Jump to content

Защитни стени - въпроси, мнения, предимства, недостатъци

tanganika
 Share

Препоръчан пост

Night_Raven Сътрудник

Night_Raven

Публикувано
Публикувано

1. Не съм сигурен точно какво искаш да дам като пример... Ето снимчица на меню Rule -> File Groups..., където в сличая съм разклонил 2 от създадените от мен нови групи - аудио и графични файлове:

http://ploader.net/files/483a19c5a6c3f5573734307aee12bc65.png

 

Това разбира се е първата стъпка. Следващата е да се добавят новосъздадените обекти към глобалните правила:

http://ploader.net/files/c3eccfc4bf6dd4134bfbadcc7b21e084.png

3. Те спадат към категорията на т.нар. ransomware. Накратко: заключват системата или криптират определени файлове и искат откуп, за да ги възстановят. Има и малка статийка в Wikipedia.

В края на миналата година имаше случаи с такъв зловреден код. Ето два примера...

Единият зловреден код криптираше файлове: първо създаваше криптирани копия на всички файлове с определени разширения (не си спомням кои точно, но основно мисля, че бяха изображения и текстови/офис документи), след това изтриваше оригиналите и накрая извеждаше постоянно съобщение посредством VBScript, че файловете са заключени. Не закачаше системните файлове/папки по разбираеми причини.

Другият зловреден код използваше wmiprvse.exe, за да добие достъп на ниско ниво до твърдия диск, да промени MBR и да "заключи" системата. След това директно рестартираше компютъра и вместо да се стартира операционната система се изискваше парола. Тази гадинка не закачаше самите файлове на твърдия диск, само блокираше стартирането на системата.

Тези са по-ярките примери, за които се сещам.

 

2. Още тогава си направих тестове набързо и тествах всички по-известни защитни програми, използващи HIPS и/или виртуализация. Ето какви бяха резултатите...

 

Returnil System Safe Free/Pro и Wondershare Time Freeze се справиха без проблем с MBR гадината и не позволиха заключване на системата. По подразбиране не се справиха както трябва с криптиращата гадинка, защото виртуализират само системния дял, но ако несистемните дялове се добавят към защитата, тогава биват успешно предпазени.

Sandboxie и Shadow Defender се справиха и в двата случая без проблеми. Shadow Defender виртуализира всички дялове.

 

DefenseWall се справи и с двата бацила. В случая с MBR гадината попита дали да се рестартира системата.

GeSWall Free/Pro се справиха без проблем с MBR мръсотийката, като при нея системата не се рестартира и нямаше въпроси/съобщения. С криптиращата гадинка беше по-различно. Поиска достъп до файловете, който беше отказан разбира се. Гадинката успя да си създаде криптираните копия на файловете, което е досадно, защото би значело, че ще има нужда от масово триене. Оригиналните файлове обаче не бяха изтрити и си останаха непокътнати.

 

ProcessGuard Free, бидейки доста базова и стара, разбираемо, не успя да се справи с нито една от двете гадинки.

System Safety Monitor Free също се издъни и в двата случая.

System Safety Monitor Pro успя да предотврати редакцията на MBR, но с криптиращата гадинка не успя да се справи, защото няма файлова защита.

Real-time Defender и Malware Defender се справиха успешно с MBR троянчето. С криптиращата гадинка не успяха да се справят напълно по подразбиране. Успяха да защитят всички файлове в основите на дяловете, защото имат правила за това (RtD трябва да се остави да си изгради правила в началото), но за всички подпапки правила няма и файловете бяха криптирани. Т.е. програмите по подразбиране не се справят добре, но имат потенциала да защитят всичко, ако им бъдат добавени ръчно правила.

 

Comodo Firewall/Internet Security няма проблеми с MBR гадината. При настройки за оптимална защита допуска рестартиране на компютъра, но без да бъде заключен. При настройки за максимална защита успява да предоврати рестартирането. С криптиращата гадинка не се справя въобще, не успява да предпази дори файловете в основите на дяловете, но както Real-time Defender и Malware Defender има потенциала да защити всичко, ако бъде човъркната допълнително.

