Перейти к содержанию

Recommended Posts

demkd
или данный файл ВРЕМЕННО на период сессии уходит из списка подозрительных?

Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Или нужен дополнительный твик - восстановление ассоциаций на исполняемые файлы?

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

...А в некоторых случаях проблему решает файл _unlock.inf идущий в комплекте, если использован простой блок прописанный в ключе Explorer-а

в данном случае - в автозапуске svchost.exe (путь стандартный) определяется как вредоносная программа,

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Временно до выхода или сброса статуса проверенного.

Если надо на постоянку то есть соотв. команда в контекстном меню, но тогда уже мою базу нужно будет не копировать а импортировать для сохранения своих хэшей.

Так нормально. Просто раньше была некоторая путаница понятий: список проверенных, база проверенных файлов. Сейчас четче уяснил, что база проверенных - это файл sha1, а список проверенных - это динамический список файлов, имеющих статус ПРОВЕРЕННЫЙ, т.е. прошедших проверку по списку sha1 или вручную, по функции ПРОВЕРЕН в окне "информация".

Я для себя веду параллельный список sha1_user (приложения от eset, например, разных версий), который импортирую в базовый список разработчика, по мере его выхода.

Это я уже сделал и релиз как бы готов, поскольку уже приставали с твиком на прошлой неделе, но мне че-то лень было собирать дистрибутив, игрушки одолели :) но в принципе могу завтра релизнуть 3.33 если срочно надо.

Видимо, есть необходимость в этом выпуске - у нас был второй случай нарушения ассоциаций.

а не нужно верить глазам, нужно верить uVS :)

причем не в том смысле что файл поддельный или зараженный, а в том что имя файла НЕ svchost.exe

трояны давно используют левые (в т.ч. и русские) символы похожие на английские буквы в результате при проверке глазками получается что файл системный и лежит где надо... но почему-то их два, а то и три с "одинаковым" именем. Поэтому как его в uVS не удаляй системный файл затронут не будет, убит будет только зловред.

А есть возможность ВСКРЫТЬ эту подмену символов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

Это необходимо в случае последующего анализа самого скрипта.

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Ориентироваться по Имени удобнее,чем по Сигнатуре.

2.Ввести возможность Индикации.

"Скрыть проверенные" Звучит, несколько двусмысленно...

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скажем для Визуального сравнения, по схожим именам Объектов Одного производителя.

Например в случае повреждения файла/отсутствия цифровой подписи.

В ряде случаев в этом есть смысл - Особенно на начальном этапе работы/обучения uVS.

*Возможно это и неэффективно но...

3."ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске"

Прекрасно,что программа проводит автоматический анализ списка.

*Значит все Легитимные варианты ей известны ...

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Суть: При Автоматической обработке, есть риск потери квалификации персоналом.

Особенно у начинающих или недавно прошедших обучение сотрудников.

*Для потери Квалификации достаточно 4 месяцев.

Не факт,что это произойдёт, однако...

Это, Актуально и в Свете повышенного Интереса к программе со стороны пользователей. ( Число просмотров ресурса ) :rolleyes:

Это, Актуально в перспективе, с выходом Windows 8. ( Обучение )

Windows XP/Vista/7/8 ( Всё помнить...) :facepalm:

* Никаких принципиальных изменений при этом в uVS не произойдёт.

Но как говорил Пётр I, Вижу...

4.скрытый системный. Следует писать так: СКРЫТЫЙ СИСТЕМНЫЙ.

Мелкий и типичный.шрифт.затрудняет.восприятие. :)

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. :)

7.Возможность проверять состояние ключей реестра,на проблемной машине.

Это дополнение к Пункту №5.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Это даст дополнительную информацию для анализа.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора.

Возможность временной блокировки доступа к периферийным областям HDD ?

9.Как написал SANTY: Определение Подмены Языковых Символов ( С информированием пользователя во избежание...! )

a,e,о,p...

10."Размер 2889424 байт"

Это замечательно, можно определить точные параметры ! Однако...

Так будет практичнее 2889424/2889/2.9mb

*Если, что написал не точно, то значит так тому и быть... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

выскажу свое отношение к некоторым предложениям PR55

1.В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

может и имеет смысл добавить после команды addsgn закоментированную строку с именем файла, но с другой стороны, на одну сигнатурку может попасть несколько файлов. Так же для анализа скриптов (ЕСЛИ КОМУ ИНТЕРЕСНО) можно обмениваться с ХЕЛПЕРОМ сигнатурными базами, тогда все будет видно - какая сигнатура какой файл "спалила".

5.В Папку ZOO, Автоматически добавлять: Открытый, Программный отчёт uVS,о ходе выполнения скрипта/+-/сбой.

имхо, лучший отчет о выполнении скрипта - это новый образ автозапуска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
А есть возможность ВСКРЫТЬ эту подмену символов?

В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Анализ - почему Скрипт не сработал, так, как планировалось,проверка ошибок.

Это можно в виде комментария.

Кроме того, Зачем скрывать,если есть необходимость в Присутствии объекта в списке.

Скрыть смысл есть, а вот зачем-то засорять список проверенными и увеличивать время копания в нем нет совершенно.

Предлагаю ввести возможность Самостоятельного - Визуального просмотра Всех... Легитимных Значений/Параметров.

Список известных можно легко просмотреть.

6.Я предлагал ввести предупреждение при наличие не читаемых символов в списке...

