Защитни стени - въпроси, мнения, предимства, недостатъци

[Night_Raven]

Пешо ти ме разби! Браво! Поздравления за "изследванията" и анализите, които правиш, и изкарването на яве на "кирливите ризи" на програмите, в случая на МВАМ. Убеден съм, че за всяка, абсолютно за всяка програма могат да се открият такива недостатъци! Ако имаш и други такива изследвания- давай ги, ще е интересно за всички!

Браво!

Това откритие на Pesho не е абсолютно нищо ново. Макар технически да е наистина недостатък, е достатъчно да се погледнат обстоятелствата, за да стане ясно, че това на практика не значи почти нищо - засичане на какъвто и да е безвреден файл като опасен (само по себе си не е никак приятно), но само ако е ръчно преименуван и поставен в конкретна папка. Ако това наричаш кирливи ризи, не знам как би се изказал за повечето останали програми.

[S235]

Това откритие на Pesho не е абсолютно нищо ново. Макар технически да е наистина недостатък, е достатъчно да се погледнат обстоятелствата, за да стане ясно, че това на практика не значи почти нищо - засичане на какъвто и да е безвреден файл като опасен (само по себе си не е никак приятно), но само ако е ръчно преименуван и поставен в конкретна папка. Ако това наричаш кирливи ризи, не знам как би се изказал за повечето останали програми.

Това е доста показателно, как по елементарен начен може да бъде "излъгана" една прехвалена програма, независимо, че в случая не може да се случи нищо страшно на системата. Факта обаче, си е факт!

[mihnev_sz]

Това е доста показателно, как по елементарен начен може да бъде "излъгана" една прехвалена програма, независимо, че в случая не може да се случи нищо страшно на системата. Факта обаче, си е факт!

Защо да е "излъгана", похватите и начина които, Пешо показа се използват и за злонамерени цели.Естествено, че ще го засече като опасен файла/промяната,файла просто няма работа в System32 и MBAM правилно е реагирала,като го е разкарала от там.

[Night_Raven]

Продължавам да не разбирам защо се хващаш за недостатък, който е чисто теоритичен. Има толкова други програми, които имат много по-големи и то практически недостатъци, а ти се хващаш точно за MBAM и точно за този недостатък. Дори MBAM има други проблеми, които са огромни, сравнени с този, в който си се вкопчил. Пример: възможност за алтернативно стартиране като това на SUPERAntiSpyware, което е по мое мнение, доста добра и полезна екстра. Липсата й не е фатална, но в сравнение с тази фалшива тревога си е почти апокалиптична.

И програмата не е прехвалена. Вярно, не е непобедима, безгрешна и перфектна. Разбира се, че не е. То такава програма не съществува. И все пак MBAM е най-добрата програма към настоящия момент за почистване на актуални гадинки. Единствената й реална конкуренция е SUPERAntiSpyware. И това е за безплатните версии. Ако сравняваме платените, то MBAM е без конкуренция по ред причини - ниска цена (~21 евро) за доживотен лиценз (не ежегоден абонамент), лек резидентен модул, IP защита, поддръжка на Vista и 7, включително и 64-битовите версии. Никоя друга програма не предлага всички тези неща накуп.

Иначе знам, че звуча пристрастно, но фактите са си факти, както ти сам каза.

[Pe6o]

Здравей Night_Raven,

Успокой топката! На единия пост не съм отговорил, ти друг пишеш, така ме объркваш. Редно е когато се обръщаш лично към някой същият да разбере това,

нали за това имаме имена!

Отговарям ти на поста от 05 November 2009 - 01:47

1.По точно са 1125 и съм ги показал на снимките. Както писах грешка в евристиката, но се е случило.

 

2.MBAM атакува заразите по различни методи. Един от многото такива е по име. Причината да виждаш фалшива тревога при поставяне на безвреден файл,

преименуван на rpcc.exe, в system32 е, че на този етап няма програма, която да поставя във въпросната папка файл с такова име. Т.е. единствено зловреден код се подвизава там под това име. Затова и програмата не прави допълнителни проверки и счита името и местоположението за достатъчно. От една страна това е досадно, защото си е фалшива тревога, и аз съм на мнение, че е по-добре програмата да не избързва с предположенията си. Това е личното ми мнение. От друга страна обаче това е "бял кахър", защото тази фалшива тревога не е опасна, защото, както казах, няма валидна програма, която да ползва такъв файл, така че няма шансове за потенциални повреди на софтуер. Тази фалшива тревога не е като стандартните, защото ако преместиш залъгващия файл в някоя друга папка, MBAM повече няма да го засича, докато стандартната фалшива тревога засяга даден файл, независимо от местоположението му на твърдия диск. Това е съвсем друга бира вече. MBAM има и такива фалшиви тревоги, но това е нормално. Всяка една програма ги има. Важното е, че се работи по отстраняването им.