Outpost Firewall 2009 Free на настройки по подразбиране се дъни и срещу двата бацила. Ако нивото на защита бъде вдигнато на Advanced или Maximum, тогава се справя с MBR бацилчето. Допуска рестартиране, но системата остава незаключена. С криптиращата гадина обаче така и не успя да се справи, защото няма файлова защита.

Outpost Security Suite 2010 Free при настройки по подразбиране отново се дъни и в двата случая. При ниво Avanced/Maximum се справя с MBR троянеца, като този път успява да предотврати рестарта. За жалост обаче си се дъни срещу криптиращата зараза.

PC Tools Firewall Plus се справя с MBR гадината, но се дъни срещу криптиращата.

Online Armor Free/Premium и Privatefirewall се справят успешно и срещу двете гадинки. Нямат файлова защита, но на практика успяват да забранят достъпа на гадинката до файловете и тя не успява да направи нищо.

 

Тествах гадинките и без защитни програми под стандартен акаунт и админстраторски такъв, но с включен UAC (User Account Control). Срещу криптиращата гадинка съм си отбелязал, че не се справят добре - някои файлове са защитени, докато други не са. За жалост нямам по-конкретен спомен как са протекли нещата. С MBR гадинката обаче се справят. Т.е. MBR троянецът не успява да промени MBR и да заключи системата, ако бъде стартиран под стандартен (ограничен) акаунт или администраторски акаунт с активиран UAC.

 

Изводи и заключения:

1. Програмите, използващи виртуализация и т.нар. policy based sandbox/hips (DefenseWall и GeSWall), се справят добре срещу тези заплахи.

2. HIPS програмите като цяло се справят добре срещу MBR гадината, но срещу криптиращата такава не особено, защото това са файлове, които биват атакувани рядко и програмите нямат готови правила, за да ги защитават.

3. Стандартният акаунт и UAC са прилично ефективни. Не напълно, но поне успяват да предоставят някаква защита. Т.е. Windows Vista и Windows 7 с настройки по подразбиране (и без каквито и да било допълнителни защити) не позволяват редакция на MBR и заключване на системата. Онези от вас, които ползвате администраторски акаунти и изключвате UAC, е добре да го имате това предвид. Не искам да ви плаша излишно, а просто да ви обърна внимание, че полза от UAC има и въпросната функция не е внедрена в Windows случайно.

 

Забележка: искам изрично да помоля всички четящи да не си правят крайни и категорични изводи за дадена програма на базата на тези резултати. Това, че някоя от програмите не се справя с някоя от двете гадинки, в никакъв случай не значи, че програмата е за боклука или нещо такова. Все пак би следвало дадената програма да е комбинирана с резидентна програма (антивирусна общо взето) и е редно да поддържате софтуера на компютъра актуален. Т.е. пропускът в дадена HIPS програма не е краят на света, защото при актуален софтуер се намалява вероятността от зараза, антивирусната може да успее да пресече гадината (ако се промуши), а и все пак това са по-редки случаи на фона на другите заплахи из Интернет. Така че без драматизации и паника, моля. :)

Това важи за средностатистическите потребители. Един такъв потребител не бива да разчита само на HIPS решения. Това е практика, подходяща само за напреднали, които са наясно със самите защитни програми и с рисковете от използване само на един тип защитен софтуер и като цяло знаят как да се предпазват.

Link to comment
Сподели другаде
  • Отговори 1.1k
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

Популярни дни

ТОП потребители в тази тема

Популярни дни

Публикувани изображения

tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Night_Raven ще съм ти много благодарен ако покажеш снимки и на другите правила които си създал.

 

http://hosting11.imagecross.com/image-hosting-62/65811.jpg

 

http://hosting11.imagecross.com/image-hosting-62/49192.jpg

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Имаш предвид само добавените от мен групи файлове и обекти в регистратурата или... всичко: групи + правила? Като шотове ли да ги дам? Ще са доста.