Но, это предложение было отклонено " В Windows нет ни читаемых - Уникоддс..."

Я имел в виду не читаемых для Оператора PC!. smile.gif

В том то и дело, что они все читаемые, тут надо подумать.

Сохранять значение сбойных/изменённых значений - Основных - параметров в txt формате.

Лень.

8.Проверка HDD, на наличие неизвестной структурированной, файловой системы - простое Информирование Оператора

Это совсем лень и мало того будет безумно долго работать... если вообще будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
В смысле автоматом добавлять в подозрительные? Это конечно можно, однако ведь есть масса софтописателей, что используют в именах файлов символы отличные от ASCII... хотя можно сделать подобный детект опциональным.

А вот как-то опеределять похожие по написанию имена - это уже тяжелей, ибо Unicode 6-й версии уж очень большой...

Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Да, если возможно, вынести его в настройки, чтобы по желанию можно было подключать данные проверки. Может, выбрать для проверки список системных файлов, которые чаще всего подменяются: svchost.exe, userinit.exe, lsass.exe, winlogon.exe, explorer.exe?

Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

2- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\SIMANSS.EXE

*Если автоматизировать, то по полной программе!

А ещё лучше так... :)

3- й.

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

czoo

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Список известных можно легко просмотреть.

Можно.

Но Речь о другом ! :)

Информацию добавить сюда: "Информация"

Возможные Легитимные пути С:**\****\.... ( Все )

Стандартные значения Реестра для Объекта.

Стандартный/размер/размеры 2888 bt ....

Это, Кардинально отличается от того,что есть на данный момент.

Но можно добавить информацию и в список известных.

Только, как мне кажется это будет менее практично.

Или распределить информацию по актуальности.

Перечислять повторно аргументы к этому предложению не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если делать то для всех, без полумер.

Велика вероятность пропустить "Очевидное - Невероятное" :)

уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

Цитируя самого себя:

В скрипт автоматически добавлять не только сигнатуру объекта НО ! и его "Текущее" Имя из списка: "Подозрительные и вирусы".

А если рассмотреть в таком виде: Автоматически...

1- й. Скрипт

addsgn 555444 14 bl

delall \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

PR55, вы похоже так и не прочитали документацию по программе.

Какой смысл добавлять сигнатуру файла, если вы хотите убить файл по "прямому пути"?

Смысл моего предложения сводится лишь к внесению комментария в скрипт.

addsgn 555444 14 bl

; \\?\C:\WINDOWS\SYSTEM32\MSSPAINT.EXE

в этом случае, вы будете знать, какой файл из системы будет удален по данной сигнатуре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
PR55, вы похоже так и не прочитали документацию по программе.

Вот как пишет ВСЕ скрипты zloyDi

;uVS v3.32 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

bl 775DF5D6DE85E54A0FAD5E6E58C7CF33 71680

delall \\?\C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CHKNTFS.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

bl 5837CF56CD56ACEBDCEE0E1B36DDD5A6 156616

delall \\?\C:\WINDOWS\SYSTEM32\REKBZSC.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Или другой пример:

;uVS v3.31 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

zoo \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\AF90B9F1.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

bl 100AD308FB55F50C39472238DDFD6E7D 149504

delall \\?\C:\WINDOWS\SYSTEM32\FYDNVKN.EXE

zoo \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

bl E2068F5620FF15A31191BCC38989BC8D 175104

delall \\?\C:\WINDOWS\SYSTEM32\KFEXMXY.EXE

delall \\?\C:\WINDOWS\SYSTEM32\OPKJDKW.EXE

delnfr

regt 12

regt 13

regt 14

deltmp

restart

Я так понимаю,что он тоже не читал...!

Кроме того, я показал примеры, а не реальные фрагменты скриптов.

Да в том, что я написал 1. ошибка есть.

"Почему мой самолёт не Летает? - Это Сувенир!"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

v 3.33

Релиз, чего было не лень добавил.

Проверка на левые символы неотключаемая, поскольку побочных эффектов не замечено, потерь в производительности практически нет.

o Добавлен твик #22 "Восстановить из копии параметры запуска файлов".

Восстанавливаются из бэкапа ключи Classes\exefile, Classes\.exe и еще 14 основных типов файлов.

o В меню "Запустить" добавлен пункт "Управление сервисами".

(В случае работы с удаленной системой в открывшемся окне выберите в меню

"Действие->Подключится к другому компьютеру" и введите имя или ip нужного компьютера)

o Улучшена функция анализа имен файлов, теперь файлы с чередованием в имени некоторых

ASCII и NON-ASCII символов считаются подозрительными.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

уже сейчас автоматическая проверка по базе sha1 притормаживает

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

Стандартные значения Реестра для Объекта.

Это мне ни к чему, а тем кому интересно почитают книгу о реестре Windows.

uVS НЕ для начинающих и никогда не станет таковым.

Стандартный/размер/размеры 2888 bt ....

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
v 3.33

Релиз, чего было не лень добавил.

ок, проверим.

o Теперь при добавлении сигнатуры в скрипт помещается полный путь до файла в виде комментария.

не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте :)))

А вот по сигнатуре не смогут себя узнать, так надо знать по какому алгоритму вычисляется сигнатура.

Зато значительно экономит время при последующей проверке за счет отсева ложноподозрительных :)

учту. смутил тот факт, что происходит резная смена экрана: скажем при появлении uVS виден один список, затем резко появляется другой после завершения проверки.

Нет никаких стандартных размеров, версий одного и того же системного файла море.