 

2.Есенцията от това без корекций би изглеждало така:

"От една страна това е досадно, защото си е фалшива тревога, и аз съм на мнение, че е по-добре програмата да не избързва с предположенията си.MBAM има и такива фалшиви тревоги, Важното е, че се работи по отстраняването им.

Ето с това съм напълно съгласен. Нали тестовете са точно за това, да поставят програмата в нетипична ситуация и по начина и на реагиране разработчиците да направят съответните корекций. Но всичко това трябва да достигне по някакъв начин до тях. Тука има хора, който са сравнително активни участници във форума на MBAM, така, че нещата за който дискутираме тук ще бъде полезно да отидат по предназначение.

Съгласен съм с тебе и B-boy/StyLe/ с расъждениятя за папките и различните местоноложения и това не е изключение защото и други

програми се "връзват", но не е и правило. Има програми, който не можеш да излъжеш вкл. не харесваните от тебе/аз също/АВ.

преименуван на rpcc.exe, в system32 е, че на този етап няма програма, която да поставя във въпросната папка файл с такова име.

http://img690.imageshack.us/img690/4137/mbam10a.jpg

http://img42.imageshack.us/img42/9808/mbam11a.jpg

 

3.Прав си, но аз имах нещо друго впредвид в сферата на "ако", което значи , че подлежи на проверка.

4.Хареса ми сбитото и точно представяне на програмата "The Avenger", но навярно не си разбрал, че познавам много добре същата. Не си схванал контекста в който споменавам за тази програма, затова ще бъда малко по обстоятелствен. "The Avenger" е отлична програма по премахване на всичко видимо, по начин, както си обяснил. Същевременно има два недостатъка, единият от който е , че няма механизъм с който да вижда скритите за API/трябва да бъдем точни/ и естествено не може да обработва. Същевременно официално се афишира, като antyrootkit, но rootkit'ите в по голяма си част резидират във файлове под такава форма. Имах впредвид това, че разработчика на "The Avenger" след като не е успял/не коментирам по какъв начин и защо/ да вгради даден механизъм в собствената си програма, едва ли ще направи това с програма в която е съавтор. MBAM също не притежаватакъв механизъм. По същият начин стой въпроса и с евристиките. Естествено това са мой лични расъждения, като могат и да са погрешни, но съвпаденията са налице.

5.

"Ние не сме толкова долни,"

Чакай сега, какво пишеш? Кой сме "ние" е за какви "долни" става въпрос? прочети внимателно какво съм написал и бъди коректен в интерпретацията.

Привет B-boy/StyLe/,

ПС: Извода е ясен, но кое те кара да мислиш, че аз използвам еднослойна защита ?

Не става въпрос за тебе, говоря по принцип и доколкото разбирам си съгласен с това.

Незнам какво те е разбил след като бе оборен от Night_Raven (най-вече).

Разбирам, че най-вече си скромен човек, но не разбрах за какво ме оборва Night_Raven. Признавам, че имам резерви към програмата, но сега разбирам, че

"MBAM има други проблеми, които са огромни"

И сега аз пак виновен!

 

http://img523.imageshack.us/img523/3782/3dtextcommandera.gif

http://img147.imageshack.us/img147/5963/nm1aa.gif

[Night_Raven]

Pesho, в последните си коментари не съм се обръщал към теб, така че не виждам защо се сърдиш. Те бяха насочени към S235.

1. Може. Случва се на всеки автор на защитна програма. Поправя се и се продължава напред.

2. Авторите на програмата със сигурност са наясно с това й поведение, но е или нарочно или е с много нисък приоритет. Разбираемо и в двата случая според мен, защото има много по-важни неща, на които трябва да се обърне внимание, а и става въпрос за меко казано нищожен и дори несъществуващ проблем, защото тази фалшива тревога на практика е напълно безвредна. Негативният й аспект е чисто теоритичен. Ако трябва да се хващам за всяка една дреболия във всяка една програма, то аз няма да мога да си ползвам компютъра, защото няма да има нито една програма, която да отговаря на изискванията ми. Ако трябва да избирам между програма, която не се залъгва от ръчно преименуване и поставяне на безвреден файл в конкретна папка, но която програма не може реално да ми почисти системата от зловреден код и да я върне в работещо състояние, и друга програма, която е доказано ефективна в борбата със зловредния код, но допуска някаква фалшива тревога в чисто теоритична ситуация, то бих избрал втората без да се замислям. За теб не знам.

3. Да, наясно съм, че има зловреден код, който прави ползва същото име и папка. Именно по тази причина MBAM реагира на безобидни файлове със същото име и местоположение. Ако се появи легитимна програма, която да ползва същите файлове, и тогава фалшивата тревога би била потенциално повреждаща съответната програма, съм сигурен, че авторите на MBAM ще обърнат внимание и ще намерят начин да засичат истински зловредния код, без да го бъркат с легитимната програма. Дотогава проблем на практика не съществува и няма смисъл да се губи време в поправяне на това, при положение, че има доста по-важни неща.

4. Както казах, целта на автора не е засичане на скрити за Windows API обекти, а изтриването им, след като са засечени от други инструменти. Авторът е искал да постигне това и го е направил. Не е имал за цел да създава нещо от рода на GMER, RootkitRevealer, Rootkit Unhooker, IceSword или нещо такова. Той е част от екипа на MBAM и работата му е да пише код на ниско ниво за изтриване на обекти при рестарт. Т.е. точно това, което прави и The Avenger.

5. Имах предвид, че водният знак на картинките е поставен от самият Весо. Т.е. той така е преценил. Не е той да е направил картинките, а ние да сме му присвоили труда. Дори и да се тълкува така, няма да откажем да ги заменим с други картинки с друг воден знак.

 

Относно последния цитат в коментара ти, моля, не вади думи от контекста им, за да ги представяш като самостоятелни, понеже ти е изгодно. Това не е реален аргумент и не би следвало човек, имащ себе си за интелигентен, да прибягва до такива тактики поради липса на аргументи.

[gibson58]

а ако пусна outpost free и нещо не мога да се оправя с нея,поне лесно ли се маха после или може да стане мазалце?

[B-boy/StyLe/]

@Pesho, ще ти отговоря даже без да чета отговора на Night_Raven, за да не кажеш, че сме координирали.

 

Както споменах и преди част от файловете които при теб са били засечени на снимката, аз ги имах също и при мен не се засичаха и затова те бях питал риторично дали са изтеглени от официалните страници.Да, след това каза, че след новия update на MBAM повече не са се засичали и това доказва, че са били FPs. Но дори и наистина MBAM да е била виновна в случая, по един developer log не вреди за да ги отстранят занапред. Казваш, че проверява само по име. Не е така...сверява и контролните суми, големината, наличието на цифров подпис и т.н.

 

Не е вярно и че не открива скрити файлове от API. Тя бе първата засякла новия руткит TDSS (използващ atapi.sys и iastor.sys) като метод на имплементиране и манипулация.Няма да е зле да прочетеш абсолютно ЦЯЛАТА тема :

 

http://www.malwarebytes.org/forums/index.php?showtopic=25277

 

Swandog46 си разбира от работата и неслучайно е високо ценен кадър навсякъде където отиде. (особено в SWI форума).

А и той далеч не е единствения, който работи по програмата. Имат си достатъчно хора и ресърчъри: RubberDucky, SiRi, sUBs, miekiemoes, nosirrah и т.н.

Предполагам, че не обменят само "вирусни" проби, но и идеи за развитието на програмата. А Combofix (автор на който е sUBs), определено намира и премахва скрити файлове...GMER и RootRepeal също...а MBAM екипа имат връзки и с разработчиците на тези анти-руткит инструменти. Замисли се.

 

Разбира се, че не е перфектна. Такава програма просто няма. Но не разбирам, защо е толкова модерно да се плюе толкова по нещо наистина качествено. За момента въпреки недостатъците си това е основния инструмент за премахване на упорити зарази по специализираните форуми...Програма, която може да се използва за всекидневна употреба и от начинаещи потребители. (нещо с което инструменти като Otlistit, Combofix, DDS, RSIT И т.н. не могат да се похвалят)...То и за Windows-a всеки казва, че е "боза", но всеки го ползва.

 

А поддръжката е доста добра. Бърза, адекватна и както те самите го казаха, няма много други компании за сигурност, където директно да си пишеш с разработчиците на самия софтуер в реално време за дадени проблеми...

 

В края на краищата всеки си решава какво да използва и какво не.

Поздрави !

[draco_volans]

а ако пусна outpost free и нещо не мога да се оправя с нея,поне лесно ли се маха после или може да стане мазалце?

 

Ами, ако нещо не можеш да се оправиш, четеш какво е писано във форума или другаде, докато почнеш да се оправящ... Много бързо се предаваш... Иначе, ако по не много ясни причини, стената ти забие компа (абсолютно винаги има такъв риска с всяка една защитна програма, в зависимост от софтуера и ъпдейтите, които са инсталирани и кондицията на Windows, като цяло). Ако се случи най-лошото (да не дава Господ), спираш стената от иконата в трея (Exit) и от Control Panel деинсталираш стената. По-добре недей да използваш за деинсталацията някоя външна деинсталираща програма, защото това може да оплеска нещо деинсталационния протокол на стената. След деинсталацията, рестващ компа, за да се довърши каквото още има да се маха.

Защитният софт, по принцип, бърка бая надълбоко в системата и има вероятност да останат парчетии (колкото и малко да са), които в последствие да влязат в конфликт с друго инсталирано приложение или нова стена, след деинсталация на старата. Като цяло, съм стигнал до извода, че честото менкане на защитния софт скъсява живота на OS (повече от нормалното), особено ако се разчита само и единствено на способността на дадената програма да се деинсталира коректно. Вероятно, допълнителният ръчен труд по възстановяване и заличаването на следите от премахването на конкретните програми, може да смали негативния ефект, но за това се искат и по-задълбочени познания, които примерно, аз не притежавам. Аз съм на принципа: На преинсталация - само една защитна стена и само една антивирусана. На промеждутъците - тестване на виртуална машина дали нещо, което ще ползвам след следващата преинсталация ще ми хареса. Консервативно, но с доказана ефективност и намален риск от ядове с конкретна програма.

[gibson58]

Ами, ако нещо не можеш да се оправиш, четеш какво е писано във форума или другаде, докато почнеш да се оправящ... Много бързо се предаваш... Иначе, ако по не много ясни причини, стената ти забие компа (абсолютно винаги има такъв риска с всяка една защитна програма, в зависимост от софтуера и ъпдейтите, които са инсталирани и кондицията на Windows, като цяло). Ако се случи най-лошото (да не дава Господ), спираш стената от иконата в трея (Exit) и от Control Panel деинсталираш стената. По-добре недей да използваш за деинсталацията някоя външна деинсталираща програма, защото това може да оплеска нещо деинсталационния протокол на стената. След деинсталацията, рестващ компа, за да се довърши каквото още има да се маха.

Защитният софт, по принцип, бърка бая надълбоко в системата и има вероятност да останат парчетии (колкото и малко да са), които в последствие да влязат в конфликт с друго инсталирано приложение или нова стена, след деинсталация на старата. Като цяло, съм стигнал до извода, че честото менкане на защитния софт скъсява живота на OS (повече от нормалното), особено ако се разчита само и единствено на способността на дадената програма да се деинсталира коректно. Вероятно, допълнителният ръчен труд по възстановяване и заличаването на следите от премахването на конкретните програми, може да смали негативния ефект, но за това се искат и по-задълбочени познания, които примерно, аз не притежавам. Аз съм на принципа: На преинсталация - само една защитна стена и само една антивирусана. На промеждутъците - тестване на виртуална машина дали нещо, което ще ползвам след следващата преинсталация ще ми хареса. Консервативно, но с доказана ефективност и намален риск от ядове с конкретна програма.

ето на това му викам изчерпателен отговор.мерси за което.

[tanganika]

draco_volans,досега никога не съм правил манипулацията „спираш стената от иконата в трея (Exit)” за да деинсталирам която и да е стена и никога не съм имал проблеми,правилно е да се започне директно от Control Panel,ако е нужно това което препоръчваш по време или преди да започне деинсталирането ще му бъде препоръчано от съветника.Точно ако бъде затворена програмата предварително за да бъде премахната може да доведе до сериозни проблеми.

И преди съм чел че инсталирането и деинсталирането на защитни програми уврежда ОС но практиката ми доказа че е мит и легенда.След поне 30 инсталирани и деинсталирани защитни програми ХР-то ми е в перфектно състояние,а и не съм чистил ръчно остатъците от деинсталираните програми.

