manana

Программы ревизоры

В этой теме 8 сообщений

Иногда можно встретить упоминания (десятилетней давности), что программы-ревизоры являются наиболее эффективным средством от заражения вирусами. Так ли это сегодня? p.s. Лично сам считаю, что нынче файловые вирусы редки, а ревизор от троянов и червей не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

От червей и троянов наоборот очень поможет. Ревизор скажет о новом файле, в котором сидит троян.

Другое дело, что сейчас все программы постоянно обновляются включая саму систему. Постоянно будет кричать о новых и измененных файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А если малварь не записывает тело в файловую систему, а лишь висит в памяти, то ревизор его не заметит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А как зловред может сидеть в памяти без файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А как зловред может сидеть в памяти без файла?

Насколько мне известно, есть возможность через эксплоит запустить процесс в памяти без изменения файловой системы.

Есть такая программа-ревизор Adinf. Кто-нибудь пользуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Дела обстоят так:

1. Ревизор выдаст при сканировании инфу о новых/измененных файлах. Все это уже постфактум - зловред уже собрал пароли и выслал их хозяину.

2. Экран застлал собою винлок. Как в этом случае должен помогать ревизор - загадка.

3. Троян несет на борту руткит-компонент - просто скрыл свои файлы и все. Ревизор не увидит. Причем достаточно примитивного руткита.

4. Файл с определенными извратами из памяти можно запустить и без эксплоита, но ->

5. В 99% зловред все-таки имеет файл на диске, но по вышеперечисленным причинам его обнаружение ревизором неэффективно/бессмысленно.

6. Не всегда можно понять по имени файла зловред это или нет. Например, файл в темповой директории с расширением tmp вполне может быть зловредом, записанным в авторан (например, как либа).

В общем и целом: защита должна быть упреждающей, а не констатирующей (аля "констатирую - вот этот файл зловред, удалю его, как попал непонятно").

Раз есть такой интерес к каким-то отличным от антивируса средствам защиты, то рекомендую присмотреться к настройкам антивируса - его можно перевести в параноидальный режим, и он начнет задавать много вопросов о подозрительных действиях в системе. Есть и принципиально другой класс защиты - песочницы (лучший представитель - DefenceWall HIPS).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Видимо, стоит рассматривать в контексте объекта защиты/модели нарушителя.

Объект защиты:

В общем, так. Строится внутренняя корпоративная сеть, компьютеров этак на сто (возможно, в будущем будут подключены филиалы по VPN). Из основных предоставляемых услуг - корпоративные веб-сайт и почта. Из вспомогательных - DNS и др. Директорат боится утечек и, поэтому, будут отсутствовать доступ к сети интернет и использоваться DLP-системы.

Модель нарушителя: инсайдер, возможно даже сам администратор, могущий внести свою флешку в белый список DLP-системы и отправить по почте троян директору. Ну или хитрый пользователь.

Варианты защиты:

Логика руководства такова: раз сеть выделена, то и малвари взяться неоткуда. Антивирусы в общем-то и не нужны, которые без обновления баз из интернета все равно будут неэффективны.

Но по опыту бывалых, пользователи все равно найдут лазейку и смогут вставлять флешки/диски.

Предлагался такой вариант: установить антивирус с возможностью загрузки баз с FTP-сервера. Минусы: существует возможность, что конкуренты наймут вирмейкера, который разработает малварь индивидуально под нашу защиту. Сигнатуры в антивирусной лаборатории не появятся => троян не детектится. В принципе можно понадеяться на эвристик, как вариант...

С учетом вышесказанного был предложен вариант использования программ-ревизоров. Поскольку обновлений ОС не ожидаются, а софт в принципе постоянен и неизменен, то ревизоры будут блокировать неизвестные/измененные программы/процессы/потоки, что теоретически должно заблокировать даже ранее неизвестное вредоносное ПО.

Прошу помочь советом.

P.S. Возможно, мне стоило создать отдельный топик, но раз уж начал, то пишу в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

manana: С вашим набором требований я бы скорее в сторону application whitelisting смотрел. Я не говорю, что других методов быть не должно, но в условиях неизменности софта как раз этот подход работает очень неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS