда от коментар.Не само ти се занимаваш с MBAM от първите и бети, но както и да е.Твоята колекция изобщо не ме интересува. Повечето от файловете ги имам и аз, но при мен не се засичат. Защо ли ? От официалните страници ли си ги теглил ? А това, че дава фалшиви тревоги...ами дава. Коя програма не дава ? И ги дава заради агресивните си евристики. Например, ако свалиш дадено rogue приложение на десктопа, на основната в C:\ или в Program Files, Program Files\Common Files, Windows ще се засече изпълнимия файл...ако се постави на десктопа или в свободната на C:\ в нова папка няма да се засече. Така е и с безобидните файлове...незнам дали си си правил експеримента да поставиш легитимни инсталационни файлове с име от рода на setup.exe, install.exe и да видиш, че повечето веднага ще се засекат. Това не прави програмата лоша, просто такива файлове нямат работа на подобни места...Тази твоя снимка, която показва невиността на oreans32.sys не говори добре и за SAS тогава...защото и тя го засича нали така ? А не неведнъж сме ставали свидетели на това, че доста зарази използват имената на легитимни програми/драйвери или просто ги инжектират със зловреден код.И както споменах засега не съм срещал руткит за x64 о.С. (естествено, че е засега). Няма нищо вечно и всичко създадено от човек, може да бъде заобиколен от същия, но има доста да се потрудят срещу политиката на MS...цифров подпис, PatchGuard и т.н. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Ноември 4, 2009 Report Share Публикувано Ноември 4, 2009 Здравейте Night_Raven и B-boy/StyLe/,Ще припомня само, че ставаше дума само за тест, който за съжаление не можахте да разберете. Цитирам:"защото си разрешил нещо което ти е непознато и реално погледнато безвредно-системният файл oreans32.Но по начина на разпространението му по ОС се приема, че е възможно да изпълняванерегламентирани действия и някой защитни програми от по-висок клас го определят като действие заплашващо сигурността на системата."С това демонстрирам, как по един безобиден начин зловрдният код може да проникне в системата, независимо от предохранителните мерки, който вземаме.Извода е, че не бива да разчитаме на еднослойна защита. HIPS'а е нещо добро но самостоятелното му използуване е гаранция само за относителна сигурност. Направи ми впечетление, че има елементи на координация и тъй като формата стана две към едно ще обобщя отговора.Опитвате се да ме убедите в качествата на MBAM със словестни аргументи, който общо взето звучат лековато, което ме учудва.Защо я смятам за несериазна програма?Не е нормално при чиста система да ми покаже над 1000 вредители. Ако целта е Гинес рекорд-добре, но последиците какви ще бъдат? Вярно е, че при повторните сканирания програмата се поправи, но събитието се е случило и го документирах.Демонстрирам един тест:Вземам две снимки:MBAM1 и MBAM2 http://img142.imageshack.us/img142/8351/mbam8finalc.jpg със следните параметри: http://img142.imageshack.us/img142/4557/mbam3finali.jpg Преименувам двете снимки съответно на: rpcc.exe и lanmanwrk.exe със следните параметри:/за да няма съмнение за манипулация/ http://img142.imageshack.us/img142/8823/mbam4final.jpg Поставям файловете в "system32" в "статично" положение. http://img142.imageshack.us/img142/6163/mbam5afinal.jpg Сканирам с MBAM с последните към момента дефиниций. http://img142.imageshack.us/img142/5973/mbam6.jpg Резултат: http://img142.imageshack.us/img142/8397/mbam7final.jpg Лаконично-програмата разпозна безвредните файлове като опасни не по съдържание, а по име. Какво ще стане ако зловреден код си промени името, записано в дефиницийте? И това не се е променено от раждането на програмата. Независима от тези гафове програната има потенциал, само трябва да се пипнат някой неща.Бедата идва от лошо написаната евристика/както B-boy/StyLe споменваш/,като според мене по добре да я няма.Споменавате различни имена и програми. Без да персонализирам: по имената, техните продукти и общия им продукт с достатъчнаточност може да се определят +&- на дадена програма. Пример и приключвам: The Avenger е прекрасна програма, но не работи с Hidden файлове,MBAM също. Това за Весо Димов не го схванах http://img40.imageshack.us/img40/6325/mbam14.jpg Tks. http://img523.imageshack.us/img523/3782/3dtextcommandera.gifhttp://img147.imageshack.us/img147/5963/nm1aa.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Ноември 4, 2009 Report Share Публикувано Ноември 4, 2009 Подред... 1. Какви са тези 1000 зарази? Може ли лог, щом си документирал?2. MBAM атакува заразите по различни методи. Един от многото такива е по име. Причината да виждаш фалшива тревога при поставяне на безвреден файл, преименуван на rpcc.exe, в system32 е, че на този етап няма програма, която да поставя във въпросната папка файл с такова име. Т.