Вот человеку мало контрольных сумм: sha1, md5 еще надо и размер файла записать.

Вот как пишет ВСЕ скрипты zloyDi

ZloyDi, конечно, респект за виртуозную работу с uVS и другими инструментами лечения.

"Почему мой самолёт не Летает? - Это Сувенир!"

Вот и вы чаще практикуйте написание скриптов в uVS, чтобы лучше уяснить тонкости в работе uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Уже сейчас автоматическая проверка по базе sha1 притормаживает загрузку списка подозрительных (оставляю эту проверку только в функции ПРОВЕРИТЬ СПИСОК), поэтому исходить нужно таким образом - лучше меньше, да лучше_быстрее, а если при этом большие ресурсные затраты, то лучше никак - поскольку список подозрительных невелик.

"Притормаживает" И сколько это в режиме РЕАЛЬНОГО времени занимает?

Субъективная оценка - не в счёт.

Если, есть сомнения то Опционально добавить - (Проверка по Необходимости... )

3- й. + ( Так вернее :) )

Автоматический режим.

addsgn 555444 14 8 bob_vir

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

chklst

delvir

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или.

( Скажем Цепная команда при добавлении файла в ZOO )

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

bl 79F493F5105560C0F0CC003C753443AF 44544

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Если ошибка в том,что нет всех команд - то Это часть скрипта АВТОМАТИЧЕСКОГО !

Всё остальное от Оператора..

MD 5 и прочее...

* Я Готовых решений и не предлагаю.

* Так и пишу с ошибками. :)

Поясню скрипт: Если сигнатура есть в базе и она добавлена автоматически.

То, нет гарантии, что сам Объект попал в Вир.Лаб.

Пользователь мог не отправить по почте или на сервере удалили.

А изучить нужно...

Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Просто зачистка.

*Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Да Я Постоянно думаю и Могу СНАЧАЛА НАПИСАТЬ, А УЖЕ ПОТОМ ДУМАЮ... :) ....

А, ВЕДЬ ЗРЯ Я ЭТО НАПИСАЛ !

Есть такая Русская народная сказка: " Передел и Недодел"

Что Касается zloyDi Я ЭТО к ЧЕМУ.

Автоматизацию - Ввели, но если её Как правило не используют, то требуется провести изменения в uVS ?

В основном дело в ZOO.

Даже если есть известная Сигнатура - то всё равно Карантин должен быть АВТОМАТИЧЕСКИМ для всех.

Если, где опять Накосячил в написании Псевдонаучной статьи Эх !

Пойду печку топить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте smile.gif))

маловероятно, если будут такие случаи то можно сделать это дело опциональным, впрочем всегда можно и скрипт подправить перед сохранением.

так надо знать по какому алгоритму вычисляется сигнатура

это еще более маловероятно, да и сигнатура шифруется :)

происходит резная смена экрана

Да, можно считать это постобработкой образа, польза от нее реальная и чем больше будет расти база проверенных тем оно будет полезней :) Скажем я в подконтрольных мне сегментах сети внес в базу весь рабочий софт и теперь лечение любого свежего трояна занимает секунды.

Единой догмы по применению и написанию Скриптов в uVS всё равно нет.

Нет, однако delref/delall постепенно переползают в средства зачистки от нежелательного софта и поэтому автоматизация Zoo тут не совсем уместна, сигнатурный метод мне (в данный момент) кажется более удобным, просто потому что требует меньших телодвижений и самое главное уничтожение зловредов происходит массово и в сжатый временной интервал, что имеет несомненные плюсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PR55.RP55
Не будет противодействия со стороны зловредов? ибо увидят свое имя в скрипте

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Или так, для профилактики.

delall \\?\C:\WINDOWS\SYSTEM32\AGITLERSSA.EXE

Авто добавление Символов при создании и Авто их удаление при выполнении.

Только вот, запретить выполнение Скрипта на предыдущих версиях uVS !

Да, вот так Правильно :)

( Скажем Цепная команда при добавлении SHA1 или по MD5 ....) ( Запрет на Запуск и Автоматическая комбинация... )

bl 79F493F5105560C0F0CC003C753443AF 44544

zoo \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

???...

И скажем delall при комбинации с Клавишей, скажем Delete !

delall \\?\C:\WINDOWS\SYSTEM32\GITLERSS.EXE

Demkd ...

*Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Есть ли смысл ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Поэтому и есть необходимость даже при авто. добавлении сигнатуры в скрипт помещать копию файла в ZOO.

Что касается "Убить файл по "прямому пути"?

А если сигнатура не сработает? Да пусть даже и сработает...

Что с вами делать RP55, я не знаю, поскольку вы пишите так же быстро как и думаете. :). А и не хочется флейма сверх меры добавлять, но хочется заметить, что в настоящее время автоскрипт так и работает: addsgn+zoo.

Пока не было случаев, чтобы убиение по сигнатуре не сработало (в нормальном режиме или в безопасном) или удалило что-то другое вместо вредоносного файла.

ZloyDi убивает по "прямому пути" и тоже весьма эффективно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Дело не в скорости и экономии времени ( Если Сигнатура ), а в получении нового Образца для изучения

Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Другое дело что сигнатурный поиск может захватить и новые модификации определенного трояна, но тут уже видно по статусу полное совпадение сигнатуры или минимально необходимое и добавить образец в zoo ручками не проблема, поскольку это одно единственное действие этими самыми ручками. В случае же удаления по пути действий будет заметно больше даже если ввести его автоматизацию, что в принципе можно сделать в качестве отключаемой опции. Да и полноценный антивирус должен хватать и рвать все моды трояна по сигнатуре одного его образца, раз уж примитивный сигнатурный движок uVS смог распознать сходство.

