Перейти к содержанию

Recommended Posts

manana

Иногда можно встретить упоминания (десятилетней давности), что программы-ревизоры являются наиболее эффективным средством от заражения вирусами. Так ли это сегодня? p.s. Лично сам считаю, что нынче файловые вирусы редки, а ревизор от троянов и червей не спасет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

От червей и троянов наоборот очень поможет. Ревизор скажет о новом файле, в котором сидит троян.

Другое дело, что сейчас все программы постоянно обновляются включая саму систему. Постоянно будет кричать о новых и измененных файлах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

А если малварь не записывает тело в файловую систему, а лишь висит в памяти, то ревизор его не заметит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF

А как зловред может сидеть в памяти без файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana
А как зловред может сидеть в памяти без файла?

Насколько мне известно, есть возможность через эксплоит запустить процесс в памяти без изменения файловой системы.

Есть такая программа-ревизор Adinf. Кто-нибудь пользуется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Дела обстоят так:

1. Ревизор выдаст при сканировании инфу о новых/измененных файлах. Все это уже постфактум - зловред уже собрал пароли и выслал их хозяину.

2. Экран застлал собою винлок. Как в этом случае должен помогать ревизор - загадка.

3. Троян несет на борту руткит-компонент - просто скрыл свои файлы и все. Ревизор не увидит. Причем достаточно примитивного руткита.

4. Файл с определенными извратами из памяти можно запустить и без эксплоита, но ->

5. В 99% зловред все-таки имеет файл на диске, но по вышеперечисленным причинам его обнаружение ревизором неэффективно/бессмысленно.

6. Не всегда можно понять по имени файла зловред это или нет. Например, файл в темповой директории с расширением tmp вполне может быть зловредом, записанным в авторан (например, как либа).

В общем и целом: защита должна быть упреждающей, а не констатирующей (аля "констатирую - вот этот файл зловред, удалю его, как попал непонятно").

Раз есть такой интерес к каким-то отличным от антивируса средствам защиты, то рекомендую присмотреться к настройкам антивируса - его можно перевести в параноидальный режим, и он начнет задавать много вопросов о подозрительных действиях в системе. Есть и принципиально другой класс защиты - песочницы (лучший представитель - DefenceWall HIPS).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
manana

Видимо, стоит рассматривать в контексте объекта защиты/модели нарушителя.

Объект защиты:

В общем, так. Строится внутренняя корпоративная сеть, компьютеров этак на сто (возможно, в будущем будут подключены филиалы по VPN). Из основных предоставляемых услуг - корпоративные веб-сайт и почта. Из вспомогательных - DNS и др. Директорат боится утечек и, поэтому, будут отсутствовать доступ к сети интернет и использоваться DLP-системы.

Модель нарушителя: инсайдер, возможно даже сам администратор, могущий внести свою флешку в белый список DLP-системы и отправить по почте троян директору. Ну или хитрый пользователь.

Варианты защиты:

Логика руководства такова: раз сеть выделена, то и малвари взяться неоткуда. Антивирусы в общем-то и не нужны, которые без обновления баз из интернета все равно будут неэффективны.

Но по опыту бывалых, пользователи все равно найдут лазейку и смогут вставлять флешки/диски.

Предлагался такой вариант: установить антивирус с возможностью загрузки баз с FTP-сервера. Минусы: существует возможность, что конкуренты наймут вирмейкера, который разработает малварь индивидуально под нашу защиту. Сигнатуры в антивирусной лаборатории не появятся => троян не детектится. В принципе можно понадеяться на эвристик, как вариант...

С учетом вышесказанного был предложен вариант использования программ-ревизоров. Поскольку обновлений ОС не ожидаются, а софт в принципе постоянен и неизменен, то ревизоры будут блокировать неизвестные/измененные программы/процессы/потоки, что теоретически должно заблокировать даже ранее неизвестное вредоносное ПО.

Прошу помочь советом.

P.S. Возможно, мне стоило создать отдельный топик, но раз уж начал, то пишу в этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

manana: С вашим набором требований я бы скорее в сторону application whitelisting смотрел. Я не говорю, что других методов быть не должно, но в условиях неизменности софта как раз этот подход работает очень неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • alexkirilov2018
      Наказывать нужно за расклейку таких вот украшений!
    • Gannadey
      Мы когда переехали в этот поселок, то тоже, само собой задавались этим вопросом. Так как работа у меня связана с интернетом, то мне бы хотелось, помимо дешевых тарифов и хорошего интернета, ещё и быстрое подключение. Полазил по сайтам провайдеров и фразочки типа " подключение в течении 3-4х дней" меня никак не устраивали. Но нашёл здесь https://it-yota.ru/uslugi/internet-mosoblast/dmitrovskij-rajon/poselok-nekrasovskij.html , что подключают в тот же день, глянул и на тарифы, условия и всё меня устроило. Подключили и вправду в тот же день, всё работает отлично. Сбоев и обрывов сети не было. 
    • Elisea
      Приветствую! Есть кто из Подмосковья? Переехали в поселок Некрасовский совсем недавно, под Дмитровым. Нужно подключить интернет. Какой провайдер получше будет?
    • fafa
      Очень странно, как по мне. Так как этот товар не подходит для такого вариант продвижения. Как мне казалось то лучше использовать прямую рекламу не думали? Тем более что товар не такой дешевый и рассчитан немного на другую аудиторию. 
    • aasss5
      У меня у кумы свой магазин нижнего белья она его недавно открыла и раздачу рекламных листовок она заказывала в компании Разнесу рекламу её заказ выполнили быстро и покупателей новых прибавилось так что она очень довольна что её бизнес приносит ей хороший доход! 
×