Перейти к содержанию

Recommended Posts

amid525

Сегодня пришлось побаловаться с различными SMS блокираторами. Во большинстве случаев, на помощь предлагаются разные средства, на основе загрузки с CD и лечить.., до переустановки оси с архива через акронис(например). Т.е танцы с бубном.. :)

Есть-ли еще какие ср-ва защиты,(или возможности антивирусов), когда можно убить баннер (когда заблокирован экран), прямо в реальном времени? :)

Одну такую программку знаю.. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1. Стоит учитывать, что лучше предотвратить, чем потом лечить. Например, если антивирус пропустил mbr-локер, то "никакое лечение в реальном времени" уже не поможет - даже винда грузится не будет

2. Как только это самое средство для борьбы с винлоками станет распространено - сразу винлоки чуть изменят свой функционал и средство станет бесполезным.

3. Если человек задумался о таком софте, то скорее всего у него есть мозги и он итак винлока не подхватит (разве что по пьяни)

4. Любой нормальный АВ-комплекс (если не задетектит зловред эвристикой\сигнатурой) задаст кучу вопросов своей проактивной защитой при установке этого винлокера в системе, а если юзер на все них нажал "да", то ему уже ничего не поможет... (поможет только пиво для друга-компьютерщика, который с лайф-cd придет)

5. У Касперского в бете 2014 есть некие наметки на борьбу с прорвавшимся винлоком (закрывать по сочетанию клавиш)

PS: Мелкие убогие анти-винлок утилиты (причем платные!) с мониторингом (опросом) трех ключей реестра по таймауту мне известны, но рекламить их совсем чего-то не хочется. Незачем ламерство разводить.

PS2: большинство современных винлоков, при наличии под руками live-cd снимаются за пару минут при определенной сноровке

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

4. не обязательно live-cd.

От mbr-локер(а), пока без live-cd справлялся. А остальные, не перезагружаясь, одним движением.. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

как от мбр без лайфсд? (другого загрузчика)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Поможет СТМ от комодо. По крайней мере, сегодня испытал на одном MBR локере. Оболочка СТМ загружается первой(до винды и блокера). Далее откат по снимку, и все. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

просто другой загрузчик.

у Славы была хорошая статья про легальные руткиты на securelist

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
просто другой загрузчик.

Понятно что другой, - спаситель. ) По поводу: (никакое лечение в реальном времени" уже не поможет - даже винда грузится не будет. Поможет только пиво для друга-компьютерщика, который с лайф-cd придет)

Помогает, Ничего подключать внешне, танцев, не нужно.. Все просто, и сердито. :)

И выручит, не только в этом случаи, а и с любой другой серьезной проблемой в системе. Юзеру(и не только) - полезно иметь! ИМХО. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

да я не против комодо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Я понял, о чем ты. )

у Славы была хорошая статья про легальные руткиты на securelist

Давно читал... Но с таким подходом, можно и любой антивирус - называть "легальным вирусом"... Полностью контролировать их деяния,( в свободное время от поимки вирусов), что куда отсылают., трудно.. :)

Фантазии, могут далеко завести, лучше не нужно... )

А по делу, СТМ - в системе, только на пользу. И можно позабыть надолго про акронисы, L/Cd, и т.д..). имхо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Лично мне было бы удобнее использовать виртуальную машину - там под разные цели можно целое дерево снапшотов построить ...

Как-то я ставил такой опыт на знакомых - все было нормально. Принцип: реальное железо для игр, а виртуальная машина для интернета.

А по поводу СТМ - в реальной жизни лучшее его применение вижу только в установке его тем знакомым, которые постоянно цепляют вирусы и обращаются за помощью - поставить и пусть не достают ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin
По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Особенно троянов, ворующих данные юзера :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
По сути, откат системы к снапшоту это бесспорно лучшее средство лечения всех зловредов, вопрос лишь в реализации :)

Лично мне было бы удобнее использовать виртуальную машину - там под разные цели можно целое дерево снапшотов построить ...

Как-то я ставил такой опыт на знакомых - все было нормально. Принцип: реальное железо для игр, а виртуальная машина для интернета.