 

Тези които съм показал на снимките в предния ми коментар , но да им покажеш и разклоненията както си направил за Audio Files и Graphic Files.

 

 

Link to comment
Сподели другаде
lordergf Новобранец

lordergf

Публикувано
Публикувано

Имаш предвид само добавените от мен групи файлове и обекти в регистратурата или... всичко: групи + правила? Като шотове ли да ги дам? Ще са доста.

А ще може ли направо файла с правилата да дадеш и ние просто да го заредим ?

Благодаря !

Link to comment
Сподели другаде
tanganika Новобранец

tanganika

Публикувано
  • Author
Публикувано

Аз пък искам пълно и свръх подробно ръководство, как се работи с това "животно"!

Много труд е верно, но ще бъде също така толкова и полезно!

 

Започнал съм да правя :hesthebest:

Link to comment
Сподели другаде
Night_Raven Сътрудник

Night_Raven

Публикувано
Публикувано

Започнал съм да правя :hesthebest:

Сигурен ли си, че ще успееш да обясниш всичко както трябва? Все пак става въпрос не само за сложна материя, но и самата програма е доста оплетена.

 

В сравнение с Comodo Firewall как е?

Не вярвам да е по-добра, но може би дава повече възможности за настройки, а ?

Зависи какво разбираш под "по-добра".

Comodo Firewall предлага по-добра защитна стена (пакетен филтър) и разполага с пясъчник ("сандък" ми звучи тъпо). Откъм възможности на HIPS са общо взето еднакви. Дори и да има някакви разлики, те са дребни на фона на "общата картина". Malware Defender пък според мен предлага възможност за по-гъвкава настройка. Comodo Firewall е по-подходяща за начинаещи потребители заради начина на представяне на информацията в popup прозорците и заради огромния списък с доверени автори на софтуер, което обаче в редки случаи може да се окаже нож с две остриета. Malware Defender пък е по-лека.

Зависи на кого какво му трябва. За моите нужди и според мен по-добрата програма е Malware Defender откъм защита като цяло.

 

Иначе ето ви файла с правилата. Полека само да не се сбиете за него. :D

Raven2-Win7.rar

Link to comment
Сподели другаде
NetZombie Новобранец

NetZombie

Публикувано
Публикувано

Сигурен ли си, че ще успееш да обясниш всичко както трябва? Все пак става въпрос не само за сложна материя, но и самата програма е доста оплетена.

 

 

Зависи какво разбираш под "по-добра".

Comodo Firewall предлага по-добра защитна стена (пакетен филтър) и разполага с пясъчник ("сандък" ми звучи тъпо). Откъм възможности на HIPS са общо взето еднакви. Дори и да има някакви разлики, те са дребни на фона на "общата картина". Malware Defender пък според мен предлага възможност за по-гъвкава настройка. Comodo Firewall е по-подходяща за начинаещи потребители заради начина на представяне на информацията в popup прозорците и заради огромния списък с доверени автори на софтуер, което обаче в редки случаи може да се окаже нож с две остриета. Malware Defender пък е по-лека.

Зависи на кого какво му трябва. За моите нужди и според мен по-добрата програма е Malware Defender откъм защита като цяло.

 

Иначе ето ви файла с правилата. Полека само да не се сбиете за него. :D

Raven2-Win7.rar

 

Търся най-доброто, като защита и лекота.

То верно, че не може хем да е лека, хем и да пази перфектно.

Сега съм с пакета на Комодо и съм много доволен...едва ли ще излезне нещо, което да предлага по-добра защита и същевремено да не товари машината

Мисля, че Комодо е едноличен лидер като защита и лекота.

Обаче нещо ме съмнява, че Комодо забавя отварянето на страниците от браузъра, когато сърфирам в нета.

Дали Комодо сканира линковете?

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
 Share
Иди на предишната тема
×
×
  • Създай ново...