Перейти к содержанию
Anmawe

Как максимально защититься от malware в windows, которых нет в антивирусных базах?

Recommended Posts

Anmawe
Но тут приходит на помощь расширение для браузера NoScript.
Отключение скриптов? Я пробовал, начинаются проблемы при просмотре многих сайтов!
Приходят в полицию всякие ИП и ООО, жалуются что с ихних счетов списали большую сумму через банк клиенты. При проверке компов следов взлома и вирусов нету. Однако ЭЦП умудрились украсть.

Акронис поможет вернуть деньги?

Не поможет. Я вообще писал про свой случай, про личный комп.

В Касперском есть компонент Контроль программ. Там можно запретить изменять/удалять персональные данные. При таких настройках никакая malware ни при каких обстоятельствах (даже запущенная с админскими правами) не сможет прочесть, изменить, удалить персональные данные? То есть тут 100 % защита от угроз, которых ещё нет в базах?

Комп заразился трояном, который ворует пароль от ICQ. Если на компе нет ICQ, то троян ничего не украдет. В данном случае троян останется вредоносной программой, несмотря на то, что он не нанес вреда? Или неважно, может ли он нанести вред или уже нанес?

Какие есть программы для распределения прав (типа Контроля программ) ? Из бесплатных желательно.

Спасибо за ответы!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Какие есть программы для распределения прав (типа Контроля программ) ? Из бесплатных желательно.

Если брать комплексные бесплатные продукты - то например Comodo Internet Security Premium.

5541be27e6aa7b92c670ff2067878804.jpg

2654ec23ff4559948d1aca607a401808.jpg

f4054c9e2f6fa08853ded2b776a85d18.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Когда проактивная зашита сообщает о том, что программа пытается перехватить данные, вводимые с клавиатуры, установить драйвер и т.д. - то как правильно поступить в данном случае? У меня такие алерты возникали на программы, скаченные с официального сайта и имеющие ЭЦП. То есть алерт такой может на любую программу появится. Только вот она может быть не зараженной, и возможно что это ложная тревога. Как узнать - ложная тревога или нет?

Вообще, антивирусы предоставляют мало информации, и сложно судить, заражена ли программа или нет. Многие видеоигры вызывают подозрение на присутствие клавиатурного перехватчика. А что там перехватывают - не сообщается.

По-вашему, проактивная защита дает достаточно информации для того, чтобы специалист определил угрозу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Когда проактивная зашита сообщает о том, что программа пытается перехватить данные, вводимые с клавиатуры, установить драйвер и т.д. - то как правильно поступить в данном случае? У меня такие алерты возникали на программы, скаченные с официального сайта и имеющие ЭЦП. То есть алерт такой может на любую программу появится. Только вот она может быть не зараженной, и возможно что это ложная тревога. Как узнать - ложная тревога или нет?

Вообще, антивирусы предоставляют мало информации, и сложно судить, заражена ли программа или нет. Многие видеоигры вызывают подозрение на присутствие клавиатурного перехватчика. А что там перехватывают - не сообщается.

По-вашему, проактивная защита дает достаточно информации для того, чтобы специалист определил угрозу?

Вероятно вы имели опыт работы только со старыми версиями CIS в которых не было Sandbox, которая по умолчанию включена в новых версиях.

Теперь объясню принцип работы новых версий CIS:

1) Если программа доверенная то к ней не применяется никаких ограничений, хотя в правилах можно задать ограничения и для доверенных программ.

База доверенных программ находится в облаке (также на самой машине есть база доверенных поставщиков") и достаточно обширна чтобы определить большинство легитимного софта.

2) Если программы нет в базе доверенных - она считается недоверенной, запускается в песочнице с заданными ограничениями (никаких алертов на её действия при этом нет, так как применяется виртуализация файловой системы и реестра), поведение программы в песочнице анализируется в облаке, так же происходит отправка исполняемого файла в облако на анализ. Если после анализа файла и его поведения в облаке он признан лигитимным - он автоматически переносится в доверенные и с него снимаются все ограничения.

Как видите всё происходит автоматически и без алертов (в зависимости от настроек конечно)

Абсолютную защиту не даст никакая программа, изначально Ваш вопрос был о программе для распределения прав приложений и я дал ответ в контексте этого вопроса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Desperado_Troll, спасибо за ответ! Меня еще интересует случай, когда программа заражена свежим malware, и облако не поможет. То есть самостоятельный анализ программы. В данном случае одной проактивной защиты недостаточно ?

Еще вопрос - а как облако может признать программу нелигитимной? По каким признакам? Если она признает это , это ведь не факт, что данная программа 100 % заражена?

Вообще я имею ввиду програииы, требующие админские права, запрещать им нельзя, они просто не установятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Desperado_Troll
Desperado_Troll, спасибо за ответ! Меня еще интересует случай, когда программа заражена свежим malware, и облако не поможет. То есть самостоятельный анализ программы. В данном случае одной проактивной защиты недостаточно ?

Еще вопрос - а как облако может признать программу нелигитимной? По каким признакам? Если она признает это , это ведь не факт, что данная программа 100 % заражена?

Вообще я имею ввиду програииы, требующие админские права, запрещать им нельзя, они просто не установятся.

Если программа заражена свежим мальваре - она на пройдет по базе доверенных, так как там идет привязка по хешам, следовательно отправится в песочницу и будет запускаться с заданными ограничениями.

Большинство пользователей и я в том числе не смогут произвести самостоятельный анализ зловредности программы, поэтому лучше оставить этот вопрос вирусным аналитикам (и не переносить вручную неизвестные программы в список доверенных). А пока неопознанная программа не изучена аналитиками Comodo и не занесена в базу доверенных - она будет запускаться в песочнице, т.е. у неё практически не будет возможности навредить системе.