Еще один минус удаления по пути - это возможное присутствие запасного тельца трояна под другим именем которое пропустил оператор или автоматическая смена имени основного тела зловреда в автозапуске при каждом перезапуске системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Если есть сигнатура то есть и образец... поскольку zoo уже автоматизирован при добавлении сигнатуры :)

Отчасти, PR55 прав в том, что сигнатура и реальный зверь на разных концах находятся в случае лечения по образу автозапуска. Сигнатура из образа попадает в базу хелпера на одном конце, а на другом - ZOO не всегда юзер отправляет в вирлаб. Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Как только поднимается и обновляется антивирус - юзер зачастую исчезает с форума.

А с этим уже ничего не сделаешь :)

Разве что кто-то (не я) напишет отдельную утилитку для принудительной отправки всех архивов с зловредами... куда-надо, а вызывать ее можно exec-ом из скрипта, соотв. можно раздавать архив с такой утилиткой в комплекте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd

Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

(интерфейсных настроек НЕ будет)

[settings]

; при добавлении сигнатуры добавлять в скрипт полный путь до файла в виде комментария

bAddComment = 0 (1 по умолчанию)

; Автоматически копировать в zoo файл, удаляемый с помощью команды delall (кроме сетевого режима)

bAutoZooOnDelAll = 1 (0 по умолчанию)

; Автоматически блокировать запуск файла по MD5, удаляемого с помощью команды delall или

; при добавлении сигнатуры файла в _базу_

bAutoBL = 1 (0 по умолчанию)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy

Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Не только при сверке образа пассивной и активной системы при обнаружении руткитов, а вообще сравнить два любых образа (снимка) одной системы, которые сделаны в разное время.

Скажем, создаю ЭТАЛОННЫЙ образ автозапуска заведомо чистой системы, сохраняю его в отдельную или текущую папку.

Далее, через некоторое время запускаю uVS, получаю НОВЫЙ список объектов автозапуска,

и хочу обнаружить, какие изменения произошли в данном списке.

Здесь можно добавить несколько фильтров просмотра результирующего списка:

НОВЫЕ - те что пришли в образ автозапуска за текущий период;

УДАЛЕНЫ - те, что исчезли из образа автозапуск за текущий период;

ИЗМЕНЕНЫ - те что были изменены за текущий период.

Из программ анализа автозапуска по изменениям, реализовано это, насколько знаю, лишь в Eset Sysinspector, но там довольно сложно разобраться - общий список объектов с кучей мелких (визуально неразличимых) иконок, которые что-то означают, и отследить изменения в автозапуске, имхо, нетривиально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Что касается автоматизации delall в след. версии будут введены доп. настройки доступные только в settings.ini:

это полезные будут настройки - иногда не хочется перегружать скрипт лишними закомментированными строками.

видимо, соглашусь с PR55 по поводу возможности сохранения текстового лога (что вызывается по ALT+L) - например, командой скрипта,

перед RESTART,

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
demkd
Может, имеет смысл сделать более универсальным режим сверки образов автозапуска?

Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

при необходимости, можно будет запросить сохраненный лог для анализа выполнения скрипта.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
santy
Идея может и хорошая, но я не вижу реального применения этому режиму.

То что добавилось или изменилось/обновилось легко обнаружить с помощью файла сверки, если только добавилось то можно ткнуть в фильтр по дате и выбрать весь автозапуск - тут даже сохранять ничего не нужно.

А режим сверки в uVS работает только из под НЕАКТИВНОЙ системы. Может, открыть эту функцию и для АКТИВНОЙ системы? тогда - это то , что надо. (как дополнительный сервис). Сверка списков автозапуска может пригодиться для изучения проблемных ситуаций на машине. Допустим так: делаем образ автозапуска системы (сохраняем файл) - но с проблемой не получается разобраться. Или удаляем что-то из системы с целью скорректировать работу системы. Наблюдаем за проблемой. Возможно какие то файлы будут восстанавливаться или изменяться по той или иной причине. Из-за существующей и не решенной проблемы. Делаем новый образ и сравниваем с предыдущим из под активной системы. Анализируем - почему. т.е. руткиты мы таким способом не обнаружим, но для разбора других проблем системы может пригодиться.

т.е. функция сверки из под НЕАКТИВНОЙ системы - это радикальный метод. И он (для рабочей станции) в локальной сети, например, требует определенных телодвижений. Сверка из под АКТИВНОЙ системы более ПОВЕРХНОСТНА, конечно. НО БОЛЕЕ УДОБНА в сети. И возможно в ряде случаев ее будет достаточно чтобы разобраться с проблемой.

Ладно, может сделаю скриптовую команду для сохранения лога в Zoo или скорее переложу эту бесполезную фичу на czoo.

