Программы ревизоры

[manana 0]

Иногда можно встретить упоминания (десятилетней давности), что программы-ревизоры являются наиболее эффективным средством от заражения вирусами. Так ли это сегодня? p.s. Лично сам считаю, что нынче файловые вирусы редки, а ревизор от троянов и червей не спасет.

[JunDF 5]

От червей и троянов наоборот очень поможет. Ревизор скажет о новом файле, в котором сидит троян.

Другое дело, что сейчас все программы постоянно обновляются включая саму систему. Постоянно будет кричать о новых и измененных файлах.

[manana 0]

А если малварь не записывает тело в файловую систему, а лишь висит в памяти, то ревизор его не заметит?

[JunDF 5]

А как зловред может сидеть в памяти без файла?

[manana 0]

А как зловред может сидеть в памяти без файла?

Насколько мне известно, есть возможность через эксплоит запустить процесс в памяти без изменения файловой системы.

Есть такая программа-ревизор Adinf. Кто-нибудь пользуется?

[priv8v 960]

Дела обстоят так:

1. Ревизор выдаст при сканировании инфу о новых/измененных файлах. Все это уже постфактум - зловред уже собрал пароли и выслал их хозяину.

2. Экран застлал собою винлок. Как в этом случае должен помогать ревизор - загадка.

3. Троян несет на борту руткит-компонент - просто скрыл свои файлы и все. Ревизор не увидит. Причем достаточно примитивного руткита.

4. Файл с определенными извратами из памяти можно запустить и без эксплоита, но ->

5. В 99% зловред все-таки имеет файл на диске, но по вышеперечисленным причинам его обнаружение ревизором неэффективно/бессмысленно.

6. Не всегда можно понять по имени файла зловред это или нет. Например, файл в темповой директории с расширением tmp вполне может быть зловредом, записанным в авторан (например, как либа).

В общем и целом: защита должна быть упреждающей, а не констатирующей (аля "констатирую - вот этот файл зловред, удалю его, как попал непонятно").

Раз есть такой интерес к каким-то отличным от антивируса средствам защиты, то рекомендую присмотреться к настройкам антивируса - его можно перевести в параноидальный режим, и он начнет задавать много вопросов о подозрительных действиях в системе. Есть и принципиально другой класс защиты - песочницы (лучший представитель - DefenceWall HIPS).

[manana 0]

Видимо, стоит рассматривать в контексте объекта защиты/модели нарушителя.

Объект защиты:

В общем, так. Строится внутренняя корпоративная сеть, компьютеров этак на сто (возможно, в будущем будут подключены филиалы по VPN). Из основных предоставляемых услуг - корпоративные веб-сайт и почта. Из вспомогательных - DNS и др. Директорат боится утечек и, поэтому, будут отсутствовать доступ к сети интернет и использоваться DLP-системы.

Модель нарушителя: инсайдер, возможно даже сам администратор, могущий внести свою флешку в белый список DLP-системы и отправить по почте троян директору. Ну или хитрый пользователь.

Варианты защиты:

Логика руководства такова: раз сеть выделена, то и малвари взяться неоткуда. Антивирусы в общем-то и не нужны, которые без обновления баз из интернета все равно будут неэффективны.

Но по опыту бывалых, пользователи все равно найдут лазейку и смогут вставлять флешки/диски.

Предлагался такой вариант: установить антивирус с возможностью загрузки баз с FTP-сервера. Минусы: существует возможность, что конкуренты наймут вирмейкера, который разработает малварь индивидуально под нашу защиту. Сигнатуры в антивирусной лаборатории не появятся => троян не детектится. В принципе можно понадеяться на эвристик, как вариант...

С учетом вышесказанного был предложен вариант использования программ-ревизоров. Поскольку обновлений ОС не ожидаются, а софт в принципе постоянен и неизменен, то ревизоры будут блокировать неизвестные/измененные программы/процессы/потоки, что теоретически должно заблокировать даже ранее неизвестное вредоносное ПО.

Прошу помочь советом.

P.S. Возможно, мне стоило создать отдельный топик, но раз уж начал, то пишу в этом.

[dot_sent 140]

manana: С вашим набором требований я бы скорее в сторону application whitelisting смотрел. Я не говорю, что других методов быть не должно, но в условиях неизменности софта как раз этот подход работает очень неплохо.