Перейти к содержанию

Recommended Posts

Начальник Чукотки
Точками восстановления никогда не пользовался, ибо мало эффективно по сравнению с др. методами. Зато активно пользуюсь программами снятия/восстановления бэкапа с системного диска (Acronis True Image, например). Три-семь минут и система возвращается в нужное Вам состояние. Представьте, сколько можно экономить времени на нерешении системных глюков операционки, нового софта, за пару тройку минут избавляться от малвары со 100% результатом в 100% случаях и пр., пр., пр.
zzkk

А что Вы скажете насчет Paragon Backup&Recovery ?

Хочу её изучить.

1. Не пользоваться IE.

2. Не соглашаться на предложения сайта установить новый флеш-плеер или что-либо угодно еще.

3. Отключить кукисы и разрешать их только избранным сайтам-исключениям.

4. (дополняйте, пожалуйста, чувствую, что что-то забыл)

Вот это действительно действенные советы для простого юзера. :)

zzkk

Дополнять можно долго, да и нет смысла, поскольку наверное любой человек который относительно регулярно читает этот форум, хорошо знает какие меры необходимо предпринимать для своей безопасности.

Лично я придерживаюсь того что рекомендовал Паул.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
А что Вы скажете насчет Paragon Backup&Recovery ?

Хочу её изучить.

Не поверите, аналогично! :)

Дело в том, что уже вышла английска версия Домашний Эксперт 2010. Русскую версию должны опубликовать в течении месяца. Программа - все в одном - бэкапы и менеджер дисков. Если понравится, куплю. От 2009-ой версии эмоции положительные :)

Лично я придерживаюсь того что рекомендовал Паул.

Ссылку, пожалуйста, если не трудно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Начальник Чукотки
Не поверите, аналогично! :)

Дело в том, что уже вышла английска версия Домашний Эксперт 2010. Русскую версию должны опубликовать в течении месяца. Программа - все в одном - бэкапы и менеджер дисков. Если понравится, куплю. От 2009-ой версии эмоции положительные :)

zzkk

Я для начала хотел попробовать бесплатную версию http://www.paragon.ru/home/br-free/features.html

Или она может не справиться со своими задачами?

Ссылку, пожалуйста, если не трудно :)
zzkk

По какой-либо одной ссылке невозможно найти все рекомендации, которые давал Паул. И конечно они касаются не конкретно Winloock, а общей защиты компьютера. К примеру можете почитать эту тему: http://www.anti-malware.ru/forum/index.php?showtopic=7784 А если располагаете временем то можете прямо здесь на форуме поискать сообщения p2u, и уверяю Вас - это не будет зря потраченным временем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
zzkk
Я для начала хотел попробовать бесплатную версию http://www.paragon.ru/home/br-free/features.html

Или она может не справиться со своими задачами?

Справится. Главное, что умеет создавать загрузочные диски (некоторые выполняют операции бэкапирования и управления разделами из операционки, а потом решают проблемы, которых могло и не быть).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aviralover

Добрый день. Не про статистику, а про безопасности. Хотел спросить. Винлок Sandboxie обходит или нет (Sandboxie настроeн так, что бы после закрытия браузера удалеется контент. то же самое после работы с программами) ? Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop

Поучаствую.

Винлок - кто он, откуда приходит и что делает?

Обычно он либо заносится самим юзером, которому "помогает" социальная инженерия злописателей (спам вконтакте, почта, аська, диалоги об установке флеш-плеера в браузере и т.д.), либо "впрыснут" в поп-апы, баннеры или айфреймы, либо пытается заюзать дыры в софте (но при этом все равно все начинается с зараженной рекламы.

Винлоки постоянно эволюционируют, и потому антивири их часто пропускают.

Отсюда какая логика следует?

Себя то мы спасем - не новички. Наша задача обычно - спасти юзера, который после нашего ухода останется с компом наедине. А юзер, скорее всего:

а) обязательно на все согласится, если ему зловред предложит.

б) обязательно забредет на "нехорошие" сайты

в) обязательно наломает дров, пользуясь установленным защитным ПО.