Может и имя ему давать такое же, как формируется имя архива при выполнении czoo.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Quinzy
      Всегда забавляли игроки в "танки". Никто в армию идти не хочет, испытать всю эту жизнь в реальности, зато все спецы в танковом деле.)) На играх, как мне кажется лучше пробовать зарабатывать, а не наоборот. Тратить деньги на лишнюю броню. В реальной жизни это вряд ли поможет. Лучше играть и зарабатывать в какие-нибудь игровые автоматы. Я вот сам хочу этим заняться и тут  тренируюсь на бесплатных играх. Вроде ничего так выходит. Пора пробовать и на депозитных поиграть. 
    • Karita
      При должной удачи конечно можно выиграть, но нужно и играть только в проверенных вариантах онлайн казино! Вот вам отличный вариант космолот cosmoloto.com.ua , даже можно на мобильном играть по итогу, если скачать игру . Так же можно играть в онлайн казино, автоматы и многое другое. А главное надёжно, зная что ваш выигрыш достанется только вам!
    • Vladimir2314
      Мы тоже любим в кругу друзей посидеть и поиграть в настольные игры. Когда-то тоже пришлось заказывать в интернете кости игральные https://satom.ru/t/kosti-igralnye-9413/ . Потому как старые мы где--то посеяли). Благо хоть доставка была быстрой. 
    • AM_Bot
      Компания Zyxel Communications Corporation представила доступную по стоимости серию межсетевых экранов серии ATP, позволяющих компаниям сектора малого и среднего бизнеса (SMB) защитить свои сети от угроз, в том числе и от атак «нулевого дня», которые не обнаруживаются традиционными средствами безопасности. Zyxel ATP — это универсальное решение, в которое интегрированы масштабируемая «песочница» на базе облака и дополнительные технологии защиты для обнаружения и блокировки как известных, так и неизвестных атак.  ВведениеМодельный ряд межсетевых экранов ZyWALL ATPОсновные функциональные возможности линейки Zyxel ATP3.1. «Песочница» (Sandboxing)3.2. Защита от вредоносного программного обеспечения3.3. Инспектирование SSL3.4. Контроль приложений (AppPatrol)3.5. Контентная фильтрация (Content Filtering)3.6. Фильтр ботнетов3.7. Защита от вторжений3.8. Статистика и SecuReporterПолитика лицензирования межсетевых экранов Zyxel APTВыводы ВведениеМеханизмы атак на сеть постоянно совершенствуются, а число целенаправленных нападений постоянно увеличивается, как и их разнообразие. Причем целевые атаки (Advanced Persistent Threat, APT), как правило, спроектированы для незаметного, скрытного выполнения злонамеренных действий, а не для того, чтобы нанести заметный ущерб.Современное вредоносное программное обеспечение использует техники, которые позволяют весьма легко обойти традиционные технологии защиты: межсетевые экраны, системы обнаружения вторжений, антивирусы. Неуловимость достигается, например, за счет маскировки под легитимные файлы. Поэтому в последнее время на рынке информационной безопасности остро ощущается потребность в защите от целенаправленных атак.Компаниям всё труднее реагировать на быстрые изменения в ландшафте угроз, и в особенно сложной ситуации оказывается сегмент SMB — небольшие и средние фирмы, у которых в отличие от крупных корпораций нет ни специалистов по информационной безопасности, ни мощных ресурсов для обеспечения защиты своей сети. Большие организации, как правило, выстраивают эшелонированную защиту от APT-атак, устанавливая отдельные специализированные решения (анализаторы трафика, сетевые песочницы и т.д.). При этом компаниям уровня SMB хотелось бы иметь эффективное и недорогое универсальное устройство «всё в одном» для защиты своих корпоративных сетей, которое помимо типовых модулей — межсетевого экрана, системы обнаружения вторжений, VPN-сервера — включало бы такие компоненты, как «песочница» (sandbox), фильтр ботнет-сетей, потоковый антивирус.Компания Zyxel Communications представила доступную по стоимости серию межсетевых экранов серии ATP, позволяющих компаниям сектора малого и среднего бизнеса (SMB) защитить свои сети и данные от различных угроз, в том числе и от атак «нулевого дня», которые не обнаруживаются традиционными решениями для информационной безопасности. Не так давно мы уже делали несколько публикаций о разработках Zyxel:  «Обзор Zyxel USG Series, унифицированных шлюзов безопасности» и «Обзор межсетевых экранов с функцией VPN компании Zyxel». В данном обзоре мы сфокусируем внимание на защите от целенаправленных атак Zyxel ATP и расскажем обо всех ее возможностях и особенностях.Zyxel ATP — это универсальное решение, в которое для обнаружения и блокировки как известных, так и неизвестных атак интегрированы масштабируемая «песочница» на базе облака и дополнительные технологии защиты. Модельный ряд межсетевых экранов ZyWALL ATPМежсетевые экраны серии ZyWALL АТР используют облачное обучение и песочницу для защиты от различных новых угроз, обеспечивая тем самым  эшелонированную защиту от будущих, ранее неизвестных атак.