е. единствено зловреден код се подвизава там под това име. Затова и програмата не прави допълнителни проверки и счита името и местоположението за достатъчно. От една страна това е досадно, защото си е фалшива тревога, и аз съм на мнение, че е по-добре програмата да не избързва с предположенията си. Това е личното ми мнение. От друга страна обаче това е "бял кахър", защото тази фалшива тревога не е опасна, защото, както казах, няма валидна програма, която да ползва такъв файл, така че няма шансове за потенциални повреди на софтуер. Тази фалшива тревога не е като стандартните, защото ако преместиш залъгващия файл в някоя друга папка, MBAM повече няма да го засича, докато стандартната фалшива тревога засяга даден файл, независимо от местоположението му на твърдия диск. Това е съвсем друга бира вече. MBAM има и такива фалшиви тревоги, но това е нормално. Всяка една програма ги има. Важното е, че се работи по отстраняването им.3. Зловреден код не може да си промени името в дефинициите на MBAM, защото те са криптирани, както и на всяка уважаваща себе си програма за борба със зловреден код.4. Не зная какво имаш предвид под това, че The Avenger не работи със скрити файлове. Не разбирам какво очакваш да прави с тях. Нейната задача е да изтрива упорити и трудни за премахване файлове от системата на ниско ниво при рестартиране, като инструкциите й се подават чрез специални скриптове. Тя не е проектирана да засича скрити файлове. На нея й се казва какво да изтрие и тя го прави при рестарт. Това е. Тя за това е създадена.5. Ако не се лъжа, картинките на Весо са "щамповани" от самия него, а не от нас. Той си е преценил да им сложи такъв воден знак. Ние не сме толкова долни, ако той каже, че иска да си ги промени с друг воден знак например, няма да му откажем съдействие. Все пак материалът е негов. Всъщност, ако става въпрос, дори е добре картинките да се сменят с други с по-блед воден знак. На текущите щампата е малко по-натрапчива, отколкото мисля, че е добре да е. Цитирай Link to comment Сподели другаде More sharing options...
gibson58 Публикувано Ноември 5, 2009 Report Share Публикувано Ноември 5, 2009 Здравейте,понеже никога не съм се занимавал с защитни стени,може ли да попитам(евентуално линк) как се инсталира и настрийва.трябва ли да спирам тази на WinXP и такива основни неща.свалил съм OutpostFree и сега незнам какво да го правя Цитирай Link to comment Сподели другаде More sharing options...
draco_volans Публикувано Ноември 5, 2009 Report Share Публикувано Ноември 5, 2009 Трябва да изключиш защитната стена на Windows, преди да инсталираш тази, защото ако не го направиш, Windows-кият Firewall ще изквичи на умряло... По време на инсталацията, Outpost трябва да засече настоящата ти антивирусна и да те пита ти ли си я инсталирал, при което потвърждаваш. След инсталацията ресваш компа. По подразбиране, Outpost e в режим Rule Wizard и Auto Create Rulez - обучаващ режим и не би трябвало да те тормози много. Този режим е за една седмица. После почваш да четеш User manual към стената, където е обяснено накратко (на английски, естествено) кое какво прави в стената. След това, докато трае тренировачния режим, сядаш пред компа с топли дрехи и суха храна за няколко дни и почваш да четеш настоящата и тази тема от първа страница. Има и полезни неща... После, можеш да се информираш от wikipedia за видовете интернет протоколи и кой какво прави, та да се опиташ да си настроиш смислено стената, така че да си върши прилично работата... Това е като за на първо време... Ако имаш вече по-конкретни питания, задай ги тук и предполагам, ще получиш бърз отговор... Аз процедирах долу-горе така и постигнах едно не чак толкова лошо познаване на продукта и работата с него... Все още се уча, обаче... В противен случай, има сериозна опасност да ти побелее главата с тази, или която и да било стена...Иначе, Outpost Free има доста приятен и сравнително лесен за работа интерфейс - нещата са добре подредени. Предполагам и някой друг ще ти даде напътствия за hot-start - пътят е тежък, но славен... Поздрави! Edit: Предполагам, мненият ще варират между:1) Нема се плашиш копауе, аз съм с тая оградка и нема к'во да са настройва - сичко само върви... 2) Защитните стени с HIPS са подходящи за напреднали, знаещи и можещи потребители. Работа с тях, без правилна настройка и задълбочени познания за работата на OS и зловредния код, който я атакува, е непрепоръчителана. Може да доведе до вредни последици. Според мен, второто е по-правилно, но без проба, няма как човек да се научи. Цитирай Link to comment Сподели другаде More sharing options...