и т.д.

Значит, наша логика - не дать винлоку попасть на комп и запуститься там.

Получаем следующий алгоритм защиты:

1) заткнуть дыры в ОС и ПО (обновление и настройка)

2) по возможности не дать загрузиться подозрительным web-элементам (контент-фильтрация)

3) защитить автозагрузку, не дав зловреду (если все же просочился) возможности автостарта и размножения/реанимации

4) иметь возможность грохнуть блокирующий процесс, если все же винлок установился.

У меня вопрос решается просто (компов несколько, и не везде все используется, но об этом ниже)

1) Rising PC Doctor как альтернатива Windows Update + заплатка kill bit, описанная Paul: http://virusinfo.info/showthread.php?t=31891

2) K9 Web Protection + Нетчарт фильтр.

Тут в соседней ветке прошел тест контент-фильтров и авторы намекали, что фильтрация не блещет. Так вот у меня K9 блокирует все, что только может показаться подозрительным. И сами сайты (часто приходится разрешать вручную разные файлопомойки или просто сайты авторов потенциально опасных программ), и баннерные сети.

Короче, я уже и не помню, как все эти зловредные прибамбасы выглядят.

Ну, понятное дело, что и AdBlock c NoScript'ом свое дело делают, плюс настройка запрета исполнения IFrame'ов в IE и Опере.

3) здесь у меня работают AnVir Task Manager и PT Startup Monitor, которые вместе отслеживают практически всю возможную автозагрузку, за исключением разве что Заданий Планировщика, но он у меня просто отключен (XP SP2-3). В Семерке с этим сложнее - там в задания Планировщика зашито слишком много нужного чайнику, и так просто его не отключишь (я-то могу и не обломлюсь, а вот юзеру будет как минимум не хватать языковой панели. Впрочем, и ее есть чем заменить, не так ли?)

4) этот вопрос я тоже решал АнВиром из предыдущего пункта (когда приходилось кого-то лечить). Обычно локеры не способны заблокировать нестандартный Диспетчер задач (а я заменяю Диспетчер АнВиром), хотя в последнее время некоторые стали блокировать и его. Впрочем, если все из первых 3 пунктов сделано и работает, то у локера нет шансов попасть на машину и запуститься на ней. Ибо случаи запуска возникали только при неработающем мониторинге автозапуска из п.3, а вообще какая-то активность троянов с зараженных веб-страниц проявлялась только при отсутствии средств контент-фильтрации. (Было такое - антивирь пропустил малварь, она просочилась на диск, попыталась открыть Акробат и что-то видимо через PDF вкачать, но обломалась благодаря killbit'у, а прописаться в автостарте ей не дал АнВир. Так и осталась зараза лежать в ТЕМР'е мне на радость - отослал ее вендорам на анализ).

На том же компе, где есть фильтрация, не стоит ни антивиря, ни фаера - и без них никаких попыток заражения винлоками.

Делайте выводы сами.

P.S. Если к этому добавить запрет авторанов и отключение потенциально опасных служб - то можно считать защиту от современных распространенных угроз состоявшейся на 99%. Ради оставшегося можно установить пару каких-нить навороченных комбайнов, а можно включить мозг :-) Выбор есть всегда...

P.P.S. Понятно, что ондемандовых средств может быть целая аптечка на всякий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

rodocop

Получаем следующий алгоритм защиты:

1) заткнуть дыры в ОС и ПО (обновление и настройка)

2) по возможности не дать загрузиться подозрительным web-элементам (контент-фильтрация)

3) защитить автозагрузку, не дав зловреду (если все же просочился) возможности автостарта и размножения/реанимации

4) иметь возможность грохнуть блокирующий процесс, если все же винлок установился.

Спасибо за подробное изложение процесса по защите пользователя. :) При добросовестном работе специалиста всё или почти всё так и происходит. Но в большинстве своём многие компьютерные "деятели" или фирмочки по ремонту создают видимость защиты, т.к. для них важнее или урвать сразу куш побольше или же, оставив дыры, сделать так, что потом к ним снова обратились, и они снова взяли деньги за работу.