Модельный ряд межсетевых экранов ZyWALL ATP представлен четырьмя моделями — ZyWALL ATP100/200/500/800. Рисунок 1. Распределение моделей ZyWALL в зависимости от размера бизнеса  Краткие характеристики всех моделей линейки приведены ниже. Таблица 1. Ключевые характеристики моделей устройств ZyWALL ATPХарактеристикаZyWALL ATP100ZyWALL ATP200ZyWALL ATP500ZyWALL ATP800Спецификация оборудованияПорты 10/100/1000 Мбит/сек RJ-454 x LAN/DMZ,1 x WAN, 1 x SFP4 x LAN/DMZ, 2 x WAN, 1 x SFP7 (Configurable),1 x SFP12 (Configurable),2 x SFP (Configurable)Порты USB 3.01222Порт консолиДа (RJ-45)Да (DB9)Да (DB9)Да (DB9)Монтаж в стойкеНетДаДаДаБезвентиляторное исполнениеДаДаНетНетПроизводительность системыПропускная способность межсетевого экрана SPI (Мбит/сек)1000200026008000Пропускная способность VPN (Мбит/сек)3005009001500Пропускная способность IDP (Мбит/сек)600120017002700Пропускная способность AV (Мбит/сек)2504507001200Пропускная способность UTM (AV и IDP)2504507001200Максимальное число одновременных сессий TCP30000060000010000002000000Максимальное число одновременных туннелей IPsec VPN40402001000Одновременных пользователей SSL VPN1010501000Интерфейсов VLAN81664128Управление WLANЧисло управляемых точек доступа (с лицензией на 1 год)101834130Функции (сервисы) безопасностиПесочницаДаДаДаДаКонтентная фильтрацияДаДаДаДаБотнет-фильтрДаДаДаДаПатруль приложенийДаДаДаДаАнтиспамДаДаДаДаАнтивирусДаДаДаДаОблачный запрос (Сloud Query)ДаДаДаДаОблачная база данных угрозДаДаДаДаIDP (обнаружение и предотвращение вторжений)ДаДаДаДаРепутационный фильтрДаДаДаДаGeo EnforcerДаДаДаДаSecuReporter PremiumДаДаДаДаОсновные функции межсетевого экранаVPNIKEv2 IPsec SSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecIKEv2IPsecSSLL2TP/IPsecSSL (HTTPS) InspectionДаДаДаДаДвухфакторная аутентификацияДаДаДаДаMicrosoft AzureДаДаДаДаAmazon VPCДаДаДаДаОтказоустойчивая конфигурацияНетНетДаДаФизические характеристикиРазмеры (ШxГxВ)272 x 187 x 36300 x 188 x 44430 x 250 x 44216 x 147.3 x 33Вес (кг)1.41.653.30.85 Рисунок 2. Внешний вид ZyWALL ATP100  Рисунок 3. Внешний вид ZyWALL ATP200  Рисунок 4. Внешний вид ZyWALL ATP 500  Рисунок 5. Внешний вид ZyWALL ATP 800  Основные функциональные возможности линейки Zyxel ATPМежсетевые экраны Zyxel ZyWALL ATP в сочетании с  облаком Zyxel Cloud предлагают комплексный набор подсистем защиты, и, в частности, многоуровневую безопасность Multi-Layer Protection. Для пользователей доступны следующие сервисы и функции:Sandboxing  (Песочница)—изолированная среда в облаке, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, что значительно усиливает защиту от атак нулевого дня;Malware Blocker (Антивирус) — помимо традиционной защиты в режиме потокового антивируса, данный модуль ежедневно синхронизируется с базой данных Cloud Threat Database, поэтому защита от вредоносного кода в ATP не ограничивается только локальным уровнем, а благодаря обмену через облако обеспечивает комплексную защиту на глобальном уровне;Application Security — содержит функции Application Patrol и Email Security, которые не только блокируют кибератаки, но и обеспечивают настраиваемый контроль для оптимизации трафика приложений и блокирования нежелательных приложений;Intrusion Prevention (IDP) — выполняет углубленную проверку для блокирования слабых мест в защите приложений и использующих эти слабые места атак, обеспечивая полную безопасность;Web-Security — включает в себя функции Botnet Filter и Content Filter, обеспечивающие проверку адресов (как URL, так и IP) с использованием синхронизируемых с облаком категорий, которые могут эволюционировать с ростом облачной базы;Geo Enforcer — может ограничивать доступ из тех стран, где чаще всего возникают угрозы, и выяснить географический адрес инициатора или потенциальной жертвы атаки с помощью преобразования IP-адресов в физические;SecuReporter — выполняет комплексный анализ журналов с корреляцией данных и выдает отчеты по заданным параметрам. Это — необходимый инструмент для провайдеров сервисов. Рисунок 6. Перечень сервисов линейки межсетевых экранов Zyxel APT  Расскажем о них подробнее. «Песочница» (Sandboxing)Одним из ключевых отличий линейки межсетевых экранов Zyxel ATP является «Песочница» (Sandboxing) — облачная изолированная среда, куда помещаются подозрительные файлы для идентификации новых типов вредоносного кода, в том числе методом запуска. Рисунок 7. Вкладка «Песочница» в консоли ZyWALL ATP 500  Если файл вызывает подозрения, и при этом среди актуальных сигнатур в локальной базе для него не найдено совпадений, шлюз отправит его в Zyxel Cloud по защищенному каналу. В облаке будет проведено полноценное исследование, включая эвристический анализ и иные современные методы проверки. Этот процесс занимает до 15 минут.Zyxel Cloud помогает локальному шлюзу отражать угрозы. Облако идентифицирует неизвестные файлы на всех межсетевых экранах ATP, собирает результаты в базе данных и ежедневно пересылает обновления на все шлюзы семейства ATP. Это позволяет собирать знания о новых угрозах и развивать систему методом машинного обучения. Таким образом, облачная среда «учится» противостоять новым атакам. Рисунок 8. Машинное обучение облака Zyxel Cloud и обогащение Cloud Threat Database  Интеллект облака идентифицирует каждую новую угрозу, поэтому с каждой атакой база данных Cloud Threat Database накапливает всё больше знаний, развивается и становится более эффективной.При этом необходимые элементы управления размещаются локально на межсетевом экране. В Zyxel Cloud переносятся только автоматизированные процессы проверки. С Zyxel Cloud  межсетевой экран семейства ATP всегда находится на связи и получает доступ к самым свежим сигнатурам, алгоритмам и другим инструментам для защиты сети. Интеллект облака извлекает информацию о самых распространенных угрозах и постоянно информирует о них все межсетевые экраны ATP. Такой метод оперативного обмена информацией помогает успешно предотвращать скрытые угрозы.