Перейти к содержанию
nt_user

Как ускорить работу антивируса.

Recommended Posts

nt_user

Всем доброго времени. Хотел бы изложить свои соображения по поводу ускорения работы антивируса в ОС Windows 7/Vista на примере Windows7. Итак начнём с настройки UAC перейдём Панель управления\Все элементы панели управления\Центр поддержки\Изменение параметров контроля учётных записей и передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

  • Upvote 10
  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

http://www.3dnews.ru/interactive/view/7/2

-Чивиков В.Ю. "антивирусное ПО упорно продолжает сканировать диски целиком, бесполезно занимая системные ресурсы."

-Евгений Касперский "99% (или около того) компьютерных пользователей не являются профессионалами, и никогда ими не станут, да и не должны – это не их работа."

Я полностью согласен с вышесказанным.

Произвести настройку из первого поста смогут и не профессионалы и тогда антивирусное ПО перестанет сканировать диски целиком, бесполезно занимая системные ресурсы.

P.S. Пора бы уже антивирусному ПО обзавестись кнопкой защищать только подверженные заражению места. То есть неприкрытые UAC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
передвинем движок в крайнее верхнее положение. Теперь путь вируса в систему надёжно преградит UAC. Незащищённым со стороны UAC теперь остался только пользователь, которого мы и поручим охранять нашему антивирусу. А места, куда пользователь не имеет права записи добавим в исключения антивируса тем самым значительно уменьшив ему объём работ. Для этого нам понадобится небольшая программа AccessEnum http://technet.microsoft.com/en-us/sysinternals/bb897332 с помощью которой нужно будет найти все места куда имеет права записи пользователь и поручить их защиту антивирусу, а куда пользователь права записи не имеет добавить в исключения антивирусной защиты.

Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

вот тут есть вирус сам который ваш UAC отключит

Например, черьв Rorpian может эксплуатировать уязвимость в службе сервера разрешения доменных имен (DNS SS), что дает доступ к правам администратора и возможности отключить контроль учетных записей.

Забудьте про мнимую безопасность, антивирус должен быть включен. Но лично вы можете спокойно снизить защищенность своего компьютера в угоду скорости.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Полная чушь. Простейший блокер, который будет выдавать сообщения от UAC "Разрешите - разрешить - разрешить" хотя бы 5 раз будет в конце-концов пропущен и произойдет заражение, а антивирус уже заботливо отключен.

Ваш блокер будет заботливо удалён антивирусом при запуске из подконтрольного антивирусу места.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
А с какого фига он будет удален, если блокер будет накрыт пакером и антивирус его знать не будет?

Когда блокер распакуется. Или вы предпологаете установку блокера архивом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

2. проходит время и зловред попадает в базы, но антивирус его все равно не ловит, т.к он в исключениях все равно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Допустим, механизм такой:

1. недетектируемый антивирусом зловред прописывается в области, которая любезно добавлена в исключения антивируса

UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Когда блокер распакуется. Или вы предполагаете установку блокера архивом?

Sorry ошибка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию... это аналогично тому, что предложили вы, только посложнее.

PS: разумеется, что вы вольны как угодно защищать свой компьютер, как угодно ускорять его работу и настраивать его защиту, никто не может вам этого запретить, мы лишь пытаемся сказать, что ваша задумка годна лишь для некоторых. Лично для меня подходит вообще не использовать никакого антивируса, и юзать ХР (там вообще мало оперативы жрется по сравнению с W7), но я это никому не предлагаю и нигде про это не пишу...

PS2: юзайте поиск, читайте про малварь, что-то про обход уак (причем это распространенный способ "обхода") что-то писали выше... зачем нам за вас искать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

Ну, какбэ, например:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
хорошо. тогда давайте так. как зловред вообще на комп попадет? код обхода носкрипта в студию...

Имеется и такое, но давайте обсуждать более традиционные методы.

Ну, какбэ, например:

И какбЭ работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik
UAC с максимальным уровнем безопасности
давайте обсуждать более традиционные методы

Оооок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
Оооок

А вам кажется обход noscript крайне традиционным, как и само использование noscript?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
И какбЭ работает?

Я не думаю, что это фейк.

http://cyberarms.wordpress.com/2011/01/06/...-4-meterpreter/

(тоже с видео)

Security programming master David Kennedy recently released the above video on bypassing UAC with Backtrack 4 Meterpreter. Kevin Mitnick needed to bypass UAC for a penetration test, and together with David, came up with this script.

Пароль к гуглу: "Windows 7 UAC Bypass"

Там много интересного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat
UAC непозволит. Ссылки на рабочий обход UAC с максимальным уровнем безопасности в студию.