Но важнее всего в этом деле именно просветительная работа - предупреждён, значит наполовину защищён. Не нужно пугать пользователя, набивая себе цену, а объяснить ему, как пользоваться тем или иным видом защиты, тем или иным браузером. За полчаса пользователь не поднатореет в информационной защите даже до вашего уровня, зато не станет делать банальных ошибок в безопасности. Случаи с винлоками показали полную безграмостность пользователей в безопасности. Они надеялись на мелкие программки защиты и антивирусные программы, а те не смогли их защитить, т.к. не были готовы к такому раскладу дела - не было в их функционале защиты от методов социальной инженерии... И потому вымогательство по коротким номерам пробралось в ту нишу в безопасности, которую должны были обеспечивать службы сотовой связи, но они не стали этого делать или попросту оказались в деле.

AnVir Task Manager и PT Startup Monitor

Эти программы хоть и стали более или менее известными, но кто заручится за них на 100 процентов, что они не примут, хотя бы на 1 процент "полутёмную сторону", внедрив в себя что-то от Google, Ask и прочих "спонсоров".

Если программа работает ещё на кого-то, кроме самого пользователя, то она не может рассматриваться как инструмент для обеспечения тех или иных элементов безопасности операционной системы. Потому здесь имеют приоритет известные компании, давно зарекомендовавшие себя на рынке безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Какие сложности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop
rodocop

Но важнее всего в этом деле именно просветительная работа - предупреждён, значит наполовину защищён. Не нужно пугать пользователя, набивая себе цену, а объяснить ему, как пользоваться тем или иным видом защиты, тем или иным браузером. За полчаса пользователь не поднатореет в информационной защите даже до вашего уровня, зато не станет делать банальных ошибок в безопасности. Случаи с винлоками показали полную безграмостность пользователей в безопасности. Они надеялись на мелкие программки защиты и антивирусные программы, а те не смогли их защитить, т.к. не были готовы к такому раскладу дела - не было в их функционале защиты от методов социальной инженерии... И потому вымогательство по коротким номерам пробралось в ту нишу в безопасности, которую должны были обеспечивать службы сотовой связи, но они не стали этого делать или попросту оказались в деле.

Полностью согласен. Не уверен, что буду заниматься антивирусной настройкой частных ПК на заказ, но если буду, обязательно собираюсь написать, сверстать и издать частным образом брошюру, посвященную социальным и техническим аспектам информационной безопасности, включая правила безопасного се...рфинга :-), правила безопасной работы за ПК, а также основы настройки и использования секьюрити-софта, который я им буду рекомендовать и ставить.

rodocop

Эти программы хоть и стали более или менее известными, но кто заручится за них на 100 процентов, что они не примут, хотя бы на 1 процент "полутёмную сторону", внедрив в себя что-то от Google, Ask и прочих "спонсоров".

Конкретно за эти софтины я спокоен. Во-первых, любую программу можно изучить на предмет "левой" активности, а так как их нынешняя аудитория - это как правило, гики, то они такие вещи обязательно выявляют рано или поздно.

А обе эти программы с историей.

Далее ситуация несколько разная правда:

• АнВир активно развивается, автор общается с пользователями на своем форуме, зарабатывает на программе за счет западных юзеров, у которых есть культура платного потребления программ. На это же нацелено и создание линейки с разным функционалом и ценой. В итоге русское сообщество выступает и полигоном для улучшения программы, и некоторой гарантией от "ухода программы в тень". Автор, конечно, пытается и тут сотрудничать с Яндексом, но установка Яндекс-бара прозрачна и отключаема при инсталляции.

• PT Startup Monitor, напротив, давно не развивается, обладает минимальным устоявшимся функционалом (и минимальным ресурсопотреблением, кстати), и во многом поэтому защищена от "теневизации" - никто в нее не вносит изменений давно :-)

В целом, думаю, эти утилиты можно считать проверенными и надежными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop
Какие сложности.