А по поводу СТМ - в реальной жизни лучшее его применение вижу только в установке его тем знакомым, которые постоянно цепляют вирусы и обращаются за помощью - поставить и пусть не достают ;)

Не только от вирусов, а и тем, кто сам часто ложит систему, не нужно переустанавливат.:-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

Ещё вариант: работа под пользователем с ограниченными правами.

Блокер не сможет внести запись в загрузочный сектор. Если учетка будет заблокирована, то юзаем админа и лечим учетку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
Поможет СТМ от комодо

как активируется загрузчик комодо, если винда уже заблокирована мбр блокером? Например у того же bitdefender, загрузчик режима реанимаци, можно вызвать пробелом, после прохождения пост биос.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525
как активируется загрузчик комодо, если винда уже заблокирована мбр блокером?

Комодо СТМ, запускается до винды. И похоже, имеет приоритет запуска над блокерами. По крайней мере, справился с парочкой, какими располагал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

можно эту парочку винлоков в ЛС скинуть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
amid525

Ок

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop

было бы куда интереснее обсудить возможности борьбы с локерами при отсутствии превентивных мер (СТМ, как я понимаю, предполагает предварительную ее установку и создание снимка).

А вот принесли тебе некий комп, где есть блокер, и нет ничего. Что делать? Оставим mbr в покое - там понятно, что нужна альтернативная загрузка. Пусть будет просто злобный локер под загруженной Виндой...

Раньше я справлялся простым АнВиром. Сейчас, как я понимаю, номер чаще всего не пройдет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

т.е аннвир уже установлен на зараженной машине?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rodocop
т.е аннвир уже установлен на зараженной машине?

нет, привносится извне :-) На флешке. Запускался разными хитрыми махинациями. Был и вариант с предустановленным Анвиром тоже.

Впрочем, давно это было.

Сейчас тупо воспользуюсь флешкой (диском) с Паппиком...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alamor
      @demkd, вот неудобно, что посмотришь подробную инфу о файле по дабл-клику - примешь решение удалять его. И нельзя сразу из того же окна удалить его (или ссылки на него). Надо выходить из того окна и так. 

       
    • Александр57
      На вкладке "защита" не активен на вкл. ползунки "защита от программ вымогателей" и "проверка на наличие рукитов". Как включить? Программам Malwarebytes premium лицензионная.
    • PR55.RP55
      т.е.  в settings.ini можно прописать так: ; Включить поддержку белого списка ЭЦП. (по умолчанию 0)
      ; Список хранится в файле wdsl, который представляет собой обычный текстовый файл в unicode ; ;  ; ; кодировке.
      ; Одна строка - одно имя, регистр важен.
      bUseWDSList = 1
      ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
      ; (файлы скрываются при запуске функции автоскрипт)
      ; Функция применима при работе с сигнатурами.
      ImgAutoHideVerified = 1
    • PR55.RP55
      WDLS Параметр в settings.ini
         [Settings]
         ; Включить поддержку белого списка ЭЦП.
           bUseWDSList (по умолчанию 0) ------------    ; Скрывать проверенные файлы со статусом "ВИРУС" если активен белый список.
         ; (файлы скрываются при запуске функции автоскрипт)
           ImgAutoHideVerified (по умолчанию 0) ---------- Это файл который вы сами составляете\дополняете из Инфо. файла. Это список белых Электронно Цифровых Подписей. Настройка позволяет считать проверенными не все ЭЦП, а только те которые были добавлены вами. Например:  Действительна, подписано """Ask-Integrator"", Ltd." Имеет легальную подпись - однако данной ЭЦП нет в списке  WDLS  файлы подписанные """Ask-Integrator"", Ltd." не будут считаться проверенными. -------- Сам файл в теме. wdsl.7z * Если в категории:  " Белый список ЭЦП"  вы видите список - значит всё настроено верно. Файл в приложении, расценивайте как образец. Что-то можно убавит, что-то добавить. ( с соблюдением кодировки )
    • Dragokas
      Объясните тёмному человеку, что такое WDLS ?
×