[Night_Raven]

Не са съвсем митове и легенди тези твърдения. Някои програми понякога не се премахват напълно. Съвсем възможно е в някои ситуации да има останки, които да създават проблеми. Така че считам, че или лъжеш нарочно, или просто си късметлия (малко или много).

[tanganika]

Не са съвсем митове и легенди тези твърдения. Някои програми понякога не се премахват напълно. Съвсем възможно е в някои ситуации да има останки, които да създават проблеми. Така че считам, че или лъжеш нарочно, или просто си късметлия (малко или много).

Естествено че не лъжа,не съди по себе си за останалите.

Вероятно съм много голям късметлия.

[Гост tnn]

Естествено че не лъжа,не съди по себе си за останалите.

Вероятно съм много голям късметлия.

http://www2.ashampoo.com/webcache/html/1/product_2_2106___USD.htm Ето препоръчителна програма за бързо и лесно оптимизиране и почистване на ОС.Със сигурност има много ненужни остатъци за отстраняване. После компютърът ти още по-добре ще работи. Поздрави

[draco_volans]

draco_volans,досега никога не съм правил манипулацията „спираш стената от иконата в трея (Exit)” за да деинсталирам която и да е стена и никога не съм имал проблеми,правилно е да се започне директно от Control Panel,ако е нужно това което препоръчваш по време или преди да започне деинсталирането ще му бъде препоръчано от съветника.Точно ако бъде затворена програмата предварително за да бъде премахната може да доведе до сериозни проблеми.

И преди съм чел че инсталирането и деинсталирането на защитни програми уврежда ОС но практиката ми доказа че е мит и легенда....

 

От Help файла на Outpost:

Uninstalling Outpost Firewall Free

To uninstall Outpost Firewall Free:

 

1. Right-click the Outpost Firewall Free system tray icon and select Exit.

2. Click Start on the Windows taskbar and select Control Panel > Add or Remove Programs.

3. Select Agnitum Outpost Firewall Free and click Remove.

4. Click Yes to confirm the removal.

5. The program will ask you to optionally send a feedback report, so you can specify the reasons for its removal. This will help the developers improve further product versions.

 

All the necessary actions will be performed automatically. Afterwards you will be prompted to restart your system.

 

Note:

 

To avoid program conflicts restart the system after the removal process is completed.

 

Превод

Деинсталиране на Outpost Firewall Free

За да деинсталирате Outpost Firewall Free:

1. Десен клик върху иконата на Outpost Firewall Free в трея и избор на Exit.

2. Кликнете Start от лентата за задачи на Windows и изберете Control Panel > Add or Remove Programs.

3. Изберете Agnitum Outpost Firewall Free и изберете Remove (премахване)

4. Кликнете Yes, за да потвърдите премахването.

Като опция, програмата ще ви попита дали искате да изпратите доклад с обратна връзка, в който да уточните причините за премахването й. Това ще помогне на нейните създателите да подобрят следващите нейни версии.

Всички останали действия ще бъдат извършени автоматично. След това ще ви бъде предложено да рестартирате системата.

 

Забележка: За да избегнете конфлокти с други програми, рестартирайте системата, след като процесът по отстраняване е приключил.

 

Коя процедура е по-добре да бъде следвана:

1. Тази, предвидена от създателите на програмата?

2. Тази, на "спецеалиста"-аматьор tanganika?

 

След поне 30 инсталирани и деинсталирани защитни програми ХР-то ми е в перфектно състояние,а и не съм чистил ръчно остатъците от деинсталираните програми.

 

Мдамм... някои персони и Господ ги пази. И не нямам предвид Comodo и Мелих, като споменавам Всевишните сили...

 

tnn написа:

http://www2.ashampoo..._2106___USD.htm Ето препоръчителна програма за бързо и лесно оптимизиране и почистване на ОС.Със сигурност има много ненужни остатъци за отстраняване. После компютърът ти още по-добре ще работи. Поздрави

 

Защо пак подхващаш темата за тия "оптимизиращи" програми? Нарочно бях подчертал ръчно в предния си пост. И кой си мислиш че ще бройка 50 зелени кинта за това... нещо? За това, че някой са решили да правят пари от вятъра?

 

Имаше някъде из форума една темичка с интересното подзаглавие: "Ако не сте скапали Windows, значи не сте го оптимизирали достатъчно." Колкото и иронично да е - само говори за себе си.