пожалуйста

На данный момент есть оригинальный обход UAC буткитом Black Internet Trojan (вернее не обход, действия на нервы пользователя):

В случае запуска под UAC установщик перезапускает свой процесс в цикле. Таким образом, пользователь будет получать предупреждения системы безопасности до тех пор, пока не подтвердит разрешение запуска процесса инсталлятора буткита с максимальными привилегиями.

этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
вот тут есть вирус сам который ваш UAC отключит

В указанной Вами статье нужно обратить внимание на это:

"Ключевым моментом является то, что для успешного отключения UAC вирусной программе необходимо добраться до административных полномочий, что достигается либо эксплуатацией уязвимости системного сервиса, работающего в привилегированном режиме, для которого UAC уже не актуален, или применением социальной инженерии, заставляя пользователей верить в безвредность приложения и разрешать его запуск."

и далее приводится совет:

"Для того, чтобы избежать угрозы отключения управления учетными записями пользователя, необходимо постоянно обновлять программные обеспечения и антивирусные программы, что позволит защитить компьютер от нежелательных вирусов."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

На самом деле эту проблему решить просто (жаль, что MS пока что не додумалась). Делается кнопка ("Запрещать данной программе всегда") и в качестве подсказки выводить юзеру окно, что если проявляется такая назойливость, что хочется нажать на эту кнопку, то нужно проверить компьютер на вирусы.

Это было бы идеально, если бы не наличие эксплойтов, которые могут и без социнженирии обойти UAC, используя его уязвимости.

Насколько понимаю, те дыры, что показаны в процитированных видяшках, уже закрыты. Но кто гарантирует, что не будут (или уже) найдены новые?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user

Обход UAC в реальных условиях я так и не увидел. Антивирус прекрасно справляется с вирусами, насколько вообще может это делать антивирус, с предложенными мной настройками.

Хочу отметить: Скоро ли АВ компании перестанут игнорировать защиту UAC и слабые машины в целом. C выходом Windows8 на ARM процессорах пользователи могут и вообще забить на антивирусы, как на мешающие работе и бесполезные программы.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Т.е. смысл весь в том, что UAC - не замена антивирусу. Антивирус является одним уровнем защиты. UAC является вторым уровнем защиты. Ну и т.д. Вопрос в том, стоит ли использовать один из уровней защиты в неполную силу ради производительности... Можно и вообще работать без антивируса, в общем-то, как Игорь Данилов (информация взята из одного из интервью) :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
этот метод социальной инженерии сработает у 80% юзеров, на третье окно они уже ткнут разрешить

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Думать за вас никто не будет. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Обход UAC в реальных условиях я так и не увидел.

20 градусов Цельсия, 760 мм. рт. ст.? (хотя у нас нормальное - 720) :)

http://www.secmaniac.com/download/ - качайте, разбирайтесь.

От социальной инженерии и антивирус неспасёт, вы его отключите по инструкции.

Убрать надоедливый UAC проще заставить, чем отключить антивирус. Многие UAC отключают и без всяких вирусов, ибо по глазам это постоянно выскакивающее окно бьёт, и звук мерзкий, и яркость фона меняется. Т.е. раздражает даже не постоянно выскакивающее окно, а реализация. Можно было бы сделать менее... раздражительно. ИМХО.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nt_user
http://www.secmaniac.com/download/ - качайте, разбирайтесь.

Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Опять теория? Если появится вирус способный самостоятельно устанавливаться в систему обходя UAC тогда и поговорим. Но боюсь его век будет, если вообще такое случится, крайне недолгим.

А зачем вирусу долгий век? Сколько сейчас средняя продолжительность жизни сэмпла? 4 часа? :)

Ок. Вот ещё пример: http://news.drweb.com/?i=1388&c=10&lng=ru&p=0

При заражении системы программа обходит UAC (защитный функционал Windows), поэтому установка в систему происходит незаметно. После установки троянец прописывается в главную загрузочную запись и близлежащие сектора жесткого диска.

Эту новость писал ещё я, по информации из вирлаба. Не думаю, что это тупой гон.

Вот md5:

http://www.virustotal.com/file-scan/report...c29c-1299263995

Сотрудникам вирлабов должно быть просто отыскать сэмпл и проверить эти слова (на системе с обновлениями на дату до 3 декабря 2010 года).

Всё ещё теория?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
А вам кажется обход noscript крайне традиционным, как и само использование noscript?

а предлагаемый вами метод тоже крайне традиционен?

вы лучше бы написали что вы хотите сказать, а то вы мое сообщение полностью проигнорировали, а про носкрипт зацепились...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×