gibson58 Публикувано Ноември 5, 2009 Report Share Публикувано Ноември 5, 2009 благодаря ти Цитирай Link to comment Сподели другаде More sharing options...
damto Публикувано Ноември 7, 2009 Report Share Публикувано Ноември 7, 2009 Здравейте,понеже никога не съм се занимавал с защитни стени,може ли да попитам(евентуално линк) как се инсталира и настрийва.трябва ли да спирам тази на WinXP и такива основни неща.свалил съм OutpostFree и сега незнам какво да го правя Дори да не я спреш Outpost ще я спре автоматично. В края на самата инсталация имаш възможност да отложиш рестарта и да отвориш настройките.Там добавяш твоята анти-вирусна като доверена програма,за да не и спира кранчето Ето тук прочети за стиковането на стената и ползваният антивирусен продукт http://www.agnitum.com/support/kb/article.php?id=1000030&lang=en Сваляне само от офсайта - http://free.agnitum.com/ Цитирай Link to comment Сподели другаде More sharing options...
S235 Публикувано Ноември 8, 2009 Report Share Публикувано Ноември 8, 2009 Вземам две снимки:MBAM1 и MBAM2....................Преименувам двете снимки съответно на: rpcc.exe и lanmanwrk.exe със следните параметри:/за да няма съмнение за манипулация/ ....................... Поставям файловете в "system32" в "статично" положение. ................................................... Сканирам с MBAM с последните към момента дефиниций.........................................Пешо ти ме разби! Браво! Поздравления за "изследванията" и анализите, които правиш, и изкарването на яве на "кирливите ризи" на програмите, в случая на МВАМ. Убеден съм, че за всяка, абсолютно за всяка програма могат да се открият такива недостатъци! Ако имаш и други такива изследвания- давай ги, ще е интересно за всички! Браво! Цитирай Link to comment Сподели другаде More sharing options...
gibson58 Публикувано Ноември 8, 2009 Report Share Публикувано Ноември 8, 2009 Дори да не я спреш Outpost ще я спре автоматично. В края на самата инсталация имаш възможност да отложиш рестарта и да отвориш настройките.Там добавяш твоята анти-вирусна като доверена програма,за да не и спира кранчето Ето тук прочети за стиковането на стената и ползваният антивирусен продукт http://www.agnitum.com/support/kb/article.php?id=1000030&lang=en Сваляне само от офсайта - http://free.agnitum.com/а дали ако направя само това ще е достатъчно стената да работи нормално и да няма после аномалии и да се чудя какво се случва? защото останах с впечатление че е по -сложничко да се настрои стена. Цитирай Link to comment Сподели другаде More sharing options...
mihnev_sz Публикувано Ноември 8, 2009 Report Share Публикувано Ноември 8, 2009 а дали ако направя само това ще е достатъчно стената да работи нормално и да няма после аномалии и да се чудя какво се случва? защото останах с впечатление че е по -сложничко да се настрои стена.Повечето стени първоначално са с оптимални настройки,остави стената да си върши работата,както е по-подразбиране,това е напълно достатъчно според мен за да те защитава,за Outpust Free става въпрос,но и за PC Tools Firewall Plus положението е същото. Цитирай Link to comment Сподели другаде More sharing options...
gibson58 Публикувано Ноември 8, 2009 Report Share Публикувано Ноември 8, 2009 Повечето стени първоначално са с оптимални настройки,остави стената да си върши работата,както е по-подразбиране,това е напълно достатъчно според мен за да те защитава,за Outpust Free става въпрос,но и за PC Tools Firewall Plus положението е същото.супер,мерси Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Ноември 8, 2009 Report Share Публикувано Ноември 8, 2009 Пешо ти ме разби! Браво! Поздравления за "изследванията" и анализите, които правиш, и изкарването на яве на "кирливите ризи" на програмите, в случая на МВАМ. Убеден съм, че за всяка, абсолютно за всяка програма могат да се открият такива недостатъци! Ако имаш и други такива изследвания- давай ги, ще е интересно за всички! Браво! Незнам какво те е разбил след като бе оборен от Night_Raven (най-вече).Pesho, ако искаш да си полозен на MBAM просто давай по някой developer log (Start => Run => mbam /developer).Отделно в новата бета има доста подобрения...Извода е, че не бива да разчитаме на еднослойна защита.ПС: Извода е ясен, но кое те кара да мислиш, че аз използвам еднослойна защита ? Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.