Может, и сложности. Зато надежности. :-)))

Представьте ситуацию (понимаю, сложно, но все же :-) - у меня дома старенький комп, который я делю с женой, абсолютным чайником. Плюс дома ребенок - компа не пользует, но совсем не хочется представлять ситуацию, когда дочка идет к жене, сидящей за компом, а у той порнобаннер во весь экран.

А это была реальная ситуация, причем два раза подряд (хорошо, ребенок уже спал).

Что мне делать - я-то гадость не притащу с Сети, а вот жена умудряется. И мне поставлено условие - убрать все это. Да и самому не хочется в кои-то веки сдаваться тупорылой заразе.

Если я пойду стандартным путем и поставлю все необходимые причиндалы - АВ, фаер да ХИПСу - комп можно будет выбрасывать: больше он ничего не потянет. Нотепад жене малоинтересен :-) Даже если что и пойдет, я буду обречен на постоянные звонки на работу с вопросами - что отвечать на вопросы софта, как это работает, что там за окно выскочило и т.п.

Короче, я доточил свой уже привычный подход - минимум "большого" софта, максимум ручной настройки и легких утилит. В итоге задача решена - нет больше не заражений, ни вопросов "от юзверей" :-)

На всякий случай иногда проверяюсь ондемандовыми антивирями, антируткитами и прочими проверенными вещами - все чисто...

Потерь паролей, аккаунтов, зловредной исходящей активности также не наблюдается, из чего делаю вывод, что все это эффективно.

На самом деле, описывать всю эту систему защиты дольше, чем поставить и настроить. В то время как способ "использовать интернет-секьюрити пакеты" только звучит коротко :-))) По времени освоения и настройки - то же самое, если не хуже...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Подавляющее большинство винлокеров просто не встанут, если будешь под Юзером, это раз. Можно все разом заменить на песочницу, это два. У меня жена тоже далеко не гик и ни разу не заразилась независимо от того, стоял Каспер или нет. А сейчас вообще посадил ее на Убунту. Она пользуется вконтактиком, форумами для шиншиллятников и почтой через веб интерфейс. Так что проблем нет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Получаем следующий алгоритм защиты:

1) заткнуть дыры в ОС и ПО (обновление и настройка)

2) по возможности не дать загрузиться подозрительным web-элементам (контент-фильтрация)

Верно, особенно в плане пунтков 1-2. Я поэтому и писал здесь выше, что важнее юзерам рекомендовать апдейты поставить, а не пугать их винлоками и не рассказывать по кастыли или методы лечения. Говоря понятным всем языком, умалчиваем про презервативы, но показываем дорогу в КВД :)

Про юзеров пиратских версия Windows, которые вообще не ставят заплатки, а потом плачутся по форумам как страшно жить, тошно даже говорить.

3) здесь у меня работают AnVir Task Manager и PT Startup Monitor, которые вместе отслеживают практически всю возможную автозагрузку, за исключением разве что Заданий Планировщика, но он у меня просто отключен (XP SP2-3). В Семерке с этим сложнее - там в задания Планировщика зашито слишком много нужного чайнику, и так просто его не отключишь (я-то могу и не обломлюсь, а вот юзеру будет как минимум не хватать языковой панели

ИМХО уже несерьезно пытаться что-то сделать с XP, это позавчерашний день и морально устаревшая во всех отношениях ОС. Даже ПО Microsoft там централизованно не обновляется, только ОС одна. Куча каких-то костылей, плагины, мануальная терапия ... :(

В Windows 7 кстати не нужно автозапуск отключать. UAC все равно спросит, если что-то попробует запуститься. И еще раз спросит, если это что-то потребует админских прав ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Уточню- в В Windows 7 автоматического автозапуска нет, UAC автозапуск не спрашивает, спрашивает ОС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

Небольшой обзор блокера Trojan.VkBase.13 (Dr.Web)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Rampant

У меня есть F-Secure с замороженной базой 30 декабря, так этот блокер пробивает его проактивку)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×