Отметим ключевые возможности и особенности «песочницы»:инспекция осуществляется в облаке;поддерживаются протоколы HTTP/SMTP/POP3/FTP;обмен информацией (синхронизация) между шлюзом и облаком ведется в режиме реального времени.Защита от вредоносного программного обеспеченияВ устройствах реализован  антивирус Zyxel AV (движок от партнера — Bitdefender) и антиспам Zyxel AS (движок от партнера — CyREN), которые поддерживают более 650 000 сигнатур вирусов, все популярные почтовые протоколы, HTTP, файлы неограниченного размера, автоматическое обновление баз, фильтрацию по IP-репутации, движок Recurrent Pattern Detection (RPD), распознавание X-Header, черные и белые списки, отчеты.Антивирус обеспечивает:сканирование файлов на вирусы, трояны, черви и другой вредоносный код до того, как они проникнут в сеть;потоковое сканирование без ограничений на размер файла;ежедневное обновление информации о самых опасных угрозах.Антивирусная проверка трафика осуществляется по протоколам HTTP, FTP, POP3 и SMTP, работающим по стандартным портам. Проверка HTTPS-трафика возможна, если активировать опцию инспектирования SSL, о которой мы расскажем далее в обзоре.Антивирусной проверке подвергаются все передаваемые файлы, даже если они заархивированы. При этом существует возможность  разрешить или запретить проверку архивов определенных форматов, например ZIP и RAR. Рисунок 9. Вкладка «Anti-Malware» в консоли ZyWALL ATP 500  Модуль вычисляет хеш-сумму файла или его части и сравнивает с базой вирусных сигнатур, расположенной на межсетевом экране.Локальная база сигнатур межсетевого экрана Zyxel ATP обновляется весьма часто. При этом может возникнуть ситуация, когда на момент пересылки вредоносного файла в защищаемую сеть какая-либо новая модификация вируса ещё не содержится в локальных базах сигнатур межсетевого экрана. Тогда Zyxel ATP с помощью опции Cloud Query может отправлять хеш-сумму в облако для сравнения с облачной базой сигнатур. Cloud Query быстро (в течение пары секунд) проверяет хеш-код и определяет, является ли объект опасным. Для работы данного сервиса требуется минимум сетевых ресурсов, и поэтому он не снижает производительность устройства. Эффективность защиты, таким образом, обеспечивается использованием постоянно обновляемой облачной базы данных, в которой содержатся сведения о миллиардах вредоносных файлов. Облачный запрос также ускоряет работу интеллектуальных функций обнаружения новых угроз Zyxel Security Cloud, что усиливает защиту каждого межсетевого экрана ATP.Инспектирование SSLМежсетевые экраны Zyxel серии ATP предоставляют возможность выполнить расшифровку передаваемых данных. В данном случае устройство будет выступать в роли прокси, перехватывая зашифрованные данные, расшифровывая их, проверяя на наличие вредоносного программного обеспечения и затем зашифровывая трафик обратно.При необходимости пропуска трафика от определённых ресурсов без инспектирования можно создать список исключений.Контроль приложений (AppPatrol)Application Patrol выполняет следующие функции: контроль использования популярных веб-ресурсов и приложений пользователями с поддержкой категорий (более 15) и гибкой настройкой, шейпинг трафика от определенных приложений, дополнительная авторизация пользователей, статистика и отчеты, специальные IDP/ADP-коннекторы для соцсетей. Рисунок 10. Вкладка «AppPatrol» в консоли ZyWALL ATP 500  Идентификация и классификация трафика в AppPatrol происходит на всех уровнях модели OSI. Во время установки соединения, если разрешено политиками безопасности, AppPatrol анализирует IP-пакеты, в случае успеха находит сигнатуру и помечает ей сессию. Если же распознать ничего не удалось, то такой трафик просто игнорируется.Непосредственно в правилах AppPatrol можно сразу же запретить прохождение нужного трафика.База сигнатур AppPatrol содержит информацию о нескольких тысячах разнообразных приложений и онлайн-сервисов. База регулярно обновляется, предоставляя  возможность фильтрации трафика всё большего количества служб.Контентная фильтрация (Content Filtering)Контентная фильтрация применяется для блокировки доступа к веб-сайтам. Она обеспечивает фильтрацию социальных сетей и вредоносных ресурсов, блокировку сайтов (включая работающие по протоколу HTTPS), в том числе по ключевым словам, а также задание отдельно черных и белых списков URL-адресов.Для улучшения безопасности соединения с веб-сайтами реализованы усовершенствования функций защиты HTTPS Domain Filter, Browser SafeSearch и Geo IP Blocking.Модуль осуществляет блокировку активного содержимого страниц в браузерах пользователей (JavaScript, ActiveX и cookies), проверяет URL сайтов по собственной облачной базе потенциально опасных адресов. Реализована возможность ограничения серфинга пользователей по гео-IP и задания отдельных страновых политик. Рисунок 11. Вкладка «Content Filtering» в консоли ZyWALL ATP 500  Политики фильтрации контента могут быть привязаны ко времени. Расписание применения политик позволяет заблокировать доступ пользователей сети к определённым ресурсам (например, социальным сетям) в рабочее время.