По каким признакам облако может заподозрить программу я точно не знаю, скорее всего по шаблонам подозрительных действий, если такие действия обнаруживаются, то программа подвергается наверно более тщательному изучению, а нелегитимной или легитимной признаёт её уже аналитик на основе анализа.

Неизвестные программы требующие права администратора устанавливаются без проблем, так как по умолчанию в настройках стоит галочка не изолировать в сандбокс инсталяторы. При этом в процессе установки они не смогут внести критические изменения в системе (которые заданы в правилах).

P.S.: я не сотрудник Comodo, поэтому пишу всё только на оснавании своего опыта использования продукта...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

В Kaspersky Internet Security есть "Контроль программ" , который может защищать конкретные файлы. Если там стоит красный перечёркнутый кружочек, то никакая malware никогда не сможет навредить? Тут 100% защита, даже если зараженной программе дали админские права (то, что программа заражена, разумеется, неизвестно! Это будет известно, когда malware будет в базе) ?

Например, я запускаю кряк, кейген, NO CD/DVD , который хочет прочитать инфу из данного файла. Если доступ туда закрыт, то он это не сможет сделать ?

В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

С другой стороны, для поль зователя такой уровень защиты преувеличен! Это примерно как поставить в продуктовый магазин охранников с автоматами в бронежилетах, вот только зачем ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
В Kaspersky Internet Security есть "Контроль программ" , который может защищать конкретные файлы. Если там стоит красный перечёркнутый кружочек, то никакая malware никогда не сможет навредить? Тут 100% защита, даже если зараженной программе дали админские права (то, что программа заражена, разумеется, неизвестно! Это будет известно, когда malware будет в базе) ?

Например, я запускаю кряк, кейген, NO CD/DVD , который хочет прочитать инфу из данного файла. Если доступ туда закрыт, то он это не сможет сделать ?

Справедливо при одном НО: если антивирус выживет после запуска вредоносной программы. ;)

В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

Увы, это не гарантирует чистоту системы. Во-первых вы не знаете точно кто и что туда втыкает, если это никак не контролируется (нет контроля портов, защиты от несанкционированного доступа в целом и т.д.). Во-вторых вредонос может туда попасть при обслуживании системы. Подумайте, как тогда заражаются, например, банкоматы. Они вообще от всего отрезаны и подключить туда так просто ничего нельзя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
В банках используют такой метод защиты - есть комп, который никогда не подключается к интернету, в него не втыкают "левые" флэшки и dvd-диски. Malware там появится не может!

:facepalm::facepalm:

http://capri.ustu.ru/banking_systems/%C3%EB%E0%E2%E0%201.htm

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

sda

Что ты хотел этим сказать? Процитируй. Мало кому интересно перечитывать всю простыню, на самом деле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
sda

Что ты хотел этим сказать? Процитируй. Мало кому интересно перечитывать всю простыню, на самом деле.

Принципы безопасности в банковских операциях, если кратко:

авторизация (присвоение полномочий), идентификация (именование) и аутентификация (опознавание, подтверждение подлинности) субъектов и объектов ИБС;

криптографическое закрытие информации (шифрование и кодирование защищаемых данных);

управление доступом к ресурсам системы (механизм разграничения доступа, администрирование работы пользователей, протоколирование всех действий в системе и т.п.);

контроль целостности ресурсов системы (обеспечивается внутренними средствами контроля и управления применяемой СУБД).

Ну и конечно же электронно-цифровая подпись (ЭЦП).

Т.е. целый комплекс по защите ИБ, который еще должен соответствовать стандартам Банка России (СТО БР ИББС) «Обеспечение информационной безопасности организаций банковской системы Российской Федерации".

А тут какой то бред про методы защиты в виде неподключенного компа LOLище :lol: Лишь бы какую нибудь х...ю запостить с умным видом :facepalm:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

sda, по-вашему есть защита понадежнее для домашнего юзера, чем комп, неподключаемый к инету?

Когда я про акронис писал, я не говорил, что он защитит от кражи. Я хотел сказать, если нужно запустить кряк или установить репак, то есть игру (виртуалка не подходит, там тормоза, и 3d игры не работают), то перед запуском кряка или установки репака делается бэкап системного диска. В случае поломки виндос делается откат на нужный бэкап. По мне так проще, чем сканировать, лечить. Откат 100% удалит вирусы, и известные, и новые. И сохраняется условие топика - запускать то, что нужно/хочется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus

Выше упоминали песочницу, а влияет ли то, запущена программа с правами администратора или без в песочнице (Comodo, KIS и sandboxie)? Перефразирую: если программа, запущенная в песочнице, запущена с высшими правами, она все равно останется в песочнице?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Если антивирусы будут работать по принципу белого списка - разрешаю то, что безопасно, остальное запрещаю - будет лучше или хуже ? Или выдавать пользователю табличку

- "Нет подтверждений, что программа или сайт безопасны. Вы можете запустить её/зайти на сайт на свой страх и риск" . Или

- " Нет подтверждений, что программа или сайт безопасны. Вы несете ответственность за все последствия, которые могут произойти, запуская эту программу или заходя на сайт" . Или

- " Нет подтверждений, что программа или сайт безопасны. Эта программа может/будет делать что угодно. Вы можете запустить её на свой риск" .

У Аваста есть такое, по умолчанию выключено (усиленный режим - умеренный и агрессивный режим) .

http://forum.avast.com/index.php?topic=142183.0

Будет много чего блокироваться, но тогда, наверно, эпидемий с винлоками, шифровальщиками станет очень мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×