Есть возможность в явном виде разрешить или запретить доступ к определенным ресурсам вне зависимости от того, к какой категории они относятся.Модуль не только определяет сайты, к которым пользователям разрешается или блокируется доступ, но также позволяет осуществлять блокировку активного содержимого страниц в браузерах пользователей (JavaScript, ActiveX и cookies).Кроме того, блокировка доступа может производиться по ключевым словам.Фильтр ботнетовСервис по фильтрации ботнетов в межсетевых экранах  Zyxel APT позволяет блокировать все соединения между защищаемой сетью и серверами управления либо известными IP-адресами ботнет-сетей. При необходимости администратор может самостоятельно выбрать, какие блокировки должны использоваться. Рисунок 12. Вкладка «Reputation Filter» в консоли ZyWALL ATP 500  Таким образом, модуль фильтрации ботнетов самостоятельно не защищает от заражения хостов, но он предотвращает возможное последующее их участие в ботнет-сети.Защита от вторженийМежсетевые экраны Zyxel ATP позволяют защищать локальную сеть от вторжений извне путем анализа поступающего трафика и сравнения его с базой известных сигнатур атак. Сервис IDP (Intrusion Detection and Prevention) занимается разбором трафика на уровнях модели OSI с 4-го по 7-й.Сервис обеспечивает:тщательный анализ пакетов, передаваемых по всем портам и протоколам, для защиты сети от известных атак;закрытие уязвимостей до того, как ими можно будет воспользоваться для атаки;возможность кастомизации сигнатур для создания своих собственных правил;постоянное автоматическое обновление сигнатур.Сервис IDP отслеживает генерируемый вредоносными программами трафик, попытки использования известных уязвимостей в прикладном и системном программном обеспечении,  а также любую сетевую активность, связанную с различного рода угрозами.Поиск ведётся по регулярно обновляемой базе сигнатур. Существует возможность добавить собственные правила или сразу загрузить файл с перечнем правил.Статистика и SecuReporterЛокальная консоль Dashboard ATP выдает статистику по угрозам за семь дней и сводку по трафику после перезагрузки устройства. Эта информация очень полезна для быстрой оценки безопасности сети. Рисунок 13. Консоль Dashboard ATP  Рисунок 14. Консоль Dashboard ATP  SecuReporter — это работающий в облаке интеллектуальный сервис аналитики с разработанными для продуктов линейки ZyWALL функциями генерации отчетов, включая сбор данных и их корреляцию. Он предоставляет сетевому администратору централизованную картину различных действий в сети, например:общее число обнаруженного вредоносного кода/вирусов;обнаруженный спам в электронной почте;обнаруженные аномалии;заблокированные запросы;тенденции угроз (за последние 7 дней).SecuReporter идентифицирует и анализирует угрозы и составляет отчеты о них. На основе этих отчетов пользователю выдаются рекомендации по устранению обнаруженных угроз. Этот облачный сервис превращает данные из журналов в ценные знания, используемые для генерации подробных отчетов и аналитики. Политика лицензирования межсетевых экранов Zyxel APTАктивация той или иной функциональности происходит посредством подключения необходимой лицензии. Модульность позволяет клиентам внедрять только те сервисы, в которых есть потребность. В случае необходимости расширить функциональность шлюза клиент может просто докупить необходимые лицензии и с легкостью их интегрировать в уже функционирующую инфраструктуру безопасности.ATP стандартно поставляется с лицензией на пакет Gold Security Pack на 1 год. Эту лицензию нельзя передавать (non-transferable). Начиная со второго года, пользователь может возобновить лицензию Gold Security Pack либо Silver Security Pack на 1 или 2 года. Возобновленную лицензию уже можно передавать.Таким образом, политика лицензирования компании Zyxel предоставляет максимальную гибкость при поставке шлюзов APT для разных компаний с индивидуальными потребностями, а также позволяет добиться оптимального баланса стоимости, производительности и безопасности. ВыводыВ этой статье мы попытались в достаточной степени подробно описать возможности межсетевых экранов Zyxel серии ATP.Межсетевые экраны Zyxel ATP открывают преимущества облачных технологий информационной безопасности для SMB-сегмента. Рассчитанное на небольшие компании с ограниченным бюджетом, такое устройство борется с различными типами угроз, включая ботнеты, и может блокировать IP-адреса в зависимости от серьезности риска. Таким образом обеспечивается баланс между покрытием и производительностью защиты без использования дорогого оборудования.Ключевыми отличиями Zyxel ATP от других линеек Zyxel (VPN, USG) являются наличие на «борту» механизмов защиты от современных киберугроз — «песочницы», фильтра ботнет-сетей, антифишинга, — а также привлечение облачных ресурсов для поднятия уровня защиты. Облачный ресурс используется для оперативного обмена информацией об уязвимостях, а также для дополнительной проверки подозрительных объектов в рамках песочницы. Благодаря этим мощным функциям Zyxel серии ATP обеспечивает построение комплексной защиты ИТ-инфраструктуры на базе одного решения. Читать далее
    • Kirs
      спасибо за совет, только вот украшений итак выше крыши у неё, думаю может из одежды что вместо этого
×